Erfordern Internetstandards für jedes Gerät ein Reverse-DNS?

25

Die Anforderungen an Reverse DNS sind verwirrend! Die Leute reden häufig über alles , was kaputt geht, wenn kein Reverse-DNS vorhanden ist, und das klingt beängstigend. Selbst in Fällen, in denen für Anwendungen kein Reverse-DNS erforderlich ist, werden häufig RFCs zur Unterstützung der obligatorischen Erstellung von PTR-Datensätzen angegeben.

Einige dieser RFCs umfassen:

RFC1912 : Häufige DNS-Betriebs- und Konfigurationsfehler

Jeder über das Internet erreichbare Host sollte einen Namen haben. ... Stellen Sie sicher, dass Ihre PTR- und A-Datensätze übereinstimmen. Für jede IP-Adresse sollte ein passender PTR-Datensatz in der Domäne inaddr.arpa vorhanden sein. Wenn ein Host mehrfach vernetzt ist (mehr als eine IP-Adresse), stellen Sie sicher, dass alle IP-Adressen einen entsprechenden PTR-Datensatz haben (nicht nur die erste). Wenn keine übereinstimmenden PTR- und A-Einträge vorhanden sind, kann dies zum Verlust von Internetdiensten führen, ähnlich wie wenn diese überhaupt nicht im DNS registriert sind.

RFC1033 : BEDIENUNGSANLEITUNG FÜR DOMAIN-ADMINISTRATOREN

Hinzufügen eines Hosts.

 To add a new host to your zone files:

    Edit the appropriate zone file for the domain the host is in.

    Add an entry for each address of the host.

    Optionally add CNAME, HINFO, WKS, and MX records.

    Add the reverse IN-ADDR entry for each host address in the
    appropriate zone files for each network the host in on.

Trotzdem bestehen einige Leute immer noch darauf, dass die Erstellung von PTR-Einträgen in den Standards für die DNS-Verwaltung nicht vorgeschrieben ist. Was sind die tatsächlichen Anforderungen?

Andrew B
quelle

Antworten:

35

Kurze Antwort

Erfordern die Standards für den DNS-Betrieb, dass alle Geräte über einen übereinstimmenden PTR-Eintrag verfügen? Nein.

Erfordern die Standards für bestimmte Protokolle PTRAufzeichnungen, die mit entsprechenden Aoder AAAAAufzeichnungen übereinstimmen ? Ja.

Haben einige Anwendungen, die nicht von einem RFC gesteuert werden, dieselben Anforderungen? Ja.

Kann ein PTR-Datensatz auf einen CNAME verweisen? Ja, aber das CNAME-Ziel muss der eindeutige Name des betreffenden Geräts sein (und kein anderer CNAME). ( RFC 2181 §10.2 , RFC 1034 §3.6.2 )

Ist die obligatorische Erstellung von PTR-Datensätzen eine bewährte Methode? Das wird allgemein geglaubt, aber es hat seine eigenen Probleme.

Lange Antwort

Diese Fragen und Antworten sollen dazu beitragen, ein allgemeines Missverständnis auszuräumen.

Ein tragisch unterbewertetes Kapitel von RFC1796 gilt hier:

Es ist ein leider weit verbreitetes Missverständnis, dass die Veröffentlichung als RFC ein gewisses Maß an Anerkennung bietet. Sie macht nicht oder zumindest nicht mehr als die Veröffentlichung in einer regulären Zeitschrift. Tatsächlich hat jeder RFC einen Status in Bezug auf seine Beziehung zum Internet-Standardisierungsprozess: Informativ, Experimentell oder Standard-Track (Vorgeschlagener Standard, Entwurfsstandard, Internet-Standard) oder Historisch.

RFC1912 ist informativ. RFC1033 ist nicht eindeutig gekennzeichnet und trägt die offizielle Bezeichnung UNKNOWN. Dies bedeutet, dass es so alt ist, dass es nicht als Referenz für irgendetwas angesehen werden sollte . Sie definieren keine Standards und können auch nicht zur offiziellen Erweiterung eines Standards verwendet werden. Sie sollten niemals in dem Kontext zitiert werden, der impliziert, dass sie einen Standard definieren.

