Geräte

Hardwarefirewall

• Schutzbereich: gesamtes Netzwerk

• Ressourcenverbrauch: keine Belastung des Endgeräts

• Skalierbarkeit: sehr gut (ganze Netzwerke, mehrere Segmente)

• Funktionalität: Netzwerkschutz, VPN, IDS/IPS, Filter etc.

• Preis: teurer (Hardware + ggf. Lizenzen)

• Administration: zentral

Softwarefirewall

• Schutzbereich: nur einzelner Rechner

• Ressourcenverbrauch: nutzt CPU/RAM des Rechners

• Skalierbarkeit: eher schlecht (pro Gerät einzeln)

• Funktionalität: Programmkontrolle, Applikationsschutz

• Preis: günstig oder kostenlos

• Administration: dezentral (pro Rechner)

• Damit man sich leicht merkbare Namen (z. B. google.de) merken kann, statt lange IP-Adressen (z. B. 142.250.186.67).

• DNS ist sozusagen das „Telefonbuch des Internets“.

• Namensauflösung: Domainnamen → IP-Adresse übersetzen.

• z.B

  • Benutzer kennt Domainnamen (z. B. example.org)

  • Anfrage wird ins Internet geschickt

  • DNS wandelt Domain in zugehörige IP-Adresse um:

  • IPv4-Beispiel: 192.0.2.42

  • IPv6-Beispiel: 2001:db8:85a3:8d3:1319:8a2e:370:7347

  • Ergebnis: Verbindung zum richtigen Rechner wird hergestellt

• DNS = weltweit verteilter hierarchischer Verzeichnisdienst

• Verwalten des Namensraums des Internets

• Namensraum ist in Zonen unterteilt, jede Zone hat eigene Administratoren

• Auch lokales DNS möglich (z. B. in Firmennetzen, unabhängig vom Internet)

• Forward Lookup

  • Definition: Übersetzung eines Domainnamens in die dazugehörige IP-Adresse.

  • Beispiel: google.de → 142.250.186.67.

• Reverse Lookup

  • Definition: Übersetzung einer IP-Adresse in den dazugehörigen Domainnamen.

  • Beispiel: 142.250.186.67 → google.de.

• Der Domain-Namensraum hat eine baumförmige Struktur.

• Knoten/Blätter im Baum = Labels (engl. für „Aufschrift“).

• Ein vollständiger Domainname = Verkettung aller Labels auf einem Pfad.

• So wird eine Domain gelesen

  • Man liest von rechts nach links:

  • . (Root – unsichtbar)

  • com (Top-Level-Domain)

  • example (Second-Level-Domain)

  • www (Subdomain)

    
    

    
    

• Labels = die einzelnen Teile

  • Jeder Teil (www / example / com) = ein Label.

  • Ein Label darf max. 63 Zeichen haben.

  • Gesamter Name darf max. 255 Zeichen lang sein.

• Das DNS ist riesig und weltweit auf viele Nameserver verteilt.

• Damit das übersichtlich bleibt, wird der Domain-Baum in Teile aufgeteilt → diese Teile heißen Zonen.

• Eine Zone = ein Bereich des Domain-Namensraums, der von bestimmten Nameservern verwaltet wird.

• Wie Funktioniert das

  • Delegierungen (delegations):

    • Wenn ein Server nicht für einen Bereich zuständig ist, verweist er auf den nächsten.

    • Beispiel: Root-Nameserver kennt .com, verweist auf Verisign-Server für .com.

    • Jede Zone ist eindeutig abgegrenzt, keine Überschneidungen.

• Beispiel: www.example.com

  • Root-Zone (.): verwaltet von den Root-Nameservern.

    • für alle TLD

  • .com-Zone: verwaltet von Verisign.

  • example.com-Zone: verwaltet von den Nameservern von example.com.

• Was ist eine Zone gespiechert?

  • Eine Zone enthält Resource Records (RRs) → Einträge mit Infos wie:

    • Welche IP-Adresse gehört zu einer Domain?

    • Welche Mailserver sind zuständig?

    • Welche Subdomains gibt es?

    • Diese Einträge stehen in einer Zonendatei (z. B. beim BIND-Nameserver).

📖 Ganz einfach gesagt:

• Eine Zone ist ein Teil vom DNS-Baum.

• Für jede Zone gibt es verantwortliche Nameserver, die sagen:

  
  

  • „Diese Domain gehört hierhin.“

  • „Dafür ist diese IP zuständig.“

  
  

• SOA → Start of Authority: Infos über die Zone (z. B. Seriennummer, Gültigkeit).

• NS → Nameserver: Verweis, welche Nameserver für die Zone zuständig sind.

• A → IPv4-Adresse (Name → IPv4).

• AAAA → IPv6-Adresse (Name → IPv6).

• CNAME → Alias, Verweis von einem Namen auf einen anderen Namen.

• MX → Mailserver-Eintrag für E-Mail-Zustellung.

