Nicht, dass es natürlich die
erste Diskussion einer Frage zu Habré gewesen wäre . Bisher wurden die Konsequenzen jedoch hauptsächlich diskutiert, während die Ursachen unserer Meinung nach viel interessanter sind.
Der
DNS-Flaggentag ist also für den 1. Februar geplant. Die Auswirkungen dieses Ereignisses werden allmählich eintreten, aber immer noch schneller, als einige Unternehmen sich darauf einstellen können.
Was ist das? In einfachen Worten ist dies ein
Manifest der weltweit führenden DNS-Serverentwickler: CZ.NIC, ISC, NLnet Labs und PowerDNS.
Hersteller von DNS-Software hatten lange Zeit ein Problem: Entwicklung eines Domain-Name-Systems, Hinzufügen neuer Funktionen, die Kunden benötigen, Beheben von Sicherheitsproblemen - all diese Prozesse werden aufgrund der kooperativen Struktur des DNS-Systems und der Notwendigkeit, archaische Server zu unterstützen, die ältere Protokollversionen implementieren (und), drastisch verlangsamt auch dies wird oft mit Fehlern gemacht).
Außergewöhnliche Situation
Gemäß dem
Katalog der DNS-Protokollstandards enthält die aktuelle Spezifikation ab dem 21. Januar 2018 3248 Seiten. Sie umfassen alle relevanten RFCs in den Status
„Internetstandard“ ,
„vorgeschlagener Standard“ (der für heute im Wesentlichen gleich ist),
„Best Current Practice“ und
„Information“ . Zum Vergleich: Das HTTP-Protokoll, das die Bereitstellung von Inhalten für alle Websites im Internet ermöglicht, wird insgesamt auf 672 Seiten beschrieben.
Wenn das TOR Ihres Projekts nicht so aussieht, versuchen Sie nicht einmal, mich einzuladen.
Die Notwendigkeit, die Verarbeitung aller auf 3.000 Seiten beschriebenen Funktionen und Ausnahmen zu implementieren, ist an sich schon harte Arbeit, und außerdem implementieren eine Reihe von DNS-Servern diese oder jene Funktionalität falsch, was dazu führt, dass nicht standardmäßiges Verhalten zusätzlich verarbeitet werden muss. In einigen der oben genannten RFCs wird die Verzweiflung, die die Leute überwältigt, die mit dem Protokoll arbeiten,
sogar in den Namen gespritzt.
Laut wichtigen DNS-Entwicklern ist die Situation mit der Komplexität des Programmcodes bereits ernst genug, um drastische Maßnahmen zu ergreifen. Am 1. Februar werden im Rahmen einer koordinierten Aktion aktualisierte Versionen aller wichtigen DNS-Server veröffentlicht, in denen die Unterstützung für bestimmte falsche Verhaltensweisen jetzt und für immer beendet wird.
Und im Detail?
Um zu erklären, was genau nicht mehr unterstützt wird, werde ich eine Analogie geben. Stellen Sie sich vor, bis 1999 durften Personen nicht in ein Flugzeug mit Gepäck einsteigen, und 1999 durften Passagiere nach einer offiziellen Entscheidung der Aufsichtsbehörde Taschen (mit einem bestimmten Gewicht und einer bestimmten Größe) an Bord nehmen. Bequem genug, oder? Sie können viele nützliche Dinge tragen.
Stellen Sie sich jetzt vor, dass es 2019 noch Flugzeuge gibt, die nicht mit Taschen befördert werden können, und bis zum Einsteigen können Sie nicht herausfinden, ob Sie Gepäck mitbringen können.
Dies ist in etwa der Fall bei
der EDNS-Erweiterung , deren mangelnde Unterstützung ab dem 1. Februar dazu führen wird, dass eine Reihe von Websites nicht mehr zugänglich sind. Grob gesagt dürfen Flugzeuge, die nicht wissen, wie sie Gepäck an Bord nehmen sollen (zumindest minimal), im Februar aufgrund des zwanzigsten Jahrestages des
ersten EDNS-Standards nicht mehr in eine Reihe von Flughäfen einfliegen.
Eine Ankündigung hierzu wurde früh genug veröffentlicht: Von März bis Mai 2018 informierten die Hauptorganisatoren des DNS-Flaggentags die Öffentlichkeit auf einer
Reihe beliebter Branchenkonferenzen . Darüber hinaus führt die Veröffentlichung aktualisierter Versionen von DNS-Servern allein nicht sofort zu Problemen, da die Betreiber immer noch auf diese Versionen umsteigen müssen, was einige Zeit in Anspruch nimmt. Noch wichtiger ist jedoch, dass eine Reihe von Cloud-basierten DNS-Dienstanbietern dem DNS Flag Day beigetreten sind. Dazu gehören Giganten wie Google (und ihr berühmter DNS-Server mit einer IP-Adresse von 8.8.8.8), Cloudflare, Facebook und Cisco.