Stellen Sie sich informative RFC-Vorschläge als guten Rat und allgemein anerkannte Best Practice vor. Die Reverse-DNS-Empfehlungen sind auf einen Blick sinnvoll: Befolgen Sie diese Richtlinien, um das Risiko zu verringern, in Situationen versetzt zu werden, in denen eine Anwendung nicht funktioniert, weil Reverse-DNS erforderlich und nicht geplant war. Sie können sicher nicht erwarten, dass ein DNS-Administrator alle Anwendungen / Protokolle kennt, die dies erfordern, und leider trifft dies auch auf die Dienstbesitzer zu, die diese Datensätze anfordern.

Abgesehen von einer sehr guten Automatisierung verursachen obligatorische Richtlinien zur Erstellung von PTR-Datensätzen jedoch auch Umweltverschmutzung.

  • Es ist äußerst üblich, dass PTRDatensätze nicht mit den entsprechenden A/ AAAADatensätzen synchron gehalten werden, wenn Geräte außer Betrieb genommen werden, was im PTRLaufe der Zeit zu falschen Daten führt. Diese Daten dienen nur dazu, diejenigen irrezuführen, die versuchen, diese Informationen als glaubwürdig zu behandeln. Einige Anwendungsbesitzer sind sehr daran interessiert, nach der Ursache eines Phantomproblems zu suchen. Das Problem wird sich mit zunehmender Verbreitung von IPv6 weiter verschärfen, insbesondere für DNS-Administratoren, die für IP-Speicher in Carrier-Größe zuständig sind.
  • Es ist ziemlich nutzlos, mehrere PTR-Einträge für dieselbe IP-Adresse zu haben, und das Befolgen des Hinweises der Informational RFCs führt zwangsläufig dazu. Siehe: Warum werden mehrere PTR-Einträge in DNS nicht empfohlen?

Was ist schlimmer: Fehlen eines PTR-Datensatzes oder eines ungenauen PTR-Datensatzes? Wenn ein Protokoll bricht, weil sein Standard gültiges DNS erfordert, sind beide fehlerhaft, und letzteres könnte tatsächlich schlimmer sein . Abgesehen davon hat jeder eine andere Meinung zu diesem Thema. Das ist in Ordnung: Sie können die Richtlinien und Tools zusammenstellen, die für Ihr Team und Ihr Unternehmen am besten geeignet sind. Stellen Sie einfach sicher, dass sie skalieren und konsistente Ergebnisse liefern, und denken Sie daran, dass Reverse DNS nur so genau ist, wie es die Zeit und Disziplin Ihrer Teammitglieder erfordert.

Aber fehlende PTR-Datensätze führen dazu, dass sshd hängen bleibt!

Auch nicht wahr. Menschen verwechseln oft die Grenze zwischen dem Fehlen eines PTR-Datensatzes (NXDOMAIN) und einem kaputten Reverse-DNS.

Eine Antwort von NXDOMAINverursacht nur dann ein Problem, wenn Sie mit einem Dienst kommunizieren, für den Forward Confirmed Reverse DNS (FCrDNS) erforderlich ist. Mailserver, Kerberos, Oracle-Scan-VIPs usw.

Defektes Reverse-DNS bedeutet, dass Sie nicht rechtzeitig eine NXDOMAINAntwort erhalten können. Viele Anwendungen (am bekanntesten sshd) blockieren die Reverse-DNS-Suche, wenn Probleme beim rechtzeitigen Abrufen einer Antwort von Upstream-Quellen auftreten, die zu Verzögerungen innerhalb der Anwendung führen.

Andrew B
quelle
Der besondere Fall der sshdReaktion kann langsam , indem vermieden wird UseDNS noin sshd_config. (Aber auch wenn Sie das Problem
umgehen
@Alnitak Hast du weitere kontextbezogene Hintergründe? STD 13 zitiert 1033 an zwei Stellen, aber keines zitiert es als Referenz (man sagt lediglich "katalogisiert verfügbare DNS-Software und erörtert Verwaltungsverfahren" ), und sogar die Fußnote bezieht sich darauf als "Ein Kochbuch für Domain-Administratoren" . Ich werde gerne abtreten, wenn ich im Irrtum bin (ich war zum Zeitpunkt der Veröffentlichung 4), aber dies scheint kein besonders starker Fall zu sein.
Andrew B
1
oops - mein fehler, ich dachte 1034 + 1035, nicht 1033 !!
Alnitak