Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

18

Ich habe meinen Hoster gebeten, drei Subdomains hinzuzufügen, die alle auf die IP des A-Datensatzes verweisen. Es scheint, als hätte er einfach einen Wildcard-DNS-Eintrag hinzugefügt, da jetzt eine zufällige Subdomain in meine IP aufgelöst wird. Dies ist aus technischer Sicht in Ordnung für mich, da es keine Subdomains gibt, die irgendwo anders hinweisen. Andererseits mag ich es nicht, wenn er nicht tut, wonach ich gefragt habe. Und deshalb frage ich mich, ob es noch andere Gründe gibt, ihm zu sagen, dass er das ändern soll. Sind da irgendwelche?

Der einzige negative Punkt, den ich gefunden habe, ist, dass jemand mit meiner Website verlinkt werden kann http://i.dont.like.your.website.mywebsite.tld.

problemofficer
quelle
8
Jemand könnte über " i.dont.like.your.website.mywebsite.tld " eine Verbindung zu Ihrem Server herstellen, aber Ihr Server sollte nicht antworten, es sei denn, er ist so konfiguriert, dass er darauf antwortet (über Host-Header oder virtuelle Hosts).
Joeqwerty
6
In einigen Fällen können Platzhalter erforderlich sein. Zum Beispiel können Multi-Tenant - Webapps wie Wordpress , um automatisch laichen neue Instanzen konfiguriert werden , Sub-Domains mit - zB site1.blog.example.com, site2.blog.example.com - mit dem Wildcard im Ort für *.blog.example.comSie don müssen nicht einzeln konfiguriert werden.
Jscott

Antworten:

16

Wenn Sie jemals einen Computer in diese Domäne versetzen, treten bizarre DNS-Fehler auf. Wenn Sie versuchen, eine zufällige Website im Internet zu besuchen, gelangen Sie stattdessen zu Ihrer.

Bedenken Sie: Sie besitzen die Domain example.com. Sie richten Ihre Workstation ein und benennen sie. ... sagen wir mal yukon.example.com. Jetzt werden Sie feststellen, dass /etc/resolv.confes die folgende Zeile enthält:

search example.com

Dies ist praktisch, da Sie so nach Hostnamen wwwsuchen können, nach denen dann z. B. www.example.comautomatisch gesucht wird . Aber es hat eine Schattenseite: Wenn Sie beispielsweise Google besuchen, wird gesucht www.google.com.example.com, und wenn Sie Wildcard-DNS haben, wird dies auf Ihre Website übertragen. Statt Google zu erreichen, werden Sie auf Ihrer eigenen Website landen.

Dies gilt auch für den Server, auf dem Sie Ihre Website betreiben! Wenn es jemals externe Dienste aufrufen muss, können die Hostnamensuchvorgänge auf die gleiche Weise fehlschlagen. So wird api.twitter.comzum Beispiel plötzlich die api.twitter.com.example.comRoute direkt zu Ihrer Site zurückgeführt und scheitert natürlich.

Aus diesem Grund verwende ich niemals Wildcard-DNS.

Michael Hampton
quelle
3
@ChrisLively Moderne Linux-Systeme dafür beschuldigen, "hilfreich" zu sein und sie hinzuzufügen. Übrigens ist die Verwendung von ".local" nicht nur in Windows-Umgebungen eine schlechte Praxis.
Michael Hampton
6
Ich habe darüber tatsächlich in Bezug auf eine Windows-Umgebung gebloggt . Ganz zu schweigen davon, dass mindestens drei Gruppen auf die lokale TLD geboten haben, nachdem ICANN sie an jemanden verkauft hat, der über genügend Geldbeutel verfügt. .localist nicht reserviert und sollte nicht verwendet werden. Dies verstößt gegen RFCs und ist überhaupt nicht erforderlich. Best Practice ist die Verwendung einer delegierten Subdomain der dritten Ebene für interne Ressourcen wie internal.company.com. Nur weil man viel sieht, macht man es nicht richtig.
MDMarra
2
Könnten Sie mich bitte auf den Abschnitt von RFC 2606 verweisen, der reserviert .local? Ich habe diesen RFC mindestens ein Dutzend Mal mit Leuten gelesen, die ihn in diesem Argument verwenden, und ich kann Ihnen mit Sicherheit sagen, dass er nicht vorhanden ist.
MDMarra
2
@Zypher Es wurde eigentlich nie von Microsoft empfohlen (das ist auch in meinem Blog-Post entlarvt. Los, lesen Sie es, es ist gut), aber die Tatsache, dass SBS .localstandardmäßig ausgeliefert wurde, ließ MS in dieser Hinsicht wirklich wie ein Durcheinander aussehen. SBS wurde mit dieser Konfiguration ausgeliefert, da sie für Nicht-Tech-Kunden mit geringen technischen Kenntnissen gedacht war. Es war der Weg des geringsten Widerstands, aber die aktuellen AD-Dokumente empfehlen bereits in der W2K-Ära eine Subdomain der dritten Ebene.
MDMarra
3
Oh, und in ein paar Jahren wird es sehr schwierig sein, Zertifikate für .local zu erhalten, was bedeutet, dass UCC / SAN-Zertifikate für Lync / Exchange von einer internen Zertifizierungsstelle signiert werden müssen, was es schmerzhaft macht, wenn Sie einer externen Nicht-Domain beitreten Benutzer.
MDMarra
14

Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

Persönlich mag ich es nicht. Besonders wenn es Maschinen in dieser Domäne gibt. Tippfehler bleiben unkontrolliert, Fehler sind weniger offensichtlich ... aber es gibt nichts grundlegend Falsches daran.

Das einzige Negative, das ich gefunden habe, ist, dass jemand über http: //i.dont.like.your.website.mywebsite.tld auf meine Website verlinken kann .

Lassen Sie Ihren http-Server alle derartigen Anfragen an die richtigen, kanonischen Adressen umleiten oder antworten Sie überhaupt nicht. Für Nginx wäre das so etwas wie :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

und dann die reguläre

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }
Verdammtes Terminal
quelle
7

Es ist alles eine Ansichtssache. Für mich ist es keine schlechte Übung.

Ich erstelle eine mandantenfähige App, die eine Datenbank pro Mandant verwendet. Anschließend wird die zu verwendende Datenbank basierend auf der Unterdomäne ausgewählt.

Zum Beispiel milkman.example.comwird die tenant_milkmanDatenbank verwendet.

Wie dies habe ich für jeden Mieter getrennte Tabellen, wie, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, die meiner Meinung nach ist ein sehr großer viel einfacher für diese spezifische Anwendung zu pflegen, anstatt dass alle Benutzer von allen Unternehmen in der gleichen Tabelle.

[edit - Michael Hampton has a good point]

Wenn Sie jedoch keinen bestimmten Grund haben, eine (variable) Unterdomäne zu akzeptieren, wie ich, sollten Sie sie nicht akzeptieren.

Pedro Moreira
quelle
4
Sie haben einen guten technischen Grund, Wildcard-DNS zu verwenden. Die meisten Leute nicht.
Michael Hampton
1
Tatsächlich scheint mir dies sehr gefährlich zu sein - Sie können auf eine beliebige Datenbank zugreifen, indem Sie den Domain-Namen ändern. Ich würde behaupten, dass dies eine Art von Injection-Schwachstelle ist. Zugegeben, es ist nicht unbedingt ausnutzbar - aber warum Risiken eingehen?
sleske
1
@sleske Nein, da sich der Benutzer bei dieser Unterdomäne (für diese Datenbank) authentifizieren muss. Wenn er wechselt, muss er sich erneut authentifizieren, da es sich um eine völlig andere "Site" handelt.
Pedro Moreira
@PedroMoreira: Ja, das verringert die Angriffsfläche. Der Zugriff auf beliebige Datenbanken scheint jedoch gefährlich zu sein. Was ist zum Beispiel, wenn es eine Sicherungsdatenbank mit identischen Anmeldeinformationen gibt, die jedoch aus der Hauptdatenbank gelöscht wurde? Auf diese Weise kann jeder zugreifen, der den Namen kennt. Dennoch ist mir klar, dass Sicherheit immer ein Kompromiss ist - ich wollte nur auf die inhärente Gefahr hinweisen.
sleske
1
@sleske Deshalb wird allen zugänglichen Datenbanken ein Präfix vorangestellt tenant_. Ich habe sichergestellt, dass die Anwendung nicht einmal eine Verbindung zu ihnen herstellen kann.
Pedro Moreira
2

Ein weiteres Problem ist die Suchmaschinenoptimierung: Wenn alle *.example.comdenselben Inhalt aufweisen, wird Ihre Website zumindest von Google ( https://support.google.com/webmasters/answer/66359 ) schlecht referenziert .

Clément Moulin - SimpleRezo
quelle
Beide Punkte sind orthogonal. Auch wenn alle Namen auf dieselbe IP verweisen, erhält der Webserver den angeforderten Namen und kann völlig unterschiedliche Inhalte liefern.
Patrick Mevzek
Deshalb habe ich präzisiert, "wenn alle * .example.com den gleichen Inhalt zeigen" ... Das SEO-Risiko scheint mir etwas interessantes zu sein.
Clément Moulin - SimpleRezo
"Das SEO-Risiko scheint mir etwas Interessantes zu sein." Vielleicht, aber sie haben nichts mit der Verwendung eines Platzhalters zu tun oder nicht. Sie können viele separate Namen haben, die alle ohne Platzhalterzeichen in eine einzelne IP-Adresse aufgelöst werden und daher die SEO-Risiken aufweisen (oder nicht), über die Sie sprechen. Die Verwendung eines Platzhalters ändert hier nichts in irgendeine Richtung.
Patrick Mevzek
0

Dies ist wirklich eine schlechte Idee. Nehmen wir an, Sie möchten eine Subdomäne a.company.com auf einem Webserver hosten, und b.company.com auf einem anderen Webserver kann ein anderer ISP sein. Was du tun wirst ?. Platzhalter-DNS ist also keine Option. Es sollte genau gesagt ein Eintrag für jede Unterdomäne erstellt werden und auf die relevante IP verweisen. Es besteht die Möglichkeit, dass Ihr Webserver von einem ISP auf einen anderen ISP verschoben wird. Was werden Sie in diesem Fall tun?

