Defaults.Exposed › Javítások › Névszerverek beállítása (diverzitás és SOA)

Hogyan javítsd ki: Névszerverek beállítása (diverzitás és SOA)

A névszervereid az a könyvtár, amely megmondja az egész internetnek, hol találják a weboldaladat és az e-mailedet. Ha ezek mind egyetlen hálózaton ülnek, és az leáll, a vállalkozásod egyidejűleg eltűnik az internetről – nincs oldal, nincs e-mail, semmi –, és a szerverek szétcsúszó óra-beállítása napokig rögzítve tarthatja az elvégzett változtatásaidat.

Az üzleted szempontjából lényeg: Ha a domained összes névszervere egyetlen hálózaton él, egy leállás vagy támadás arra a hálózatra egyszerre veszi offline a weboldaladat ÉS az e-mailedet – te fizeted a személyzetet és a hirdetéseket, miközben egyetlen ügyfél sem ér el téged. Külön-külön a helytelen SOA időzítők napokig tartó terjedést okozhatnak a DNS-módosításaidnak (új szerver, átvált e-mail-szolgáltató, vészhelyzeti átirányítás) órák helyett.

Mibe kerülhet ez neked

Az összes névszervered egyetlen hálózata rosszul teljesít – leállás vagy DDoS-támadás –, és a weboldaled és az e-mailed egyszerre tűnik el. Az ügyfelek hibaoldalakat kapnak, az értékesítési postafiókod visszapattan, és nincs mit tenni a webembereadnek, csak várni, amíg valaki más hálózata helyreáll.
Egy nagyobb ügyfél biztonsági csapata szállítói ellenőrzést futtat, látja, hogy az összes névszervered egyetlen szolgáltatón van redundancia nélkül, és a domained egyetlen meghibásodási pontnak minősíti – súrlódást okozva egy egyébként megnyert szerződésben.
Átköltözöl egy új webhosthoz vagy átvált e-mail-szolgáltatót, de a SOA rekordban lévő helytelen 'frissítési' időzítő azt jelenti, hogy más DNS-szerverek napokig a régi adataidat adják ki – tehát néhány ügyfél egy halott oldalra landol, az e-maile pedig kettéválik.
Egy biztonsági incidens arra kényszerít, hogy sürgősen átirányítsd a forgalmat, de a SOA időzítők azt mondják a világnak, hogy egy hétig gyorsítótárazza a régi rekordjaidat, tehát az egy órával ezelőtt elvégzett változtatás még mindig nem érte el az internet felét, miközben a probléma folytatódik.
Két névszervereid technikailag két nevet jelent, de ugyanarra az állványra oldódnak fel ugyanazon a hálózaton – tehát a redundancia, amelyben bíztál, illúzió, és egyetlen hiba még mindig mindent levisz.

Miért fontos. Az oldalad minden látogatása és minden hozzád küldött e-mail a névszervereid ellen való kereséssel kezdődik. Ezek az alap, amelyen az egész online jelenleted nyugszik. Ha annak az alapnak nincs redundanciája, egyetlen hiba mindent egyszerre üt ki; ha az időzítési értékek rosszak, minden változtatásod lassan érvényesül – pontosan akkor, amikor a legkevésbé engedheted meg.

Mi ez egyszerű szavakkal

Mielőtt bárki eléri a weboldaladat vagy e-mailt küld neked, a számítógépének egy egyszerű kérdést kell feltennie: “hol él valójában ez a domain?” A szerverek, amelyek válaszolnak erre a kérdésre, a névszervereid. Ezek az egész online jelenleted könyvtár-bejegyzése – az első dolog, amelyet minden látogató és minden e-mail érint, mielőtt az oldal vagy a postafiókod egyáltalán érintett lenne.

