Configuración de Cookies

Cookies técnicas

Inactivas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos.
Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies.
También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Actualización de seguridad de servidores DNS

Fecha de publicación: 25/01/2019

Importancia: Crítica

Recursos afectados:

  • Para operadores de resolución DNS, se ven afectadas las versiones anteriores de los siguientes resolvers de DNS:
    • BIND 9.13.3 (desarrollo) y 9.14.0 (producción).
    • PowerDNS Recursor 4.2.0
    • Unbound 1.9.0
  • Para operadores de servidores DNS, se puede comprobar si el dominio se ve afectado mediante el formulario de prueba.
  • Si desea obtener un resultado detallado del test, puede utilizar la herramienta ednscomp (también se encuentra disponible su código fuente), cuyos resultados pueden ser:
    • OK: el dominio no está afectado.
    • Compatible: el dominio tiene algunos problemas, pero no se verá afectado el DNS Flag Day.
    • High latency: el dominio sufrirá de timeouts al tratar de resolverlo.
    • Dead: el dominio no funcionará.
    • Además, la herramienta ednscomp cuenta con dos modos:
      • Permissive: el modo para la situación anterior a DNS Flag Day.
      • Strict: después del DNS Flag Day.
  • También es posible la comprobación de la compatibilidad de EDNS realizando las siguientes pruebas mediante el comando DIG. Más información en el siguiente enlace:
    • dig norec noedns soa zone @server
    • dig norec edns=0 soa zone @server
    • dig norec edns=100 noednsneg soa zone @server
    • dig norec ednsopt=100 soa zone @server
    • dig norec ednsflags=0x80 soa zone @server
    • dig norec dnssec soa zone @server
    • dig norec dnssec bufsize=512 ignore dnskey zone @server
    • dig norec edns=100 noednsneg ednsopt=100 soa zone @server

Descripción:

Los cuatro principales proveedores de software para DNS recursivos (Bind, Unbound, PowerDNS y Knot), realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisionales históricos que permitían ciertas prácticas inadecaudas del estándar en los servidores DNS autoritativos. Con este cambio, los resolvers, cuyos servidores de nombre incumplan el estándar EDNS, poco a poco comenzarán a fallar al resolver dominios.

Solución:

El administrador de los servidores de nombres afectados por estos cambios puede mitigar estas incompatibilidades cambiando la configuración del/de los servidor/es de nombres autorizado/s y posteriormente actualizando su software de DNS a las últimas versiones estables que se adhieran a los estándares. Una vez actualizado, deberá volver a realizar la prueba; si continúa fallando, deberá de verificar la configuración de su firewall para que no descarte paquetes DNS con extensiones EDNS, incluidas las extensiones desconocidas.

Además, es recomendable:

  • Aplicar los parches de seguridad del fabricante o proveedor, si procede. La información relevante de algunos fabricantes se puede encontrar aquí:
    • Akamai
    • BlueCat
    • F5 BIG-IP
    • Juniper: las versiones anteriores de Juniper SRX eliminarán los paquetes EDNS de forma predeterminada. La solución es deshabilitar la manipulación de DNS a través del comando # set security alg dns doctoring none. Actualizar a las últimas versiones para el soporte de EDNS.
    • Infoblox
  • Cumplimiento de EDNS, en particular, lo recomendado es implementar cookies DNS (RFC 7873) que requieren que las opciones de EDNS desconocidas sean manejadas correctamente por todos los servidores.
  • Implementación de DNSSEC (Domain Name System Security Extensions).
  • Revisar periódicamente los servidores DNS.
  • Considerar migrar a una solución basada en dispositivo.
  • Considerar migrar a una solución DNS comprobando previamente la problemática de EDNS.
  • Corregir, en la medida de lo posible, cualquier problema identificado, solicitando asistencia técnica a sus proveedores de software (o preguntando a su empresa de alojamiento de dominios) cuando sea necesario.
  • Revisar con la herramienta ednscomp.
    • Tal vez solo se necesite actualizar el software de su servidor DNS a la versión más actual.
    • Verificar que todos los balanceadores de carga o proxies DNS de su empresa sean compatibles y estén correctamente configurados.
    • Revisar si los firewalls o enrutadores que intentan inspeccionar paquetes DNS están correctamente actualizados.

Detalle:

Los mecanismos de extensión para DNS especificados en 1999 y actualizados en 2013 para establecer las 'reglas de tránsito' que respondieran a las consultas con opciones o indicadores de EDNS, continúan sufriendo fallos e incompatibilidades en algunas de sus implementaciones. Los desarrolladores de software de DNS han intentado resolver estos problemas de interoperabilidad en el protocolo, especialmente en su extensión EDNS (estándar RFC 6891), mediante varias soluciones alternativas para comportamientos no estándar que se aplicarán a el 1 de febrero del 2019.

A partir de esa fecha, los dominios de servidores DNS que no cumplan con el estándar, no funcionarán, y la presencia online de los dominios que resuelven esos servidores, se degradará o desaparecerá lentamente a medida que los ISP y otras organizaciones actualicen sus resoluciones. Además, cuando actualicen sus resoluciones de DNS internas a versiones que no implementan soluciones alternativas, es posible que algunos sitios y servidores de correo electrónico dejen de estar disponibles.

Otros problemas que pueden surgir a causa de estas soluciones son:

  • DNS autoritativos que bloquean respuestas. Las respuestas excesivamente lentas a las consultas de DNS y la dificultad de implementar nuevas funciones de protocolo DNS. Algunas de estas nuevas características (por ejemplo, las cookies de DNS) ayudarían a reducir los ataques DDoS basados en el abuso del protocolo DNS.
  • Malas implementaciones de DNS que no siguen los estándares.
  • Los servidores DNS que no responden en absoluto a las consultas de EDNS serán tratados como no accesibles.
  • Los servidores DNS autoritativo bloquean las respuestas, o no contestan, o responden con el paquete incorrecto. En general, las malas implementaciones de DNS no siguen los estándares. (DNS resolvers tienen que esperar a timeout y reintentar con TCP o sin EDNS).
  • Firewalls mal implementados o malas políticas que bloquean tráfico que sigue los estándares.

Etiquetas: Actualización, Comunicaciones, DNS