Nameservice (DNS-Server)

Obwohl im Internet die „Kontaktaufnahme“ i. Allg. fast immer per „Namen“ (z. B. www.tugraz.at oder webmaster@tugraz.at) erfolgt, geschieht die „echte“ Kommunikation dann über IP-Adressen. Die Umsetzung eines Namens in eine IP-Adresse erfolgt dabei entweder lokal (in einer sg. hosts-Datei) oder per DNS-Server (Nameserver), wobei der zu verwendende Nameserver im Betriebssystem definiert wird.

Aufgabe des Nameservices ist es also, Internet-Hostnamen (Rechnernamen, FQDN) und Mail-Domainnamen in Internet-Adressen umzuwandeln (Datei-Pfade auf einem Server haben dagegen mit dem Nameservice nichts zu tun!) und für jeden Namen muß es einen verantwortlichen Nameserver geben. Mit dem Unix-Befehl nslookup können zu bestimmten Namen die dazugehörigen Adressen ermittelt werden.

Diese zentrale Aufgabe des Nameservices macht es auch zu einem sehr interessanten Angriffsziel:

  • Wenn ich es (unbemerkt) schaffe, die (lokale) hosts-Datei eines Rechners zu manipulieren, kann ich jeden Namensaufruf auf diesem Rechner zu einem beliebigen Ziel umleiten.
  • Schaffe ich es im Betriebssystem einen anderen (manipulierten) Nameserver einzutragen, kann ich mit diesem Nameserver dann alle Rechner, wo ich das geschafft habe, umleiten.
    Rechner, die Ihre IP-Adresse per DHCP bekommen, bekommen auch den Nameserver i. Allg. per DHCP - also ist auch der DHCP-Server ein lohnendes Angriffsziel.
  • Kann ich dagegen den echten DNS-Server manipulieren, dann kann ich jeden Rechner, der diesen DNS-Server verwendet, zu beliebigen Servern umleiten.

Top Level Domains (TLDs, z. B. at oder com) werden eingeteilt in:

  • ccTLD: z. B. at
  • gTLD: z. B. com
  • sTLD: z. B. mobi
  • new gTLDs für geographische Angaben oder Markennamen etc.

(siehe dazu auch RIPE NCC und IANA)

Viele Dienste der TU Graz sind namensbasierend (News, Proxy, Mailserver) und brauchen daher einen gültigen (reverse) Nameservereintrag, auch zum Aufbau einer Inernetverbindung ist ein gültiger (reverser) DNS-Eintrag notwendig (d. h. nicht nur der Name muß in eine IP-Adresse umgewandelt werden können, auch die IP-Adresse muß wieder in einen Namen umgewandelt werden können).

Zu jedem Nameserver gibt es in der Regel einen Ausfalls-Nameserver (Secondary-Nameserver), der im Falle des Ausfalls des eigentlichen Nameservers (Primary-Nameserver) dessen Aufgaben übernimmt.

Der Nameserver der TU Graz ist für die Umwandlung aller Namen, die zu den Domains „tu-graz.ac.at“ und "TUGraz.at" gehören, zuständig und ist Teil des internationalen Nameservices, unterstützt derzeit aber nur Namen aus dem ASCII-Zeichensatz. Einträge erfolgen (fast) ausschließlich über TUGRAZonline, wobei die Daten alle 10 Minuten vom Nameserver aus TUGRAZonline abgeholt werden.

Um das Nameservice vom lokalen Rechner aus nutzen zu können, muß bei der Netzwerkkonfiguration der Primary- und der Secondary-Nameserver der TU Graz eingetragen werden.
Die Nameserver der TU Graz lösen Fremddomains nur innerhalb des TUGnets auf (und speichern diese dann temporär ab) - in fremden Netzen sollten Sie daher unbedingt den/die Nameserver des Providers verwenden, über den Sie ins Netz einsteigen!

Die Adressen lauten:
Primary-Nameserver: 129.27.2.3
Secondary-Nameserver: 129.27.3.3

Bei allen Geräten, die Microsoft-Fileshares nutzen wollen, müssen aber die folgenden Nameserver verwendet werden:

Primary-Nameserver: 129.27.48.131
Secondary-Nameserver: 129.27.48.132
Tertiary-Nameserver: 129.27.48.133 (nur wenn ein drittes Feld zur Verfügung steht)

Bei Rechnern, die ihre Konfiguration per DHCP erhalten, werden automatisch die richtigen Nameserveradressen eingestellt.