RFC8501: El DNS reverso en IPv6 para Proveedores de Servicio Internet

November 29, 2018

https://www.rfc-editor.org/rfc/rfc8501.txt

Durante el despliegue hacia IPv6 uno de los principales problemas para los Proveedores de Servicio Internet (ISP) es cómo administrar el espacio de nombres “reverso” en la asignación de números IPv6 a clientes, sobre todo considerando que el tamaño del espacio en este nuevo protocolo hace impracticable ciertas técnicas normales en IPv4.

La publicación del RFC “DNS reverso en IPv6 para Proveedores de Servicio Internet” (RFC8501 “Reverse DNS in IPv6 for Internet Service Providers”) explica cuáles son las nuevas técnicas actualmente en uso y sus ventajas y desventajas dependiendo de cada escenario de uso.

La práctica en IPv4 de tener un nombre correcto para cada cliente, así como su correspondiente “nombre directo” (forward name), se origina en los orígenes de Internet y la supuesta obligación en el RFC1912 (de 1996) de que “cualquier máquina con acceso a Internet debería tener un nombre” y “la falta de un calce entre registros PTR y A puede causar una pérdida de servicio en Internet similar a no estar registrado en el DNS para nada”. Sin embargo este RFC nunca fue estándar y se mantuvo en el formato “informativo”, y que se publica como prueba para ver su despliegue. Eso se ha mantenido más de 20 años, y ciertos servicios se han aprovechado para exigirlo como una forma de “certificación” de cierto nivel de seguridad, como sistemas antispam en el despacho de email, accesos vía ssh, etc.

Sin embargo en IPv6 se hace cada vez más impracticable, por el aumento en espacio. Como dice el documento, por ejemplo, si un ISP quisiera registrar una zona /48 de clientes y pudiera crear 1000 registros PTR por segundo, tardaría 38 trillones de años en completar todo el espacio del /48!

El documento lista algunas técnicas que pueden funcionar, como por ejemplo utilizar “actualizaciones dinámicas de DNS” para hosts individuales, delegaciones automáticas, poblar desde servicios Radius o DHCP, incluido por supuesto “no responder nada” (NXDOMAIN). También tiene un capítulo donde se explica los servicios más comunes que utilizan este calce de reversos, para tenerlos en cuenta.

Además hay cierto consenso en la industria que ya no es necesario poblar todo el espacio de reversos ni directos para todo tipo de hosts en IPv6, sino solo los servicios más importantes (DNS, servidores de correo, web, etc).

Este documento cumple con listar las técnicas más conocidas, indicar sus ventajas, y dar recomendaciones para que cada ISP decida según su propia realidad.

Next post: Cómo hacer un rollover de algoritmo en DNSSEC, paso a paso

Previous post: DNS Flag Day: el fin de los parches provisorios para EDNS

This is a blog by Hugo Salgado.

Search

Recent Posts