SCHNELL, STABIL, AUSFALLSICHER - RcodeZero
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
07/2018
SCHNELL, STABIL,
AUSFALLSICHER
In der Sprache des Domain Name Systems bedeutet rcode 0: fehlerlos.
Beantwortet ein DNS Server eine Abfrage mit diesem Code, funktioniert der Service einwandfrei.
Deswegen heißt unser Produkt RcodeZero DNS.
www.rcodezero.at
DAS DOMAIN NAME SYSTEM -
DAS RÜCKGRAT DES INTERNET
Heutzutage wird Unternehmenserfolg maßgeblich von
der Erreichbarkeit im Internet beeinflusst. Alle wichtigen
Services wie Web und E-Mail werden über das Domain
Name System (DNS) angesteuert. Daher muss das DNS
extrem robust und ausfallsicher sein und sollte in keiner
Security-Strategie eines Unternehmens fehlen.
Mit RcodeZero DNS verbessern Sie die Verlässlichkeit
und Stabilität nicht nur Ihrer eigenen Internet-Präsenz,
sondern auch der Ihrer Kunden.
Eine Einführung in Anycast-Technologie
Die klassische Adressierungsmethode im Internet be-
ruht auf Unicast Technologie: Jeder Server, also auch
DNS Server, hat eine weltweit eindeutige IP-Adresse.
Alle Anfragen an diese IP-Adresse kommen zu diesem Anycast Routing hilft, diesen »single point of failure«
einen Server, egal wo in der Welt sich der Abfragende zu verhindern: Weltweit verteilte Nameserver erbrin-
befindet. Für entfernte Clients kann das Verzögerungen gen den Dienst unter derselben IP-Adresse. Sobald ein
und Timeouts bedeuten. Ist der Server aus irgendeinem Domainname abgefragt wird, antwortet die netztopolo-
Grund nicht erreichbar oder Opfer einer Attacke, sind alle gisch nächstgelegene Anycast Instanz. Diese Technolo-
Services unter dieser IP-Adresse betroffen und funktio- gie bringt nicht nur kürzere Antwortzeiten und bessere
nieren nicht mehr. Lastverteilung, sondern auch weitere Vorteile mit sich.
ROUTING SCHEMATA
Unicast Anycast
Anycast: schnell, stabil und ausfallsicher
KAPAZITÄT UND PERFORMANCE des Services verbessern ALLE STANDORTE scheinen als ein Server mit einer einzi-
sich mit jedem Anycast Standort. gen IP Adresse auf. Dadurch werden die Zonengröße und
die Größe der DNS Antworten geringgehalten.
DoS ATTACKEN befallen nur den Anycast Standort, der
dem Angreifer am nächsten ist. Alle anderen Server ant- DNS Services, die auf Anycast Technologie basieren, ga-
worten weiterhin auf DNS Anfragen. Somit ist der Service rantieren optimale Lastverteilung, laufen stabiler, verrin-
weiterhin verfügbar. Im Fall einer DDoS Attacke wird der gern Latenzzeiten und sind eine höchst effektive Maß-
Angreiferverkehr durch ein leistungsfähiges »Traffic- nahme gegen DoS Attacken. Daher vertrauen immer mehr
Scrubbing-Center« gelenkt — dadurch bleibt nur der sau- Firmen, Internet Service Provider und Domain Registries
bere Datenverkehr erhalten. auf Anycast Netzwerke, um ihr DNS schnell, robust und
ausfallsicher zu machen.
2
RcodeZero DNS: Am neuesten Stand der Technik
Die zwei »Command and Control« Server in Wien und Salz- Die Kapazität jedes RcodeZero DNS Standortes liegt bei
burg werden laufend um strategisch wichtige Knoten und 500.000 DNS Abfragen per Sekunde – in Summe also 5 Milli-
Standorte ergänzt und bilden so das globale RcodeZero onen Abfragen per Sekunde im gesamten Netzwerk.
DNS Netzwerk. Die aktuelle Weltkarte mit allen Knoten fin-
den Sie online auf www.rcodezero.at. In dieser extrem robusten und auf dem letzten Entwick-
lungsstand beruhenden Infrastruktur können über 50 Mil-
Die Anzahl der Standorte ist jedoch nicht das einzige Kriteri- lionen Kundenzonen gehostet werden. Die technische Ar-
um für ein hochperformantes Netzwerk: Die technische Ar- chitektur des RcodeZero DNS Netzwerks erfüllt alle DNS
chitektur und Hardware spielen eine noch wichtigere Rolle. relevanten Standards, wie z.B. RFC (request for comments)
Hier verpflichten wir uns zu höchsten Qualitätsstandards. 4786 der IETF (Internet Engineering Task Force).
