M 4.108 Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell NetWare 4.11
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Jedem IT-System in einem TCP/IP-Netz muss eine eindeutige Adresse zugewiesen werden. Das Internet Protocol (IP) beschreibt diese Adresse als vier Dezimalzahlen getrennt durch einen Punkt, mit jeweils einem Wertebereich von 0-255. Da sich numerische Adressen schwer merken lassen, können den IT-Systemen zusätzlich erklärende Hostnamen, z. B. www.bsi.bund.de, zugewiesen werden. Die Auflösung von Hostnamen in IP-Adressen kann über zwei Mechanismen durchgeführt werden. Zum einen kann eine ASCII-Textdatei namens HOSTS, die im SYS:ETC Verzeichnis abgelegt wird, manuell erstellt werden. Diese Methode sollte unter sicherheitstechnischen und administrativen Gesichtspunkten nur in kleinen Netzen angewandt werden, da diese Datei individuell auf jedem Server und jeder Workstation abgelegt werden muss, um eine lokale Auflösung zu ermöglichen. Durch spezielle Routinen (z. B. Login Scripts) kann die Verteilung der HOSTS Datei automatisiert werden.
Der zweite Mechanismus ist die Nutzung eines DNS-Servers. Im folgenden werden einige Aspekte der Einrichtung und Konfiguration eines DNS-Servers unter Novell NetWare 4.11 betrachtet, die im Hinblick auf die Sicherheit des Systems besonders zu beachten sind.
Funktion der DNS-Komponenten
Die zwei Hauptbestandteile von DNS sind zum einen der Nameserver, zum anderen der Resolver, der auf dem Client geladen wird und die Anfragen an den Nameserver stellt.
- Primärer Nameserver
- Er erhält die DNS-Einträge für die Zonen, für die er autorisiert ist, aus einer Datei auf seiner Festplatte. Autorisiert bedeutet, dass der primäre Nameserver die DNS-Information nicht mit einem weiteren Nameserver der Zone gegenprüfen muss. Der primäre Nameserver ist gleichzeitig auch der Single Point of Administration für die Domäne. Es existiert nur ein primärer Nameserver für jede Zone.
- Sekundärer Nameserver
- Dieser Server besitzt eine schreibgeschützte Kopie der DNS-Datenbank des primären Nameservers. Aktualisiert wird diese Kopie in einem definierten Zeitraum, der in dem Record Typ SOA (Start of Authority) festgelegt wird. Record Typen definieren die Resource Records, die die Einträge in der DNS-Datenbank bilden. Der Kopiervorgang wird Zonentransfer genannt und bildet die Grundlage für die Aktualisierung der verteilten DNS-Datenbank einer Domäne. Sekundäre Nameserver übernehmen Aufgaben der Lastenverteilung, bieten die Möglichkeit, die DNS-Datenbank in der Nähe der Resolver zur Verfügung zu stellen, und schaffen die Redundanz der DNS-Domäneninformation. Mindestens ein sekundärer
- Nameserver sollte aus Gründen der Ausfallsicherheit für jede Zone eingerichtet werden.
- Resolver
- Der Resolver ist die Software, die DNS-Anfragen an einen der definierten Nameserver sendet. Dabei kann ein Nameserver, der die Namensauflösung nicht durchführen kann, ebenfalls zum Resolver werden und die Anfrage an einen Nameserver außerhalb der Domäne senden. Der Resolver übernimmt ebenfalls die Interpretation der Antworten des Nameservers und gibt Informationen an die Programme zurück, die diese angefordert haben.
Einrichten des DNS-Servers
DNS wird bei einem NetWare 4.11 Server über UNICON.NLM eingerichtet. Zunächst wird über Manage Global Objects unter Configure Server Profile der DNS Client Access aktiviert. Es muss zumindest ein Nameserver aufgeführt werden, der die Adressauflösung durchführt. Maximal können drei Nameserver eingetragen werden. Damit ein großer Adressbereich schneller erfasst werden kann und es sichergestellt ist, dass die Namensauflösung durchgeführt werden kann, sollten die Angaben für die drei Nameserver ausgeschöpft werden. Die Reihenfolge der Nameserver bestimmt die Abfragereihenfolge und sollte im Hinblick auf die Geschwindigkeit der Namensauflösung festgelegt werden.
