Mitgliedschaften

Mitgliedschaften

Warum stellt tal.de seine DNS-Server nicht mehr öffentlich zur Verfügung?

Weil offene DNS-Server für Angriffe auf Dritte genutzt werden können und diese Technik inzwischen leider verstärkt genutzt wird. Wir tun das nur sehr ungern, weil es für alle Beteiligten letztlich auch praktisch war. Letzten Endes bleibt uns aber keine andere Möglichkeit, weil es immer mehr Menschen gibt, die andere schädigen wollen und dabei auch noch Unbeteiligte hineinziehen.  

Wer ist betroffen?

Kunden, die unsere DNS-Server 81.92.1.1 und 81.92.1.2 über unsere Internet-Anbindung nutzen, sind genauso wenig betroffen wie Kunden, die ihre DNS-Server automatisch zuweisen lassen.

Betroffen sind diejenigen, die zwar unsere DNS-Server nutzen, aber dies nicht über einen Internet-Anschluss von uns tun. Das könnte z.B. für Kunden gelten, die ein Webhosting von uns nutzen und irgendwann mal unsere DNS-Server zur Namensauflösung eingetragen haben (auch wenn das eigentlich in dem Fall wenig sinnvoll war, aber es hat eben funktioniert). Oder wenn Sie die DNS-Server im Laptop fest eingetragen haben und damit zwischen verschiedenen Internetanbindungen (z.B. auf Arbeit und zuhause) pendeln.  

Potenziell gefährdet sind natürlich nicht nur Arbeitsplatz-Rechner, sondern auch Router oder Server, z.B. interne Mailserver usw. Dort wurden unsere DNS-Server vielleicht irgendwann einmal eingetragen und nach dem Motto „never change a running system“ dann auch nie ausgetragen, obwohl das vielleicht irgendwann sinnvoll gewesen wäre.  

Leider haben wir keine Chance herauszufinden, wer aus unserer Sicht von außen über irgendwelche fremden IP-Adressen unsere DNS-Resolver nutzt, daher bleibt uns nur der Weg über die allgemeine Information. 

Wie wird die Abschaltung ablaufen?

Um die Auswirkung möglichst gering zu halten, werden wir am 1. August, zunächst tagsüber, für einige Stunden den Dienst von außen nur teilweise einschränken, in dem wir populäre, aber kommerziell hoffentlich verzichtbare Webseiten wie Nachrichtenseiten usw. auf eine Fehlerseite umleiten. Zuletzt werden wir - auch wieder nur tagsüber - stundenweise die komplette DNS-Funktion abschalten. Letzteres wird jedoch frühestens ab dem 15. September (mit Blick auf die Sommerferien in den südlichen Bundesländern) erfolgen.

Wie kann ich herausfinden, ob ich betroffen bin?

Eigens dafür haben wir eine kleine Website eingerichtet:

http://www.taldns.de

Diese zeigt Ihnen mit einer einfachen Ampel an, ob es ein Problem geben wird (rot), oder ob alles in Ordnung ist (grün).  

Wenn Sie Freunden und Bekannten mal die Empfehlung gegeben haben, unsere Nameserver zu nutzen und nicht sicher sind, ob diese noch unsere DNS-Server nutzen, so geben Sie vielleicht die Adresse mal weiter. Keine Angst, die Seite ist malwarefrei :-).

Wieso hat tal.de überhaupt offenes DNS-Resolving eingesetzt?

Wir selbst haben seit den 90er-Jahren unsere DNS-Server als offene Resolver betrieben - wie es damals eben üblich war. Jeder, der die Adressen unserer DNS-Server kannte, konnte - und kann bis heute - diese Adressen bei sich eintragen und nutzen.

Als sich später herausstellte, dass sich offene DNS-Resolver auch missbrauchen lassen, war es schon zu spät, um einfach die DNS-Server nach außen abzuschalten. Eine Vielzahl von Nutzern hatte unsere DNS-Adressen in Rechnern, vermutlich auch in Routern und Servern eingetragen. Es war eben bequem, wenn z.B. Probleme mit DNS vermutet wurden, einfach mal unsere DNS-Adressen einzutragen, und wenn dies das Problem gelöst hat, blieben die Adressen in der Regel erst mal drin stehen. Möglicherweise auch in Rechnern, die früher einmal hinter einem DSL-Anschluss bei uns liefen, heute aber längst woanders stehen.

Wir sehen jedenfalls in unseren DNS-Servern eine Vielzahl von typischen DNS-Anfragen, die von außerhalb unseres Netzes stammen. Würden wir heute einfach das offene DNS-Resolving unserer Server abschalten, wäre vermutlich eine nicht unerhebliche Zahl an Rechnern betroffen.

Zwar haben wir einige Maßnahmen ergriffen, die einen Missbrauch unserer Server eingrenzen, aber eine letztendliche Lösung des Problems ist es nicht. Niemand muss unsere DNS-Server wirklich von außen nutzen, da alle Provider ihren Kunden eigene DNS-Server zur Verfügung stellen, darüber hinaus bieten OpenDNS, Google usw. freie DNS-Server (die natürlich entsprechend missbrauchsfest sind) an. Nicht zuletzt kann auch auf jedem Betriebssystem kinderleicht ein unabhängig arbeitender DNS-Server betrieben werden.


Haben Sie Fragen? Wir beantworten sie gerne!
Telefon: 0202 - 495-0


 

 

Hotline 0202 495-390

Support-Hotline

Sie erreichen unseren technischen Support montags bis freitags zwischen 8 Uhr und 18 Uhr unter 0202/495-390, oder alternativ per E-Mail an support@tal.de.