TL; DR: a partir de febrero de 2020, los servidores DNS que no admiten el procesamiento de consultas DNS a través de UDP y TCP pueden dejar de funcionar.Esta es una continuación de la publicación "¿Qué pasará el 1 de febrero?" con fecha del 24 de enero de 2019. Se alienta al lector a familiarizarse rápidamente con la primera parte de la historia para comprender el contexto.
Bangkok, en general, es un lugar de aficionados. Por supuesto, es cálido, barato, y la cocina es interesante, y
no necesita obtener visas para la mitad de la población de la Tierra con
anticipación , pero aún necesita acostumbrarse a los olores, y las calles de la ciudad hacen que recuerde los clásicos del cyberpunk en el mejor de los casos.
En particular, el paisaje a la izquierda se observa cerca del centro de la capital de Tailandia, al otro lado de la calle del Hotel Shangri-La, donde se celebró la 30ª reunión de DNS-OARC, una organización sin fines de lucro dedicada a la seguridad, la estabilidad y el desarrollo del sistema de nombres de dominio DNS, del 12 al 13 de mayo. .
Las diapositivas del programa DNS-OARC 30 son, en principio, recomendadas para el estudio de todos los interesados en el funcionamiento de DNS, pero lo más interesante es, quizás, algo que no estaba en las diapositivas. A saber, una mesa redonda de 45 minutos que discute los resultados del Día de la Bandera de DNS el 1 de febrero de 2019.
Y lo más interesante de la mesa redonda es la decisión de que se continuará la
práctica del Día de la Bandera de DNS .
¿Problemas, oficial?
Una variedad de
estudios ha demostrado que el efecto del primer Día de la Bandera de DNS se minimizó. Sí, para algunos, el proceso de adaptación
podría ser doloroso , pero al final, casi todos los servidores DNS obsoletos se actualizaron y los firewalls configurados incorrectamente se configuraron correctamente.
En consecuencia, los organizadores del Día de la Bandera perciben el incidente como una gran victoria y, inspirados por el éxito, no van a detenerse allí.
La mesa redonda discutió las siguientes
tareas que los próximos "días de bandera" pueden ayudar a lograr:
- Soporte para conciliar versiones EDNS en servidores DNS públicos;
- Soporte para ALEATORIZACIÓN de caracteres en mayúsculas y minúsculas en consultas DNS para aumentar la entropía contenida en consultas y respuestas;
- Soporte para DNS sobre TCP en servidores DNS (tanto autoritarios como recursivos);
- Implementación de RFC 8020 , que ordena a los resolutivos recursivos que dejen de acceder al dominio y a todos sus subdominios si se recibe una respuesta del tipo NXDOMAIN;
- Falta de soporte para IPv6, etc.
Finalmente, se tomó una decisión, que se anunció en la reunión plenaria de
RIPE 78 simultáneamente con la publicación de esta publicación.
Nuevamente: a partir de febrero de 2020, los servidores DNS que no admiten el procesamiento de consultas DNS a través de UDP y TCP pueden dejar de funcionar.
Sin embargo, aún no se ha determinado una fecha específica. Lo más probable es que sea el 1 de febrero, pero el día puede cambiarse. Sin embargo, según los organizadores del DNS Flag Day 2020 (y estas son las mismas personas y empresas que este año), nueve meses para implementar el soporte TCP en las instalaciones DNS existentes es suficiente, por lo que no tiene sentido posponer el evento.
Sobre tcp
Hoy, TCP en DNS es generalmente compatible.
La operación de un sistema de nombres de dominio usando TCP es necesaria por varias razones:
- Entrega de respuestas más grandes que la ruta MTU , sin el uso de fragmentación IP poco confiable ;
- Soporte DNSSEC;
- Lucha contra ataques DDoS, etc.
En el lado del cliente, el DNS sobre TCP ha sido soportado por casi cualquier resolución de stub, incluido Windows.
De hecho, DNS sobre TCP no ha sido opcional por mucho tiempo. Como
señaló Mark Andrews, el desarrollador del servidor Bind DNS,
RFC 1123 (publicado en 1989) nos permitió no implementar el procesamiento de consultas y respuestas DNS a través de TCP solo si el operador del servidor era consciente de las consecuencias y era capaz de soportar la funcionalidad completa del protocolo DNS sin TCP. Hasta la fecha, esto último es simplemente imposible.
El análisis de 34 millones de dominios de 59
TLD muestra que el requisito de usar TCP genera problemas en aproximadamente el 7% de los dominios. A modo de comparación, en noviembre de 2018, 3 meses antes del primer Día de la Bandera de DNS, los problemas con EDNS tenían el 5,68% de los sitios probados.
De estos 7%:
- El 90% de los problemas están relacionados con el trabajo de servidores autorizados de 10 empresas;
- El 68% de los problemas están bloqueados en los servidores de una sola compañía : el operador chino Hichina;
- Junto con otros proveedores chinos problemáticos, AliDNS y Xinnet, esta participación ya es del 72%;
- La mitad de la lista también tuvo problemas con EDNS en noviembre de 2018, pero los resolvió con éxito.
Los organizadores del Día de la Bandera llegaron a un consenso de que los miles de operadores que conforman la comunidad DNS ya no deberían pagar por el apoyo de muletas para un par de docenas de empresas que no están actualizando sus servidores.
Un punto importante, como la última vez, las consecuencias pueden ser no solo para los propietarios de servidores DNS, sino también para los administradores de red que bloquean el acceso al puerto 53 / TCP en el firewall.
Para febrero de 2020, el acceso en el puerto 53 / TCP a los servidores DNS debería funcionar .
¿Y luego que?
Por supuesto, los organizadores de Flag Day actualizarán
su sitio y agregarán información sobre DNS Flag Day 2020 y las utilidades para verificar la compatibilidad de los dominios con los requisitos de 2020.
No olvide llevar a cabo dicho control antes de fin de año para asegurarse de que no tendrá problemas.
Libor Peltan de CZ.NIC hablará en detalle sobre los planes de DNS Flag Day 2020 en la próxima
reunión del grupo euroasiático de operadores de red ENOG en Tbilisi del 3 al 4 de junio. La transmisión con traducción al ruso estará disponible en tiempo real en el sitio, en el mismo lugar (y en el chat de Telegram
ENOG Talk ) puede hacer preguntas.
También puedes seguir lo que está sucediendo
en Twitter .
DNS Flag Day 2021 se planificará, muy probablemente, en un horario similar, comenzando con DNS-OARC 32 en la primavera de 2020. Las solicitudes de muletas que deberían haber sido enterradas hace mucho tiempo se aceptan y se recogen
en Github .