DNS Tools

Einer der am meisten unterschätzten Dienste im Internet und auch in vielen lokalen Netzwerken dürfte wohl der DNS Dienst sein. Erst wenn er ausgefallen ist bekommen wir zu spüren das nichts mehr funktioniert und Namensauflösung nicht gerade unwichtig ist. Zusätzlich gibt es durch sog. Virtual Hosts sogar die Anforderung eine funktionierende Namensauflösung zu haben, den ein Webserver mit mehreren Hosts benötigt in der Anfrage zwingend den Hostname und nicht nur eine IP die man sich vielleicht noch merken konnte.

Es gibt insgesamt 5 Tools für DNS welche ich sehr gerne benutze, das wären:

host

Der Standard um zu schauen ob man einen Namen oder eine IP aufgelöst bekommt.

dig

Für Profis das Tool der Wahl wenn es um DNS Records geht und ein Fehler zu suchen ist.

nsupdate

Änderungen an DNS Records ohne ein Zone File manuell bearbeiten zu müssen.

rndc

Nützliches Tool um den Bind Nameserver auf die Sprünge zu helfen.

dnstop

Schauen was im Netzwerk eigentlich los ist.

host

Ist wohl bei den ganzen DNS Tools das am weitesten verbreitete, es gibt davon viele verschiedene Implementierungen mit teilweise vielen besonderen Features. Die Grundlegende Funktion ist aber das Auflösungen von Rechnernamen zu IP Adressen und zurück. Alle weiteren Features sind Optional und je nach Implementierung nicht vorhanden. Die Anwendung von host erfordert keine Erläuterung:

[stefan@pc2007 ~]$ host server.hornynet
server.hornynet has address 192.168.1.1
server.hornynet has IPv6 address fd07:4763:c4fd:8192::1
[stefan@pc2007 ~]$ host 192.168.1.1
1.1.168.192.in-addr.arpa domain name pointer server.hornynet.

dig

Gerne darf es etwas mehr sein, und hierfür nutzt man in der Regel das Tool dig. Der größte und wichtigste Vorteil von dig gegenüber host ist der hohe Informationsgehalt:

[stefan@pc2007 ~]$ dig server.hornynet

; <<>> DiG 9.9.2-P2 <<>> server.hornynet
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14980
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;server.hornynet.               IN      A

;; ANSWER SECTION:
server.hornynet.        86400   IN      A       192.168.1.1

;; AUTHORITY SECTION:
hornynet.               86400   IN      NS      server.

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat May 11 15:16:08 2013
;; MSG SIZE  rcvd: 80

Hier sehen wir unter anderem folgende Informationen:

• Antwort auf unsere Anfrage
• TTL Zeit vom Record (wichtig bei Sachen wie dynamischem DNS)
• Zeit die der Nameserver für die Antwort benötigt hat
• Welcher Server uns geantwortet hat
• Ob es beim bearbeiten unserer Anfrage Probleme gab

nsupdate

Um Änderungen am DNS durchzuführen hat man früher und auch heute noch in einigen Heimnetzwerken diese direkt in das entsprechende Zone File geschrieben. Das Zone File ist der Ort von welchem der DNS Server seine Informationen über einen bestimmten Bereich des DNS bezieht, meist also die eigenen Domains.

Das manuelle bearbeiten von Zone Files ist dabei relativ Fehlerträchtig und erfordert Zugriff auf das Dateisystem des DNS Servers. Die wenigsten Provider werden daher dem Anwender direkten Zugriff auf diesen (wichtigen) Dienst geben. Um Änderungen auch Remote durchführen zu können gibt es das Tool nsupdate. Mit diesem Tool können einem DNS Server über ein definiertes Protokoll die Änderungen zugespielt werden, dieser schreibt diese (wenn valide) in das Zone File und informiert wenn erforderlich auch gleich Slave Nameserver. Der größte Vorteil ist das hierbei gleiche eine Syntaxprüfung durchgeführt wird und der Nameserver nicht neu gestartet werden muss.

