Schutz für Webseiten mit Anycast-Nameserver

Zahlreiche Provider waren im vergangenen Jahr von Distributed Denial of Service-Angriffen auf Nameserver betroffen. In der Folge fielen Dienste wie Webseiten und e-mail vieler Nutzer aus. Firmen und Provider könnten dem vorbeugen, wenn sie anycast-Nameserver benützen würden. Anycast ist eine Technologie, bei der die gleiche IP-Adresse an mehreren geografischen Standorten gleichzeitig vorhanden ist. Bei einem Angriff fällt nur ein Standort aus, nicht aber der ganze Nameserver.


Die gute alte Zeit, in denen Hacker die CIA und das Pentagon angriffen, ist vorbei. Heute kann jede Website zum Ziel von Hackern oder Script-Kids werden. Zahlreiche Provider waren im vergangenen Jahr von Distributed Denial of Service-Angriffen auf Nameserver betroffen.

„Die diesjährigen Ergebnisse in Verbindung mit kürzlich berichteten Netzausfällen etwa bei Rollingstone.com oder Comcast sollten allen Unternehmen mit einer Internetpräsenz ernsthaft zu denken geben“, kommentierte Cricket Liu, Vice President of Architecture bei Infoblox und Autor verschiedenen Buchtitel. „Trotz der Jahre, in denen Schwachstellen des Domain Name Systems (DNS) beschrieben und entsprechende Netzausfälle in Verbindung mit DNS veröffentlicht wurden, nehmen viele Unternehmen die DNS-Sicherheit auf die leichte Schulter. Wir haben nicht annähernd erreicht, was erforderlich ist, um Hacker davon abzuhalten, verheerende Schäden anzurichten.“

Falls die webseite Ihres Unternehmens noch nicht betroffen war-sie könnte die nächste sein, die zeitweise gezwungen wird vom Netz zu gehen.

Es läßt sich allerdings mit anycast-Nameserver viel tun, um die Sicherheit Ihrer Domains zu verbessern.

Anycast ist eine Technologie, bei welcher die selbe IP-Adresse an mehreren geografischen Standorten gleichzeitig verfügbar ist. BGP, das globale Routing-Protokoll des Internet, sorgt dafür, dass Anfragen an die topologisch nächstgelegene Instanz geführt werden. Dadurch wird die Latenz bei der DNS-Abfrage verringert, und die Last verteilt sich auf die verschiedenen „Nodes“ (Standorte).

Im Falle einer Attacke auf das Nameserver-Netzwerk ist immer nur die der Attacke „nächste“ Instanz betroffen, so dass der Normalbetrieb auf den verbliebenen Knoten weiterlaufen kann. Durch die Aggregation der Knoten auf eine einzelne IP-Adresse spart ein anycast-Netzwerk im Vergleich zu mehreren Unicast-Instanzen auch „Platz“ in den DNS-Paketen, da es nur als ein einzelner NS-Record in der Delegation auftaucht.´

Das Anycast-Netzwerk besteht derzeit aus 6 aktiven (und 3 geplanten) weltweit verteilten Standorten:
-Brüssel, Belgien
-Dublin, Irland
-Frankfurt, Deutschland
-New York City, NY, USA
-Seattle, USA
-Warschau, Polen
-Wien, Österreich (geplant für Ende 2011)
-Los Angelees, CA, USA (geplant für Ende 2011)
-Singapore, Singapore (geplant für Ende 2011)

Die dazugehörigen „Control“-Server stehen in Wien und Salzburg (Österreich). Die Standorte der Anycast Knoten werden laufend erweitert

Alle Standorte selbst sind redundant ausgelegt, und für eine Abfragelast von 100.000 Abfragen pro Sekunde und Standort ausgelegt. Die Standorte befinden sich typischerweise in unmittelbarer Nähe zum lokalen Internet Exchange, und garantieren damit geringstmögliche Latenz.

Domains mit anycast-Nameserver sind nicht nur sicherer und schneller erreichbar, sondern erhalten auch tendenziell einer höheren Pagerank bei Google, da die Schnelligkeit beim Aufruf einer Website in den Pagerank von Google miteinfließt.

Hans-Peter Oswald

Quelle: Pressemitteilung

Tagged: ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.