Die dynamische DNS-Infrastruktur

Das Domain Name System (DNS) ist ein technischer Eckpfeiler des Internets, steht jedoch hinsichtlich Wachstum und Sicherheit vor erheblichen Herausforderungen. Das Internet ist vom DNS abhängig. Wenn dieses nicht funktioniert, funktioniert auch das Internet nicht. Heutige Organisationen sind nicht nur vom Internet-DNS abhängig, sondern auch von ihrem eigenen DNS, und wenn ihre DNS-Systeme ausfallen, fallen auch ihre Anwendungen aus.

Mit der allgegenwärtigen Verbreitung von Smartphones im letzten Jahrzehnt stieg die Zahl der Internetnutzer um über 500 Prozent auf über 2,6 Milliarden. Forrester¹ prognostiziert, dass bis 2016 weltweit über eine Milliarde Smartphones im Einsatz sein werden und dass die daraus resultierende Explosion der Smartphone-Anwendungen in den 4G-Netzen (Long Term Evolution, LTE) zu einem exponentiellen Anstieg des DNS-Verkehrs führen wird.

Auch das Wachstum bei Unterhaltungsseiten, sozialen Medien, Suchvorgängen und Online-Käufen setzt das DNS unter Druck. In den letzten fünf Jahren ist das Volumen der DNS-Abfragen um über 200 Prozent gestiegen – die durchschnittliche tägliche Abfragelast im ersten Quartal 2011 lag bei unglaublichen 57 Milliarden.

Da Websites und Anwendungen immer umfangreicher und ausgefeilter werden, erhöht sich die Belastung des DNS. Beispielsweise verfügt auf einer modernen Webseite jedes Bild, jede Schaltfläche zum Hinzufügen, jedes Widget, jeder Link, jedes Symbol und jeder andere eingebettete Inhalt über eine potenzielle IP-Adresse, die nachgeschlagen werden muss. Es kommt nicht selten vor, dass für eine einzelne Seite über zwei Dutzend verschiedene DNS-Lookups durch einen Browser erforderlich sind. Eine Top-Level-Seite wie cnn.com erfordert über einhundert DNS-Lookups. Ein größeres, komplexeres Web bedeutet ständig steigende DNS-Anfragen.

Fast alle Clients verlassen sich auf DNS, um auf die gewünschten Dienste zuzugreifen. Damit ist DNS der kritischste – und öffentlichste – aller Dienste. DNS-Störungen betreffen alle externen Rechenzentrumsdienste, nicht nur eine einzelne Anwendung. Dieser einzelne Totalausfallpunkt sowie die historisch unterversorgte DNS-Infrastruktur, insbesondere im Internet und in Unternehmensrechenzentren, machen DNS zu einem äußerst verlockenden Ziel für Angreifer. Es hat sich zum zweithäufigsten Angriffsvektor für Distributed-Denial-of-Service-Angriffe (DDoS) (nach HTTP) entwickelt, sodass Unternehmen nach einer wirksamen Abwehr suchen.

Ebenso bedeutsam ist die Tatsache, dass die finanziell schädlichsten Angriffe, wie etwa Phishing- und Man-in-the-Middle-Angriffe (MITM), mit der Manipulation von DNS-Antworten beginnen. Die Technologie DNSSEC (Domain Name System Security Extensions) soll diese Probleme lösen. Der damit verbundene Mehraufwand und die Komplexität erweisen sich jedoch als zusätzliche Belastung für Unternehmen, die bereits mit der Lösung von Problemen beschäftigt sind, die durch schnelles Wachstum und DDoS-Abwehr entstanden sind.

Sogar herkömmliche Sicherheitsmaßnahmen wie Browser-Symbolleistenblocker basieren auf DNS-Diensten. Wenn diese Dienste also gestört sind, können die Sicherheitsmaßnahmen versagen. Das gleiche Problem besteht bis zu einem gewissen Grad auch bei SSL-Site-Zertifikaten.

Organisationen müssen ihre DNS-Lösungen neu überdenken, um sicherzustellen, dass sie die Leistungs- und Sicherheitsanforderungen des heutigen und des zukünftigen Internets erfüllen.