In der Praxis sieht das Anlegen eines neuen Hosts dann so aus:

[stefan@pc2007 ~]$ nsupdate -l
> update add server.hornynet. 86400 A 192.168.1.1
> send

rndc

Speziell für mich als Freund des bind Nameservers ist auch rndc ein nützliches Tool. Es wird zur Verwaltung dieses Dienstes verwendet, aber nicht zum bearbeiten der Zone Files sondern wirklich nur für den Dienst an sich. Eine gängige Anwendung wäre das neuladen der Zonen, oder aber auch das Einfrieren einer Zone. Eine Zone die eingefroren ist kann nicht mehr über Tools wie nsupdate verändert werden. Man kann sich aber auch nur den Status vom Server geben lassen:

[root@server ~]# rndc status
version: 9.9.2-P2 (version.bind/txt/ch disabled)
number of zones: 39
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running

dnstop

Ein weiteres Tool welches ich gerne verwende, und auch das letzte in diesem Artikel, ist dnstop. Es handelt sich dabei um ein Tool welches auf einem Netzwerkinterface Traffic mitschneidet und Statistiken über den DNS Dienst anlegt.

Das ganze ist sehr informartiv, vor allem Datenschützer wundern sich immer wieder wie viele DNS Anfragen zu Diensten die man eigentlich nicht nutzen möchte rausgehen. Gleichzeitig kann man so auch sehen ob sich ggf. der Einsatz eines DNS Caches lohnt, den gerade bei Veranstaltungen im Bereich von > 20 Personen habe ich schon festgestellt das eine Fritzbox oder ein Telekom Speedport Router gerne mal bei vielen Anfragen in die Knie geht und die Gesamtperformance (wenn man davon bei einem SOHO Router überhaupt sprechen kann) spürbar leidet.

Fazit

Es lohnt sich mal die wichtigsten Tools anzuschauen, spätestens im Fehlerfall ist jedes dieser Tools Gold wert und spart wenn man damit umgehen kann viel Zeit.

DNS Tools

Einer der am meisten unterschätzten Dienste im Internet und auch in vielen lokalen Netzwerken dürfte wohl der DNS Dienst sein. Erst wenn er ausgefallen ist bekommen wir zu spüren das nichts mehr funktioniert und Namensauflösung nicht gerade unwichtig ist. Zusätzlich gibt es durch sog. Virtual Hosts sogar die Anforderung eine funktionierende Namensauflösung zu haben, den ein Webserver mit mehreren Hosts benötigt in der Anfrage zwingend den Hostname und nicht nur eine IP die man sich vielleicht noch merken konnte.

Es gibt insgesamt 5 Tools für DNS welche ich sehr gerne benutze, das wären:

host

Der Standard um zu schauen ob man einen Namen oder eine IP aufgelöst bekommt.

dig

Für Profis das Tool der Wahl wenn es um DNS Records geht und ein Fehler zu suchen ist.

nsupdate

Änderungen an DNS Records ohne ein Zone File manuell bearbeiten zu müssen.

rndc

Nützliches Tool um den Bind Nameserver auf die Sprünge zu helfen.

dnstop

Schauen was im Netzwerk eigentlich los ist.

host

Ist wohl bei den ganzen DNS Tools das am weitesten verbreitete, es gibt davon viele verschiedene Implementierungen mit teilweise vielen besonderen Features. Die Grundlegende Funktion ist aber das Auflösungen von Rechnernamen zu IP Adressen und zurück. Alle weiteren Features sind Optional und je nach Implementierung nicht vorhanden. Die Anwendung von host erfordert keine Erläuterung:

[stefan@pc2007 ~]$ host server.hornynet
server.hornynet has address 192.168.1.1
server.hornynet has IPv6 address fd07:4763:c4fd:8192::1
[stefan@pc2007 ~]$ host 192.168.1.1
1.1.168.192.in-addr.arpa domain name pointer server.hornynet.

