07/2017

SCHNELL, STABIL, AUSFALLSICHER In der Sprache des Domain Name Systems bedeutet rcode 0: fehlerlos. Beantwortet ein DNS Server eine Abfrage mit diesem Code, funktioniert der Service einwandfrei. Deswegen heißt unser Produkt RcodeZero DNS.

www.rcodezero.at

DAS DOMAIN NAME SYSTEM DAS RÜCKGRAT DES INTERNET Heutzutage wird Unternehmenserfolg maßgeblich von der Erreichbarkeit im Internet beeinflusst. Alle wichtigen Services wie Web und E-mail werden über das Domain Name System (DNS) angesteuert. Daher muss das DNS extrem robust und ausfallsicher sein und sollte in keiner Security-Strategie eines Unternehmens fehlen. Mit RcodeZero DNS verbessern Sie die Verlässlichkeit und Stabilität nicht nur Ihrer eigenen Internet-Präsenz, sondern auch der Ihrer Kunden.

Eine Einführung in Anycast-Technologie Die klassische Adressierungsmethode im Internet beruht auf Unicast Technologie: Jeder Server, also auch DNS Server, hat eine weltweit eindeutige IP-Adresse. Alle Anfragen an diese IP-Adresse kommen zu diesem einen Server, egal wo in der Welt sich der Abfragende befindet. Für entfernte Clients kann das Verzögerungen und Timeouts bedeuten. Ist der Server aus irgendeinem Grund nicht erreichbar oder Opfer einer Attacke, sind alle Services unter dieser IP-Adresse betroffen und funktionieren nicht mehr.

Anycast Routing hilft, diesen »single point of failure« zu verhindern: Weltweit verteilte Nameserver erbringen den Dienst unter derselben IP-Adresse. Sobald ein Domainname abgefragt wird, antwortet die netztopologisch nächstgelegene Anycast Instanz. Diese Technologie bringt nicht nur kürzere Antwortzeiten und bessere Lastverteilung, sondern auch weitere Vorteile mit sich.

ROUTING SCHEMES

Anycast

Unicast

Anycast: schnell, stabil und ausfallsicher KAPAZITÄT UND PERFORMANCE des Services verbessern sich mit jedem Anycast Standort. DoS ATTACKEN befallen nur den Anycast Standort, der dem Angreifer am nächsten ist. Alle anderen Server antworten weiterhin auf DNS Anfragen. Somit ist der Service weiterhin verfügbar. ALLE STANDORTE scheinen als ein Server mit einer einzigen IP Adresse auf. Dadurch werden die Zonengröße und die Größe der DNS Antworten gering gehalten. 2

DNS Services, die auf Anycast Technologie basieren, garantieren optimale Lastverteilung, laufen stabiler, verringern Latenzzeiten und sind eine höchst effektive Maßnahme gegen DoS Attacken. Daher vertrauen immer mehr Firmen, Internet Service Provider und Domain Registries auf Anycast Netzwerke, um ihr DNS schnell, robust und ausfallsicher zu machen.

Mehr Informationen unter www.rcodezero.at

RcodeZero DNS: Am neuesten Stand der Technik Die zwei „Command and Control“ Server in Wien und Salzburg, Österreich werden laufend um strategisch wichtige Knoten und Standorte ergänzt und bilden so das globale RcodeZero DNS Netzwerk. Die aktuelle Weltkarte mit allen Knoten finden Sie online auf www.rcodezero.at.

In dieser extrem robusten und auf dem letzten Entwicklungsstand beruhenden Infrastruktur können über 50 Millionen Kundenzonen gehostet werden. Die technische Architektur des RcodeZero DNS Netzwerks erfüllt alle DNS relevanten Standards, wie z.B. RFC (request for comments) 4786 der IETF (Internet Engineering Task Force).

Die Anzahl der Standorte ist jedoch nicht das einzige Kriterium für ein hochperformantes Netzwerk: Die technische Architektur und Hardware spielen eine noch wichtigere Rolle. Hier verpflichten wir uns zu höchsten Qualitätsstandards. Die Kapazität jedes RcodeZero DNS Standortes liegt bei 500.000 DNS Abfragen per Sekunde – in Summe also 5 Millionen Abfragen per Sekunde im gesamten Netzwerk.