Organisationen, die sich den Herausforderungen von Wachstum und Sicherheit stellen, wenden sich seit über 10 Jahren für DNS und globale Anwendungsbereitstellung an F5 Networks. F5 BIG-IP Global Traffic Manager (GTM) war schon immer die leistungsstärkste und flexibelste Technologie zur Bereitstellung von Anwendungen für mehrere Standorte. Jetzt erweitert F5 die technologischen Grenzen mit einer Vollproxyarchitektur für dynamisches DNS, die eine Komplettlösung für globales, lokales und Cloud-Load-Balancing bietet.

Für globale Organisationen mit mehreren Rechenzentren und einer vorhandenen DNS-Infrastruktur bietet BIG-IP GTM eine Reihe von Diensten, vom globalen Server-Load-Balancing (GSLB) bis zum vollständigen Zonendienst mit der einzigartigen DNS-Express-Technologie von F5. Durch die DNSSEC-Signierung wird sichergestellt, dass Clients nicht in böswilliger Absicht umgeleitet werden.

Für Unternehmen kann BIG-IP GTM als zentrale Clearingstelle für die ausgehende DNS-Namensauflösung, das Caching und Auflösen sowie die DNSSEC-Validierung fungieren. DNS Express skaliert, sichert und beschleunigt die lokale Zonenauflösung.

Für Organisationen mit einer beliebigen Kombination aus physischen und virtuellen Rechenzentren bietet BIG-IP GTM die Flexibilität, die Namensverschiebung zwischen und innerhalb der Rechenzentren zu steuern. Mit BIG-IP GTM Virtual Edition (VE) in öffentlichen und privaten Cloud-Umgebungen können Unternehmen nach Belieben neue Bereitstellungen starten und eine flexible globale Anwendungsverfügbarkeit gewährleisten.

GSLB über DNS ist eine Methode zur Lastverteilung, seit DNS erstmals mehrere IP-Adressen pro Antwort integrierte. Auch heute noch versuchen viele Websites mit der Round-Robin-DNS-Antworttechnik, den Datenverkehr auf mehrere Server und Anwendungen zu verteilen.

Das primitive Round-Robin-DNS-Lastausgleichssystem ist zwar einfach und nützlich, weist jedoch zwei wesentliche Schwächen auf. Erstens wissen herkömmliche DNS-Server nichts über den Zustand der Anwendungsserver. Wenn ein Name vier Anwendungsserveradressen zugeordnet ist und der dritte Server ausgefallen ist, werden 25 Prozent der bereitgestellten Verbindungen abgelehnt. Zweitens berücksichtigt die herkömmliche Round-Robin-Technik nicht das Profil des Benutzers, der den Namen selbst abfragt. Das heißt, es besteht keine Möglichkeit, Benutzer nahegelegenen Rechenzentren zuzuordnen.

BIG-IP Global Traffic Manager bietet seit 2002 eine GSLB-Lösung, die diese und weitere Schwachstellen behebt. Internetseiten und Unternehmensrechenzentren verlassen sich auf BIG-IP GTM für den erweiterten globalen Server-Load-Balancing, der eine hohe Anwendungsverfügbarkeit und ein positives Benutzererlebnis bietet. Für Unternehmen berücksichtigt BIG-IP GTM den Zustand der zugrunde liegenden Anwendung und liefert nur Adressen für intakte Server. Für globale Internet-Sites mit mehreren Rechenzentren kann BIG-IP GTM ausgefeilte Lastausgleichsmethoden einsetzen, die die Geschäftslogik für jede Anwendung implementieren. Die Methode kann so einfach sein wie eine prioritätsbasierte Präferenzliste, die die Last anhand statischer oder dynamischer Verhältnisse verteilt, oder so komplex wie die Verwendung mehrerer Faktoren und Eingaben, um die optimale Ressource für die Kunden auszuwählen. Viele Organisationen nutzen mittlerweile Geolokalisierungsdaten, um Benutzer mit dem nächstgelegenen Rechenzentrum zu verbinden. Die Benutzer erhalten weniger Verbindungsabbrüche und ein besseres Benutzererlebnis. Zudem profitieren die Rechenzentren von einer besseren globalen Serverlastverteilung.