dig

Gerne darf es etwas mehr sein, und hierfür nutzt man in der Regel das Tool dig. Der größte und wichtigste Vorteil von dig gegenüber host ist der hohe Informationsgehalt:

[stefan@pc2007 ~]$ dig server.hornynet

; <<>> DiG 9.9.2-P2 <<>> server.hornynet
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14980
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;server.hornynet.               IN      A

;; ANSWER SECTION:
server.hornynet.        86400   IN      A       192.168.1.1

;; AUTHORITY SECTION:
hornynet.               86400   IN      NS      server.

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat May 11 15:16:08 2013
;; MSG SIZE  rcvd: 80

Hier sehen wir unter anderem folgende Informationen:

• Antwort auf unsere Anfrage
• TTL Zeit vom Record (wichtig bei Sachen wie dynamischem DNS)
• Zeit die der Nameserver für die Antwort benötigt hat
• Welcher Server uns geantwortet hat
• Ob es beim bearbeiten unserer Anfrage Probleme gab

nsupdate

Um Änderungen am DNS durchzuführen hat man früher und auch heute noch in einigen Heimnetzwerken diese direkt in das entsprechende Zone File geschrieben. Das Zone File ist der Ort von welchem der DNS Server seine Informationen über einen bestimmten Bereich des DNS bezieht, meist also die eigenen Domains.

Das manuelle bearbeiten von Zone Files ist dabei relativ Fehler trächtig und erfordert Zugriff auf das Dateisystem des DNS Servers. Die wenigsten Provider werden daher dem Anwender direkten Zugriff auf diesen (wichtigen) Dienst geben. Um Änderungen auch Remote durchführen zu können gibt es das Tool nsupdate. Mit diesem Tool können einem DNS Server über ein definiertes Protokoll die Änderungen zugespielt werden, dieser schreibt diese (wenn valide) in das Zone File und informiert wenn erforderlich auch gleich Slave Nameserver. Der größte Vorteil ist das hierbei gleiche eine Syntaxprüfung durchgeführt wird und der Nameserver nicht neu gestartet werden muss.

In der Praxis sieht das Anlegen eines neuen Hosts dann so aus:

[stefan@pc2007 ~]$ nsupdate -l
> update add server.hornynet. 86400 A 192.168.1.1
> send

rndc

Speziell für mich als Freund des bind Nameservers ist auch rndc ein nützliches Tool. Es wird zur Verwaltung dieses Dienstes verwendet, aber nicht zum bearbeiten der Zone Files sondern wirklich nur für den Dienst an sich. Eine gängige Anwendung wäre das neu laden der Zonen, oder aber auch das Einfrieren einer Zone. Eine Zone die eingefroren ist kann nicht mehr über Tools wie nsupdate verändert werden. Man kann sich aber auch nur den Status vom Server geben lassen:

[root@server ~]# rndc status
version: 9.9.2-P2 (version.bind/txt/ch disabled)
number of zones: 39
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running

dnstop

Ein weiteres Tool welches ich gerne verwende, und auch das letzte in diesem Artikel, ist dnstop. Es handelt sich dabei um ein Tool welches auf einem Netzwerkinterface Traffic mitschneidet und Statistiken über den DNS Dienst anlegt.

Das ganze ist sehr informartiv, vor allem Datenschützer wundern sich immer wieder wie viele DNS Anfragen zu Diensten die man eigentlich nicht nutzen möchte rausgehen. Gleichzeitig kann man so auch sehen ob sich ggf. der Einsatz eines DNS Caches lohnt, den gerade bei Veranstaltungen im Bereich von > 20 Personen habe ich schon festgestellt das eine Fritzbox oder ein Telekom Speedport Router gerne mal bei vielen Anfragen in die Knie geht und die Gesamtperformance (wenn man davon bei einem SOHO Router überhaupt sprechen kann) spürbar leidet.