RcodeZero DNS Produktbeschreibung Zusätzlich zur hochqualitativen technischen Umgebung bietet RcodeZero DNS folgende Produkteigenschaften und Dienste: VERWALTUNG und PROVISIONIERUNG RcodeZero DNS können Sie ganz einfach über unser DNS Benutzer-Interface, via Panels wie Plesk oder Domainmanager oder per Web API verwalten, wo Sie schnell und unkompliziert Zonen (Domains) hinzfügen, ändern und löschen können. Alles Weitere passiert automatisch: Innerhalb von Sekunden wird die Information im gesamten Anycast Netzwerk verteilt. Sie müssen lediglich in Ihrer Zone einen Hostnamen eintragen, der auf die IP-Adresse des RcodeZero DNS Dienstes verweist. MONITORING UND SUPPORT Alle Dienste werden 24 Stunden am Tag 365 Tage im Jahr überwacht. Sobald ein Fehler gemeldet wird, ergreifen wir sofortige Maßnahmen zur Behebung. Unsere Notfalls- und Support-Hotlines kümmern sich rasch und kompetent um Ihr Anliegen. Persönlicher Kundenservice ist uns wichtig, daher steht unsere Support Hotline von Montag bis Freitag 8 bis 18 Uhr kostenfrei zur Verfügung, unsere Notfalls-Hotline rund um die Uhr. STATISTIKEN Unsere umfassenden Monitoring-Systeme erlauben verschiedenste Auswertungen, die wir unseren Kunden je nach Anforderungen und gewähltem Produkt zur VerRcodeZero DNS

fügung stellen, wie z.B. Traffic Statistiken pro Zone und Netzwerkmitschnitte in pcap Format – und zwar sowohl grafisch aufgearbeitet in einem Web-Interface als auch Rohdaten zur eigenen Weiterverwendung. Für Ihre Auswertungen erhalten Sie täglich einen Datensatz mit Ihrer DNS Abfragestatistik per Zone und Tag bzw. Woche. Die Statistikdaten sind sowohl in einem Web Interface grafisch aufbereitet als auch als CSV downloadbar. NAMESERVER HOSTNAME & IP ADRESSEN Die Bezeichnung des DNS Hostnamens ist frei wählbar (z.B. ns1.firmenname.com), auch wenn er auf die IP Adresse des RcodeZero DNS verweist. Bestimmen Sie selbst den Hostnamen der Nameserver - im Internet erscheint der Service somit unter Ihrem eigenen Firmen- und Produktnamen. Sie können RcodeZero DNS mit exklusiven IP-Adressen aus dem IPCom Adressbereich oder Ihren eigenen IP-Adressen betreiben (dann wird Ihr Prefix in BGP angekündigt). IPv4 UND IPv6 Die RcodeZero DNS Knoten bieten die DNS Dienste sowohl über IPv4 als auch über IPv6 an. ZWEITE ANYCAST-CLOUD Ab dem Produkt „Medium“ erhalten Sie zusätzliche, redundante Anycastknoten sowie eine zweite IP Adresse. 3

Die Sicherheitserweiterung DNSSEC RcodeZero DNS unterstützt DNSSEC. Diese Technologie ist eine Sicherheitserweiterung für das DNS, welche die Authentizität (= Echtheit) und Datenintegrität (= Vollständigkeit) von DNS-Transaktionen garantiert. DNSSEC gewährleistet, dass Ihre Domain-Abfragen tatsächlich vom zuständigen Server beantwortet werden und unterwegs nicht verändert wurden. Sogenanntes CachePoisoning, das Fälschen von DNS-Daten und Umleiten der User auf manipulierte Websites, wird durch DNSSEC verhindert. Viele Domain-Registrierungsstellen haben DNSSEC bereits in Betrieb, und es ist nur eine Frage der Zeit, bis Registrare und Endkunden auf den Zug aufspringen. Mit RcodeZero DNS sind Sie für diesen Fall gerüstet.