Infolgedessen funktionieren Websites, die DNS-Server ohne EDNS-Unterstützung verwenden (dh „Flugzeuge“, die nicht wissen, wie man Gepäck an Bord trägt), ab dem 1. Februar nicht mehr für alle Benutzer, die offene DNS-Server 8.8.8.8, 9.9.9.9 verwenden. 1.1.1.1 und mehrere andere. Wenn DNS-Anbieter ihre ISPs aktualisieren, wächst die Liste.
Die Besonderheit der Funktionsweise des DNS-Servers in der Unternehmensinfrastruktur besteht darin, dass er normalerweise nicht fragt, für sich selbst funktioniert und daher häufig von niemandem aktualisiert wird. Systemadministratoren der alten Schule sind sogar
gerne stolz auf die langfristige Verfügbarkeit solcher Maschinen. Das Problem ist, dass sich bei einem Upgrade beispielsweise auch von FreeBSD 5 auf FreeBSD 10 (der eigentliche Fall) umschalten muss, was unter anderem einen Neustart erfordert und vom Neustart der alte Server bereits vorhanden ist darf einfach nicht ausgehen.
Das Unangenehmste ist, dass die Lösung des Problems im allgemeinen Fall nicht darin besteht, einfach die DNS-Server zu aktualisieren. Einige Organisationen verwenden Firewalls (sowohl Software als auch Hardware-Software), die das gewaltsame Verwerfen aller DNS-Pakete mit EDNS-Funktion erzwingen. Unter anderem waren die alten Juniper SRX-Modelle damit beschäftigt, aber die Sache ist keineswegs auf sie beschränkt. Wenn wir allgemein über Firewalls und DPI-Lösungen sprechen, ist im Prinzip eine relativ niedrige Entwicklungsqualität einer Reihe solcher Lösungen seit langem bekannt. In all den Jahren litten die Entwickler des DNS-Protokolls unter den Problemen, die sie objektiv verursacht hatten, und jetzt haben sie beschlossen, zurückzuschlagen.
Die Aktualisierung solcher Lösungen kann jedoch eine beträchtliche Zeit in Anspruch nehmen, und in einigen Fällen kann es erforderlich sein, die einst teuren Geräte in den Müll zu werfen und neue zu erwerben, was beispielsweise im Rahmen des russischen Haushaltszyklus (insbesondere wenn die weggeworfenen Geräte in hergestellt wurden) zu vielen Schwierigkeiten führen wird im Ausland, und es gibt keine Möglichkeit mehr, aus dem einen oder anderen Grund (finanziell, politisch, ideologisch) Ausländer von einer Organisation zu kaufen.
Für diejenigen, die dieses Problem haben, ist es Zeit, es zu lösen. Beachten Sie, dass sofortige Lösungen nur die Probleme erfordern, die das
entsprechende Überprüfungstool mit rotem „STOP“ oder „SLOW“ anzeigt. Das Ausrufezeichen im gelben Dreieck ist bisher nur eine Warnung und der 1. Februar wird keine Probleme verursachen (obwohl dieses Problem auf lange Sicht behoben werden muss).
Und was dann?
Erstens sollte der DNS-Flaggentag keine signifikanten Kataklysmen hervorrufen.
In verschiedenen Diskussionen kann man Kritik am
ursprünglichen Beitrag von Alexei Lukatsky über Habré hören: Sie sagen, dass der Autor einen übermäßig alarmierenden Ton angenommen hat. Dennoch kann man nicht übersehen, dass Aleksey genau derjenige ist, der sehr gut weiß, wie die Netzwerkinfrastruktur großer russischer Organisationen und staatlicher Institutionen verbunden ist und welche Geräte angeschlossen sind. Laut der Studie, deren Ergebnisse offenbar
der .RU und dem . Domain Coordination Center zur Verfügung stehen, zeigt sich das Problem, dass Lukatskys Post vor der Registrierung an einer Reihe bekannter Websites bereits in Spuren vorhanden war, d. H. Einem Blogeintrag bei Cisco (und Nachfolgende Notizen, etwa im
Roskomsvoboda- Blog, hatten den gewünschten Effekt.
Der Erfolg des DNS Flag Day wird jedoch offensichtlich zu Konsequenzen führen. Die wichtigste davon ist, dass solche Aktionen auch in Zukunft fortgesetzt werden. Es gibt noch
viele Stellen im DNS-System, die Entwickler so schnell wie möglich erweitern möchten. Außerdem ist DNS nicht das einzige Protokoll, in dem es etwas zu analysieren gibt. Das Beispiel mit dem BGP-Attribut 0xFF, das wir im nächsten Artikel diskutieren werden, zeigt deutlich: Manchmal ist der Impfstoff für das Internet nützlich.
Damit haben Systemadministratoren bislang ein ziemlich eindeutiges Dilemma:
- Oder der Administrator des DNS-Servers muss das Leben der Internet-Community überwachen, insbesondere die Nachrichten der professionellen Community der DNS-Entwickler, und insbesondere auf Server-Updates achten und darauf achten.
- Oder die Verwaltung Ihrer eigenen Domain-Zone sollte an einen Drittanbieter übertragen werden, der auf solche Arbeiten spezialisiert ist (von denen es im Prinzip viele Menschen auf der Welt gibt).
Wir werden jedoch wahrscheinlich auch auf dieses Thema zurückkommen.