iX 1/2019
S. 109
Wissen
Internet
Aufmacherbild

Hyperlocal: Demokratisierung der DNS-Rootzone

Näher dran

Zweierlei genügt zum Betreiben einer eigenen DNS-Rootzone: eine Kopie der Rootzone erstellen und einen autoritativen Server starten. So sieht es zumindest ein kommender Internetstandard vor.

Es kann nur 13 geben: So lautete lange das Mantra der 12 Betreiber der DNS-Rootzone. Dann kam das Anycast-Konzept und damit die Vervielfältigung der zentralen Datenbank für Domainnamen in aller Welt. Mit dem von der ICANN als „Hyperlocal“ titulierten Mechanismus soll die Rootzone nun ins lokale Netz kommen.

Kürzere Antwortzeiten waren das Hauptmotiv. Durch das Vorhalten einer Rootzone auf einer internen IP-Adresse wie 127.0.0.1 (Loopback) kann ein auf demselben Host befindlicher DNS-Resolver die Zugriffe erheblich beschleunigen. Wer von einem schwachbrüstigen Netz aus auf die Root zugreift, könnte davon besonders profitieren, verheißen die Autoren. Aber auch schnelle Netze könnten entlastet werden, weil die vielen Anfragen nach nicht existierenden Domains nicht mehr bis zur Root gelangen müssen. Die NXDOMAIN-Einträge bleiben nur sehr kurz in den Caches und verursachen daher eine Menge Datenverkehr.

Aber auch zwei weitere Effekte heben Experten wie David Conrad, CTO der ICANN, zu Hyperlocal hervor. So gehe die Latenz gegen null, zudem blieben lokale Systeme von DDoS-Angriffen auf die Rootserver unberührt. Außerdem bietet ein lokales System mehr Privatsphäre, denn DNS-Anfragen an den eigenen Resolver verlassen den Host nicht.

Die ICANN gehört daher zu denjenigen Rootserver-Betreibern, die bereits einen Zonentransfer anbieten. Ondrej Surj von ISC kündigte auf dem Treffen der IETF-Arbeitsgruppe „DNS Operations“ an, dass der Bezug der Rootzone über die ICANN künftig Bestandteil der Serversoftware BIND sein werde.

Einen speziellen Service für die lokale Nutzung der Rootzone bietet auch das Projekt LocalRoot vom Information Sciences Institute der Universität von Southern California (ISI/USC), das ebenfalls einen der 13 Rootserver betreibt. LocalRoot liefert eine fertige Konfiguration, mit der Anwender ihre Nameserver-Software so nachrüsten können, dass sie sicher die Rootzone (oder auch andere DNS-Zonen) herunterladen können. Zudem versorgt man die Nutzer laufend mit Updates der Rootzone – sonst würden DNS-Antworten schnell unterschiedlich ausfallen, je nachdem, ob die Anfrage an einen Rootserver oder an den eigenen Hyperlocal-Server geht.

Bei der Konfiguration weicht LocalRoot in Details vom bisherigen Internet-Draft 7706 ab. Die Statusmitteilungen etwa hatten Kumari und Hoffman zunächst nicht vorgesehen. Die IETF arbeitet aber derzeit an einem Update: In den Entwurf sollen Erfahrungen aus dem LocalRoot-Projekt und anderen Implementierungen einfließen.

DNS-Erfahrung vonnöten

Obwohl die Experten dem Hyperlocal-Verfahren große Vorteile beimessen, warnen sie vor den Risiken einer fehlerhaften Umsetzung. Zu den Anforderungen gehört Kenntnis in der Umsetzung von DNSSEC. Der Betreiber des lokalen Rootservers muss außerdem jeweils eine aktuelle Kopie des DNS Root Key vorhalten. Ohne DNSSEC-Validierung ist der Manipulation der Antworten Tür und Tor geöffnet. Darin unterscheidet sich der lokale Resolver allerdings nicht grundsätzlich von anderen nicht validierenden Servern.

Kommentieren