View on GitHub

DNS flag day

¿Qué está pasando?

Los sistemas DNS modernos sufren de demoras innecesarias y dificultad para desarrollar nuevas funcionalidades. Para remediar este problema, los vendedores de software DNS BIND (ISC), Knot Resolver (CZ.NIC), PowerDNS, y Unbound (NLnet Labs) eliminarán ciertos parches provisorios el 1 de Febrero de 2019.

Este cambio solo afectará a sitios que operan software incorrecto. ¿Te afectará a ti?

Dueños de dominios

Por favor revise si su dominio está correcto:

Revise su dominio


Administradores DNS

Es posible revisar su servidor DNS usando la herramienta ednscomp. Ingrese el nombre de alguno de los dominios hospedados en su servidor DNS en el campo zone name y presione el botón Submit.

El resultado de las pruebas de ednscomp debe ser el mensaje en verde All Ok.

Si hay algún problema, la herramienta ednscomp entregará una explicación para cada prueba fallida. Las errores típicos son causados por:

Para solucionar estos problemas por favor actualice su software DNS a la última versión estable, y pruebe otra vez. Si las pruebas siguen fallando, por favor revise la configuración del cortafuegos.

Los cortafuegos no deben descartar paquetes DNS con extensiones EDNS, incluyendo extensiones que aún son desconocidas en el momento. El software moderno de DNS puede desarrollar nuevas extensiones (por ejemplo DNS cookies para protegerse de ataques DoS). Los cortafuegos que descartan paquetes DNS con estas extensiones están empeorando la situación para todos, incluyendo ataques DoS de mayor magnitud, e induciendo mayor latencia en el tráfico DNS.

Desarrolladores de software DNS

El principal cambio es que los vendedores de software DNS arriba mencionados comenzarán a interpretar los “tiempos de espera agotados” (“timeouts”) como una señal de problema en la red, o en el servidor. A partir del 1 de Febrero de 2019, no habrá ningún intento de desactivar EDNS como reacción a un tiempo de espera agotado.

En la práctica esto significa que todos los servidores DNS que no respondan a las consultas EDNS serán tratados como muertos.

Por favor pruebe sus implementaciones usando la herramienta ednscomp para asegurarse de manejar EDNS adecuadamente. El código fuente de la herramienta también se encuentra disponible.

Es importante notar que EDNS no es obligatorio de implementar todavía. Si decide no soportar EDNS, lo puede hacer, siempre que su software responda de acuerdo al estándar EDNS, sección 7.

Investigadores

Existen algunas herramientas que pueden interesar a Investigadores y otros interesados, como Operadores de TLD:

Por favor revise las metodologías respectivas antes de interpretar los datos. En cualquier caso, no dude en ponerse en contacto con los autores de cada herramienta, utilizando los enlaces Gitlab indicados arriba.

Presentaciones

Herramientas

Contacto

Apoyan

PowerDNS

ISC

NLnet Labs

CZ.NIC

Quad9

CleanBrowsing

Cloudflare

Lecturas adicionales