Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon DNS Flag Day: Protocolo EDNS




¿De qué se trata? Hoy día 1 de febrero de 2019, los cuatro principales proveedores de software para DNS recursivos -Bind, Unbound, PowerDNS y Knot- realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisorios históricos que perdonaban ciertas conductas "desviadas" del estándar en los servidores DNS autoritativos. ¿Qué significa eso? Que los servidores DNS que no responden en absoluto a las consultas EDNS serán dados como muertos. Respuesta drástica, pero la única efectiva.






  • Soportan la iniciativa del Flag Day, Cisco, CloudFlare, Google, ISC, Facebook, Quad9 
Nota: Los usuarios sin dominio propio, es decir sólo navegantes no deben tomar a cabo ninguna acción. Sólo deben preocuparse por el tema los propietarios de un dominio con un registrador de dudosa calidad (ver listado abajo) y/o administradores de un servidor dns que no cumplan los requisitos (básicamente software obsoleto y firewall mal configurado).


Hoy viernes 1 de febrero de 2019, será el primer Día de la Bandera del DNS, una iniciativa global para promover EDNS (Mecanismos de extensión para el DNS). EDNS permite respuestas UDP más grandes y es necesario para DNSSEC (Extensiones de seguridad de DNS). Los participantes del Día de la Marca de DNS eliminarán las soluciones alternativas para los servidores de DNS que eliminan silenciosamente las consultas EDNS y rompen el protocolo DNS. Las soluciones para tales servidores rotos reducen el uso de EDNS con servidores que sí admiten EDNS.



Al mismo tiempo, los DNS públicos como Google Public DNS también están eliminando estas soluciones de sus servicios. La eliminación de las soluciones alternativas puede hacer que una pequeña cantidad de dominios con estos servidores de nombres rotos no estén disponibles para algunos usuarios.

El DNS público de Google está ejecutando pruebas limitadas sin las soluciones alternativas, y el 1 de febrero, eliminándolas en ubicaciones seleccionadas.

Google dice que para los dominios consultados a través del DNS público de Google más de mil veces al día, menos de una docena podrían romperse al eliminar las soluciones provisionales. Si tu dominio queda inaccesible, puede reportarlo en nuestro rastreador de problemas y consultar el sitio web dnsflagday.net para obtener asesoramiento técnico.


Reportar dominio sin resolver



¿Qué está pasando?

El DNS actual es innecesariamente lento e ineficiente, producto de los esfuerzos necesarios para adecuarse a unos pocos sistemas DNS que no son compatibles con los estándares del protocolo, que ya tienen dos décadas de existencia.

Para asegurar la sostenibilidad futura del sistema, ya es tiempo de terminar con estas adecuaciones y corregir los sistemas incompatibles. Este cambio hará que la operación del DNS sea más eficiente, y también permitirá a los operadores desplegar nuevas funcionalidades, incluyendo nuevos mecanismos de protección contra ataques DDoS.

Los proveedores de software y sistemas públicos DNS listados en este sitio se han coordinado para eliminar estas adecuaciones de las implementaciones DNS no compatibles de sus softwares y servicios a partir del día 1 de Febrero de 2019. Este cambio afectará solo a los sitios que operan con software no compatible.


¿Cuál es el problema actual?
  • DNS autoritativos que bloquean respuestas
  • Malas implementaciones de DNS que no siguen los estándares.
  • Firewalls mal implementados o malas políticas que bloquean tráfico que sigue los estándares
  • DNS resolvers tienen que esperar timeout y reintentar con TCP o sin EDNS

Listado presuntos proveedores, registradores que tendrán problemas son:

  • brokenhichina.com
  • dnspod.com
  • myhostadmin.net
  • xincache.com
  • dnspod.net
  • dnsdun.net
  • gmoserver.jp
  • registrar-servers.com
  • alidns.com

EDNS (Extension Mechanisms for DNS)


EDNS ●RFC 6891: Extension Mechanisms for DNS (EDNS(0))

  • Define un mecanismo compatible con DNS para indicar soporte para nuevas opciones
  • Especificación original incluye soporte para paquetes más grandes (de 512 bytes), más códigos de respuesta, etc 
Incluye:
  • Extensiones:-NSID -- RFC 5001: identificación de instancia del servidor
  • -DNSSEC -- bit DO: por favor, responda con registros DNSSEC
  • -Client-subnet, RFC 7871: desde qué red viene esta consulta?
  • -Keep-alive, RFC 7828: timeout variable para DNS sobre TCP.
  • -Cookies, RFC 7873: mecanismo liviano de seguridad.


Las siguientes versiones de DNS resolutores (resolvers) no se adecuarán a las respuestas EDNS fuera del estándar:
  • BIND 9.13.3 (development) y 9.14.0 (production)
  • Knot Resolver ya tiene un manejo estricto de EDNS en todas sus versiones actuales
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0

Después del primero de febrero de 2019 los más importantes operadores de resolutores de DNS públicos indicados abajo eliminarán las adecuaciones para las faltas al estándar. Este cambio afectará a los dominios hospedados en servidores autoritativos que no respetan ni el estándar original del DNS de 1987 (RFC1035) ni los nuevos estándares EDNS de 1999 (RFC2671 y RFC6891). Los dominios incompatibles pueden volverse inalcanzables a través de estos servicios.

Herraimenta para comprobar un Dominio



Puedes verificar el impacto de los cambios del Día de la Bandera de DNS con el Comprobador de Cumplimiento de ISC EDNS. Ingrese su dominio (sin www o cualquier otro subdominio) en el campo Nombre de la Zona y haga clic en el botón Enviar. Si los cambios en el Día de la Bandera de DNS podrían romper su dominio, muestra edns = timeout


Los mejores resultados son = ok para todas las pruebas (como este ejemplo), pero mientras los servidores de nombres de un dominio no tengan edns = timeout, seguirán funcionando después del Día de la Marca DNS. Este nivel mínimo de soporte de EDNS tiene retrasos cuando los resolutores de DNS que envían EDNS tienen que reenviar las consultas sin EDNS. Por este motivo, le recomendamos encarecidamente que trabaje para alcanzar el cumplimiento total de EDNS (todas las pruebas = ok) para evitar otros problemas en el futuro. 



Fuentes:
https://dnsflagday.net/index-es.html
https://www.lacnic.net/innovaportal/file/3207/1/edns-flag-day.pdf

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.