No es que, por supuesto, fuera la
primera discusión de una pregunta sobre Habré . Sin embargo, hasta ahora, las consecuencias se discutieron principalmente, mientras que, en nuestra opinión, las causas fundamentales son mucho más interesantes.
Entonces,
el Día de la Bandera de DNS está programado para el 1 de febrero. Los efectos de este evento ocurrirán gradualmente, pero aún más rápido de lo que algunas compañías podrán adaptarse.
Que es esto En términos simples, este es un
manifiesto de los principales desarrolladores de servidores DNS
del mundo: CZ.NIC, ISC, NLnet Labs y PowerDNS.
Los fabricantes de software DNS han tenido un problema durante mucho tiempo: desarrollar un sistema de nombres de dominio, agregar nuevas características que los clientes necesitan, resolver problemas de seguridad: todos estos procesos se ralentizan drásticamente debido a la estructura cooperativa del sistema DNS y la necesidad de admitir servidores arcaicos que implementan versiones de protocolos heredados (y incluso esto a menudo se hace con errores).
Situación excepcional
Según el
catálogo de estándares de protocolo DNS , la especificación actual contiene, a partir del 21 de enero de 2018, 3248 páginas. Incluyen todos los RFC relevantes en los estados de
"estándar de Internet" ,
"estándar propuesto" (que es esencialmente el mismo para hoy),
"mejores prácticas actuales" e
"informativo" . A modo de comparación: el protocolo HTTP, que proporciona la entrega de contenido para todos los sitios web en Internet, se describe en total en 672 páginas.
Como dice el refrán, si los TOR de su proyecto no se parecen a algo así, ni siquiera intente invitarme.
La necesidad de implementar el procesamiento de todas las funciones y excepciones descritas en 3.000 páginas es un trabajo duro en sí mismo, y además, varios servidores DNS implementan esta o aquella funcionalidad de manera incorrecta, lo que lleva a la necesidad de procesar adicionalmente un comportamiento no estándar. En algunos de los RFC antes mencionados, la desesperación que abruma a las personas que trabajan con el protocolo se salpica
incluso en el nombre .
Según los principales desarrolladores de DNS, la situación con la complejidad del código del programa ya es lo suficientemente grave como para tomar medidas drásticas. El 1 de febrero, como parte de una acción coordinada, se lanzarán versiones actualizadas de todos los servidores DNS principales, en las que el soporte para cierto comportamiento incorrecto se terminará ahora y para siempre.
¿Y con más detalle?
Para explicar exactamente qué dejará de ser compatible, haré una analogía. Imagine que hasta 1999 no se permitía a las personas subir a un avión con equipaje, y en 1999, por decisión oficial de la autoridad supervisora, a los pasajeros se les permitía llevar a bordo bolsas (de cierto peso y tamaño). Lo suficientemente cómodo, ¿verdad? Puedes llevar muchas cosas útiles.
Imagínese ahora que en 2019 todavía hay aviones que no se pueden transportar con maletas, y hasta el embarque no tiene forma de saber si puede llevar equipaje con usted.
Este es aproximadamente el caso con
la extensión EDNS , cuya falta de soporte a partir del 1 de febrero conducirá a la inaccesibilidad de varios sitios web. En términos generales, en febrero, debido al vigésimo aniversario del
primer estándar EDNS , los aviones que no saben cómo llevar equipaje a bordo (al menos mínimo) ya no podrán ingresar a varios aeropuertos.
Se emitió un anuncio sobre esto con suficiente antelación: en marzo-mayo de 2018, los principales organizadores del Día de la Bandera del DNS informaron al público en una
serie de conferencias populares de la industria . Además, el lanzamiento de versiones actualizadas de servidores DNS por sí solo no generará problemas de inmediato, ya que los operadores aún tienen que cambiar a estas versiones, y esto lleva tiempo. Pero, más significativamente, varios proveedores de servicios de DNS basados en la nube también se han unido al Día de la Bandera de DNS. Estos incluyen gigantes como Google (y su famoso servidor DNS con una dirección IP de 8.8.8.8), Cloudflare, Facebook y Cisco.
Como resultado, los sitios que usan servidores DNS sin soporte EDNS (es decir, "aviones" que no saben cómo "llevar equipaje a bordo") dejarán de funcionar para todos aquellos que usan servidores DNS abiertos 8.8.8.8, 9.9.9.9 desde el 1 de febrero, 1.1.1.1 y varios otros. A medida que los proveedores de DNS actualicen sus ISP, la lista crecerá.
