Cisco ist einer der größten DNS-Anbieter der Welt und bietet einen sicheren DNS-Dienst auf der Basis von
Cisco Umbrella (ehemals OpenDNS) an. Heute werden wir jedoch nicht darüber und nicht einmal über Sicherheit sprechen. Tatsache ist, dass am 1. Februar der sogenannte DNS-Flaggentag kommt, nach dem Ihre Website für Benutzer im Internet möglicherweise nicht mehr zugänglich ist.
Worüber sprichst du? Das DNS-Protokoll wurde in den frühen 80er Jahren entwickelt. Seitdem ist viel Wasser geflossen und im DNS-Protokoll mussten neue Funktionen und Fähigkeiten hinzugefügt werden. Diese Arbeit begann 1999, als die erste Version von Erweiterungen unter den Namen EDNS0 (Extension Mechanism for DNS) in RFC 2671 veröffentlicht wurde. Mit dieser Version konnten einige Einschränkungen aufgehoben werden, z. B. die Größe einiger Felder mit Flags, Rückkehrcodes usw. Die aktuelle Version des erweiterten EDNS-Protokolls ist in
RFC 6891 beschrieben . Gleichzeitig gab es im Internet weiterhin DNS-Server, die EDNS nicht unterstützten und nicht unterstützten. Dies führte zu gewissen Schwierigkeiten bei der Interaktion, der Notwendigkeit der Abwärtskompatibilität, was wiederum zu einer Verlangsamung des gesamten DNS-Systems und der Unmöglichkeit einer vollständigen Kompatibilität führte am wenigsten alle neuen Funktionen von EDNS realisieren.
Aber diese Bacchanalia ging zu Ende - ab dem 1. Februar werden nicht unterstützte EDNS-Server nicht mehr verfügbar sein und es wird unmöglich sein, sie zu erreichen. Änderungen werden an der beliebtesten DNS-Software vorgenommen - Bind, Knot Resolver, PowerDNS und Unbound, die nur Datenverkehr akzeptiert, der dem EDNS-Standard entspricht. Datenverkehr von alten und nicht aktualisierten Servern wird als unzulässig angesehen und diese Server werden nicht gewartet, was dazu führen kann, dass Domänen, die auf diesen Servern "hängen", nicht mehr erreichbar sind.
Für die meisten Unternehmen bleibt der DNS-Flaggentag unbemerkt, da viele DNS-Anbieter ihre Software bereits auf die erforderlichen Versionen aktualisieren oder aktualisieren. Es können Schwierigkeiten für Unternehmen auftreten, die unabhängig voneinander ihre eigenen DNS-Server warten, sowie für viele Regierungsbehörden, die Software in ihrer Infrastruktur nicht zu schnell aktualisieren, ohne die Mittel oder qualifizierten Spezialisten. Infolgedessen können ab dem 1. Februar die Websites vieler Abteilungen nicht mehr zugänglich sein oder auf Zugriffsprobleme stoßen.
Das Überprüfen der Aussichten für den Zugriff auf Ihre Website im Februar 2019 ist ganz einfach: Sie müssen nur zu
dnsflagday.net gehen, dort Ihren Domainnamen eingeben und ein Ergebnis erhalten, das unterschiedliche Bedeutungen hat. Idealerweise sollte ein Bild ähnlich dem unten gezeigten für
cisco.ru angezeigt werden :
Wenn Sie ein ähnliches Bild sehen, wie es beispielsweise für die ANO-Site "Digital Economy" ausgegeben wurde, bedeutet dies, dass die Site funktioniert, jedoch nicht den neuesten DNS-Standard unterstützt und die erforderlichen Sicherheitsfunktionen möglicherweise nicht vollständig implementieren kann Ziel für Hacker, die diese Site (und plötzlich) angreifen können.
Die ersten beiden Bilder dieser Notiz mit roten
Verkehrszeichen sind das Schlimmste, was Sie sehen können. Es ist besser, die Software, mit der Ihr DNS funktioniert, schnell zu aktualisieren. Auf der Website
dnsflagday.net finden Sie alle notwendigen Anweisungen und Links, um Ihre Software zu aktualisieren. Es gibt auch Links zu verschiedenen Dienstprogrammen für Administratoren, mit denen Sie Ihre DNS-Infrastruktur nach Schwachstellen durchsuchen können.
Abschließend möchte ich nur auf Sicherheitsfragen eingehen. Tatsache ist, dass einige Firewalls DNS-Pakete blockieren können, die länger als 512 Byte sind (mit EDNS-Erweiterungen), was zu DoS-Angriffen führen kann (z. B. kann die ITU DNS-Cookies blockieren, die Teil von EDNS sind und speziell für den Schutz entwickelt wurden von DoS-Angriffen) und niedrigeren Internetgeschwindigkeiten. Daher lohnt es sich, auf die Regeln Ihrer ITU zu achten, da dies früher durchaus üblich war und viele einfach vergessen haben, wann und warum die Regeln zu ihren Netzwerk-Perimeter-Sicherheitstools hinzugefügt wurden.
Vor dem Beginn des DNS-Flaggentags verbleiben weniger als zwei Wochen. Es bleibt noch genügend Zeit, um mit der Einhaltung des Standards zu beginnen und die Loyalität von Kunden und Bürgern nicht zu verringern, die angesichts der Unzugänglichkeit oder des langsamen Betriebs Ihrer Website beginnen, ihre schmeichelhaften Kommentare in sozialen Netzwerken auszudrücken.
Es lohnt sich natürlich nicht, über die globale Apokalypse zu sprechen. Darüber hinaus wird dieser Tag für viele, wie ich oben schrieb, völlig unbemerkt bleiben. Die DNS-Einstellungen an diesem Tag werden jedoch von vielen Anbietern geändert, was sich auf die Verfügbarkeit einiger Websites auswirken kann. Dies ist ein wissenswertes Risiko, auf das Sie vorbereitet sein müssen.