Ez az oldal az alap két részét fedi le:

Diverzitás – van-e legalább két névszervered, és genuinly különböző részein ülnek-e a hálózatnak, hogy egyetlen leállás ne tudja őket egyszerre elnémítani?
A SOA rekord – egy kis ‘start of authority’ rekord, amely tartalmazza az időzítési értékeket, amelyek szabályozzák, mennyi ideig bízik az internet többi része és gyorsítótározza a DNS-válaszaidat. Az időzítők helytelen beállítása meghosszabbítja, meddig tart minden változtatásod a világhoz való eljutása.

Egyik sem látványos. Mindkettő alap. Amikor helyes, soha nem gondolsz rájuk; amikor rossz, a legrosszabb lehetséges pillanatban derül ki.

Mibe kerülhet ez neked

Minden egyszerre offline. Ha az összes névszervered egyetlen hálózaton él, és az a hálózat leállást szenved el vagy DDoS-támadás éri, a weboldald és az e-maile egyszerre sötétednek. Ez nem elméleti – egy DNS-szolgáltató megtámadása jól körülírt, kiváló erőforrással rendelkező vállalatokat is levett az internetről a nap egy jó részére. Hálózatok közötti redundanciával egyetlen hiba túlélhető; nélküle totális.
Szállítói ellenőrzésen elveszített üzlet. Egy nagyobb ügyfél biztonsági vagy beszerzési csapata ellenőrzést futtat az aláírás előtt, látja, hogy az összes névszervered egy szolgáltatóra koncentrálódik, visszatérési út nélkül, és a domainedet egyetlen meghibásodási pontnak jelöli. Ez az a fajta kis, elkerülhető megjelölés, amely súrlódást okoz egy egyébként megnyert szerződésben.
A változtatások, amelyek nem érnek el. Webhosztot váltasz, e-mail-szolgáltatót mozgatsz, vagy sürgősen át kell irányítani a forgalmat. A SOA rekordban lévő helytelen ‘frissítési’ vagy ‘lejárati’ időzítő azt jelenti, hogy más DNS-szerverek napokig a régi választ kiszolgálják. Az ügyfelek fele az új oldalra landol, fele a halottra; néhány e-mail a régi szolgáltatóhoz folyik, néhány az újhoz. Az egy órával ezelőtt elvégzett változtatás még mindig nincs kész.
Egy vészhelyzet, amelyet nem tudsz gyorsan lezárni. Biztonsági incidens során azonnal el kell irányítani a forgalmat egy kompromittált szerverről. Ha a SOA időzítők azt mondták a világnak, hogy egy hétig gyorsítótárazza a rekordjaidat, a javításod lassan kúszik ki az interneten, miközben a probléma tovább harap.
Illuzórikus redundancia. Két névszervered van, tehát azt hiszed, fedve vagy – de mindkettő ugyanarra az állványra oldódik fel ugyanazon a hálózaton. Az első hardverhiba mindet leszedi, és a biztonsági háló, amelyre számítottál, soha nem volt ott.

Mi ez pontosan

Névszerver-diverzitás. A domainednek legalább két névszerverted kell felsorolnia, és ideálisan genuinly független hálózati utakon kell ülniük – nem csak két nevet, amelyek ugyanarra a gépre mutatnak. A háttérben minden névszerver neve egy vagy több IP-cím felé oldódik, és ami igazán számít, hogy ezek az IP-k elfoglalják-e az internet-útválasztás különböző részeit. Egy komoly DNS-szolgáltató elterjeszi a névszervereit számos különálló hálózati blokkban és helyszínen szerte a világon, tehát még két névszerver ugyanattól a szolgáltatótól is valódi, független redundanciát ad. A hiba-eset az ellentéte: egy egyetlen kis hoszt, ahol mindkét ‘névszerver’ ugyanaz a gép, tehát egyetlen hiba totális.

