Section 1 : Qu'est-ce que le DNS inversé ?
Le Reverse DNS (Domain Name System) fait partie intégrante de l'infrastructure Internet et joue un rôle crucial dans la traduction des adresses IP en noms de domaine. Alors que la plupart des utilisateurs connaissent le DNS direct, qui mappe les noms de domaine aux adresses IP, le DNS inverse effectue la tâche inverse, permettant aux utilisateurs d'identifier les domaines et les noms d'hôte associés à des adresses IP particulières.
Le DNS inversé est un service basé sur les requêtes et les réponses, de sorte que lorsqu'une adresse IP est utilisée pour accéder à un site Web ou envoyer un e-mail, le DNS inversé peut être utilisé pour déterminer le domaine associé.
Le DNS inversé est un service basé sur les requêtes et les réponses, de sorte que lorsqu'une adresse IP est utilisée pour accéder à un site Web ou envoyer un e-mail, le DNS inversé peut être utilisé pour déterminer le domaine associé.
Section 2 : Délégation DNS inversée
2.1 Délégation DNS inversée
Le DNS inversé (système de noms de domaine) fonctionne via une arborescence hiérarchique de serveurs, similaire au DNS direct. Le domaine Internet de niveau supérieur ARPA (Address and Routing Parameter Area) sert de racine à la structure DNS inverse. Le processus de délégation implique la racine ARPA, les registres Internet régionaux (RIRs), serveurs délégués et enregistrements PTR.
Les registres Internet régionaux, tels qu'AFRINIC, gèrent le processus de délégation inverse pour leurs régions respectives. Comprendre la structure hiérarchique et le processus de délégation du DNS inverse est essentiel pour maintenir une configuration appropriée et garantir des recherches d'adresses IP efficaces dans l'écosystème Internet.
Les registres Internet régionaux, tels qu'AFRINIC, gèrent le processus de délégation inverse pour leurs régions respectives. Comprendre la structure hiérarchique et le processus de délégation du DNS inverse est essentiel pour maintenir une configuration appropriée et garantir des recherches d'adresses IP efficaces dans l'écosystème Internet.
Hiérarchie du DNS inversé
La racine ARPA sert de niveau le plus élevé dans la hiérarchie DNS inverse. Sous la racine ARPA, les serveurs délégués gèrent des plages d'adresses IP spécifiques. Pour IPv4 adresses, le domaine "in-addr.arpa" est utilisé, tandis que "ip6.arpa" est utilisé pour IPv6 adresses. Plus bas dans la hiérarchie, il y a des délégations pour le /8 IPv4 et IPv6 blocs alloués par l'Internet Assigned Numbers Authority (IANA) au RIRs.
Enregistrements PTR et fichiers de zone
Les enregistrements PTR, contenant le mappage inverse des adresses IP aux noms de domaine, sont stockés dans les fichiers de zone spécifiques à chaque domaine inverse. Ces fichiers de zone sont gérés par des serveurs de noms. Pour créer un enregistrement PTR, les octets de l'adresse IP sont inversés et ajoutés avec l'extension ".in-addr.arpa". Par exemple, si un serveur a l'adresse IP 196.0.1.2, l'enregistrement PTR correspondant sera enregistré en tant que 2.1.0.192.in-addr.arpa.
Processus de délégation inversée AFRINIC
Les serveurs DNS AFRINIC fournissent des références pour les ressources IP déléguées à ses membres ressources.
Pour demander une délégation inversée, les détenteurs de ressources doivent créer un objet de domaine dans l'AFRINIC WHOIS Base de données. Les membres doivent également configurer à l'avance les zones DNS inversées sur leurs serveurs de noms, car les serveurs AFRINIC effectueront une vérification pour s'assurer que les configurations appropriées sont déjà en place. Il est recommandé d'avoir au moins deux serveurs de noms à des fins de redondance. Si les serveurs de noms sont correctement configurés, AFRINIC propage la délégation au Domain Name System. Cependant, si un serveur DNS n'est pas correctement configuré, il sera détecté comme un serveur DNS boiteux et la demande de délégation peut être abandonnée à moins que le problème ne soit résolu rapidement.
2.2 Utilisation du DNS inversé
Le DNS inversé trouve de nombreuses applications dans la gestion des e-mails, l'administration du réseau, la sécurité et le dépannage. Certains cas d'utilisation notables incluent :
-
Authentification des e-mails : le DNS inversé est un composant essentiel des mécanismes d'authentification des e-mails tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Vérifier que l'adresse IP utilisée pour l'envoi des e-mails correspond au domaine spécifié dans l'adresse de l'expéditeur permet de lutter contre les spams et d'améliorer la délivrabilité.
