dns flag day, actualización crítica para servidores dns

DNS flag day, actualización crítica para servidores DNS

El próximo día 1 de febrero de 2019 tendrá lugar una actualización crítica de los mecanismos DNS en todo el mundo, afectando a los principales proveedores de software de gestión de DNS: Bind, Unbound, PowerDNS y Knot. Es muy importante que todos aquellos proveedores de servicios de resolución de nombres de dominio actualicen su software para no sufrir complicaciones.

En la web DNS flag day se puede encontrar toda la información necesaria referente a los motivos que llevan a estos cambios y que podemos resumir citando lo siguiente:

El actual DNS es innecesariamente lento e ineficiente porque los esfuerzos por intentar acomodar unos pocos sistemas DNS que no cumplen con los estándares de diseño de hace dos décadas. […] Para asegurar su sostenibilidad es momento de acabar con estos acomodos y remediar los sistemas que no cumplen.

Actualización crítica en sistemas DNS globales

Según los responsables del cambio, con estos nuevos métodos se mejorará ligeramente la eficiencia de los sistemas de resolución de nombres, además de protegerse mejor contra ataques DDoS o poder incluir funcionalidades nuevas.

Como bien explica Incibe-CERT al respecto:

Los mecanismos de extensión para DNS especificados en 1999 y actualizados en 2013 para establecer las “reglas de tránsito” que respondieran a las consultas con opciones o indicadores de EDNS, continúan sufriendo fallos e incompatibilidades en algunas de sus implementaciones. Los desarrolladores de software de DNS han intentado resolver estos problemas de interoperabilidad en el protocolo, especialmente en su extensión EDNS (estándar RFC 6891), mediante varias soluciones alternativas para comportamientos no estándar que se aplicarán a el 1 de febrero del 2019.

Como podéis ver en la siguiente imagen, aunque nominalmente EDNS está muy bien soportado, muchas implementaciones fallan al gestionar solicitudes DNS a partir de la versión 0.

soporte edns

A continuación podéis comprobar como afecta a cada parte dicho cambio.

  • Usuarios normales: este cambio es totalmente transparente para vosotros, nada por lo que preocuparse 🙂
  • Usuarios que tienen un dominio: en este caso podéis utilizar el formulario de su web para comprobar si vuestro dominio está preparado para el cambio y obtener algunos consejos.

prueba dns google dns flag day 2019

Los últimos dos tipos entran dentro de lo que denominaríamos administradores DNS.

  • Operadores de resolución DNS: afecta a la parte cliente DNS. Los principales resolutores open source lanzarán actualizaciones que dejarán caer los mecanismos de compatibilidad heredada con respuestas no estandarizadas. Afectará a servidores autoritativos que no cumplan estándares como el EDNS de 1999 y 2013. Si tienes un sitio en uno de estos servidores podría resultar imposible alcanzarlo cuando los resolutores se actualicen. De momento se ha anunciado que los siguientes DNS resolvers no atenderán solicitudes desfasadas:
    • BIND 9.13.3 y 9.14.0 (desarrollo y producción respectivamente)
    • Unbound 1.9.0
    • PowerDNS Recursor 4.3.0
    • Knot en todas sus versiones
  • Operadores de servidores DNS: un pequeño porcentaje de servidores autoritativos podrían requerir cambios tras el 1 de Febrero de 2019:
    • Los proveedores de servicios de resolución de nombres listados en el apartado “supporters” de la web dejarán de atender peticiones no compatibles. Entre ellos nada menos que Google, Cisco, Quad9, Cloudflare o Facebook, entre otros.

Te puede interesarLos mejores servidores DNS públicos de 2018

¿Y si no actualizo mi software DNS ?

A partir del 1 de Febrero los dominios de servidores DNS que no cumplan con el nuevo estándar dejarán de funcionar. A medida que los proveedores de servicios y organizaciones actualicen sus registros, la presencia en Internet de los dominios incompatibles se irá desvaneciendo poco a poco.

También podrían verse afectados servidores de correo electrónico y sitios web cuando se actualicen sus resoluciones de nombres internas a versiones que implementan soluciones alternativas.

También podría darse el siguiente conjunto de situaciones:

  • DNS autoritativos que bloquean respuestas, respuestas sean excesivamente lentas y dificultad de implementar nuevas funciones de este protocolo.
  • Servidores DNS que no responderán a consultas EDNS serán tratados como no accesibles.
  • Servidores DNS autoritativos que bloquean respuestas, no contestan o responden con un paquete incorrecto. Normalmente las implementaciones de DNS mal hechas no siguen estándares y los resolutores deben esperar a que se de un timeout o reintentar la consulta nuevamente mediante TCP o sin EDNS.
  • Podría bloquearse tráfico que sigue los estándares en firewalls mal configurados.

¿Cómo saber si mi servidor es compatible? ¿Cómo actualizo?

Proponen un método bastante sencillo mediante consultas de tipo dig -clásica para extraer nameservers en Linux y derivados- para un servidor autoritativo:

dig +norec +noedns soa zone @server
dig +norec +edns=0 soa zone @server
dig +norec +edns=100 +noednsneg soa zone @server
dig +norec +ednsopt=100 soa zone @server
dig +norec +ednsflags=0x80 soa zone @server
dig +norec +dnssec soa zone @server
dig +norec +dnssec +bufsize=512 +ignore dnskey zone @server
dig +norec +edns=100 +noednsneg +ednsopt=100 soa zone @server

Los operadores de servidores DNS además pueden comprobar su compatibilidad mediante el formulario de prueba que cité anteriormente para operadores de dominio. Basta con probar una única zona de entre los servidores autoritativos gestionados. Si uno de ellos pasa la prueba, habremos terminado.

En caso de que se produzcan timeouts será necesario actualizar el software e incluso verificar la configuración de los firewall si después continuase fallando.

Los firewall no deben descartar (drop) paquetes con extensiones EDNS, incluyendo extensiones desconocidas pero que respetan los estándares. Especialmente cuidadosos debemos ser con la firma Juniper, ya que descarta estos paquetes por defecto y requiere una breve configuración (os remito a la web oficial donde se explica bien).

Otras recomendaciones

Si queremos un escenario ideal es buena idea tener en cuenta si:

  • Nuestro sistema cumple con DNSSEC
  • Nuestro sistema cumple con la RFC 7873 y especialmente con una de sus recomendaciones, que es la usar cookies DNS.
  • Revisar utilizando la herramienta ednscomp para obtener información detallada. Sus posibles salidas son:
    • OK: el dominio no está afectado.
    • Compatible: el dominio tiene algunos problemas, pero no se verá afectado el DNS Flag Day.
    • High latency: el dominio sufrirá de timeouts al tratar de resolverlo.
    • Dead: el dominio no funcionará.
    • Además, la herramienta ednscomp cuenta con dos modos:
      • Permissive: el modo para la situación anterior a DNS Flag Day.
      • Strict: después del DNS Flag Day.

Conclusiones

El DNS flag day supone un hito importante para el funcionamiento de internet y como administradores de sistemas deberéis estar preparados para el cambio, evitando problemas para vosotros o vuestros clientes. La mayoría no tendrá que hacer nada, pero no está de más comprobar vuestros servidores por si acaso.

Anuncios

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.