In der Vergangenheit stellte BIG-IP GTM GSLB bereit, indem es eine intelligente, aber nicht autoritative DNS-Auflösung anbot. Die neue DNS Express-Funktion verbessert dies, indem sie eine autoritative DNS-Auflösung mit höchster Leistung der Spitzenklasse bietet. Dies geschieht, indem es die Zoneninformationen von vorhandenen DNS-Servern in den eigenen RAM überträgt und dann selbst auf alle Anfragen antwortet. DNS Express macht BIG-IP GTM zu einem autoritativen Server, ohne dass eine neue Verwaltungsinfrastruktur erforderlich ist.

Bei Verwendung hinter DNS Express werden die DNS-Server lediglich zu Speicher- und Verwaltungskontrollpunkten für die DNS-Verwaltung. Dadurch werden weniger Server benötigt. Wie andere Produkte von F5 ist BIG-IP GTM eine ICSA Labs-zertifizierte Netzwerk-Firewall und kann daher in einer DMZ oder sogar außerhalb des Firewall-Perimeter platziert werden.

BIG-IP GTM bietet eine Reihe von Sicherheitsdiensten, die Schutz vor DDoS-Angriffen am DNS-Sicherheitsperimeter bieten. Beispielsweise mildert BIG-IP GTM typische verteilte UDP-Floods problemlos ab, indem es die Leistung weit über die eines normalen DNS-Servers hinaus skaliert. Ebenso kann die DNS Express-Funktion bei fortgeschritteneren Abfrageangriffen einen typischen DNS-Server übertreffen, da sie selbst während eines NXDOMAIN-DDoS-Angriffs alle gültigen Zoneneinträge beibehält.

Seit 2002, als die ersten großen Angriffe auf die globale DNS-Infrastruktur stattfanden, ist die IP-Anycast-Technologie zu einer entscheidenden Verteidigung gegen viele Arten von DDoS-Angriffen geworden. IP Anycast schwächt DDoS-Angriffe ab, indem es die Last (sei es legitimer Datenverkehr oder ein Netzwerkangriff) auf mehrere Geräte verteilt, die sich normalerweise in verschiedenen Rechenzentren in unterschiedlichen Teilen der Welt befinden. Dadurch wird der Einsatz globaler Botnetze verhindert, da diese ihre Feuerkraft nie auf ein einzelnes Ziel konzentrieren können.

Alle TMOS-basierten Produkte von F5, einschließlich BIG-IP GTM, umfassen eine ICSA Labs Certified Network Firewall-Funktionalität, die Netzwerkangriffe abschwächt. Die neue Vollproxy-Architektur von BIG-IP Version 11 ermöglicht BIG-IP GTM, eine native Protokollvalidierung für alle DNS-Abfragen durchzuführen. Durch die Beendigung beider Seiten des DNS-Dialogs kann BIG-IP GTM alle ungültigen DNS-Anfragen schnell eliminieren.

DNS Express revolutioniert die Art und Weise, wie DNS-Antworten bereitgestellt werden; F5 entwickelt jedoch seine herkömmliche Lösung zum Lastenausgleich von DNS-Servern ständig weiter. Mit der Version 11.1 von BIG-IP GTM wurde eine echte Vollproxy-Inline-Funktionalität eingeführt, bei der BIG-IP GTM Anfragen vom DNS-Client und Antworten vom DNS-Server weiterleitet, um maximale Kontrolle zu gewährleisten.

Diese neue Vollproxyarchitektur gibt Unternehmen die Kontrolle über die Bereitstellung eines vollständigen Satzes leistungs- und sicherheitsbezogener DNS-Dienste, einschließlich Caching, Auflösung sowie DNSSEC-Signierung und -Validierung.

Seine Vollproxy-Architektur bedeutet, dass BIG-IP GTM mit DNS-Caching und -Auflösung als transparenter Cache nicht nur für einen einzelnen DNS-Server, sondern für einen ganzen Pool von DNS-Servern fungieren kann. Transparentes Caching an einem einzigen Kontrollpunkt ermöglicht eine schnellere Reaktion, da der einzelne BIG-IP GTM-Cache schneller gefüllt werden kann als die einzelnen Caches auf jedem DNS-Resolver. Dies führt zu einer höheren Gesamtleistung und letztendlich zu einem besseren Benutzererlebnis.