La peculiaridad del funcionamiento del servidor DNS en la infraestructura corporativa es que generalmente no pregunta, funciona por sí mismo y funciona, por lo tanto, a menudo nunca es actualizado por nadie. Los administradores de sistemas de la vieja escuela incluso
adoran sentirse orgullosos del tiempo de funcionamiento a largo plazo de tales máquinas. El problema es que cuando se hace necesario actualizar, resulta que para esto necesita, por ejemplo, también cambiar de FreeBSD 5 a FreeBSD 10 (el caso real), lo que, entre otros problemas, requerirá un reinicio, y desde el reinicio, el servidor anterior ya está puede simplemente no salir.
Lo más desagradable es que la solución al problema en el caso general no se reduce simplemente a actualizar los servidores DNS. Algunas organizaciones usan firewalls (software y hardware-software) que obligan a todos los paquetes DNS con la función EDNS a ser eliminados por la fuerza. Entre otras cosas, los viejos modelos Juniper SRX se dedicaron a esto, pero el asunto no se limita a ellos. En principio, si hablamos de firewalls y soluciones DPI en general, se conoce desde hace tiempo un nivel bastante bajo de calidad de desarrollo de varias de estas soluciones. Todos estos años, los desarrolladores del protocolo DNS sufrieron los problemas que causaron objetivamente, y ahora han decidido contraatacar.
Pero actualizar tales soluciones puede llevar un tiempo considerable y, en algunos casos, puede ser necesario tirar a la basura el equipo que una vez fue costoso y adquirir otros nuevos, lo que causará muchas dificultades, por ejemplo, en el marco del ciclo presupuestario ruso (especialmente si el equipo desechado se fabricó en en el extranjero, y no hay más oportunidad de comprar extranjeros de una organización por una razón u otra (financiera, política, ideológica).
Entonces, para aquellos que tienen este problema, es hora de comenzar a resolverlo. Tenga en cuenta que las soluciones inmediatas requieren solo aquellos problemas que la
herramienta de verificación correspondiente muestra con rojo "STOP" o "SLOW". El signo de exclamación en el triángulo amarillo es solo una advertencia hasta el momento y el 1 de febrero no causará problemas (aunque a la larga este problema debe corregirse).
¿Y luego que?
En primer lugar, el Día de la Bandera de DNS no debería provocar ningún cataclismo significativo.
En varias discusiones, uno puede escuchar críticas de la
publicación original de Alexei Lukatsky sobre Habré: dicen que el autor tomó un tono excesivamente alarmista. Sin embargo, uno no puede dejar de notar que Aleksey es la persona que sabe muy bien cómo está vinculada la infraestructura de red de las grandes organizaciones rusas y las instituciones estatales y qué equipo está conectado. Según el estudio, cuyos resultados, aparentemente,
están disponibles para el Centro de Coordinación de Dominios .RU y ., el problema que, antes de que la publicación de Lukatsky se registrara en varios sitios conocidos, hoy ya se muestra en pequeñas cantidades, es decir, una entrada de blog en Cisco (y notas posteriores, digamos, en el blog de
Roskomsvoboda ) tuvieron el efecto deseado.
Sin embargo, el éxito del Día de la Bandera de DNS obviamente tendrá consecuencias, la principal de las cuales es que tales acciones continuarán en el futuro. Todavía hay
muchos lugares en el sistema DNS que a los desarrolladores les gustaría expandir lo más rápido posible; Además, DNS no es el único protocolo en el que hay algo para analizar. El ejemplo con el atributo BGP 0xFF, que discutiremos en el próximo artículo, muestra claramente: a veces la vacuna es útil para Internet.
Eso, hasta la fecha, deja a los administradores del sistema con un dilema bastante inequívoco:
- O bien, el administrador del servidor DNS debe controlar la vida de la comunidad de Internet, en particular, las noticias de la comunidad profesional de desarrolladores de DNS y, en particular, prestar atención y tiempo a las actualizaciones del servidor;
- O bien, la administración de su propia zona de dominio debe transferirse a un proveedor externo especializado en dicho trabajo (de los cuales, en principio, hay muchas personas en el mundo).
Sin embargo, es probable que volvamos a este tema también.