4

WIE FUNKTIONIERT DNSSEC? Das Signieren der DNS Zone erfolgt durch PublicPrivateKey Kryptografie. Für jede Zone, also von der Root über die Top Level Domain bis zur Domain, werden eigene Schlüsselpaare verwendet. Jedes Schlüsselpaar besteht aus einem öffentlichen (public) und einem privaten (private) Schlüssel, wobei die Zone mit dem geheimen, privaten Schlüssel signiert und der öffentliche Schlüssel in der Zone selbst zur Verifizierung publiziert wird. Durch die Vertrauenskette bürgt die übergeordnete Zone für die jeweils darunter liegende. WIE SCHÜTZT MAN EINE ZONE MIT DNSSEC? Für eine DNSSEC-Sicherung muss: 1. ein Schlüsselpaar erzeugt werden, und der private Schlüssel vor unberechtigtem Zugriff gesichert werden. Dieses Schlüsselpaar ist in regelmäßigen Abständen zu erneuern. 2. die Zone mit einer entsprechenden Software signiert werden, wobei bei jeder Änderung in der Zone auch die entsprechenden Signaturen aktualisiert gehören. Beide Schritte, also sowohl die Schlüsselerzeugung und -verwaltung als auch das Signieren der Zone kann RcodeZero DNSSEC Complete für Sie übernehmen. 3. in der übergeordneten Zone der DS Record mit dem Fingerprint des öffentlichen Schlüssels eingetragen sein. Diese Aufgabe liegt in jedem Fall bei Ihnen.

DNSSEC in allen RcodeZero DNS Produkten integriert Als RcodeZero DNS Kunde haben Sie’s gut: Nicht nur, dass Sie sich keine Sorgen um die Verfügbarkeit und Leistung Ihres DNS machen müssen. RcodeZero DNS nimmt Ihnen auch alles rund um DNSSEC ab und ist in der Basisvariante überall kostenlos integriert. RcodeZero DNSSEC Basic ist für alle RcodeZero DNS Kunden bereits als Basisfeature inkludiert und die richtige Lösung für Sie, wenn Sie Ihre Zonen selbst signieren. Sie übermitteln die signierte Zone, RcodeZero DNS erkennt dies von selbst und sorgt dafür, dass bei DNS Antworten die entsprechenden DNSSEC Ressource Records mitgeliefert werden – vollkommen automatisch.

RcodeZero DNSSEC Complete RcodeZero DNSSEC Complete ist ab dem Medium-Produkt kostenfrei inkludiert und ist die Rundum-Sorglos Variante für RcodeZero DNS Kunden, die das DNSSEC Management zur Gänze auslagern wollen. Sie liefern wie bisher die unsignierte Zone an. Sobald RcodeZero DNSSEC Complete für eine bestimmte Zone aktiviert wird, generiert RcodeZero DNS die DNSSEC Schlüssel und signiert die Zone. Wir erledigen das komplette Schlüsselmanagement für Sie und gewährleisten die sichere Verwahrung der privaten Schlüssel. Die öffentlichen Schlüssel für die Eintragung der DS Records in der übergeordneten Zone stellen wir Ihnen zur Verfügung.

SIGNING

DNS Master SIGNING

Customer

Control Server Zone Transfer

RcodeZero DNS

DNS Hidden Master

Customer

Zone Transfer

Control Server SIGNING

RcodeZero DNS

RcodeZero DNSSEC Basic – Sie signieren selbst.

RcodeZero DNSSEC Complete – RcodeZero DNS signiert für Sie.

DNSSEC-PROVISIONIERUNG Sowohl Aktivieren und Deaktivieren des Signierdienstes als auch das Auslösen eines Key-Rollovers funktioniert ganz einfach über das Webinterface oder die SOAP-API.

DURCHGÄNGIGE VALIDIERUNG Bei Key-Rollovers und einer etwaigen Deaktivierung des Signierdienstes stellen wir sicher, dass Zone-Änderungen entsprechend der jeweiligen TTLs (= Time-To-Live) stattfinden. So ist die erfolgreiche Validierung der Zone jederzeit möglich.