Da DNS normalerweise der erste Schritt ist, den ein Kunde unternimmt, wenn er eine Verbindung zum Rechenzentrum einer Organisation herstellt, sind Angriffe, die DNS-Antworten kapern (wie Phishing- und MITM-Angriffe), der einfachste Weg, Vermögenswerte zu kompromittieren. DNS-Antwort-Spoofing war bei Angreifern schon immer eine beliebte Methode und Cache-Poisoning bei rekursiven Nameservern ist deutlich einfacher als die IT-Community zunächst dachte. Im Jahr 2008 deckte der Sicherheitsforscher Dan Kaminsky einen Fehler im Design der DNS-Nachrichtenkennungen auf, der dazu führte, dass Hochsicherheitsorganisationen wie die USA … Das Verteidigungsministerium hat der DNS-Sicherung hohe Priorität eingeräumt und sie zur Einhaltung gesetzlicher Vorschriften zur Pflicht gemacht.

Die DNSSEC-Lösung von F5 schützt vor der gesamten Klasse von Cache-Poisoning-Angriffen und mildert Phishing- und MITM-Bedrohungen. Es gibt den Kunden von Organisationen die Gewissheit, dass sie tatsächlich eine Verbindung zu ihrem Rechenzentrum und nicht zu einem Phishing-Proxy herstellen. Die DNSSEC-Signaturschlüssel von F5 können für maximale Sicherheit in manipulationsgeschützten FIPS 140-2 Level 3-Hardware-Sicherheitsmodulen (HSMs) gespeichert werden.

Die Einführung von DNSSEC verlief für viele in der Namensauflösungsbranche schwierig und langsam. Insbesondere sind einige globale Server-Load-Balancing-Lösungen mit DNSSEC nicht kompatibel. Die meisten folgen der ursprünglichen Referenzimplementierung und signieren die gesamte Zone einmal im Monat statisch und stellen dann die vorsignierten Antworten bereit. Bei einer statisch signierten Lösung gibt es jedoch Probleme (siehe Seitenleiste).

Die dynamische DNS-Infrastruktur von F5 bietet einen überlegenen Ansatz.² Bei BIG-IP GTM koexistieren DNSSEC und GSLB, da BIG-IP GTM Antworten in Echtzeit signiert, sodass alle Vorteile von GSLB genutzt werden können, während die Antworten gleichzeitig mit starker asymmetrischer Kryptografie geschützt werden.

Bei Verwendung mit DNS Express signiert BIG-IP GTM Antworten auf alle von ihm bedienten Abfragen, einschließlich der Abfragen, die aus seinen eigenen Zoneninformationen, von anderen lokalen DNS-Servern (die möglicherweise nicht DNSSEC verwenden) und vom eigenen Caching-Resolver von BIG-IP GTM bedient werden. BIG-IP GTM ist außerdem intelligent genug, keine Antworten zu signieren, die bereits von einem anderen Server signiert wurden. F5 bietet die einzige vollständige GSLB- und DNSSEC-Lösung und kann Signaturschlüssel mit manipulationssicherem FIPS 140-2 Level 3-Hardwareschlüsselschutz schützen.

Probleme mit statisch signierten Zonen

• Administratoren können keine kleinen Zonenänderungen vornehmen, bis die gesamte Zone neu signiert ist
• Statisch signierte Zonen können kein Anwendungsintegritätsmonitoring nutzen, um eine hohe Verfügbarkeit sicherzustellen.
• Erweiterte Client-Qualifizierungstechniken wie Geolokalisierung können in einer statisch signierten Umgebung nicht unterstützt werden.
• GSLB-Implementierungen unterbrechen statisches DNSSEC, um Routing-Entscheidungen zu treffen

Lokale DNS-Dienste (LDNS) lösen ausgehende Namensabfragen im Namen von Unternehmensclients auf. Durch die Bereitstellung dieses Basisdienstes kann LDNS für Unternehmensadministratoren zu einem zentralen Kontrollpunkt werden, um Leistung, Skalierbarkeit und Sicherheit zu verwalten.

• Leistung. Wenn der BIG-IP GTM-Cache und -Resolver gefüllt sind, können sie ausgehende DNS-Abfragen um 80 Prozent reduzieren, was zu einer höheren Leistung und einem besseren Benutzererlebnis führt.
• Skalierbarkeit. Die BIG-IP GTM-Multi-Core-Architektur kann zusammen mit DNS Express skaliert werden, um selbst die Anforderungen der größten Unternehmens-Rechenzentren zu erfüllen.
• Sicherheit. BIG-IP GTM bietet eine leistungsstarke Drop-in-DNSSEC-Validierungslösung, die andere interne Clients und DNS-Dienste von kryptografisch intensiven Diensten entlastet.