RcodeZero DNS Produktbeschreibung
Zusätzlich zur hochqualitativen technischen Umgebung bietet Für Ihre Auswertungen erhalten Sie täglich einen Datensatz
RcodeZero DNS folgende Produkteigenschaften und Dienste: mit Ihrer DNS Abfragestatistik per Zone und Tag bzw. Wo-
che. Die Statistikdaten sind sowohl in einem Web Interface
VERWALTUNG und PROVISIONIERUNG grafisch aufbereitet als auch als CSV downloadbar.
RcodeZero DNS können Sie ganz einfach über unser DNS
Benutzer-Interface, via Panels wie Plesk oder Domainmana- NAMESERVER HOSTNAME & IP ADRESSEN
ger oder per Web API verwalten, wo Sie schnell und unkom- Die Bezeichnung des DNS Hostnamens ist frei wählbar (z.B.
pliziert Zonen (Domains) hinzufügen, ändern, verwalten und ns1.firmenname.com), auch wenn er auf die IP Adresse des
löschen können. Alles Weitere passiert automatisch: Inner- RcodeZero DNS verweist. Bestimmen Sie selbst den Host-
halb von Sekunden wird die Information im gesamten Any- namen der Nameserver – im Internet erscheint der Service
cast Netzwerk verteilt. Sie müssen lediglich in Ihrer Zone somit unter Ihrem eigenen Firmen- und Produktnamen. Sie
einen Hostnamen eintragen, der auf die IP-Adresse des können RcodeZero DNS mit exklusiven IP-Adressen aus
RcodeZero DNS Dienstes verweist oder unser »Master-Fea- dem IPCom Adressbereich oder Ihren eigenen IP-Adressen
ture« nutzen. Dem Stand der Technik entspricht auch unse- betreiben (dann wird Ihr Prefix in BGP angekündigt).
re Zweifaktor-Authentifizierung sowie das IP-Whistelisting
auf allen Interfaces. IPv4 UND IPv6
Die RcodeZero DNS Knoten bieten die DNS Dienste sowohl
MONITORING UND SUPPORT über IPv4 als auch über IPv6 an.
Alle Dienste werden 24 Stunden am Tag 365 Tage im Jahr
überwacht. Sobald ein Fehler gemeldet wird, ergreifen wir ZWEITE ANYCAST-CLOUD
sofortige Maßnahmen zur Behebung. Unsere Notfalls- und Ab dem Produkt »Medium« erhalten Sie zusätzliche,
Support-Hotlines kümmern sich rasch und kompetent um redundante Anycastknoten sowie eine zweite
Ihr Anliegen. Persönlicher Kundenservice ist uns wichtig, da- IP Adresse.
her steht unsere Support Hotline von Montag bis Freitag 8
bis 18 Uhr kostenfrei zur Verfügung, unsere Notfalls-Hotline MASTER DNS
rund um die Uhr. Unsere Kunden können von dem kostenlosen Feature Mas-
ter DNS Gebrauch machen und somit Ihre gesamte DNS In-
STATISTIKEN frastruktur outsourcen. Bis auf weiteres entfällt dadurch
Unsere umfassenden Monitoring-Systeme erlauben ver- noch das Feature DNSSEC, dafür werden aber keine eige-
schiedenste Auswertungen, die wir unseren Kunden je nach nen Server mehr benötigt und komplettes Outsourcing wird
Anforderungen und gewähltem Produkt zur Verfügung stel- möglich.
len. Beispielsweise Traffic Statistiken pro Zone und Netz-
werkmitschnitte in pcap Format – und zwar sowohl grafisch APEX ALIAS
aufgearbeitet in einem Web-Interface als auch Rohdaten Ein neuer Recordtype, der CNAME-Funktionalität auf APEX-
zur eigenen Weiterverwendung. Ebene erlaubt, ist z.B. für die CDN-Integration nützlich.
