Argitalpen data: 2019/01/25
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- DNS bereizmeneko operadoreen kasuan, ondoko DNS resolver-en bertsioen
aurrekoak daude kaltetuta:
- BIND 9.13.3 (garapena) eta 9.14.0 (produkzioa)
- PowerDNS Recursor 4.2.0
- Unbound 1.9.0
- DNS zerbitzarien operadoreen kasuan, domeinua kalteturik dagoen egiazta daiteke froga
egiteko inprimakiaren bitartez.
- Testaren emaitza xehe bat lortu nahi baduzu, ednscomp
tresna erabil dezakezu (bere iturburu
kodea ere eskuragarri dago), eta horren emaitzak ondokoak izan
daitezke:
- OK: domeinua ez dago kaltetuta.
- Bateragarria: domeinuak arazo batzuk ditu, baina DNS Flag Day ez da kaltetua
izango.
- High latency: domeinua ebazten saiatzean timeout-ak jasango ditu.
- Dead: domeinuak ez du funtzionatuko.
- Gainera, ednscomp tresnak bi modu ditu:
- Permissive: DNS Flag Day baino lehenagoko egoerarako modua.
- Strict: DNS Flag Day-ren ondorenerako.
- Era berean, posible da EDNS bateragarritasuna egiaztatzea DIG komandoaren bidez
ondoko frogak eginez. Informazio gehiago ondoko
loturan eskura daiteke:
- dig norec noedns soa zone @server
- dig norec edns=0 soa zone @server
- dig norec edns=100 noednsneg soa
zone @server
- dig norec ednsopt=100 soa zone
@server
- dig norec ednsflags=0x80 soa zone
@server
- dig norec dnssec soa zone @server
- dig norec dnssec bufsize=512 ignore
dnskey zone @server
- dig norec edns=100 noednsneg
ednsopt=100 soa zone @server
Azalpena:
DNS
errekurtsiboetarako lau software hornitzaile garrantzitsuek (Bind,
Unbound,
PowerDNS
eta Knot)
beren sistemen bertsio berrien merkaturatze bateratua egingo dute, ezaugarri
berdin batekin: behin-behineko partxe historikoen amaiera,
aginpidezko DNS zerbitzarietan estandarraren praktika desegoki batzuk
ahalmentzen zituztenak. Aldaketa horrekin, EDNS estandarra
betetzen ez duten izen zerbitzariak dituzten resolver-ak pixkanaka akatsa ematen hasiko dira domeinuak ebaztean.
Konponbidea:
Aldaketa hauengatik kaltetutako
izenen zerbitzarien administratzaileak bateraezintasun horiek arindu ditzake
baimendutako izen zerbitzarien konfigurazioa aldatuz, eta ondoren, bere DNS
softwarea eguneratuz estandarrak betetzen dituzten azken bertsio egonkorretara. Behin eguneratu ondoren, berriz egin beharko du froga. Akatsa ematen
jarraitzen badu, bere firewall-aren konfigurazioa egiaztatu beharko du EDNS
luzapenak, luzapen ezezagunak barne, dituzten DNS paketeak baztertu ez ditzan.
Aurrekoaz gain, ondokoa ere
gomendatzen da:
- Fabrikatzailearen edo hornitzailearen segurtasun partxeak aplikatzea, hala badagokio. Fabrikatzaile batzuen informazio garrantzitsua hemen aurki daiteke:
- Akamai
- BlueCat
- F5
BIG-IP
- Juniper: Juniper SRXen aurreko bertsioek EDNS paketeak ezabatuko dituzte modu lehenetsian. Horren konponbidea da DNS manipulazioa desgaitzea # set security alg dns doctoring none
komandoaren bidez. EDNS laguntzarako azken bertsioetara
eguneratzea.
- Infoblox
- EDNSen betetzea, eta bereziki gomendatzen dena da DNS cookie-ak
inplementatzea (RFC 7873). Horiek
eskatzen dute EDNS aukera ezezagunak ondo erabiliak izatea zerbitzari
guztien aldetik.
- DNSSEC (Domain Name System
Security Extensions) inplementatzea.
- Aldiro DNS zerbitzariak berrikustea.
- Gailu batean oinarritutako soluzio batera migratzea aztertzea.
- DNS soluzio batera migratzea aztertzea, aldez aurretik EDNS arazoak egiaztatuz.
- Ahal den neurrian, identifikatutako edozein arazo zuzentzea, zure software hornitzaileei laguntza teknikoa eskatuz (edo domeinuak ostatatzeko daukazun zure enpresari galdetuz) beharrezkoa denean.
- ednscomp tresnarekin berrikustea.
- Beharbada aski izango da zure DNS zerbitzariaren softwarea azken bertsiora eguneratzea.
- Zure enpresaren karga balantzatzaile guztiak edo DNS proxy-ak
bateragarriak direla eta ondo konfiguratuta daudela egiaztatzea.
- DNS paketeak ikuskatzen saiatzen diren firewall-ak edo
bideratzaileak ondo eguneratuta dauden berrikustea.
Xehetasuna:
EDNS aukerak edo adierazleak
dituzten kontsultei erantzungo lieketen 'iragaite arauak' finkatzeko 1999an zehaztutako
eta 2013an eguneratutako DNSrako luzapen mekanismoek oraindik ere akatsak eta
bateraezintasunak jasaten dituzte euren inplementazio batzuetan. DNS softwarearen garatzaileak saiatu dira protokoloak dituen
interoperatibitate arazo horiek konpontzen, batez ere, bere EDNS luzapenean
(RFC 6891 estandarra), jokabide ez estandarretarako hainbat konponbide
alternatiboren bidez, 2019ko otsailaren 1ean aplikatuko direnak.
Data horretatik aurrera,
estandarrarekin bat ez datozen DNS zerbitzarien domeinuek ez dute funtzionatuko
eta zerbitzari horiek ebazten dituzten domeinuen online presentzia hondatu
egingo da edo pixkanaka desagertu egingo da, ISPek eta beste erakunde batzuek
beren erabakiak eguneratuz doazen heinean. Gainera, barneko beren DNS ebazpenak soluzio alternatiboak inplementatzen
ez dituzten bertsioetara eguneratzen dituztenean, gerta liteke posta
elektronikoko gune eta zerbitzari batzuek eskuragarri egoteari uztea.
Konponbide horien ondorioz sor
litezkeen beste arazo batzuk honakoak dira:
- Erantzunak blokeatzen dituzten aginpidezko DNSak. DNS kontsultei ematen zaizkien erantzun motelegiak eta DNS protokoloko funtzio berriak inplementatzeko zailtasuna. Ezaugarri berri horietako batzuek (DNSren cookie-ak esate
baterako) DNS protokoloaren gehiegizko erabileran oinarritutako DDoS
erasoak murrizten lagunduko lukete.
- Estandarren araberakoak ez diren DNS inplementazio txarrak.
- EDNS kontsultei batere erantzuten ez dieten DNS zerbitzariak ez eskuragarri modura hartuko dira.
- Aginpidezko DNS zerbitzariek erantzunak blokeatzen dituzte, edo ez dute erantzuten, edo pakete okerrarekin erantzuten dute. Oro har, DNS inplementazio okerrek ez dituzte estandarrak aintzat hartzen. (DNS resolver-ek
timeout-a itxaron behar dute eta
TCPrekin edo EDNS gabe berriz saiatu).
- Gaizki inplementatutako firewall-ak edo estandarrak betetzen dituen
trafikoa blokeatzen duten politika txarrak.
Etiketak: Eguneraketa,
Komunikazioak, DNS