Die Vollproxyfunktionalität von BIG-IP GTM kann einem Unternehmen bei der Validierung von DNSSEC-Antworten helfen, indem sie die Validierung für jede Kombination aus Auflösungs-, Caching- und DNS-Antwortfunktionalität durchführt. BIG-IP GTM kann nicht nur jede Abfrage akzeptieren und auflösen, sondern auch die DNSSEC-Antworten validieren.

Die Validierung durch BIG-IP GTM sichert die Kommunikation und befreit den Client von der Durchführung rechenintensiver kryptografischer Operationen. Durch das Caching wird die Leistung nachfolgender Abfragen verbessert. Wenn mehrere Clients dieselbe DNS-Auflösung anfordern, erhalten alle nachfolgenden Clients die bereits zwischengespeicherte und validierte Antwort.

DNSSEC-Lösungen haben das Potenzial, das Internet endlich abzusichern. Mit der Signierung der .com-Namenswurzel steht nun endlich eine globale Infrastruktur zur Verfügung, die es Kunden ermöglicht, beispielsweise zu überprüfen, ob eine E-Mail ihrer Bank tatsächlich von ihrer Bank stammt. Wenn das Internet seine Anfangsschwierigkeiten mit DNSSEC überwunden hat, wird die Einführung dieser Schlüsseltechnologie nicht nur für die Bundesbehörden, für die sie verpflichtend ist, zur Realität.

Da die DNSSEC-Validierung sehr rechenintensiv sein kann, benötigen große Unternehmen die richtige Kombination aus Caching und Leistung, um den reibungslosen Betrieb ihrer internen Clients zu gewährleisten.

Die leistungsstarke, integrierte kryptografische Hardware von BIG-IP GTM entlastet die DNSSEC-Validierungsberechnung. BIG-IP GTM kann eine DNSSEC-Validierung sogar für Legacy-Clients durchführen, die DNSSEC nicht anfordern, und ist damit eine transparente Drop-in-Sicherheitslösung für das gesamte Unternehmen.

BIG-IP GTM enthält einen neuen Anwendungsintegritätsmonitor, der alle fünf Sekunden den Zustand der DNS-Dienste abfragt. Der Monitor überprüft, ob aktive, verfügbare Server ordnungsgemäß auf Abfragen reagieren. Anschließend kann es jeden Aspekt der Antwort auswerten oder einfach auf eine Antwort warten.

Aufgrund seiner Flexibilität kann der DNS-Integritätsmonitor effektiv als Pfadmonitor eingesetzt werden. Beispielsweise kann ein Administrator überwachen, ob ein externer Name nicht aufgelöst wird. Durch die Signalisierung dieses Fehlers macht der Monitor eine Organisation darauf aufmerksam, dass irgendwo zwischen dem Unternehmensserver und dem Internet ein Namensbruch vorliegt.

Rechenzentren befinden sich heute im Wandel. Einige Organisationen konsolidieren Rechenzentren, während andere neue virtuelle Rechenzentren und Cloud-Bereitstellungen nutzen, um das Wachstum zu bewältigen. Wieder andere nutzen eine Kombination aus Managed Service Hosting und Internet-Software-as-a-Service (SaaS), um virtuelle Anwendungen bereitzustellen. BIG-IP GTM bietet Lösungen, die all diese Architekturen berücksichtigen.

Einfaches und robustes Cloud-DNS-Management:

• Erweitert die Abfrageverwaltung und das Caching auf Cloud-Bereitstellungen.
• Stellt sicher, dass DNS-Abfragen effizient an die beste Cloud weitergeleitet werden.
• Steigert die Produktivität durch DNS-Caching mit schnellen Anwendungsreaktionen.