-
Dépannage du réseau : en utilisant le DNS inversé, les administrateurs réseau peuvent identifier le domaine associé à une adresse IP problématique à l'aide des données du journal avec des noms d'hôte lisibles par l'homme au lieu d'adresses IP numériques, ce qui leur permet d'identifier plus efficacement la source des problèmes de réseau.
-
Sécurité et contrôle d'accès : le DNS inversé est souvent utilisé dans les configurations de pare-feu et les systèmes de contrôle d'accès. Il permet aux organisations de définir des règles basées sur des noms de domaine plutôt que sur des adresses IP, améliorant les mesures de sécurité et facilitant la gestion du réseau.
2.3 Problèmes courants de DNS inverse
Certains services comme le courrier électronique sont configurés pour vérifier l'authenticité des adresses IP d'origine de la demande avant d'accepter ces demandes. Par conséquent, des enregistrements PTR (pointeur) invalides ou inexistants pourraient entraîner le rejet du service. Vous trouverez ci-dessous certaines des causes courantes des problèmes de DNS inversé.
1. Absence de délégation DNS inversée
L'absence d'informations sur le serveur de noms (NS) des opérateurs de réseau pour leurs adresses IP entraînera un échec de la délégation DNS inversée.
- AFRINIC conserve des informations faisant autorité pour les blocs IP qu'ils administrent et ses serveurs DNS faisant autorité donnent des références s'ils contiennent les informations du serveur de noms (NS) de l'opérateur réseau dans ce que l'on appelle la délégation DNS inversée.
- Par exemple, AFRINIC administre le préfixe 196/8 et possède le domaine correspondant 196.in-addr.arpa.
- Les membres ressources doivent demander la délégation en enregistrant leurs serveurs de noms DNS dans la base de données AFRINIC.
- Par exemple, l'opérateur réseau avec 196.1.0.0/24 doit enregistrer le domaine 0.1.196.in-addr.arpa.
2. Manque d'enregistrements PTR pour votre adresse IP
- Un enregistrement PTR mappe une adresse IP à un nom d'hôte dans la zone DNS inverse.
- Les opérateurs de réseau doivent créer des enregistrements PTR pour leurs serveurs de messagerie, permettant une recherche DNS inversée pour établir l'autorité du serveur pour l'envoi et la réception de courrier. Si un serveur DNS ne possède pas l'enregistrement PTR approprié, la recherche DNS inversée échouera. Par conséquent, l'envoi d'e-mails à partir d'un tel serveur peut être rejeté par les fournisseurs de messagerie qui exigent un enregistrement DNS inverse valide.
3. Enregistrement DNS inversé incorrect
- Un enregistrement DNS inversé incorrect peut entraîner une défaillance du service ou de la délégation DNS, affectant d'autres fonctionnalités du réseau, entraînant le rejet des e-mails envoyés depuis le serveur. Il est crucial de garantir l'exactitude des enregistrements PTR pour maintenir une résolution DNS inversée appropriée.
4. Résolution DNS inversée lente
- Des retards dans les recherches DNS inversées peuvent survenir en raison de la congestion du réseau ou de problèmes de performances du serveur DNS. Si la résolution DNS inverse lente devient un problème, d'autres serveurs DNS peuvent être utilisés pour déterminer si le problème persiste. Dans de tels cas, il est recommandé de contacter le fournisseur d'hébergement ou l'administrateur réseau pour une enquête plus approfondie.
Les problèmes de DNS inversé peuvent entraver le bon fonctionnement des serveurs de messagerie. En comprenant les causes courantes, les administrateurs réseau et les opérateurs de serveurs de messagerie peuvent dépanner et résoudre efficacement ces problèmes. Assurer une configuration et une maintenance appropriées des enregistrements DNS inversés est crucial pour une livraison fiable des e-mails et la conformité aux exigences des fournisseurs de messagerie.
Section 3 : Étapes pour configurer la délégation inverse dans l'AFRINIC WHOIS base de données
Avant de procéder à la demande de service de délégation inversée, il est conseillé de prendre connaissance de la check-list suivante :
-
Enregistrer les affectations sur le WHOIS Base de données : pour les membres du registre Internet local (LIR), il est indispensable d'enregistrer les affectations d'utilisation IP dans l'AFRINIC WHOIS base de données avant de lancer l'enregistrement DNS inversé. AFRINIC exige au moins une cession enregistrée afin de se conformer à la politique d'acceptation des délégations inversées.