Vembutech
quelle
0

Ich weiß, dass dies eine alte Frage ist, möchte jedoch ein Beispiel aus der Praxis vorstellen, bei dem die Verwendung von Platzhalterdomänen Probleme verursachen kann. Ich werde jedoch den Domainnamen ändern und auch den vollständigen SPF-Eintrag ausblenden, um Verlegenheit zu sparen.

Ich habe jemandem geholfen, der Probleme mit DMARC hatte, und im Rahmen der Überprüfungen habe ich immer den DMARC-Datensatz mit DIG nachgeschlagen

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Das gleiche Ergebnis habe ich auch bei der Suche nach dem DKIM-Datensatz erhalten.

Folglich erhalten E-Mails, die von dieser Domäne gesendet werden, einen DKIM-Fehler, da das DKIM-Modul versucht, den SPF-Datensatz nach einem DKIM-Schlüssel zu analysieren, und aus demselben Grund auch einen Permerror für DMARC.

Platzhalter-Domains scheinen eine gute Idee zu sein, aber wenn sie falsch eingerichtet sind, können sie alle möglichen Probleme verursachen.

Ravenstar68
quelle
-2

Ist ein Wildcard-DNS-Eintrag eine schlechte Praxis?

Nein, und im Gegensatz zu anderen halte ich es für eine gute Praxis.

Die meisten Internetnutzer haben irgendwann einen DNS-Namen gefingert. Sie geben ein ww.mycompany.comoder wwe.mycompany.com Was würden Sie lieber tun, wenn "Ups, wir konnten diese Site nicht finden" oder wenn sie Ihre primäre Homepage aufrufen? Oftmals ist es vorzuziehen, wenn sie Ihre primäre Homepage aufrufen. Welches ist, was eine Menge Leute tun.

Selbst wenn jemand einen Link i.dont.like.your.website.whatever.comdarauf setzt, wird Ihre Homepage trotzdem aufgerufen, und genau das ist es, was Sie wollen. Schließlich können sie diese i.dont....Site nicht auf ihren Server übertragen. Sie steuern jedoch das DNS-Routing, damit es auf Ihren Server übertragen wird.

Nicht ich
quelle
5
Das Problem, das ich mit dieser Argumentation habe, ist, dass 1. es die Fehlerbehandlung unterbricht, 2. es vollständig www-zentriert ist, während Ihre Platzhalterdatensätze auch andere Protokolle beeinflussen. Das Ergebnis ist, dass Sie die Fehlerbehandlung für andere Dinge unterbrochen haben, für die Sie keine Anstrengungen unternommen haben, um das Problem zu beheben.
Håkan Lindqvist
-2

Ich denke, der beste Grund, überhaupt keinen Wildcard-DNS-Eintrag zu haben, besteht darin, die IP-Adresse Ihres Servers nicht an einen potenziellen Angreifer weiterzugeben und die Gefahr von DDOS-Angriffen zu verringern. Dies wird auch von Cloudflare empfohlen: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/

Michael Rogers
quelle
2
Die Verwendung von Platzhalterdomänen ändert nichts an der Exposition gegenüber solchen Angriffen. Und der Link unterstützt Ihre falschen Behauptungen nicht. Alles, was dieser Link besagt, ist, dass Cloudflare zufällig einen höheren Preis für Wildcard-Domains berechnet. Das sagt nur etwas über die Geschäftsmodelle von Cloudflare aus und nichts über die Praxis der Verwendung von Wildcard-Domains.
Kasperd
Wenn Sie Wildcard-DNS mit Cloudflare verwenden, da es kein Cloudflare durchläuft (es sei denn, Sie zahlen für Unternehmen, die meisten nicht), kann jeder eine erfundene Subdomain anpingen und Ihre echte IP finden. Ohne Wildcard können sie nicht. das ist alles dazu.
Michael Rogers
Ja, in diesem Fall werden Ihnen möglicherweise zusätzliche Gebühren für den Schutz vor Platzhaltern berechnet. Obwohl es bei dieser Frage nicht um diese Art von Diensten geht, geht es um das Platzhalter-DNS und darum, ob dies unter normalen Umständen durchgeführt werden soll oder nicht.
Chris