RcodeZero DNS 3Die Sicherheitserweiterung DNSSEC
RcodeZero DNS unterstützt DNSSEC. Diese Technologie WIE FUNKTIONIERT DNSSEC?
ist eine Sicherheitserweiterung für das DNS, welche die Das Signieren der DNS Zone erfolgt durch PublicPrivate-
Authentizität (=Echtheit) und Datenintegrität (=Voll- Key Kryptografie. Für jede Zone, also von der Root über
ständigkeit) von DNS-Transaktionen garantiert. DNSSEC die Top Level Domain bis zur Domain, werden eigene
gewährleistet, dass Ihre Domain-Abfragen tatsächlich Schlüsselpaare verwendet. Jedes Schlüsselpaar besteht
vom zuständigen Server beantwortet werden und un- aus einem öffentlichen (public) und einem privaten (pri-
terwegs nicht verändert wurden. Sogenanntes Cache- vate) Schlüssel, wobei die Zone mit dem geheimen, pri-
Poisoning, das Fälschen von DNS-Daten und Umleiten vaten Schlüssel signiert und der öffentliche Schlüssel in
der User auf manipulierte Websites, wird durch DNSSEC der Zone selbst zur Verifizierung publiziert wird. Durch
verhindert. die Vertrauenskette bürgt die übergeordnete Zone für
die jeweils darunterliegende.
Viele Domain-Registrierungsstellen haben DNSSEC be-
reits in Betrieb, und es ist nur eine Frage der Zeit, bis WIE SCHÜTZT MAN EINE ZONE MIT DNSSEC?
Registrare und Endkunden auf den Zug aufspringen. Mit Für eine DNSSEC-Sicherung muss:
RcodeZero DNS sind Sie für diesen Fall gerüstet. 1. ein Schlüsselpaar erzeugt werden, und der private
Schlüssel vor unberechtigtem Zugriff gesichert wer-
den. Dieses Schlüsselpaar ist in regelmäßigen Ab-
ständen zu erneuern.
2. die Zone mit einer entsprechenden Software signiert
werden, wobei bei jeder Änderung in der Zone auch
die entsprechenden Signaturen aktualisiert gehören.
Beide Schritte, also sowohl die Schlüsselerzeugung
und -verwaltung als auch das Signieren der Zone kann
RcodeZero DNSSEC Complete für Sie übernehmen.
3. in der übergeordneten Zone der DS Record mit dem
Fingerprint des öffentlichen Schlüssels eingetragen
sein. Diese Aufgabe liegt in jedem Fall bei Ihnen.
4DNSSEC in allen RcodeZero DNS Produkten integriert
Als RcodeZero DNS Kunde haben Sie’s gut: Nicht nur, RcodeZero DNSSEC Complete
dass Sie sich keine Sorgen um die Verfügbarkeit und RcodeZero DNSSEC Complete ist ab dem Medium-Pro-
Leistung Ihres DNS machen müssen. RcodeZero DNS dukt kostenfrei inkludiert und ist die Rundum-Sorglos
nimmt Ihnen auch alles rund um DNSSEC ab und ist in Variante für RcodeZero DNS Kunden, die das DNSSEC
der Basisvariante überall kostenlos integriert. Management zur Gänze auslagern wollen. Sie liefern
wie bisher die unsignierte Zone an. Sobald RcodeZero
RcodeZero DNSSEC Basic DNSSEC Complete für eine bestimmte Zone aktiviert
ist für alle RcodeZero DNS Kunden bereits als Basis- wird, generiert RcodeZero DNS die DNSSEC Schlüs-
feature inkludiert und die richtige Lösung für Sie, wenn sel und signiert die Zone. Wir erledigen das komplette
Sie Ihre Zonen selbst signieren. Sie übermitteln die si- Schlüsselmanagement für Sie und gewährleisten die
gnierte Zone, RcodeZero DNS erkennt dies von selbst sichere Verwahrung der privaten Schlüssel. Die öffent-
und sorgt dafür, dass bei DNS Antworten die entspre- lichen Schlüssel für die Eintragung der DS Records in
chenden DNSSEC Ressource Records mitgeliefert wer- der übergeordneten Zone stellen wir Ihnen zur Verfü-
den – vollkommen automatisch. gung.
SIGNING
DNS Master Control Server DNS Hidden Control Server
SIGNING Master SIGNING
Zone Transfer Zone Transfer
Customer RcodeZero DNS Customer RcodeZero DNS
RcodeZero DNSSEC Basic – RcodeZero DNSSEC Complete –
Sie signieren selbst. RcodeZero DNS signiert für Sie.
DNSSEC-PROVISIONIERUNG DURCHGÄNGIGE VALIDIERUNG
Sowohl Aktivieren und Deaktivieren des Signierdienstes als Bei Key-Rollovers und einer etwaigen Deaktivierung des
auch das Auslösen eines Key-Rollovers funktioniert ganz Signierdienstes stellen wir sicher, dass Zone-Änderungen
einfach über das Webinterface oder die SOAP bzw. REST API. entsprechend der jeweiligen TTLs (= Time-To-Live) statt-
finden. So ist die erfolgreiche Validierung der Zone jeder-
KEY ROLLOVER zeit möglich.