- Limites de délégation pour IPv4 et IPv6: AFRINIC autorise la délégation inverse sur les frontières 8 bits pour IPv4 adresses, généralement /16 ou /24.
Étape 1. Configurations DNS sur vos serveurs de noms
Avant de demander une délégation DNS inversée, suivez ces étapes de configuration DNS sur vos serveurs de noms :
-
Créer une zone inversée : assurez-vous que la zone inversée est créée avant de procéder à la demande de délégation DNS inversée.
-
Configurer les enregistrements PTR : configurez correctement les enregistrements PTR dans les zones inversées. Ces enregistrements facilitent le mappage des adresses IP aux noms de domaine.
-
Uniformité dans l'enregistrement de ressource SOA : maintenez la cohérence entre tous les serveurs de noms en vous assurant que l'enregistrement de ressource SOA (Start of Authority) contient le même numéro de série et d'autres contenus de données. La SOA doit également inclure un « rname » valide, qui représente l'adresse de contact à des fins administratives.
Étape 2. Enregistrez votre ou vos domaines sur les serveurs AFRINIC
Après avoir terminé l'étape 1, vous êtes maintenant prêt à ajouter votre ou vos objets de domaine et à demander la délégation inverse. d'AFRINIC. Cette demande peut être faite selon l'une des trois méthodes :
2.1 À travers MyAfrinic Portail des membres
- Connectez-vous à https://my.afrinic.net
- Allez dans Ressources -> Délégation inversée
- Cliquez sur "+" pour développer l'allocation cible
- Cliquez sur l'option "Ajouter une délégation inverse" pour ajouter le domaine
- Mettez à jour les détails et soumettez
2.2 Grâce à la whois portail web
- S'il vous plaît allez à https://afrinic.net/whois
- Cliquez sur "créer un objet", puis choisissez "domaine", puis chargez.
- Remplissez le formulaire comme demandé, puis soumettez-le.
2.3 Par e-mail et efficace pour les mises à jour groupées
Soumettez un nouvel objet de domaine inversé en copiant le modèle d'objet(s) de domaine dans un fichier texte et en l'envoyant par e-mail à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir. avec une ligne d'objet vide.
Un exemple d'objet de domaine (délégation inverse) pour 192.168.1.0/24 est illustré ci-dessous ;
domaine : 0.1.192.in-addr.arpa
descr : exemple d'objet de domaine
admin-c : NIC-AFRINIC
tech-c : NIC-AFRINIC
zone-c : NIC-AFRINIC
nserver : ns1.exemple.com
nserver : ns2.exemple.com
mnt-by: EXEMPLE-MNT
modifié: cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir.
source : AFRINIC
Notez que les attributs "nserver:" doivent être les noms de domaine complets (FQDN) et non les adresses IP de vos serveurs de noms.
Vous pouvez valider la fonctionnalité de votre délégation DNS inverse à l'aide du vérificateur de boiterie DNS inverse AFRINIC ici : https://afrinic.net/whois/lame.
La propagation peut prendre quelques heures pour se refléter pleinement dans le système DNS mondial (en fonction du TTL et des valeurs d'actualisation). En cas de problèmes de propagation après 8 heures, veuillez contacter AFRINIC au cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir..
La propagation peut prendre quelques heures pour se refléter pleinement dans le système DNS mondial (en fonction du TTL et des valeurs d'actualisation). En cas de problèmes de propagation après 8 heures, veuillez contacter AFRINIC au cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir..
Section 4 : Dépannage du DNS inversé ( QU'EST-CE QUI PEUT FAIRE ?)
1. Message d'erreur si les affectations d'utilisation IP ne sont pas enregistrées dans la base de données AFRINIC :
Il est indispensable d'enregistrer les affectations/sous-allocations d'utilisation IP dans l'AFRINIC whois base de données avant de soumettre votre ou vos objets de domaine pour les membres de la ressource LIR.