Fazit

Es lohnt sich mal die wichtigsten Tools anzuschauen, spätestens im Fehlerfall ist jedes dieser Tools Gold wert und spart wenn man damit umgehen kann viel Zeit.

Datenschutzbeauftragte der Regierung

Das mit dem Datenschutz ist schon eine tolle Sache, wir haben in diesem Land und in vielen Unternehmen sogar sog. Datenschutzbeauftragte. Deren Job ist es dafür zu sorgen das Daten nur so wenig wie möglich gespeichert werden um einen Missbrauch vorzubeugen. Das klingt auf den ersten Blick sinnvoll, ist es auch, jedoch haben wir da in der Praxis ein paradoxes Problem: Auch die Regierung hat Datenschutzbeauftragte.

Doch wann immer unsere Rechte aufgeweicht werden sind diese Personen nicht oder zu leise am Werk, wenn jedoch ein Unternehmen wie Google oder Facebook seine AGBs verändert geht deren Arbeit so richtig los. Man möchte also ein Unternehmen dessen Dienste die meisten Personen (wenn auch aus Unwissenheit) freiwillig nutzen vor Gericht ziehen, und so eine Art Exempel für den guten alten Datenschutz statuieren. Auch wenn ein Unternehmen Daten von nicht verschlüsselten WLAN Netzwerken schneidet, sind diese Personen (Amtsinhaber) an der Front und setzen sich für die Bürger ein.

Aber wann verklagt einer dieser Datenschutzbeauftragten der Regierung endlich mal Deutschland? Wann verklagt ein derartiger Datenschutzbeauftragter endlich mal die Stasiparteien (CDU, CSU, SPD, …) anstatt sich über die AGBs freiwillig nutzbarer Dienste aufzuregen? Wann geht ein dieser Amtsinhaber gegen die Überwachung von Schülern in Schulen aufgrund möglicher Urheberrechtsverletzungen vor?

Ich finde es nicht gut was Google da macht, ich finde es auch nicht gut das Daten von öffentlichen WLANs mitgeschnitten wurden oder Facebook den Nutzer aussaugt. Aber hier hat der Anwender noch eine Wahl, den Nutzer kann auf Facebook, Google und viele andere verzichten. Diese Möglichkeit hat er bei den Überwachungsgesetzen der letzten Jahre nicht, weder bei der Bestandsdatenauskunft noch bei der Vorratsdatenspeicherung (R.I.P.) hatte er diese Option. Aber eins ist sicher, die Medien werden wieder mitmachen, den Unternehmen wie Google sind das pure böse, das wissen wir spätestens seit StreetView ein Sommerlochthema war und Hausfassaden Persönlichkeitsrechte haben.

Sofortüberweisung

Ein meiner Meinung nach überflüssiger und ausgesprochen dämlicher Dienst ist aktuell wieder in den Medien. Die Rede ist natürlich von Sofortüberweisung.de, einem Dienst der das schnelle und sichere Bezahlen im Internet ermöglichen soll.

Wer sich mit dem Prinzip beschäftigt hat, kann bei diesem Dienst nur mit dem Kopf schütteln, das ganze mag schnell sein, vielleicht auch bequem, aber auf keinen Fall sicher. Denn unabhängig von den AGBs seiner Bank sollte man den Zugang zu seinem Online Banking niemandem überlassen. Wenn ich in der Bäckerei einkaufe gebe ich dem Verkäufer der Backwaren auch nur einen bestimmten Geldbetrag, und nicht gleich meinen ganzen Geldbeutel inkl. EC Karten und passender PIN Nummern.

Das bisherige Bezahlsysteme nicht ausreichend sind ist meiner Meinung nach auch keine Rechtfertigung für dieses hässliche Workaround. Ich selbst kaufe nichts über diesen Dienst, und werde es auch in Zukunft nicht unterstützen.