Der erste Nameserver kann der Haupt-DNS-Server der Behörde bzw. des Unternehmens sein. Auch wenn dieser Server nicht jeden Host außerhalb der eigenen Domäne adressieren kann, bietet er die Möglichkeit, die Auflösung von Hostnamen innerhalb der Organisation schnell durchführen zu können.
Der zweite Nameserver kann der des Internet Service Providers (ISP) sein, um Zugang zu einem umfangreicheren Datenbestand an Hostnamen zu bekommen. Die Auflösungsgeschwindigkeit wird dabei durch die höhere Auslastung, die Entfernung sowie die zur Verfügung stehende Bandbreite meist etwas geringer sein als beim lokalen Nameserver. Hat die Redundanz der eigenen Domäne Priorität, so sollte der Server mit der schreibgeschützten Kopie der DNS-Datenbank (sekundärer Nameserver) als zweiter Nameserver eingetragen werden.
Der dritte definierte Nameserver kann ein sogenannter Root Server sein. Auf diesen Servern sind die Daten aller registrierten Domänen abgelegt. Eine Liste der Root Server kann unter ftp://rs.internic.net/netinfo/root-servers.txt abgerufen werden.
Konfiguration der DNS-Server
Im Hauptmenü von UNICON.NLM gelangt man über Manage Services und DNS zu den Konfigurations- und Administrationsfunktionen für das Domain Name System. Der Menüpunkt Administer DNS erlaubt sowohl das Einrichten einer Master Database als auch einer schreibgeschützten Replica Database.
Die Domänen bzw. Zonen, für die der primäre Nameserver autorisiert ist, werden im Hauptmenü von UNICON.NLM über Manage Services - DNS - Administer DNS - Manage Master Database - Delegate Subzone Authority eingegeben.
Über Manage Services - DNS - Administer DNS - Manage Master Database werden die DNS-Datenbankeinträge eingegeben. Bei einer Standard Implementation von DNS müssen der Start of Authority (SOA), der den Beginn für die Autorität einer Zone innerhalb der DNS-Hierarchie kennzeichnet, und der Record Typ Name Server (NS) eingetragen werden. Der primäre Nameserver muss Einträge für alle sekundären Nameserver der Zone enthalten. Die Verbindung dieser Zone zur DNS-Hierarchie wird durch Nameserver Einträge für primäre Nameserver, die Autorität für übergeordnete oder untergeordnete Zonen besitzen, sichergestellt. Damit die Namensauflösung für die Hosts in der Zone gewährleistet ist, muss für jedes zu adressierende Endgerät der Record Typ Address (A) eingetragen werden.
Innerhalb des Record Typ SOA werden unter anderem der Name und die Adresse des Zonen-Verantwortlichen (Zone Supervisor) eingetragen. Standardmäßig ist diese Adresse auf root.<domain_name> gesetzt. Weiterhin werden im Record Typ SOA die Einstellungen für das Synchronisationsverhalten der sekundären Nameserver getroffen.
Refresh Validity Period bestimmt die Zeit, innerhalb der ein sekundärer Nameserver noch Anfragen von Hosts beantwortet, nachdem er vergeblich versucht hat, den primären Nameserver zu kontaktieren. Je kürzer diese Zeit eingestellt ist, desto geringer ist die Wahrscheinlichkeit, dass der sekundäre Nameserver ungültige DNS-Einträge verschickt und so keine Namensauflösung möglich ist. Aus Gründen der Ausfallsicherheit sollte diese Zeit nicht zu kurz eingestellt werden, da bei einem Ausfall des primären Nameservers das Domain Name System für diese Zone dann nicht mehr funktioniert. Für diesen Parameter muss ein Kompromiss gefunden werden zwischen der Wahrscheinlichkeit, einzelne Hostnamen nicht auflösen zu können, oder - bei zu kurzer Periode - keine Endgeräte über individuelle Hostnamen ansprechen zu können.