Technikai olvasónak szóló megjegyzés: az ellenőrzésünk megszámolja az NS rekordjaidat, majd megvizsgálja, mennyi genuinly hálózati diverzitás van mögöttük. Az elsődleges jelzés a különálló IP hálózati blokkok terjedése, amelyekbe a névszerverek feloldódnak (nagyjából /16 tartományok IPv4 és /32 IPv6 esetén), a különálló szolgáltató neveknek mint biztonsági hálónak a számával. Ez szándékosan javítja az Anycast hiperszabályos szolgáltatókat – Cloudflare, Google, AWS Route 53, Azure DNS –, amelyek egyetlen hálózati identitást hirdetnek számos globálisan különálló útválasztási útból, és ezért valódi diverzitást szállítanak még egyetlen márkától is. Kettőnél kevesebb névszerver esetén ez az ellenőrzés nullát ér, és magas súlyosságúnak minősül, mert az egész domain számára egy enyhítetlen egyetlen meghibásodási pont.

A SOA rekord. Minden DNS-zóna pontosan egyetlen Start of Authority rekorddal rendelkezik. Megnevezi az elsődleges névszervert és az adminisztrátori elérhetőséget, tartalmaz egy sorozatszámot, amely minden változtatásnál növekszik, és – a rész, amely számít a vállalkozásodnak – négy időzítőt tartalmaz:

Refresh – milyen gyakran ellenőrzik a másodlagos névszerverek az elsődlegeset a változásokért. Jó tartomány: kb. 1–24 óra (3 600–86 400 másodperc).
Retry – mikor próbálkozzanak újra, ha egy frissítés sikertelen. Jó tartomány: kb. 5–60 perc (300–3 600 másodperc).
Expire – mennyi ideig kiszolgálják a másodlagosok a rekordjaidat, ha egyáltalán nem érik el az elsődlegeset. Jó tartomány: kb. 1–4 hét (604 800–2 419 200 másodperc).
Minimum TTL – az alsó határ, hogy meddig kerülnek gyorsítótárba a válaszok (beleértve a “ez a név nem létezik” válaszokat). Ésszerű pozitív értéknek kell lennie; 300 másodperc közös választás.

Mit jelent a „jó” beállítás: egy SOA, amely létezik, érvényes adminisztrátori elérhetőséggel rendelkezik, és ezeken a tartományokon belüli időzítőket tartalmaz. A tartományokon kívüli értékek nem fatálisak – de vagy lassítják a változtatásaidat (túl hosszú időzítők) vagy szükségtelenül terheli a névszervereidet (túl rövid). Egy hiányzó vagy valóban törött SOA a komolyabb eset.

Hogyan javítsd ki (ingyenes, ~15 perc)

Ez a rész annak szól, aki a domainedet vagy DNS-edet kezeli – ha az nem te vagy, add át nekik ezt a részt. A javítás ingyenes; mi csak az azért való figyelésért számítunk fel díjat, hogy az javítva maradjon.

1. lépés – Győződj meg arról, hogy legalább két névszervered van különböző infrastruktúrán.

Ellenőrizd, mit kaptál ma. Futtasd a dig NS sajatdomain.com parancsot (vagy használj bármilyen “DNS-keresési” webes eszközt), és olvasd le a névszervereket. Kettő vagy több a minimum.
Ha csak egyed van, vagy mindkettő egyetlen kis hoszton van, mozgasd a DNS-t egy olyan szolgáltatóhoz, amely alapból redundanciát ad. Gyakorlatilag minden komolyabb szolgáltató:
- Cloudflare – két névszervert rendel hozzá, amelyek elterjedtek a globális Anycast hálózatán, automatikusan, amikor egy domainedet hozzáadod.
- AWS Route 53 – minden hosztolt zóna négy névszervert kap, különböző Route 53 hálózatokon.
- Google Cloud DNS / Microsoft 365 / Azure DNS – hasonlóan több névszervert biztosítanak független infrastruktúrán.
A váltáshoz állítsd be a domain névszervereit a registrar-odnál (ahol a domainedet vásároltad) az új DNS-szolgáltatótól kapottakra. Ez a változtatás 24–48 óráig teljes terjedést vehet igénybe.
Öv-és-gombpánt rugalmassághoz a nagyobb vagy kockázatosabb vállalkozások futtathatnak másodlagos DNS-t egy második független szolgáltatótól (pl. Cloudflare + Route 53, vagy NS1 + Cloudflare). A legtöbb kis vállalkozásnál ez opcionális – egyetlen jó hírű szolgáltató már valódi hálózatok közötti redundanciát ad.

