DNS Flag Day 2019

Los 4 principales proveedores de software para DNS recursivos: Bind, Unbound, PowerDNS y Knot, realizaron el 1 de febrero un lanzamiento conjunto.

La característica en común de este lanzamiento es el fin de parches provisorios históricos que perdonaba ciertas conductas "desviadas" del estándar de los servidores DNS autoritativos.

El DNS actual sufre de demoras innecesarias y dificultad para desarrollar nuevas funcionalidades. Para remediar este problema, los proveedores de software DNS y sistemas de DNS públicos eliminarán ciertos parches provisorios el 1 de Febrero de 2019.
Este cambio solo afectará a sitios que operan software que no respeta los estándares. ¿Te afectará a ti?

Usuario de Internet

No hay ninguna razón para preocuparse si es un usuario de Internet y no posee sus nombre(s) de dominio propios. Este cambio sólo le afectará indirectamente, y no es necesario que tome ningún otra acción. ¡Muchas gracias por su interés en el DNS!

Dueños de dominios

Revise su dominio

Nombre de dominio (sin www):

Operadores de "resolvers" DNS

En los días cercanos al 1 de febrero de 2019, los más importantes proveedores de software resolutor ("resolver") de código abierto, lanzarán nuevas actualizaciones que implementarán un manejo estricto del estándar EDNS. Específicamente, las versiones que introducen estos cambios son:

• BIND 9.13.3 (development) y 9.14.0 (production)
• Knot Resolver ya tiene un manejo estricto de EDNS en todas sus versiones actuales
• PowerDNS Recursor 4.2.0
• Unbound 1.9.0

Operadores de servidores DNS

Para revisar su compatibilidad con EDNS le recomendamos usar el formulario de arriba, que entrega resultados simplificados para un dominio.

También es posible revisar su servidor DNS usando la herramienta ednscomp que entrega un detalle técnico detallado. Ingrese el nombre de alguno de los dominios hospedados en su servidor DNS en el campo zone name y presione el botón Submit.

El resultado de las pruebas de ednscomp debe ser el mensaje en verde All Ok.

Una infraestructura mínima que permita sobrevivir el “DNS flag day” no debe tener ningún resultado timeout (tiempo de espera agotado) en ninguna de las pruebas de DNS “plain” ni “EDNS version 0”, de la herramienta ednscomp. Por favor tenga en cuenta que una infraestructura que sólo cumpla este mínimo no será compatible con los estándares y tendrá otros problemas tarde o temprano. Por esta razón recomendamos encarecidamente obtener la compatibilidad completa con EDNS (todas las pruebas en ok) en vez de solo preocuparse por lo mínimo, para evitar problemas en el futuro.

Si hay algún problema, la herramienta ednscomp entregará una explicación para cada prueba fallida. Las errores típicos son causados por:

• software DNS que funciona incorrectamente
• configuración de cortafuegos (“firewall”) incorrecta

Para solucionar estos problemas por favor actualice su software DNS a la última versión estable, y pruebe otra vez. Si las pruebas siguen fallando, por favor revise la configuración del cortafuegos.

Los cortafuegos no deben descartar paquetes DNS con extensiones EDNS, incluyendo extensiones que aún son desconocidas en el momento. El software moderno de DNS puede desarrollar nuevas extensiones (por ejemplo DNS cookies para protegerse de ataques DoS). Los cortafuegos que descartan paquetes DNS con estas extensiones están empeorando la situación para todos, incluyendo ataques DoS de mayor magnitud, e induciendo mayor latencia en el tráfico DNS.

• Las versiones antiguas de Juniper SRX descartan por defecto los paquetes EDNS - para deshabilitarlo, use: # set security alg dns doctoring none. Actualice a las últimas versiones para tener soporte EDNS.
• F5 BIG-IP DNS processing and DNS Flag Day
• Infoblox
• BlueCat está listo
• DNS Flag Day and Akamai
• Microsoft Azure

Desarrolladores de software DNS

El principal cambio es que los vendedores de software DNS arriba mencionados comenzarán a interpretar los “tiempos de espera agotados” (“timeouts”) como una señal de problema en la red o en el servidor. A partir del 1 de Febrero de 2019, no habrá ningún intento de desactivar EDNS como reacción a un tiempo de espera agotado.

En la práctica esto significa que todos los servidores DNS que no respondan a las consultas EDNS serán tratados como muertos.

Por favor pruebe sus implementaciones usando la herramienta ednscomp para asegurarse de manejar EDNS adecuadamente. El código fuente de la herramienta también se encuentra disponible.

Es importante notar que EDNS no es obligatorio de implementar todavía. Si decide no soportar EDNS, lo puede hacer, siempre que su software responda de acuerdo al estándar EDNS, sección 7.

Investigadores

Existen algunas herramientas que pueden interesar a Investigadores y otros interesados, como Operadores de TLD:

• EDNS compliance statistics generadas por EDNS compliance test suite por ISC
• EDNS zone scanner por CZ.NIC que busca evaluar el impacto en la práctica del día “DNS flag day”

Por favor revise las metodologías respectivas antes de interpretar los datos. En cualquier caso, no dude en ponerse en contacto con los autores de cada herramienta, utilizando los enlaces Gitlab indicados arriba.

Presentaciones

• LACNOG 2018: presentación, video
• DNS-OARC 28 (en inglés): abstract, slides, video
• LOADAYS 2018 (en inglés): abstract, slides, video
• RIPE 76 (en inglés): slides, video
• DNS-OARC 29 (en inglés): abstract, slides

Herramientas

• ednscomp, prueba de compatibilidad EDNS de ISC, código fuente
• DNSViz

Contacto

• Si tiene comentarios sobre este sitio web, por favor indíquelos en el repositorio dnsflagday en Github
• Los comentarios sobre el resultado de las pruebas o de la herramienta ednscomp pertenecen al proyecto DNS Compliance Testing en el Gitlab de ISC

Fuente: DNS Flag Day

Suscríbete a nuestro Boletín