• SRV → Allgemeiner Service-Eintrag (z. B. für spezielle Dienste wie SIP, LDAP).

• PTR → Pointer (IP-Adresse → Name, für Reverse DNS).

• TXT → Beliebiger Text, oft für E-Mail-Sicherheit (SPF, DKIM).

• Server, der Namensauflösung macht (z. B. www.wikipedia.org → 91.198.174.192).

• Kann Programm oder der Rechner selbst gemeint sein.

• Autoritativer Nameserver

  • Verantwortlich für eine Zone.

  • Infos gelten als gesichert.

  • Enthält Primary Server (steht im SOA-Record) + Secondary Server (Kopie für Ausfallsicherheit).

  • Datenabgleich zwischen Primary & Secondary = Zonentransfer.

  
  

• Nicht-autoritativer Nameserver

  • Holt Infos von anderen Servern.

  • Speichert Antworten im Cache (RAM), solange die TTL gültig ist.

  • Kann falsche Infos liefern, wenn Daten sich ändern, bevor Cache abläuft.

  
  

• Caching-Only-Nameserver

  • Hat keine eigene Zone.

  • Holt alles von anderen Servern und speichert nur im Cache.

  
  

1. Delegierung

   • Ein Bereich wird an einen untergeordneten Nameserver weitergegeben.

   • Beispiel: .com kennt die Nameserver für google.com.

     
     

2. Weiterleitung (Forwarding)

   • Wenn Anfrage außerhalb des eigenen Bereichs → an festen „Forwarder“ schicken.

     
     

3. Root-Nameserver

   • Wenn kein Forwarder → Root-Nameserver fragen.

   • Es gibt 13 Root-Server (A–M) weltweit verteilt.

   • Sie beantworten nur iterative Anfragen (zeigen dir nur den nächsten Schritt).

   
   

1. PC/Router → Provider-DNS

   
   

   • Dein PC schickt die Anfrage erstmal an den DNS-Server deines Internetproviders.

   • Beispiel: Telekom-, Vodafone- oder 1&1-DNS.

   
   

2. Provider-DNS prüft Cache

   
   

   • Wenn er die Antwort schon hat → sofort zurück.

   • Wenn er sie nicht hat → er muss sie neu suchen.

   
   

3. Provider-DNS sucht Schritt für Schritt (Rekursion) in der DNS-Hierarchie

   
   

   • Root-Server → „Frag .com“

   • .com-Server → „Frag google.com“

   • google.com-Server → „Hier ist die IP“

   
   

• Ein Resource Record hat 5 Felder:

  • Name

    www → Subdomain

    google → Second-Level-Domainde →

    de ->Top-Level-Domain

    .→ Root (meist weggelassen)

  • 86400 → TTL (wie lange der Eintrag gültig bleibt)

  • IN → Klasse (Internet)

  • A → Typ (IPv4-Adresse)

  • 142.250.186.67 → die IP, die du am Ende brauchst

  
  

• Forward-Lookup-Zone

  • Enthält Resource Records (Einträge), die Domainnamen in IP-Adressen übersetzen

• Reserve-Lookup-Zone

  • Enthält Resource Records (Einträge), die IP-Adressen in Domainnamen übersetzen.

1. Nicht-interaktiver Modus

   • Syntax: nslookup [Domain]

   • Beispiel: nslookup www.google.com

   • Ergebnis: zeigt sofort die IP-Adresse

   • Vorteil: schnell und einfach für einzelne Abfragen

2. Interaktiver Modus

   • Syntax: nslookup → danach im Programm bleiben

   • Man kann mehrere Abfragen nacheinander machen

   • Befehle:

     • set type=MX → Mailserver abfragen

     • set type=NS → Nameserver abfragen

     • dann z. B. google.com eintippen

   • Vorteil: viele Abfragen hintereinander ohne Neustart

• AAAA-Record = Resource Record für IPv6-Adressen.

• Weist einem Domainnamen eine IPv6-Adresse zu.

• UDP ist schneller und einfacher als TCP.

• DNS-Anfragen sind meist kurz und klein (<512 Bytes).

• Kein Verbindungsaufbau nötig → Antwort sofort.

• Ausnahme:

  • Wenn Antwort zu groß ist oder bei DNSSEC → DNS nutzt TCP (Port 53).

nslookup – zwei Modi

• Interaktiver Modus

  • Startet, wenn keine Argumente angegeben werden (nslookup).

  • Oder: erstes Argument = - und zweites = Nameserver.

  • Man kann mehrere Abfragen nacheinander machen (MX, NS, A, AAAA …).

  • Typisch für Admins, um viele Tests hintereinander zu machen.

• Nicht-interaktiver Modus

  • Startet, wenn du gleich eine Domain oder IP mitgibst.

  • Syntax: nslookup [Host/Domain] [Nameserver]

  • Gibt sofort die Infos zurück und beendet sich.