Geekly articles weekly

Que va-t-il se passer le 1er février 2020?

TL; DR: à partir de février 2020, les serveurs DNS qui ne prennent pas en charge DNS à la fois sur UDP et TCP peuvent cesser de fonctionner.

Bangkok, en général, est un endroit étrange où séjourner. Bien sûr, il fait chaud là-bas, plutôt pas cher et certains pourraient trouver la cuisine intéressante, ainsi que le fait qu'environ la moitié de la population mondiale n'a pas besoin de demander un visa à l'avance pour y arriver. Cependant, vous devez toujours vous familiariser avec les odeurs, et les rues de la ville jettent des scènes cyberpunk plus que toute autre chose.

En particulier, une photo à gauche a été prise non loin du centre de la capitale thaïlandaise, à une rue de l'hôtel Shangri-La, où la 30e réunion d'organisation DNS-OARC a eu lieu les 12 et 13 mai. une organisation à but non lucratif dédiée à la sécurité, la stabilité et le développement global du DNS - le système de noms de domaine.

Les diapositives de la réunion DNS-OARC 30 sont recommandées pour tous ceux qui s'intéressent au fonctionnement du DNS, bien que le plus intéressant soit peut-être ce qui est absent de ces diapositives. À savoir, une table ronde de 45 minutes avec une discussion sur les résultats de la Journée du drapeau DNS 2019 , qui a eu lieu le 1er février 2019.

Et, le résultat le plus impressionnant d'une table ronde est la décision de répéter DNS Day Flag une fois de plus .

Des problèmes, officier?


Comme l'ont montré diverses études , l'effet négatif du DNS Flag Day était négligeable. Probablement pour quelqu'un, le processus d'adaptation pourrait être pénible, mais au final, presque tous les serveurs DNS obsolètes ont été mis à jour et les pare-feu mal configurés ont été corrigés.

En conséquence, les organisateurs de la Journée du drapeau DNS perçoivent ce qui s'est passé comme une grande victoire et, inspirés par le succès, ne prévoient pas de s'arrêter.

Lors de la table ronde, de nombreuses tâches ont été discutées que les prochaines «journées du drapeau» pourraient aider à accomplir:

  • Prise en charge de la négociation de version EDNS sur les serveurs DNS publics;
  • Prise en charge de RaNdOmIzAtIoN des majuscules et des minuscules dans les requêtes DNS pour augmenter l'entropie contenue dans les demandes et les réponses;
  • Prise en charge DNS sur TCP sur les serveurs DNS (faisant autorité et récursifs);
  • Implémentation de la RFC 8020 , qui demande aux résolveurs récursifs d'arrêter de demander un domaine et tous ses sous-domaines s'ils reçoivent une réponse de type NXDOMAIN;
  • Prise en charge IPv6, etc.

Finalement, une décision a été présentée lors de la réunion du RIPE 78 cette semaine. Encore une fois: à partir de février 2020, les serveurs DNS qui ne prennent pas en charge le traitement des requêtes DNS basées sur UDP et TCP peuvent cesser de fonctionner.

Le jour exact, cependant, n'a pas encore été déterminé. Ce serait probablement le 1er février de l'année 2020, mais la date exacte est encore susceptible de changer un peu. Pourtant, selon les organisateurs de la journée du drapeau DNS 2020 (presque les mêmes organisations et individus que lors de la première journée du drapeau), neuf mois sont suffisants pour assurer la prise en charge TCP dans les installations DNS existantes, ne laissant aucun sens pour reporter l'événement.

Sur tcp


Aujourd'hui, DNS sur TCP est généralement pris en charge sur Internet.

L'opération du système de noms de domaine sur TCP est nécessaire pour gérer plusieurs cas importants:

  1. Livraison de réponses avec des tailles dépassant le chemin MTU , sans utiliser une fragmentation IP généralement peu fiable ;
  2. Support DNSSEC;
  3. Lutter contre les attaques DDoS;
  4. Etc.

Côté client (résolveur de stub) , DNS sur TCP est supporté depuis assez longtemps déjà presque partout, y compris Windows.

DNS sur TCP est depuis longtemps, en fait, obligatoire. Comme le note Mark Andrews, le développeur de serveur DNS Bind, RFC 1123 (publié en 1989) ne permet de gérer les requêtes et réponses DNS via UDP que si l'opérateur du serveur est bien conscient des conséquences et est en mesure de maintenir toutes les fonctionnalités du protocole DNS. sans TCP. De nos jours, ce dernier est pratiquement impossible.

L'analyse de 34 millions de domaines sur 59 TLD montre clairement que l'obligation d'utiliser TCP entraîne des problèmes pour environ 7% des domaines. À titre de comparaison, en novembre 2018 - trois mois avant le jour du drapeau DNS 2019 - 5,68% des sites testés avaient toujours des problèmes EDNS.

De ces 7%:

  • 90% des problèmes sont liés au travail de serveurs faisant autorité de 10 entreprises;
  • 68% du problème est verrouillé sur les serveurs d'une seule entreprise - le FAI chinois Hichina;
  • Avec d'autres fournisseurs chinois - AliDNS et Xinnet, cette part s'élève à 72%;
  • La moitié des noms de la liste ont également eu des problèmes avec EDNS en novembre 2018, bien qu'ils les aient résolus avec succès à peu près à la même époque.

Les organisateurs de Flag Day sont parvenus à un consensus sur le fait que des milliers de FAI et d'opérateurs DNS qui composent la communauté DNS ne devraient plus payer pour des solutions de contournement au profit de quelques dizaines d'entreprises qui ne mettent pas à jour leurs serveurs.

De plus, le point critique, tout comme la dernière fois, est que les conséquences s'appliquent non seulement aux propriétaires des serveurs DNS, mais également aux administrateurs réseau, s'ils bloquent l'accès au port 53 / TCP sur leurs pare-feu.
D'ici février 2020, l'accès via le port 53 / TCP aux serveurs DNS doit fonctionner.

Et ensuite?


Bien sûr, les organisateurs du Jour du drapeau mettront à jour leur site Web et ajouteront des informations et des outils DNS Jour du drapeau 2020 pour vérifier la conformité des domaines avec les exigences de 2020.

N'oubliez pas d'effectuer un tel contrôle avant la fin de cette année, pour vous assurer que vous n'auriez aucun problème.

Le DNS Flag Day 2020 a été discuté lors de la réunion RIPE 78 à Reykjavík, voici les diapositives , voici la vidéo .

Vous pouvez également suivre ce qui se passe avec Twitter .

Le jour du drapeau DNS 2021 sera très probablement planifié selon un calendrier similaire, à commencer par le DNS-OARC 32 au printemps 2020. Les demandes de solutions de contournement et de correctifs, qui auraient dû être enterrées depuis longtemps, sont acceptées et collectées sur GitHub .

Source: https://habr.com/ru/post/fr452848/

More articles:


All Articles