Rollover des Zone Signing Keys (ZSK) werden von
RcodeZero DNS je nach Bedarf selbstständig abgewickelt. NAMESERVER
Natürlich können auch Sie als Zonenbetreiber jederzeit Bei RcodeZero DNSSEC Complete können nicht nur die
einen Rollover des Key Signing Keys (KSK) veranlassen. In Nameserver von RcodeZero DNS in den NS Records der
diesem Fall müssen Sie den Fingerprint des neuen Keys Zone eingetragen werden. Dank des Features Outbound
(DS-Record) in der übergeordneten Zone eintragen um Zone Transfer mit DNSSEC AXFR inkl. TSIG können Sie
den Rollover abzuschließen. auch Ihre eigenen Nameserver eintragen.
RcodeZero DNS 5RcodeZero DNS: Anycast at Anytime for Anyone!
Ein eigenes Anycast DNS Netzwerk aufzubauen und
zu warten ist teuer und zeitintensiv. Warum also diese
Services selbst entwickeln? Sparen Sie Geld und
Ressourcen, indem Sie auf einen professionellen und
erfahrenen Partner setzen.
RcodeZero DNS ist die perfekte Erweiterung jeder DNS Infrastruktur:
FÜR TOP LEVEL FÜR INTERNET SERVICE PROVIDER FÜR ENTERPRISE KUNDEN
DOMAIN REGISTRIES & REGISTRARE
RcodeZero DNS ist die ideale Lösung Noch immer gibt es viele Internet RcodeZero DNS bedeutet für Unter-
für Top-Level-Domain Registries, Service Provider, deren Nameserver- nehmen eine maximale Verbesse-
weil es die hohen Anforderungen Netzwerk ausschließlich auf weni- rung ihrer DNS Infrastruktur mit mini-
sowohl an Verfügbarkeit als auch an gen Unicast-Instanzen beruht. Mit malem Aufwand, Sie können Ihre DNS
Sicherheit erfüllt. Mit RcodeZero DNS RcodeZero DNS ist nun eine neue Infrastruktur komplett outsourcen.
können Sie als TLD-Betreiber in kür- Leistungsklasse an DNS Service Anwendern bringt RcodeZero DNS
zester Zeit die Effizienz Ihres Name- verfügbar, von dem Sie als ISP und Technologie kürzere Antwortzeiten,
server-Netzwerks steigern. Ihre Kunden gleichermaßen pro- höhere Verfügbarkeit und größere
fitieren: Sie halten Ihre DNS Infra- Auslastungskapazitäten – selbst bei
Das Resultat: Höhere Ausfallsicher- struktur am technologisch letzten maximalen Abfrage-Raten in Spit-
heit, bessere Leistungsfähigkeit und Stand – optimale Performance, un- zenzeiten.
geringere Latenzzeiten für Kunden. beschränkte Skalierbarkeit und pro-
fessionelles Management inklusive.
RcodeZero DNS macht Ihren DNS
Dienst IPv6-fähig, selbst wenn Ihre
eigene Infrastruktur noch auf IPv4
basiert.
All das trägt dazu bei, dass die Do-
mains Ihrer Kunden besser verfügbar
und ausfallsicherer werden. Rcode-
Zero DNS hebt Sie positiv vom Mitbe-
werb ab und kann Grundlage für neue
Produkte sein.
6WIR
HABEN AUCH
FÜR SIE DIE
PASSENDE
LÖSUNG!
RcodeZero DNS 7WER IST ipcom?
ipcom ist eine Tochterfirma von nic.at, der österreichischen Domain-Registry.
nic.at beweist seit 1998 Verlässlichkeit und Professionalität im Betrieb der
.at-Zone. Das RcodeZero DNS Netzwerk wurde von der nic.at Forschungs- und
Entwicklungsabteilung realisiert und ist unter anderem erfolgreich für Top Level
Domains wie .at, .versicherung, .berlin, .hamburg und einige mehr im Einsatz. Das
externe Nameserver-Monitoring RIPE NCC belegt, dass .at eine der stabilsten und
am besten erreichbaren Top Level Domains ist.
Vertrauen Sie auf unsere Erfahrung für Ihre DNS Diversität und Sicherheit.
ipcom GmbH
Karlsplatz 1/2/9 · 1010 Wien · Austria
T +43 1 294 00 40 -510 · F -29
rcodezero@ipcom.at · www.rcodezero.at
Status: Jul 2018Sie können auch lesen