2. lépés – Ellenőrizd (és ha szükséges, javítsd) a SOA időzítőket.

Futtasd a dig SOA sajatdomain.com parancsot, és olvasd le a frissítési, retry, expire és minimum-TTL értékeket.
Hasonlítsd össze a fenti tartományokkal. Az esetek nagy többségében a DNS-szolgáltatód már ésszerű alapértelmezéseket állított be, és nincs mit tenni.
Ha egy érték tartományon kívül van, javítsd ott, ahol a DNS-ed hosztolt:
- Managed szolgáltatókon (Cloudflare, Route 53, Google, Azure) a SOA nagyrészt neked van kezelve; általában a szolgáltató DNS-beállításain vagy ügyfélszolgálatán keresztül módosítod, nem kézzel szerkesztve.
- Saját névszerveren (BIND, PowerDNS) szerkeszd közvetlenül a SOA sort a zónafájlban, és töltsd újra a zónát – emlékezve a sorozatszám növelésére, hogy a másodlagosak felvegyék a változtatást.
Bármilyen változtatás után futtasd újra a kereséseket, hogy erősítsd meg, a névszerver-lista és a SOA időzítők helyesek.

Általános hibák

‘Két névnek’ kezelése a ‘két hálózat’ helyett. Két névszerver-név, amelyek ugyanarra a gépre vagy állványra oldódnak, egyetlen meghibásodási pont álruhában. Az, ami számít, a független hálózati útvonalak, nem a nevek száma.
Feltételezni, hogy több mindig jobb, diverzitás nélkül. Öt névszerver mind egyetlen törékeny hoszton nem biztonságosabb, mint egy. A diverzitás legyőzi a mennyiséget.
Az időzítők túl agresszívan beállítása. A SOA frissítés vagy minimum-TTL lehúzása ‘azonnali változtatásokhoz’ csak az névszervereket nyomja és leálláskor rosszabbá teheti a helyzetet, kevés valódi haszonnal. Az ésszerű alapértelmezések már egyensúlyt tartanak a sebesség és a terhelés között.
Az expire túl alacsonyra állítása. Ha a másodlagosok túl hamar hagyják abba a zóna kiszolgálását egy elsődleges leállás során, egy helyreállítható blip teljes leállássá válik. Tartsd az expire-t a hetek tartományában.
Zóna kézzel szerkesztése és a sorozatszám elfelejtése. Saját névszervereken a másodlagosak csak akkor veszik fel a változtatásokat, amikor a SOA sorozatszám növekszik. Rekordokat megváltoztatsz, de a sorozatszámot változatlanul hagyod, és a ‘javításod’ soha nem terjed.
A domain-registrar üres alapértelmezésén hagyva a DNS-t. Néhány registrar beépített DNS-e egyetlen, minimális beállítás. A DNS egy valódi szolgáltatóra mozgatása általában redundanciát és ésszerű SOA időzítőket ad egy lépésben.

Lényeg

A névszervereid és azok SOA rekordja az alap, amelyen minden más nyugszik. Két névszerver genuinly különálló hálózatokon azt jelenti, hogy egyetlen hiba nem veheti le az egész vállalkozásodat egyszerre; ésszerű SOA időzítők azt jelentik, hogy az elvégzett változtatások ténylegesen gyorsan elérik a világot. Mindkettő ingyenesen helyes, mindkettő általában már jó állapotban van, amint egy megfelelő DNS-szolgáltatón vagy, és mindkettő megér egy kétperces ellenőrzést – mert az a nap, amelyen számítanak, az a nap, amelyen legkevésbé engedheted meg, hogy tévesek legyenek.

GYIK

Nem vagyok technikai beállítottságú – megoldhatok ezt magam?

