Der eigene DNS-Resolver? Kein Hexenwerk.

den eigenen DNS-Resolver richtig einrichten

Lokal und selbstbestimmt zu arbeiten, hat manchmal seine Vorteile. Das gilt auch für lokale DNS-Resolver, die als sogenannte Caching Nameserver in Ihrem Betrieb für mehr Sicherheit beim Besuchen von Websites oder für kürzere Zugriffszeiten auf Standardseiten sorgen. Sie geben damit die Informationen über von Ihnen besuchte WebSite nicht an Dritte und vermeiden auch diverse Zensurmassnahmen der Netzbetreiber. Wie wäre es also, wenn Sie Ihren eigenen, lokalen Resolver betreiben, um sich diese Vorteile zu sichern? Sie brauchen dazu ein paar Zutaten und sollten dabei darauf achten, dass Ihre lokale Einrichtung bestimmte Anforderungen erfüllt. Diese stellen wir Ihnen hier vor.

Die Voraussetzungen

Natürlich kann man einen Caching Nameserver oder DNS-Resolver mit so ziemlich jedem Betriebssystem betreiben. Allerdings machen wir uns ja die Mühe nicht zum Spaß oder aus Langeweile. Denn immerhin stellt uns ja unser Access Provider, sei es nun die DTAG, Vodafone oder wer auch immer kostenfrei einen funktionierenden Resolver zur Verfügung. Und es gibt auch einige Unternehmen oder Organisationen, die uns ebenfalls ohne Berechnung (aha: nicht unbedingt kostenlos!) diesen Service anbieten. Allerdings haben wir an „unseren“ Resolver ein paar Anforderungen, die sich mit der Nutzung ebendieser Angebote nicht erfüllen lassen.

Die wichtigsten Anforderungen

Wir stellen Ihnen hier ein paar Mindeststandards vor, auf deren Einhaltung Sie achten sollten. Zu den wichtigsten Anforderungen gehören:

  1. Ihr Resolver sollte unzensiert arbeiten, das heißt, keine von einzelnen Netzbetreibern eingerichtete Netzsperren für gesperrte Domains oder Services enthalten.
  2. Ein Loggen (Mitschneiden, Protokollieren) Ihrer Netzanfragen muss ausgeschlossen sein.
  3. Anwendung von DNSSEC sollte standardmäßig möglich sein, denn dies ist leider bei einigen Netzbetreibern noch nicht der Fall.
  4. Der Resolver, also eigentlich die dazu verwendete Software und das Betriebssystem sollen nur und ausschliesslich das tun, was Sie wollen.

Die Zutaten

Damit ist klar, welches Betriebssystem optimal geeignet ist: ein stabiles Linux, weil es sich hierbei um Open Source handelt (der Quellcode ist einsehbar für den fachkundigen Anwender im Gegensatz zu geschlossener oder proprietärer Software). Gleiches sollte dann auch für die eigentliche Software gelten, die als Resolver arbeitet. Hier gibt es durchaus etwas Auswahl, wir werden jedoch aus verschiedenen Gründen den Klassiker BIND einsetzen. Er ist frei verfügbar, seit vielen Jahren bewährt, einfach zu installieren und einzurichten und läuft danach dauerhaft stabil. Um einen eigenen DNS-Resolver zu erstellen bzw. zu betreiben, genügen also diese „Zutaten“.

Ein Referenz-Beispiel

Unser Referenzsystem setzt sich aus den folgenden Zutaten zusammen:

  1. eine VM, also virtuelle Maschine auf VMware-Basis
  2. Debian 9 als Linux Betriebssystem
  3. BIND 9.x als Anwendungs-Software

Die Auswahl dieser Zutaten stellt sicher, dass sämtliche Anforderungen an „unseren“ lokalen DNS-Resolver erfüllt werden. Dass dabei die gesamte Windows-Welt aussen vor bleibt, ist klar. Dies gilt generell immer, wenn es sich um das Thema Sicherheit im weitesten Sinne handelt und Alternativen bereitstehen.