Deutsches

Forschungsnetz
Zugangserschwerungsgesetz
2. Die technische Umsetzung
Holger Wirtz
DFN-Geschftsstelle
10178 Berlin, Alexaner!latz 1
"el#$ 0%0 88&'(( &0 e-)ail$ *irtz+fn#e
Seite 3
Kurze DNS Einfhrung
#
,-.//"01
1(8#&1#0#&
A#.//"-23.43.2#N3"#
N5tzer ***#goo#org ,6&#'7#7%#'%&1
/.G#
1((#1(#76#1
G//D#/.G
6&#'7#7%#'%&
*
*
*
#
g
o
o

#
o
r
g
#
8
***#goo#org#8
org#91((#1(#76#1
"":96h
goo#org#96&#'7#7%#'%&
"":96h
***#goo#org#8
";<-4er=in5ng ,H""<1 z5
6&#'7#7%#'%&
***#goo#org#96&#'7#7%#'%&
"":9'&h
DN2
,.esol>er1
*
*
*
#
g
o
o

#
o
r
g
#
8
***#goo#org#96&#'7#7%#'%&
"":9'&h
Seite 4
6 ZugErschwG konforme DNS Nutzung
#
,-.//"01
1(8#&1#0#&
A#.//"-23.43.2#N3"#
N5tzer
***#e>il#org ,AAA#BBB#;;;#DDD1
/.G#
1((#1(#76#1
34?:#/.G
333#FFF#GGG#HHH
*
*
*
#
e
>
i
l
#
o
r
g
#
8
***#e>il#org#8
org#91((#1(#76#1
"":96h
e>il#org#9333#FFF#GGG#HHH
"":96h
***#e>il#org#8
";<-4er=in5ng ,H""<1 z5
WWW#@@@#AAA#BBB
***#e>il#org#9AAA#BBB#;;;#DDD
"":9'&h
DN2
*
*
*
#
e
>
i
l
#
o
r
g
#
8
ACHTUNG FLSCHUNG!
***#e>il#org#9WWW#@@@#AAA#BBB
"":96h
G3.
DN2
WWW#@@@#AAA#BBB
G3.9Go>ern)ent Enhance Res!onse
Seite 5
Funktionsweise GER-DNS-Serer
B?ND 4er# (#x
Dns!roxC ,G3. !atche1
188#1#x#C
1'7#0#0#1
1(%#17&#a#=
2!errliste
2tatistiD
2Cste) Fire*all
4er=essere Eee Ant*ort >o) "C! A ,?<>&1 oer
AAAA ,?<>61, *enn sich er A=fragestring a5f er
2!errliste =efinet ,5n schrei=e 2tatistiDaten1#
Seite 6
!er"esserungstaktik
Gezieltes ndern der Antwort anstatt
pauschales Aweisen der !rage
Grund" A#rage nach $erschiedenen %&pen
m'glich"
A ()*$4 Adressen+
AAAA ()*$6 Adressen+
,- (,ail./0changer+
1S (1amser$er+
21A,/ (2anonical 1ame+
%-% (%e0t+
A13
...
Seite 4
#a"or-$ests
*er#ormance
%ools" dnsper# und resper#. /rgenis" Durchsatz is zu
25.555 67s (86ueries per second+ m'glich
*rogrammtechnisch" Sperrliste als 9ash implementiert
/nhance a#ter resol$e
Grund" eine !rage nach :A13; <ann weitere
)n#ormationen einhalten (z.=. ,-.>ecords+? die nicht
$eressert werden d@r#enA
Seite B
%msetzung im Detai&
9ardware
)ntel i4 Cuad Ser$er 2*Us
D2 G= >A,
D Gig/ 1etzwer< Anindung am E1E
Fur Aus#allsicherheit" mehrere Ser$er
So#tware
Standard Ginu0 (Uuntu Ser$er+
Standard =)1D 1ameser$er
HpenSource dnspro0& (mit non.HpenSource G/>.
*atch+
Seite I
Konfigurations"eis'ie& zur Nutzung (es Dienstes
Sinn$oll" *ort 53 ausgehend sperren7#orwarden
Um<on#igurieren des eigenen 1ameser$ers zu
einem :#orward;.1ameser$er
...
forward only;
forwarders { 188.1.x.y; 188.1.f.g; 188.1.r.s };
allow-query { internal };
allow-recursion { internal };
...
Seite D5
!ortei&e ) Nachtei&e ) *ro"&eme
JD1S ist der wichtigste Dienst des )nternetA
JSingle *oint o# #ailure
JAus#all. oder Kerlastung einzelner G/>.D1S.
Ser$er
J!ehlersuche
JEon#iguration der #orward.D1S.Ser$er
J...
Seite DD
Status
JA<tuell e#inden sich drei G/>.D1S.Ser$er im
Au#au
JDrei groLe /inrichtungen stehen zum %est
ereit
JFeitplan" %ests is /nde 255I
J>egeletrie a An#ang 25D5
Seite D2
Fragen +++,
M
M
M
Holger Wirtz
DFN-Geschftsstelle
10178 Berlin, Alexaner!latz 1
"el#$ 0%0 88&'(( &0 e-)ail$ *irtz+fn#e