Schutz vor hängenden Delegierungsdatensätzen in Route 53 - Amazon Route 53
Beispiele

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schutz vor hängenden Delegierungsdatensätzen in Route 53

Mit Route 53 kann ein Kunde eine gehostete Zone erstellen, um beispielsweise example.com seine DNS Datensätze zu hosten. Jede gehostete Zone verfügt über einen „Delegierungssatz“, der aus vier Nameservern besteht, die ein Kunde zur Konfiguration von NS-Datensätzen in der übergeordneten Domäne verwenden kann. Diese NS-Einträge können als „Delegations-NS-Einträge“ oder „Delegierungseinträge“ bezeichnet werden.

Damit die gehostete example.com Route 53 53-Zone autoritativ wird, muss der rechtmäßige Eigentümer der example.com Domain Delegierungseinträge in seiner übergeordneten Domain „.com“ über den Domain-Registrar konfigurieren. In Fällen, in denen ein Kunde den Zugriff auf die vier in der übergeordneten Domain konfigurierten Nameserver verliert, beispielsweise weil die zugehörige Hosting-Zone gelöscht wurde, kann dies ein Risiko darstellen, das ein Angreifer ausnutzen kann. Dieses Risiko wird als „hängengebliebene Delegationsdaten“ bezeichnet.

Route 53 schützt vor dem Risiko eines hängenden Delegierungsdatensatzes für den Fall, dass eine gehostete Zone gelöscht wird. Wenn nach dem Löschen eine neue gehostete Zone mit demselben Domänennamen erstellt wird, überprüft Route 53, ob die Delegierungseinträge, die auf die gelöschte Hosting-Zone verweisen, noch in der übergeordneten Domäne vorhanden sind. Wenn dies der Fall ist, verhindert Route 53, dass sich überschneidende Nameserver zugewiesen werden. Dies ist Szenario 1 in den folgenden Beispielen.

Es gibt jedoch noch andere Risiken im Zusammenhang mit Delegierungsdaten, vor denen Route 53 nicht schützen kann, wie in den folgenden Beispielen in den Szenarien 2 und 3 beschrieben. Um sich vor diesen umfassenderen Risiken zu schützen, stellen Sie sicher, dass die übergeordneten NS-Einträge mit dem Delegierungssatz für die gehostete Route 53-Zone übereinstimmen. Sie finden den Delegierungssatz einer Hosting-Zone über die Route 53-Konsole oder AWS CLI. Weitere Informationen finden Sie unter Auflisten von Datensätzen oder get-hosted-zone.

Darüber hinaus kann die Aktivierung der DNSSEC Signatur für eine gehostete Route 53 53-Zone als weitere Schutzebene dienen, die über die oben genannten bewährten Methoden hinausgeht. DNSSECauthentifiziert, dass die DNS Antworten von der autoritativen Quelle stammen, und schützt so effektiv vor diesem Risiko. Weitere Informationen finden Sie unter Konfiguration der DNSSEC Anmeldung in Amazon Route 53.

Beispiele

In den folgenden Beispielen gehen wir davon aus, dass Sie über eine Domäne example.com und deren untergeordnete Domäne verfügen. child.example.com Wir werden erklären, wie in verschiedenen Szenarien fehlerhafte Delegierungsdatensätze erstellt werden können, wie Route 53 Ihre Domain vor Missbrauch schützt und wie Sie die Risiken, die mit unbrauchbaren Delegierungsdatensätzen verbunden sind, wirksam mindern können.

Szenario 1:

<ns3><ns4>Sie erstellen eine gehostete Zone child.example.com mit vier Nameservern:<ns1>,<ns2>, und. Sie richten die Delegierung in der Hosting-Zone example.com ordnungsgemäß ein und erstellen Delegierungs-NS-Einträge für child.example.com vier Nameserver <ns1><ns2>,<ns3>, und<ns4>. Wenn die child.example.com gehostete Zone gelöscht wird, ohne dass die Delegierungs-NS-Einträge entfernt werdenexample.com, schützt Route 53 vor child.example.com dem Risiko der Übertragung von Delegierungseinträgen <ns1><ns2><ns3>, indem verhindert wird,, und dass <ns4>neu erstellten Hosting-Zonen mit demselben Domainnamen zugewiesen werden.

Szenario 2:

Ähnlich wie in Szenario 1, aber dieses Mal löschen Sie die untergeordnete gehostete Zone, AND die die Delegierungs-NS-Einträge in der Hosting-Zone example.com aufzeichnet. Sie fügen jedoch Delegations-NS-Einträge<ns1>,, <ns2><ns3>und wieder hinzu, <ns4>ohne eine untergeordnete gehostete Zone zu erstellen. In diesem Fall <ns1><ns2><ns3><ns4>handelt es sich bei,, und um Delegierungsdatensätze, da Route 53 den Hold entfernt, der die <ns1><ns2><ns3><ns4>Zuweisung von,, und verhinderte, und ermöglicht nun neu erstellten Hosting-Zonen die Verwendung der oben genannten Nameserver. Um das Risiko zu minimieren, entfernen Sie, <ns1><ns2><ns3>, und <ns4>aus den Delegierungsdatensätzen und fügen Sie sie erst wieder hinzu, wenn die untergeordnete gehostete Zone erstellt wurde.

Szenario 3:

<ns4>In diesem Szenario erstellen Sie einen wiederverwendbaren Route 53-Delegierungssatz mit den Nameservern <ns1><ns2>,<ns3>, und. Anschließend delegieren Sie die Domäne example.com an diese Nameserver in der übergeordneten Domäne.com. Sie haben die Hosting-Zone für example.com jedoch noch nicht im wiederverwendbaren Delegierungssatz erstellt. Hier, <ns1><ns2><ns3>, und hängen <ns4>die Delegierungsdatensätze. <ns4>Um das Risiko zu minimieren, erstellen Sie die Hosting-Zone mithilfe des wiederverwendbaren Delegierungssatzes mit den Nameservern<ns1>, <ns2><ns3>, und.