Bisher ist noch nicht viel passiert, aber es ist nur eine Frage der Zeit, da hilft auch eine vermeintliche doppelte Verschlüsselung der PIN und TAN nichts. Ich werde mir das von Außen ansehen, und schon mal für einen entsprechenden Vorrat an Popcorn sorgen wenn der Laden Probleme bekommt ;-)

Feiertage, Urlaub, Erholung

In den vergangenen Tagen habe ich wieder mit einigen Menschen aus aktuellem Anlass über Feiertage und deren Sinn sprechen können. Ich mag dieses Thema sehr, man bekommt sehr viel verschiedene Eindrücke was Leute an diesen Tagen machen und aus welchen Gründen Leute bestimmte Feiertage gut oder schlecht finden.

Ich bin aber auch ein Mensch der sich sehr für Gleichberechtigung interessiert, unabhängig davon welche Ursache eine Diskriminierung haben mag, ich lehne diese ab und versuche mich dagegen einzubringen. Und damit fangen wir mal mit dem Thema Feiertage an: In Deutschland gibt es Feiertage welche je nach Bundesland verschieden sind, und dann noch welche die Bundeseinheitlich sind. Meiner Meinung nach müssen Feiertage für alle in einem Land (Deutschland, nicht Bundesland!) gleichermaßen gelten. Es ist meiner Meinung nach nicht vermittelbar das ein Arbeitnehmer aus Thüringen weniger Feiertage als jemand aus Bayern hat. Zumal die Differenzierung nach Ort des Arbeitgebers erfolgt, und nicht nach Zugehörigkeit einer bestimmten Religion.

Wenn wir uns unabhängig davon die Feiertage anschauen, stellen wir erschreckend fest das lediglich 3 Feiertage der maximal 13 nicht religiöse Gründe haben. Das sind Neujahr, Tag der Arbeit und der Tag der deutschen Einheit. Dazu kommen viele religiöse, genauer christliche, Feiertage welche wir jedes Jahr feiern und teilweise auch gedenken sollten.

Bestimmte dieser Feiertage sind noch dazu stille Feiertage, also per Gesetz definierte Tage an welchen ich z.B. nicht in eine Diskothek (Zappelschuppen) gehen darf, obwohl ich keiner Religion angehöre oder aber die Disko im Industriegebiet liegt, wo niemand beim "Gedenken" gestört werden könnte. Nur eine Minderheit dürfte an diesen Tagen tatsächlich dem Ereignis Gedenken, redet man mit vielen wissen diese nicht warum Karfreitag überhaupt ein Feiertag ist, und was damals passiert ist das es einer dieser stillen Feiertage wurde.

Jedem steht es frei an seine Religion zu glauben, ein Recht das ich als ungläubiger jedem Menschen zugestehe, aber das Wirken einer Religion darf und soll keinen Einfluss auf Menschen haben die sich mit dieser nicht identifizieren können oder wollen.

Betrachten wir also nachfolgend die Feiertage so wie es wohl die meisten Menschen in diesem Land tun: Freizeit. Freizeit ist die Zeit in welcher wir uns von der Arbeit und dem Stress erholen. Freizeit ist wichtig, kein Mensch kann durchgehend 100% Leistung bringen und es wäre auch ungesund dies auf Dauer zu tun. Aus diesem Grund haben wir z.B. per Gesetz einen Anspruch auf Urlaub, und zwar 24 Tage bei einer 6-Tage Woche oder 20 Tage bei einer 5 Tage Woche. Zusätzlich zu diesem Urlaub kommen noch je nach Bundesland 9-13 Feiertage und jede Woche ein Tag an dem wir nicht arbeiten dürfen (meist Sonntag, in der Gastronomie wechselnd).

