Modul 6 von 16 · 📖 9 min Lesezeit · ⏱ 45 min gesamt

FUTO 06 DNS und DHCP

Inhaltsverzeichnis (6 Abschnitte)
  1. Konzepte und Hintergrund
  2. Architektur-Diagramm
  3. Praktische Schritte
  4. Häufige Fallstricke
  5. Weiterführende Ressourcen
  6. Wissens-Check

FUTO 06 DNS und DHCP

Ein funktionierendes Netzwerk erfordert eine zuverlässige Namensauflösung und automatische IP-Adressvergabe. In diesem Modul lernen Sie, wie Sie einen DNS-Server mit Unbound einrichten und konfigurieren, der sowohl für interne als auch externe Anfragen geeignet ist. Parallel dazu erarbeiten Sie die Konfiguration eines DHCP-Servers zur automatischen Vergabe von IP-Adressen, Subnetzmasks und Standardgateways in Ihrem Netzwerk.

Sie verstehen die Unterschiede zwischen verschiedenen DNS-Record-Typen und lernen, wie Sie Zonen für Ihre Domains verwalten. Die praktische Umsetzung umfasst die Installation, Konfiguration und Absicherung beider Dienste sowie die Fehlerdiagnose bei häufigen Problemen.

Konzepte und Hintergrund

DNS (Domain Name System)
Ein hierarchisches, verteiltes Namenssystem, das menschenlesbaren Domainnamen wie example.com in maschinenlesbare IP-Adressen wie 93.184.216.34 übersetzt. Es verwendet verschiedene Record-Typen wie A, AAAA, MX und PTR zur Speicherung spezifischer Informationen.
DHCP (Dynamic Host Configuration Protocol)
Ein Netzwerkprotokoll, das die automische Vergabe von IP-Adressen und anderen Netzwerkkonfigurationsparametern an Geräte in einem Netzwerk ermöglicht. Es reduziert den manuellen Konfigurationsaufwand und minimiert Fehler.
Unbound
Ein validierender, rekursiver und caching DNS-Resolver der niederländischen Nonprofit-Organisation NLnet Labs. Im Gegensatz zu BIND ist er als Stub-Resolver konzipiert und bietet durch seine Modularität und Sicherheit hohe Performance und Schutz vor DNS-Spoofing-Angriffen.
Zonentransfer
Ein Prozess, bei dem DNS-Zonen-Daten zwischen einem primären (Master) und sekundären (Slave) DNS-Server synchronisiert werden. Dieser ermöglicht Redundanz und Lastverteilung im DNS-Betrieb.
Records
Einträge in einer DNS-Zone, die spezifische Informationen zu einer Domain speichern. Wichtigste Typen: A (IPv4-Adresse), AAAA (IPv6-Adresse), MX (Mail Exchange), PTR (Pointer für Reverse-Lookup), CNAME (Canonical Name).

Architektur-Diagramm

flowchart LR
  A[Internet] --> B(Firewall/Router)
  B --> C[LAN]
  B --> D[DMZ]
  C --> E[DHCP-Server]
  C --> F[Unbound DNS-Server]
  D --> G[Webserver]
  D --> H[Mailserver]