En référence à la section 10.5 de l'AFRINIC Guide collectif des politiques (CPM), il est indiqué qu '«aucune délégation inverse de l'espace d'adressage IP administré / alloué n'est autorisée à moins qu'une attribution ou une sous-attribution de l'attribution d'adresse spécifique ne soit enregistrée de manière appropriée dans l'AFRINIC WHOIS base de données",
Le non-respect des exigences de la politique ci-dessus générera le message ci-dessous :
En référence à la section 10.5 de l'AFRINIC Guide collectif des politiques (CPM), il est indiqué qu '«aucune délégation inverse de l'espace d'adressage IP administré / alloué n'est autorisée à moins qu'une attribution ou une sous-attribution de l'attribution d'adresse spécifique ne soit enregistrée de manière appropriée dans l'AFRINIC WHOIS base de données",
Le non-respect des exigences de la politique ci-dessus générera le message ci-dessous :
2. Erreur d'authentification lors de la création sur whois portail Web et e-mail.
Lors de la soumission d'un nouvel objet de domaine via le Web whois ou par e-mail, une authentification auprès des domaines mnt est requise ; ainsi, le mot de passe de votre objet mainteneur est nécessaire.
Si votre mot de passe ne peut pas être retrouvé, les étapes suivantes vous aideront à réinitialiser le mot de passe :
Si votre mot de passe ne peut pas être retrouvé, les étapes suivantes vous aideront à réinitialiser le mot de passe :
- Cliquez sur WHOIS Crypt et autres utilitaires
- Saisissez le nouveau mot de passe que vous souhaitez utiliser pour le responsable.
- Cliquez sur "Générer du hachage".
- Veuillez nous envoyer la valeur de hachage BCRYPT qui sera générée. Nous l'utiliserons ensuite pour réinitialiser votre objet.
Notez que pour vous authentifier auprès de votre responsable après avoir réinitialisé avec succès le mot de passe, vous devez utiliser le mot de passe en texte clair que vous avez soumis à l'étape 2 ci-dessus.
Section 5 : Sections importantes de la politique
Le manuel des politiques consolidées (CPM) d'AFRINIC AFRINIC couvre la délégation inversée dans la Section 10 et les deux sections clés auxquelles il faut prêter une attention particulière sont :
1. Section - 10.5 - Validité de la délégation inversée
La section politique stipule strictement que :
Pas de service Reverse DNS en l'absence d'affectations enregistrées :
Pas de service Reverse DNS en l'absence d'affectations enregistrées :
- Aucune délégation inverse de l'espace d'adressage IP administré / alloué n'est autorisée à moins qu'une attribution ou une sous-allocation de l'allocation d'adresse spécifique ne soit enregistrée de manière appropriée dans l'AFRINIC whois base de données.
- Pour une délégation inversée / 24, au moins une affectation ou sous-allocation doit être enregistrée dans la base de données AFRINIC pour ce / 24 spécifique. Il n'est pas nécessaire d'attribuer l'intégralité du / 24 pour que la délégation inverse soit autorisée.
2. Section 10.7 - Suppression des délégations 'Lame'
Qu'est-ce que la délégation Lame?
Un serveur de noms DNS est considéré comme boiteux lorsqu'il ne répond pas correctement aux requêtes DNS:
- Ne répond pas du tout.
- Répondre d'une manière ou d'une autre, mais pas pour le domaine spécifique interrogé.
- Répondre au domaine correct, mais sans le bit d'autorité défini.
De légères délégations peuvent conduire à:
- Refus de certains services et retards dus à des dysfonctionnements DNS.
- Les délais d'expiration des serveurs qui ne répondent pas peuvent augmenter le trafic DNS entre la mise en cache et les serveurs DNS faisant autorité, ce qui peut entraîner une charge sur l'infrastructure et une augmentation des coûts d'exploitation.
Que peut faire le membre ? ( Test de délégation boiteux )
AFRINIC a développé un outil pour tester les délégations DNS boiteuses dans in-addr.arpa et ipv6domaines .arpa. https://afrinic.net/whois/lame
Si un attribut 'nserver' donné a été déterminé comme boiteux pour un objet de domaine donné, les membres sont invités à
- Configurez les serveurs de noms faisant autorité pour les zones concernées
- Editez la liste des serveurs de noms dans les attributs "nserver" des objets "domaine" concernés. Les objets avec des délégations boiteuses peuvent être mis à jour par l'un des mécanismes d'interaction avec le WHOIS base de données identifiée ci-dessus.
Résolution des délégations boiteuses
Les opérations DNS sont des services essentiels pour un Internet performant. Par conséquent, pour garantir un service DNS efficace, AFRINIC a mis en place une procédure automatisée pour aider les membres des ressources à identifier et à résoudre les problèmes de délégation boiteux. En cas d'échec de la résolution des problèmes, les délégations DNS boiteuses persistantes sont supprimées conformément à la section 10.7 du CPM afin de conserver des données de délégation DNS inversées précises.
Plus de détails sur l'approche complète de vérification de la "boiterie" et le calendrier de notification peuvent être lus ici.
