Cisco es uno de los proveedores de DNS más grandes del mundo y ofrece un servicio de DNS seguro basado en
Cisco Umbrella (anteriormente OpenDNS), pero hoy no hablaremos de eso ni de seguridad. El hecho es que el 1 de febrero llegará el llamado Día de la Bandera de DNS, después del cual es posible que su sitio no sea accesible para los usuarios en Internet.
De que estas hablando El protocolo DNS se desarrolló a principios de los años 80. Desde entonces, ha fluido mucha agua y en el protocolo DNS fue necesario agregar nuevas características y capacidades. Este trabajo comenzó en 1999 cuando la primera versión de extensiones bajo los nombres EDNS0 (mecanismo de extensión para DNS) se publicó en RFC 2671. Esta versión permitió eliminar algunas restricciones, por ejemplo, el tamaño de algunos campos de banderas, códigos de retorno, etc. La versión actual del protocolo EDNS extendido se describe en
RFC 6891 . Al mismo tiempo, los servidores DNS continuaron existiendo en Internet que no admitían y no admiten EDNS, creando así ciertas dificultades en la interacción, la necesidad de proporcionar compatibilidad con versiones anteriores, lo que a su vez conduce a una desaceleración de todo el sistema DNS y la imposibilidad de menos darse cuenta de todas las nuevas características de EDNS.
Pero esta bacanal llegó a su fin: desde el 1 de febrero, los servidores EDNS no compatibles no estarán disponibles y será imposible acceder a ellos. Se realizarán cambios en el software DNS más popular: Bind, Knot Resolver, PowerDNS y Unbound, que solo aceptarán tráfico que cumpla con el estándar EDNS. El tráfico de servidores antiguos y no actualizados se considerará ilegítimo y estos servidores no serán atendidos, lo que puede conducir a la inaccesibilidad de dominios que se "bloquean" en estos servidores.
Para la mayoría de las empresas, DNS Flag Day pasará desapercibido, ya que muchos proveedores de DNS ya están actualizando o actualizando su software a las versiones requeridas. Pueden surgir dificultades para aquellas empresas que mantienen de forma independiente sus propios servidores DNS, así como para muchas agencias gubernamentales que no actualizan el software en su infraestructura demasiado rápido, sin los medios ni los especialistas calificados. Como resultado, a partir del 1 de febrero, los sitios web de muchos departamentos pueden quedar inaccesibles o tener problemas de acceso.
Verificar las perspectivas de acceso a su sitio en febrero de 2019 es bastante simple: solo necesita ir a
dnsflagday.net , ingresar su nombre de dominio allí y obtener un resultado que tendrá diferentes significados. Idealmente, debería ver una imagen similar a la que se muestra a continuación para
cisco.ru :
Si ve una imagen similar a la emitida, por ejemplo, para el sitio ANO "Economía digital", esto significa que el sitio funcionará, pero no es compatible con el último estándar DNS y no podrá implementar completamente las funciones de seguridad necesarias y puede convertirse en objetivo para hackers que pueden (y de repente) atacar este sitio.
Las dos primeras imágenes de esta nota con señales de
tráfico rojas son lo peor que puede ver. Es mejor actualizar rápidamente el software que hace que su DNS funcione. En el sitio
dnsflagday.net puede obtener todas las instrucciones y enlaces necesarios para actualizar su software. También hay enlaces a varias utilidades para administradores, que le permiten escanear su infraestructura de DNS en busca de debilidades.
Para concluir esta nota, no puedo dejar de tocar los problemas de seguridad. El hecho es que algunos firewalls pueden bloquear paquetes DNS de más de 512 bytes (con extensiones EDNS), lo que puede provocar ataques DoS (por ejemplo, la UIT puede bloquear las cookies DNS, que son parte de EDNS y están diseñadas específicamente para protección de ataques DoS) y velocidades de Internet más bajas. Por lo tanto, vale la pena prestar atención a las reglas de su ITU, ya que anteriormente era bastante común y muchos simplemente han olvidado cuándo y por qué las reglas se agregaron a sus herramientas de seguridad del perímetro de la red.
Antes del inicio del Día de la Bandera de DNS, quedan menos de dos semanas, todavía hay tiempo suficiente para comenzar a cumplir con el estándar y no reducir la lealtad de los clientes y ciudadanos que, ante la inaccesibilidad o el funcionamiento lento de su sitio, comenzarán a expresar sus comentarios poco halagadores en las redes sociales.
Por supuesto, hablar sobre el apocalipsis global no vale la pena. Además, para muchos, este día, como escribí anteriormente, pasará completamente desapercibido. Pero la configuración de DNS en este día será cambiada por muchos proveedores, lo que puede afectar la disponibilidad de algunos sitios. Es un riesgo que vale la pena conocer y para el que debe estar preparado.