KEY ROLLOVER Rollover des Zone Signing Keys (ZSK) werden von RcodeZero DNS je nach Bedarf selbstständig abgewickelt. Natürlich können auch Sie als Zonenbetreiber jederzeit einen Rollover des Key Signing Keys (KSK) veranlassen. In diesem Fall müssen Sie den Fingerprint des neuen Keys (DS-Record) in der übergeordneten Zone eintragen um den Rollover abzuschließen. RcodeZero DNS

NAMESERVER Bei RcodeZero DNSSEC Complete können nicht nur die Nameserver von RcodeZero DNS in den NS Records der Zone eingetragen werden. Dank des Features Outbound Zone Transfer mit DNSSEC AXFR inkl. TSIG können Sie auch Ihre eigenen Nameserver eintragen. 5

RcodeZero DNS: Anycast at Anytime for Anyone! Ein eigenes Anycast DNS Netzwerk aufzubauen und zu warten ist teuer und zeitintensiv. Warum also diese Services selbst entwickeln? Sparen Sie Geld und Ressourcen, indem Sie auf einen professionellen und erfahrenen Partner setzen.

RcodeZero DNS ist die perfekte Erweiterung jeder DNS Infrastruktur:

FÜR TOP LEVEL DOMAIN REGISTRIES RcodeZero DNS ist die ideale Lösung für Top-Level-Domain Registries, weil es die hohen Anforderungen sowohl an Verfügbarkeit als auch an Sicherheit erfüllt. Mit RcodeZero DNS können Sie als TLD-Betreiber in kürzester Zeit die Effizienz Ihres Nameserver-Netzwerks steigern. Das Resultat: Höhere Ausfallsicherheit, bessere Leistungsfähigkeit und geringere Latenzzeiten für Kunden.

FÜR INTERNET SERVICE PROVIDER & REGISTRARE Noch immer gibt es viele Internet Service Provider, deren NameserverNetzwerk ausschließlich auf wenigen Unicast-Instanzen beruht. Mit RcodeZero DNS ist nun eine neue Leistungsklasse an DNS Service verfügbar, von dem Sie als ISP und Ihre Kunden gleichermaßen profitieren: Sie halten Ihre DNS Infrastruktur am technologisch letzten Stand – optimale Performance, unbeschränkte Skalierbarkeit und professionelles Management inklusive. RcodeZero  DNS macht Ihren DNS Dienst IPv6-fähig, selbst wenn Ihre eigene Infrastruktur noch auf IPv4 basiert. All das trägt dazu bei, dass die Domains Ihrer Kunden besser verfügbar und ausfallsicherer werden. RcodeZero DNS hebt Sie positiv vom Mitbewerb ab und kann Grundlage für neue Produkte sein.

6

FÜR ENTERPRISE KUNDEN RcodeZero DNS bedeutet für Unternehmen eine maximale Verbesserung ihrer DNS Infrastruktur mit minimalem Aufwand. Anwendern bringt RcodeZero DNS Technologie kürzere Antwortzeiten, höhere Verfügbarkeit und größere Auslastungskapazitäten – selbst bei maximalen Abfrage-Raten in Spitzenzeiten.

WIR HABEN AUCH FÜR SIE DIE PASSENDE LÖSUNG! RcodeZero DNS

7

WER IST ipcom? ipcom ist eine Tochterfirma von nic.at, der österreichischen Domain-Registry. nic.at beweist seit 1998 Verlässlichkeit und Professionalität im Betrieb der .at-Zone. Das RcodeZero DNS Netzwerk wurde von der nic.at Forschungs- und Entwicklungsabteilung realisiert und ist unter anderem erfolgreich für Top Level Domains wie .at, .versicherung, .berlin, .hamburg und einige mehr im Einsatz. Das externe Nameserver-Monitoring RIPE NCC belegt, dass .at eine der stabilsten und am besten erreichbaren Top Level Domains ist. Vertrauen Sie auf unsere Erfahrung für Ihre DNS Diversität und Sicherheit.

ipcom GmbH Karlsplatz 1/2/9 · 1010 Wien · Austria T +43 1 294 00 40 -510 · F -29 [email protected] · www.rcodezero.at

Status date: June 2017