Nem kell értened a DNS belső működését. A névszerver-diverzitást általában automatikusan kezelik neked, amint a domainedet egy valódi DNS-szolgáltatóra (Cloudflare, AWS Route 53, hosted) teszed – automatikusan adnak neked kettő vagy több névszervert a hálózatukon keresztül. A SOA időzítők is általában alapból ésszerűen vannak beállítva. A feladat leginkább az, hogy ellenőrizd, mit kaptál, és ha egyetlen törékeny beállításon vagy, átkoltözz egy olyan szolgáltatóhoz, amely redundanciát ad. Add át az alábbi technikai részt a webemberednek vagy az IT-szolgáltatódnak – a javítás ingyenes.

Mi a különbség a két dolog között, amelyet ez az oldal ellenőriz?

Ugyanannak az alapnak két kapcsolódó része. Az első – névszerver-diverzitás – a rugalmasságról szól: van-e legalább két névszervered, és genuinly különböző részein ülnek-e a hálózatnak, hogy egyetlen hiba ne tudja mindegyiket leütni egyszerre? A második – a SOA rekord – az időzítésről szól: tartalmazza az óra-értékeket, amelyek szabályozzák, mennyi ideig bízik az internet többi része a DNS-válaszaidban és gyorsítótározza azokat. Az egyik 'ne tedd az összes tojást egy kosárba'; a másik 'állítsd be az időzítőket, hogy a változások tisztán átfolyjanak.'

Ugyanattól a cégtől van két névszerverem – elég ez?

Általában igen, ha az a cég egy komoly DNS-szolgáltató. A nagyobb szolgáltatók, mint a Cloudflare, a Google és az AWS, számos különálló hálózaton és helyszínen futtatják a névszervereiket szerte a világon, tehát két nevük genuinly független infrastruktúrán ül – ez valódi redundancia. A kockázatos eset az egyetlen kis hoszt, ahol mindkét 'névszerver' valójában ugyanaz a gép vagy ugyanaz az állvány. Ha öv-és-gombpánt rugalmasságot akarsz, két független szolgáltatótól is futtathatsz névszervereket, de a legtöbb kis vállalkozásnál egyetlen neves DNS-szolgáltató bőven elegendő.

Mit csinál ténylegesen a SOA 'frissítési' vagy 'lejárati' értéke a vállalkozásomnál?

Ezek időzítők, amelyek megmondják más DNS-szervereknek, mennyi ideig kell várniuk a rekordok újraellenőrzése előtt, és mennyi ideig kell kiszolgálniuk azokat, ha nem érhetik el a te szerveredet. Túl magasra állítva egy elvégzett változtatás – egy új szerver IP, egy új e-mail-szolgáltató, egy vészhelyzeti átirányítás – sokkal tovább tart, hogy mindenkit elérjen. Túl alacsonyra állítva a névszervereid szükségtelen extra forgalmat kapnak. Ésszerű alapértelmezések (frissítés mérve órákban, lejárat hetekben) megőrzik a változások gyors áramlását, miközben leállás esetén robusztusak maradnak. A legtöbb szolgáltató ezeket helyesen állítja alapból.

Megváltoztatja-e ez a besorolásomat, és mennyit?

Igen, mindkét rész beleszámít a DNS pontszámba. Kettőnél kevesebb névszerver komoly résnek minősül, mert az egész online jelenleted egyetlen meghibásodási pontja. A helytelen SOA mértékeltebb kérdés – nem vesz téged offline, de lassítja az reagálási képességedet, amikor valami változik. Mindkettő ingyenes javítani, és a legtöbb vállalkozásnál már jó állapotban vannak, amint egy megfelelő DNS-szolgáltatón vagy.

Van-e benyomás – fizetnem kell neked a javításhoz?

Nem. Redundáns névszerver és ésszerű SOA időzítők ingyenesek minden nagyobb DNS-szolgáltatónál, és az alábbi lépések minden, amire szükséged van. Mi csak akkor számítunk fel díjat, ha később azt szeretnéd, hogy figyeljük a domainedet, és értesítünk, ha a redundancia visszaesik egyetlen meghibásodási pontra, vagy az időzítők elcsúsznak.