Das Minimum Caching Interval bestimmt die Zeit, in der Informationen aus Anfragen im Cache des primären Nameserver gehalten werden. Wird diese Einstellung zu kurz gewählt, kann dies die Netzlast bei häufigen Anfragen nach denselben Hosts erhöhen und die Auflösung der Hostnamen in IP-Adressen verzögern. Auf der anderen Seite kann ein zu großer Wert für das Minimum Caching Interval dazu führen, dass veraltete Informationen weitergegeben werden.
Verbindung zur externen DNS-Hierarchie
Anfragen über Hostadressen außerhalb der eigenen Domäne werden automatisch durchgeführt, sobald der DNS-Server läuft. Informationen über die DNS-Hierarchie erhält der DNS-Server aus der Datei SYS:ETC\DNS\ROOT.DB, die eine Liste über Nameserver der US Top Level Domänen enthält. Unter dem Menüpunkt Manage Services - DNS - Administer DNS - Link to existing DNS Hierarchy kann über zwei verschiedene Methoden, nämlich Link Direct und Link Indirect via Forwarder, eine Querverbindung zu anderen Domänen aufgebaut werden. Wird häufig auf bestimmte Domänen zugegriffen, kann über diese Verfahren die Auflösung der Hostnamen beschleunigt werden.
Prüfen von Nameservern
Mit Manage Services - DNS - Administer DNS - Query Remote Name Server kann zum einen überprüft werden, welche Informationen auf anderen Nameservern abgelegt sind, und zum anderen ist es möglich festzustellen, ob ein bestimmter Nameserver auf Anfragen antwortet. Dabei muss der Name bzw. die IP-Adresse des Servers angegeben werden. Ebenso ist der Resource Record Type, der abgefragt wird, und die Domäne, aus der die Information benötigt wird, anzugeben.
Backup der DNS-Datenbank
Regelmäßig sollte ein Backup der DNS-Datenbank angelegt werden. Dieses Backup kann beispielsweise verwendet werden, um
- eine unbrauchbar gewordene DNS-Datenbank wiederherzustellen,
- die Datenbank auf einen anderen Server zu verschieben.
Über Manage Services - DNS - Save DNS Master to Text Files wird die Datenbank in SYS:ETC/DBSOURCE/DNS/HOSTS abgelegt.
Verwendung von UNICON.NLM
Mit UNICON werden u. a. die Einstellungen für das Domain Name System getroffen. Aus administrativen und sicherheitstechnischen Gesichtspunkten ist es unter Umständen erforderlich, eine Aufgabenverteilung und Zugriffsbeschränkung vorzunehmen. Bei der Installation eines NetWare Produktes, das über UNICON gesteuert wird, werden im NDS-Verzeichnisbaum Gruppenobjekte angelegt, die bestimmte Aufgabenbereiche innerhalb von UNICON regeln. Benutzer, die bestimmte Aufgaben mit UNICON durchführen sollen, werden der jeweiligen Gruppe als Mitglied zugefügt.
Gruppenname | Verantwortungsbereich | Zugängliche UNICON Menü Optionen |
---|---|---|
UNICON MANAGER | Voller Umfang von UNICON | Zugang zu allen Menü Optionen |
UNICON SERVICES MANAGER | Starten, Anhalten und Verwalten der Services | Start/Stop Services und Manage Services |
UNICON HOST MANAGER | Verändern von Host Einträgen | Manage Global Objects - Manage Hosts |
Tabelle: Kompatibilität mit bind (Berkeley Internet Name Domain)
TCP/IP-Netze entwickelten sich aus der Unix-Umgebung heraus. Das am weitesten verbreitete DNS-Programm für Unix ist bind. Deshalb ist es wichtig, dass andere DNS-Produkte auf bind abgestimmt sind. Der DNS-Service von Novell ist mit der bind-Version 4.8.3 voll kompatibel.