DNS Flag Day

Verbesserung von DNS für Sicherheit, Geschwindigkeit und Zuverlässigkeit

Kontinuierliches Engagement
zur Verbesserung von DNS

Seit über zwei Jahrzehnten arbeitet Infoblox unermüdlich daran, Netzwerke sicher, zuverlässig und einfach zu machen. Dabei hat sich die Infoblox DDI-Plattform zum Branchenstandard für kohärente Netzwerktransparenz, hohe Verfügbarkeit, Skalierbarkeit, Automatisierung und Kontrolle entwickelt. DNS ist unsere DNA – es ist das Herzstück von allem, was wir tun, und der Grund, warum wir den DNS Flag Day unterstützen.

Was ist der
DNS Flag Day?

Der DNS Flag Day ist eine von der Community initiierte Initiative, die darauf abzielt, das DNS-Protokoll sicherer, zuverlässiger und widerstandsfähiger zu machen und die Leistung und Funktionalität zu verbessern, indem Behelfslösungen für DNS-Schwachstellen beseitigt werden.

Wichtigste Ziele

DNS Flag Day 2020

  • Vermeidung der Fragmentierung von DNS-Nachrichten
  • Höhere DNS-Zuverlässigkeit
  • Bessere Sicherheit im Internet

DNS Flag Day 2019

  • Schnellere durchschnittliche Namensauflösung
  • Standardisierung der DNS-Server-Implementierungen von Anbietern und Betreibern
  • Einführung neuer Funktionen und Sicherheitsmaßnahmen
  • Optimierung von Upgrades

„Infoblox unterstützt den DNS Flag Day 2020 (wie schon den ersten DNS Flag Day im Jahr 2019). Mit der Veröffentlichung von NIOS 8.5.1 haben wir die Standards auf unseren DNS-Servern geändert, um DNS-Nachrichten zu senden, die in den meisten Netzwerken keine Fragmentierung verursachen. Das hilft unseren Kunden, weil es das DNS im Internet zuverlässiger und sicherer macht.“

Cricket Liu, Chief DNS Architect, Infoblox

Updates zum DNS Flag Day 2020

Der DNS Flag Day 2020 fand am 1. Oktober 2020 statt. Sein Hauptziel war es, die Zuverlässigkeits- und Sicherheitsrisiken der Fragmentierung großer Pakete durch ein einfaches Update in zwei Schritten zu beheben. Im ersten Schritt wurde die standardmäßige maximale EDNS-Puffergröße auf weniger als die kleinste IPv6-Framegröße (1.232 Byte) reduziert, um die IP-Fragmentierung ganz zu beenden. Der zweite Schritt befasste sich mit dem Problem der Übertragung einer DNS-Antwort, die nicht in ein UDP-Paket über TCP passt.

Vermeiden Sie die Fragmentierung von DNS-Nachrichten

DNS verwendet in der Regel große Pakete, um Nachrichten zwischen einem autoritativen DNS-Server und einem rekursiven DNS-Server über UDP zu übertragen. Wenn die maximale Übertragungseinheit auf dem Weg zwischen den beiden Endpunkten überschritten wird, wird das IP-Paket fragmentiert oder in kleinere Teile aufgeteilt.

Verbesserung der DNS-Zuverlässigkeit

Die IP-Fragmentierung funktioniert oft nicht und macht die Kommunikation unzuverlässig. Erschwerend kommt hinzu, dass bei IPv6 die Pakete vom Absender fragmentiert und mit einer ICMP-Nachricht gesendet werden müssen, die von einer falsch konfigurierten Firewall leicht blockiert werden kann. Diese Fragmentierung wirkt sich auf die Zuverlässigkeit aus.

Verbesserung der Sicherheit im Internet

Die IP-Fragmentierung birgt auch gewisse DNS-Sicherheitsrisiken, da der DNS-UDP-Port und die Abfrage-ID im ersten IP-Fragment übertragen werden. Durch diese Übertragung hat ein Angreifer die Möglichkeit, das zweite Fragment zu fälschen und den Cache zu infizieren, indem er bösartige Fragmente anstelle der ursprünglich vorgesehenen einfügt. Eine solche Schwachstelle stellt ein potenziell großes Sicherheitsrisiko mit weitreichenden Auswirkungen dar.

Einsatz von Infoblox für DNS-Zuverlässigkeit und -Sicherheit

In NIOS 8.5.1 hat Infoblox diese DNS Flag Day-Updates vorweggenommen, indem zwei Einstellungen vorgestellt wurden: 1) die maximale Größe eines UDP-Datenpakets, die ein rekursiver DNS-Server laut eigenen Angaben akzeptieren kann, und 2) die maximale Datenmenge, die ein autoritativer DNS-Server in eine UDP-basierte DNS-Nachricht packt. Infoblox hat auch die Standardwerte für diese beiden Einstellungen auf Werte geändert, die eine Fragmentierung in den meisten Netzwerken verhindern sollten. Diese neuen Standardwerte stellen sicher, dass die Kunden von Infoblox bei der Einführung der Änderung im Oktober 2020 für den aktualisierten Standard gerüstet sein werden.

Mehr erfahren

DNS Flag Day 2020

DNS Operations, Analysis, and Research Center (DNS-OARC)

Test der DNS-OARC-Antwortgröße

Internet Society DNS Flag Day

Internet Systems Consortium – DNS Flag Day

Verwandte Produkte

DNS, DHCP
und IPAM (DDI)

Vereinheitlichen Sie DNS, DHCP und IPAM in lokalen und Cloud-Rechenzentren.

DNS, DHCP und IPAM (DDI)

Vereinheitlichen Sie DNS, DHCP und IPAM in lokalen und Cloud-Rechenzentren.

Mehr erfahren

BloxOne® DDI

Vereinfachen und skalieren Sie den Cloud-Zugang überall mit automatisiertem, Cloud-verwaltetem DNS, DHCP und IPAM.

BloxOne® DDI

Vereinfachen und skalieren Sie den Cloud-Zugang überall mit automatisiertem, Cloud-verwaltetem DNS, DHCP und IPAM.

Mehr erfahren

BloxOne®
Threat Defense

Stellen Sie schnell und überall Sicherheit auf DNS-Ebene bereit, sei es vor Ort, in der Cloud oder in hybriden Umgebungen.

BloxOne® Threat Defense

Stellen Sie schnell und überall Sicherheit auf DNS-Ebene bereit, sei es vor Ort, in der Cloud oder in hybriden Umgebungen.

Mehr erfahren

Fortschrittlicher
DNS-Schutz

Schützen Sie die DNS-Infrastruktur Ihres Unternehmens zur Gewährleistung einer maximalen Betriebszeit.

Fortschrittlicher DNS-Schutz

Schützen Sie die DNS-Infrastruktur Ihres Unternehmens zur Gewährleistung einer maximalen Betriebszeit.

Mehr erfahren

Steigen Sie ein wenig tiefer ein

NIOS 8.5/8.5.1

Lösungshinweis
Jetzt herunterladen

DNS Flag Day 2020

Datenblatt

Testvorführung von Infoblox DDI

Video

Ein Tag im Leben ohne DNS

Video

Infoblox unterstützt den DNS Flag Day 2020

Blog

DNS Flag Day

Blog

Die Geschichte des DNS Flag Day

Blog

Testen Sie eine DDI-Lösung für Unternehmen

KOSTENLOSEN TEST SICHERN
Zurück zum Anfang