Praktische Schritte

  1. Installieren Sie Unbound mit dem Befehl 
    apt install unbound
    . Dies installiert den DNS-Resolver und die notwendigen Konfigurationsdateien.
  2. Konfigurieren Sie Unbound als lokaler Resolver, indem Sie 
    echo "server: interface: 127.0.0.1" > /etc/unbound/unbound.conf.d/my.conf
    ausführen. Dies sichert den Server für lokale Anfragen.
  3. Erstellen Sie eine Zonendatei für Ihre Domain mit A- und MX-Records, z.B. 
    $TTL 86400
@ IN SOA ns.example.com. admin.example.com. (
  2023081501 ; serial
  3600       ; refresh
  1800       ; retry
  604800     ; expire
  86400 )    ; minimum
IN NS ns.example.com.
IN MX 10 mail.example.com.
ns IN A 192.168.1.10
mail IN A 192.168.1.20
www IN A 192.168.1.30
  4. Konfigurieren Sie ISC DHCP-Server mit 
    apt install isc-dhcp-server
    und bearbeiten Sie die Hauptkonfigurationsdatei 
    vi /etc/dhcp/dhcpd.conf
    .
  5. Fügen Sie folgende Konfiguration für Ihr LAN-Subnetz hinzu: 
    subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option domain-name-servers 192.168.1.10;
  option domain-name "example.com";
}
  6. Aktivieren Sie den DHCP-Dienst mit 
    systemctl enable isc-dhcp-server
    und starten Sie ihn mit 
    systemctl start isc-dhcp-server
    .
  7. Konfigurieren Sie Reverse-Lookup-Zonen für Ihr Netzwerk in Unbound, indem Sie eine neue Konfigurationsdatei mit PTR-Records erstellen.
  8. Testen Sie die DNS-Auflösung mit 
    dig @127.0.0.1 example.com
    und die DHCP-Funktionalität, indem Sie ein Gerät im Netzwerk eine IP anfordern lassen.
  9. Sichern Sie Ihre Konfiguration, indem Sie Firewall-Regeln für Port 53 (TCP/UDP) für Unbound und Port 67/68 für DHCP implementieren.

Häufige Fallstricke

Weiterführende Ressourcen

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Was ist der Hauptunterschied zwischen Unbound und BIND als DNS-Server?
  • A) Unbound unterstützt nur IPv4, während BIND auch IPv6 unterstützt
  • B) Unbound ist als Stub-Resolver konzipiert und bietet höhere Sicherheit durch Schutz vor DNS-Spoofing
  • C) BIND ist Open-Source, während Unbound eine kommerzielle Software ist
  • D) Unbound kann keine Zonentransfers durchführen, während BIND dies unterstützt

Richtige Antwort: B. Unbound ist als Stub-Resolver konzipiert und bietet durch seine Modularität und Sicherheit hohen Schutz vor DNS-Spoofing-Angriffen. BIND ist ein vollwertiger DNS-Server, während Unbound speziell für die Auflösung optimiert ist und nicht primär als Autoritätsserver dient.

Welcher DNS-Record-Typ wird für die Zuordnung einer Domain zu einer anderen Domain verwendet?

Richtige Antwort: C. Der CNAME-Record (Canonical Name) wird verwendet, um eine Alias-Domain auf eine andere Domain zu verweisen. A-Records ordnen Domains direkt IP-Adressen zu, MX-Records definieren Mailserver und PTR-Records dienen für Reverse-Lookups von IP-Adressen zu Domainnamen.

Was ist der Hauptvorteil des Einsatzes von DHCP in einem Netzwerk?
  • A) Erhöhung der Netzwerksicherheit durch Authentifizierung aller Geräte
  • B) Automatische Zuweisung von IP-Adressen und anderen Netzwerkkonfigurationen
  • C) Verbesserte DNS-Auflösung für lokale Netzwerke
  • D) Reduzierung der Bandbreitennutzung durch Komprimierung von Datenpaketen

Richtige Antwort: B. DHCP automatisiert die Vergabe von IP-Adressen und anderen Netzwerkkonfigurationsparametern, was den manuellen Konfigurationsaufwand reduziert und Fehler minimiert. Es dient nicht direkt der Sicherheit, DNS-Auflösung oder Bandbreitenoptimierung.

Welcher Zweck dient einem Zonentrfer zwischen DNS-Servern?
  • A) Synchronisation von DNS-Zonen-Daten zwischen primären und sekundären Servern
  • B) Authentifizierung von DNS-Anfragen zur Verhinderung von DNS-Spoofing
  • C) Komprimierung von DNS-Daten zur Reduzierung der Übertragungsgröße
  • D) Caching von DNS-Antworten zur Beschleunigung wiederholter Anfragen

Richtige Antwort: A. Ein Zonentrfer synchronisiert DNS-Zonen-Daten zwischen einem primären (Master) und sekundären (Slave) DNS-Server, was Redundanz und Lastverteilung ermöglicht. Authentifizierung, Komprimierung und Caching sind andere Funktionen, die nicht direkt mit dem Zonentrfer zusammenhängen.