Ir al contenido principal

DNS Flag Day: el fin de los parches provisorios para EDNS

El próximo 1° de febrero de 2019, los cuatro principales proveedores de software para DNS recursivos -Bind, Unbound, PowerDNS y Knot- realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisorios históricos que perdonaban ciertas conductas desviadas del estándar en los servidores DNS autoritativos.

Estas conductas incorrectas según el estándar EDNS ("Extensiones al DNS", disponibles desde 1999 en los RFC2671, actualizado por RFC6891) incluyen la falta de respuesta, encendido de bits incorrectos, demoras en respuesta, etc.; y se suman a ciertos dispositivos en el camino (firewalls, IDS, middleboxes, etc.) que descartan algunos paquetes DNS porque no calzan con la implementacion de DNS que conocen.

Estos problemas fuerzan actualmente a los DNS "resolvers" a implementar una serie de trucos para poder lidiar con muchos casos de borde. Estos trucos ocasionaban un aumento de complejidad en el código de los resolvers (lo que lleva a bugs y efectos no deseados), demora en respuestas y lo más importante, dificultad para la innovación y el desarrollo de nuevas funcionalidades dentro del DNS.

El estándar EDNS ha permitido muchas mejoras en el DNS clásico, entre las que se incluyen:
  • DNSSEC, las extensiones de seguridad
  • NSID, para identificar instancias en nubes anycast
  • client-subnet, para lograr geolocalización
  • keep-alive, para tener sesiones largas que aceleren múltiples consultas
  • cookies, para mejorar la seguridad frente a ataques DoS.
¡y de su correcto funcionamiento depende la robustez y futura extensibilidad del DNS!

Estas organizaciones han dispuesto una página web con más información, y con un método para que se puedan probar los dominios y DNS desde ahora:


Con el cambio del 1 de febrero del próximo año, los resolvers poco a poco comenzarán a fallar para dominios cuyos servidores de nombre incumplan el estándar EDNS.

Recomendamos revisar sus dominios y DNS con la herramienta, ¡y corregir los problemas cuanto antes!

Comentarios

Entradas más populares de este blog

Servicio AS112: atendiendo los reversos de direcciones IP privadas

El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4. Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com. Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012 -, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t