Domain Name System: Weniger US-Übermacht, mehr Sicherheit durch mehr DNS-Rootserver?
Mehr Rootserver für das DNS möchte das CNNIC, um alten Streit um die geografische Verteilung der DNS-Root zu beenden. Technisch machbar, heißt es bei der IETF. Technisch sinnvoll? Umstritten. Politischer Streit? Zu erwarten.
Die chinesische Domain-Registry CNNIC hat bei der Internet Engineering Task Force (IETF) einen Vorschlag präsentiert, den bestehenden 13 zentralen Rootservern des Domain Name System (DNS) sieben neue hinzuzufügen. Technisch machbar, sagen Experten in der IETF DNS Operations Working Group, auch wenn eine Mehrheit den technischen Nutzen rundweg bestreitet und politische Schlachten um die mögliche Vergabe solch neuer Rootserver befürchtet.
Politische Querelen
Der Streit um die bessere geographische Verteilung der Rootzone ist alt. Insbesondere die Tatsache, dass 10 der 13 Server in den USA stehen – teilweise in geographischer Nachbarschaft – und auch der Umstand, dass das US-Militär, das US-Verteidigungsministerium und die NASA jeweils Server betreiben, sorgte schon früher für Kritik. Mit den CNNIC-Vorschlägen unterstreicht China nun die Forderung nach Veränderungen im aktuellen System, auch wenn einer der Autoren, Yan Zhiwei, sich gegenüber heise online bedeckt hielt: Ob China einen der Server betreiben wolle? Es gehe in dem Entwurf um die Architektur.
Zunächst räumt der Vorschlag mit einem alten Mantra des DNS auf, nämlich dem, dass es nicht mehr als 13 Rootserver geben kann. Die Adressen der zentralen Server müssten in eine 512-Bytes-große UDP-Anfrage passen, hieß es früher. Mit IPv6 ist diese Grenze aber längst gesprengt, sagen nun die Autoren. Yan, der Chef des CNNIC, Lee Xiaodong und der mit ins Boot geholte BIND-Entwickler Paul Vixie, rechnen in dem Entwurf vor, dass 20 Rootserver kein Problem sind.
Technische Lösungen
Statt sich in die Schar der bestehenden Rootserver einzureihen, sollen die Server die Rootzone beispielsweise direkt von der Internet Assigned Numbers Authority (IANA) bekommen. Die IANA fungiert als Manager der Rootzone-Updates. IANA soll für die neuen Rootserver eine Kopie der signierten Zone bereitstellen und ein Paket von IP-Adressen. Alternativ könnte auch einer der bestehenden Rootserver-Betreiber die Rolle des Zuspielers übernehmen. Über die Frage, nach welchen Kriterien die zusätzlichen Server vergeben werden, gibt der Entwurf allerdings keine Auskunft.
Eine Begründung für den Vorschlag liefern Yan, Lee und Vixie in seinem Titel: "How to scale the root zone". Ein maximal verteiltes System sorge für mehr Stabilität und Angriffsresistenz, etwa bei dDoS-Attacken. Im Gegensatz zur Distribution der Rootzone über die mittlerweile rund 380 Anycast-Instanzen der Rootserver seien unabhängige Rootserver gegen massive Angriffe oder Ausfälle besser gewappnet. Falle der eigentliche Rootserver aus, könnten die Anycast-Kinder die Rootzone nicht mehr aktuell halten.
Auch zwei andere, in Toronto diskutierte Entwürfe, zielen auf eine bessere Verteilung der Last im Rootsystem. Der eine schlägt vor, Kopien der Rootzone auch auf lokalen DNS-Resolvern vorzuhalten. Ein weiterer Gruppe von CNNIC-Forschern steuert überdies noch eine Methode bei, den jeweils besten Platz für einen autoritativen Server in einer Netztopologie zu kalkulieren.
Lokale Kontrolle
Der Vorschlag von Lee, Vixie und Yan hat allerdings auch noch ein zweites Motiv: die lokale Kontrolle durch den neuen Betreiber. Anycast-Routing und die Platzierung des Servers müsse der Anycastbetreiber eng mit dem jeweiligen Rootserver-Betreiber koordinieren. "Es reicht für unsere Zwecke nicht", erklärt Yan. Veränderungen am Rootzone-File sind dabei aufgrund der DNSSEC-Signierung ausgeschlossen, versichert Vixie.
Die Experten der DNSOP-Arbeitsgruppe waren nicht überzeugt, viele hätten das heiße Eisen am liebsten ganz unter den Teppich gekehrt. Wenn China einen Rootserver wolle, sollten sie das einfach sagen, kommentierte ein Beobachter nach der DNSOP-Sitzung. Statt weitere Rootserver zu schaffen, könnte sich das Land einfach einen der finanziell in der Vergangenheit ins Trudeln geratenen US-Rootserver-Betreiber kaufen, meinte ein anderer. Doch fehlt es auch für die mögliche Übergabe bestehender Rootserver an Protokollen und Verfahren. (jk)