Mit BIG-IP GTM erhalten Unternehmen eine zentrale Kontrollstelle für ihr Inbound-DNS und den globalen Server-Load-Balancing in Cloud-Bereitstellungen. Die virtuelle Edition (VE) von BIG-IP GTM kann in VMware vSphere-, Microsoft Hyper-V- und Citrix XenServer-Umgebungen eingesetzt werden.³ um dieselben Dienste bereitzustellen wie die physische Version. BIG-IP GTM VE kann innerhalb der virtuellen Umgebung LDNS für virtuelle Anwendungen bereitstellen und ein physisches BIG-IP GTM-Standalone-Gerät kann die Verfügbarkeit extern sicherstellen.

Dieselben Prinzipien, die GSLB zu einer so überzeugenden Lösung machen, gelten auch weiterhin für virtuelle Umgebungen. Mit BIG-IP GTM können Unternehmen problemlos eine flexible globale Anwendungsverfügbarkeit implementieren, indem Benutzer zu Anwendungen in virtuellen Rechenzentren weitergeleitet werden. Der DNS-Integritätsmonitor stellt die Verfügbarkeit virtueller Anwendungen sicher. Die native DNS-Intelligenz von BIG-IP GTM leitet Benutzer zu den am besten verfügbaren Cloud-Anwendungen und zwischen verschiedenen Clouds für virtuelle Bereitstellungen weiter.

Bei der Migration von Unternehmen zu IPv6 spielen Altsysteme, Kundenanforderungen und Kompatibilität eine Rolle bei der Geschwindigkeit der Migration. Erschwerend kommt hinzu, dass manche Netzwerke nur IPv6 unterstützen, aber auch Zugriff auf IPv4-Ressourcen wie Hosts im Internet und ältere Server benötigen, die IPv6 nicht unterstützen. Viele Organisationen verfügen über Subnetze, die einen Dual-Stack einfach nicht unterstützen können, und benötigen eine Lösung, um diese Lücke zu schließen.

Die Vollproxy-Architektur von F5 bietet eine einzigartige, überzeugende Lösung, die strategische Kontrollpunkte im Netzwerk nutzt, um die Lücke zwischen IPv6-Clients und IPv4-Servern zu schließen.

Die Netzwerkadressübersetzung mit dem NAT64-Gateway im BIG-IP Local Traffic Manager (LTM) bietet einen IPv6-zu-IPv4-Proxy für die Anwendungsbereitstellung. Das DNS64-Gateway von BIG-IP GTM simuliert automatisch die IPv6-Adresse und ruft den NAT64-Proxy auf.

Organisationen verwenden DNS64 und NAT64, um neue reine IPv6-Netzwerke aufzubauen, die weiterhin Zugriff auf die IPv4-Infrastruktur haben – ohne Dual-Stacks in ihren Netzwerken implementieren zu müssen. Die strategischen Kontrollpunkte von F5 im Netzwerk sind die kritischen Komponenten, die diese Lösungen ermöglichen.

• Bietet wichtigen Support für LTE-Mobilgeräte
• Unterstützung reiner IPv6-Clients, die sowohl auf IPv6 als auch auf IPv4 zugreifen
• Kombinieren von NAT64 und DNS64 zur automatischen Übersetzung

F5 bietet seit 2002 leistungsstarke DNS-Lösungen an. Mit seiner neuesten Suite an DNS-Technologien bleibt F5 führend bei der globalen Anwendungsbereitstellung. DNS Express bietet für autoritative und lokale Zonen die beste Leistung für die DNS-Zustellung und fügt DNS-DDoS-Schutz hinzu. Die neue Vollproxy-Architektur von BIG-IP GTM ermöglicht Unternehmen maximale Agilität durch DNS-Auflösung, Leistung durch Caching und vollständige DNS-Sicherheit durch Signierung und Validierung. Organisationen, die auf Cloud-Dienste umsteigen, ermöglicht BIG-IP GTM VE Flexibilität innerhalb der privaten Cloud und virtueller Umgebungen. Und für Organisationen, die auf IPv6 umsteigen, schlägt DNS64 in BIG-IP GTM während des Übergangs erfolgreich eine Brücke zwischen den Welten von IPv6 und IPv4.

Unabhängig davon, ob Unternehmen über eine globale Rechenzentrumsinfrastruktur, unternehmensweite Rechenzentren oder eine Mischung aus beidem sowie private oder hybride Cloud-Dienste verfügen, helfen ihnen auf BIG-IP GTM basierende Lösungen dabei, ihre Anwendungen zu schützen, zu skalieren und weltweit bereitzustellen.