Im besten Fall haben wir also 20 Tage Urlaub (5 Tage Woche), 13 Feiertage und dann noch maximal 52 Samstage und 52 Sonntage an welchen wir nicht arbeiten werden. Insgesamt also 137 Tage im Jahr an welche wir nicht Arbeiten gehen, je nach Tarifvertrag sogar noch einiges mehr. Nicht jeder von uns kann diese rechnerische Zeit tatsächlich nutzen, zu viele müssen Aufgrund von prekären Beschäftigungsverhältnissen und Multijobs arbeiten obwohl eine Erholung dringend erforderlich wäre. Auch hat sich das Arbeitszeitmodell vieler Firmen wesentlich verändert, Jahresarbeitszeit oder sogar Vertrauenszeit sind Salonfähig geworden und in vielen Unternehmen etabliert.

Doch im Gegensatz zu den flexiblen Arbeitszeiten sind unseren Feiertage ein sehr starres Modell mit teilweise fragwürdigen Konstruktionen (stille Feiertage). Nachfolgend daher mal eine Idee wie man dies reformieren könnte, zum einen um flexibler zu werden, zum anderen um auch den Bedarf an Freizeit und damit Erholung zu erhalten oder zu verbessern.

Arbeitszeit

Die wöchentliche Arbeitszeit für Arbeitnehmer muss von den aktuellen 50 Stunden auf 40 Stunden gesenkt werden. Ebenfalls kann es nicht sein das Arbeitnehmer an 6 Tagen die Woche arbeiten müssen. So entstehen gleichmäßigere Arbeitszeiten und gleichzeitig hat jeder Arbeitnehmer 2 Tage die Woche frei, Tage welche vor allem den Familien zu gute kommen werden.

Urlaub

30 Tage Urlaub halte ich selbst für angebracht, nicht genommener Urlaub darf nicht verfallen sondern muss in geeigneter Art mit der Rente verrechnet werden. Wer also während seines Arbeitslebens häufig nicht seinen ganzen Urlaub genommen hat, muss später die Möglichkeit bekommen ohne weitere Abzüge entsprechend früher in Rente zu gehen.

Feiertage

Religiöse Feiertage sind genauso wie die Regelung für stille Feiertage abzuschaffen, die Alternative hierzu wäre das jeder die Feiertage seiner Religion bekommt was aber organisatorisch ein Chaos wäre und gleichzeitig viel Missbrauchspotential bieten würde. Doch da uns Erholung wichtig ist soll hierfür ein Ausgleich geschaffen werden, also neue Bundesweit einheitliche Feiertage, und zwar 12 Stück, also einen für jeden Monat. Denn warum gedenken wir nicht dem Ende des 2. Weltkrieges? Warum gedenken wir nicht der Erfindung der Elektrizität? Warum gedenken wir nicht der Gründung der EU? Warum gibt es keinen Feiertag Tag der Familie?

Arbeitszeitmodelle

Eine Reform müsste aber auch berücksichtigen das es moderne Arbeitszeitmodelle gibt, das bedeuete diesen Personen muss die gleiche Freizeit zustehen wie Arbeitnehmern mit weniger flexiblen Modellen, die Einteilung wann diese Erholungszeit ist muss dann aber auf Eigeninitiative möglich sein. Auch hier sollte nicht genommene Freizeit positive Auswirkungen auf den Renteneintritt haben. Dies umzusetzen ist aber sehr schwer, vor allem bei der Vertrauensarbeitszeit.

Ein Nachteil wird mit diesen Ideen aber nicht behoben: Es handelt sich nach wie vor um ein starres System, es ist durch etwas mehr Urlaub ein kleinen wenig Flexibler. Eine Idee vor wenigen Tagen dies weiter zu Flexibilisieren habe ich wieder verworfen (Danke für eure Kommentare). Ich denke aber das diese Ideen in die richtige Richtung gehen, und wir so ein System haben welches Familien unterstützt und zumindest für eine angemessene Erholung sorgt.

Bevor ihr selbst rechnet: Mein Vorschlag hat 146 Tage an denen nicht gearbeitet wird, dazu noch weniger Arbeitszeit und eine 5-Tage anstatt einer 6-Tage Arbeitswoche.