El próximo 1° de febrero de 2019, los cuatro principales proveedores de software para DNS recursivos -Bind, Unbound, PowerDNS y Knot- realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisorios históricos que perdonaban ciertas conductas desviadas del estándar en los servidores DNS autoritativos.

Estas conductas incorrectas según el estándar EDNS (“Extensiones al DNS”, disponibles desde 1999 en los RFC2671, actualizado por RFC6891) incluyen la falta de respuesta, encendido de bits incorrectos, demoras en respuesta, etc.; y se suman a ciertos dispositivos en el camino (firewalls, IDS, middleboxes, etc.) que descartan algunos paquetes DNS porque no calzan con la implementacion de DNS que conocen.

Estos problemas fuerzan actualmente a los DNS “resolvers” a implementar una serie de trucos para poder lidiar con muchos casos de borde. Estos trucos ocasionaban un aumento de complejidad en el código de los resolvers (lo que lleva a bugs y efectos no deseados), demora en respuestas y lo más importante, dificultad para la innovación y el desarrollo de nuevas funcionalidades dentro del DNS.

El estándar EDNS ha permitido muchas mejoras en el DNS clásico, entre las que se incluyen: - DNSSEC, las extensiones de seguridad - NSID, para identificar instancias en nubes anycast - client-subnet, para lograr geolocalización - keep-alive, para tener sesiones largas que aceleren múltiples consultas - cookies, para mejorar la seguridad frente a ataques DoS.

¡y de su correcto funcionamiento depende la robustez y futura extensibilidad del DNS!

Estas organizaciones han dispuesto una página web con más información, y con un método para que se puedan probar los dominios y DNS desde ahora: https://dnsflagday.net/es/.

Con el cambio del 1 de febrero del próximo año, los resolvers poco a poco comenzarán a fallar para dominios cuyos servidores de nombre incumplan el estándar EDNS.

Recomendamos revisar sus dominios y DNS con la herramienta, ¡y corregir los problemas cuanto antes!

(Este artículo apareció originalmente en el Blog de NIC Chile).


Next post: RFC8501: El DNS reverso en IPv6 para Proveedores de Servicio Internet

Previous post: Cómo aguantar ataques DoS sobre tu DNS usando DNSSEC