Tareas #6123

DNS flag day

Added by Daniel Viñar Ulriksen 5 months ago. Updated 15 days ago.

Status:NuevaStart date:02/02/2019
Priority:AltaDue date:
Assignee:Cielito - Coord. regional% Done:

0%

Category:-Spent time:1.00 hour
Target version:-

Description

El 1/2/19 a las 17:55, Monica Soliño escribió:

Adminstradores de dominios,

Dados los cambios previstos por los proveedores de servicio y de software DNS para el día de hoy, 1° de febrero denominado Flag Day.

Recomendamos a quienes cuenten con dominios de internet y/o que gestionen sus propios servidores DNS, tomar las medidas necesarias para mitigar cualquier degradación o pérdida de dicho servicio.

Los cambios previstos en las actualizaciones anunciadas tienen como objetivo mejorar aspectos de seguridad y funcionalidad.
Se verán afectados principalmente aquellos servidores DNS que no se ajusten al estándar original RFC 1035 o al nuevo estándar (RFC 2671 y RFC6891).

Pueden encontrar más información y verificar si su servicio de DNS se verá afectado por el cambio en:

https://dnsflagday.net/index-es.html

History

#1 Updated by Daniel Viñar Ulriksen 5 months ago

Viendo la herramienta de pruebas que propone el sitio, tenemos varios problemas de DNS.

Nuestros DNS (incluido interior.edu.uy, cuyo master ya está en la nueva plataforma) dan un resultado: "Slow, Prueba finalizada: interior.edu.uy: ¡Serios problemas detectados! (...) En la práctica funcionará, PERO los clientes experimentarán demoras al acceder a este dominio. (...)".

No estoy seguro que no sea sólo un problema de timeout por sobrecargas, pero hay que tratar este tema.

#2 Updated by Victor Alem 5 months ago

Daniel Viñar Ulriksen escribió:

Viendo la herramienta de pruebas que propone el sitio, tenemos varios problemas de DNS.

Nuestros DNS (incluido interior.edu.uy, cuyo master ya está en la nueva plataforma) dan un resultado: "Slow, Prueba finalizada: interior.edu.uy: ¡Serios problemas detectados! (...) En la práctica funcionará, PERO los clientes experimentarán demoras al acceder a este dominio. (...)".

No estoy seguro que no sea sólo un problema de timeout por sobrecargas, pero hay que tratar este tema.

Luego de probar un par de veces más, tira esto con interior.edu.uy:

EDNS Compliance Tester
Checking: 'interior.edu.uy' as at 2019-02-04T00:32:58Z

interior.edu.uy. @164.73.128.5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
interior.edu.uy. @2001:1328:6::5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail

interior.edu.uy. @164.73.68.7 (massera.csic.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,expire
interior.edu.uy. @2001:1328:2c:a::7 (massera.csic.edu.uy.): dns=timeout edns=timeout edns1=timeout edns@512=timeout ednsopt=timeout edns1opt=timeout do=timeout ednsflags=timeout docookie=timeout edns512tcp=connection-refused optlist=timeout

interior.edu.uy. @164.73.227.7 (anaconda.cure.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,expire
interior.edu.uy. @2001:1328:56::7 (anaconda.cure.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,expire

interior.edu.uy. @164.73.98.9 (guabiyu.interior.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok
interior.edu.uy. @2001:1328:6a::9 (guabiyu.interior.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok
The Following Tests Failed

Warning: test failures may indicate that some DNS clients cannot resolve the zone or will get a unintended answer or resolution will be slower than necessary.

Warning: failure to address issues identified here may make future DNS extensions that you want to use ineffective. In particular echoing back unknown EDNS options and unknown EDNS flags will break future signaling between DNS client and DNS server. We already have examples of this where you cannot depend on the AD flag bit meaning anything in replies because too many DNS servers just echo it back. Similarly the EDNS Client Subnet (ECS) option cannot just be sent to everyone in part because of servers just echoing it back.

    Plain DNS (dns)

    dig +norec +noad +noedns soa zone @server
    expect: SOA
    expect: NOERROR
    Plain EDNS (edns)

    This is the style of the initial query that BIND 9.0.x sends.

    dig +nocookie +norec +noad +edns=0 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: EDNS over IPv6
    See RFC6891
    EDNS - Unknown Version Handling (edns1)

    dig +nocookie +norec +noad +edns=1 +noednsneg soa zone @server
    expect: BADVERS
    expect: OPT record with version set to 0
    expect: not to see SOA
    See RFC6891, 6.1.3. OPT Record TTL Field Use
    EDNS - Truncated Response (edns@512)

    dig +nocookie +norec +noad +dnssec +bufsize=512 +ignore dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: UDP DNS message size to be less than or equal to 512 bytes
    See RFC6891, 7. Transport Considerations
    EDNS - Unknown Option Handling (ednsopt)

    dig +nocookie +norec +noad +ednsopt=100 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: that the option will not be present in response
    See RFC6891, 6.1.2 Wire Format
    EDNS - Unknown Version with Unknown Option Handling (edns1opt)

    dig +nocookie +norec +noad +edns=1 +noednsneg +ednsopt=100 soa zone @server
    expect: BADVERS
    expect: OPT record with version set to 0
    expect: not to see SOA
    expect: that the option will not be present in response
    See RFC6891
    EDNS - DNSSEC (do)

    This is the style of then initial query that BIND 9.1.0 - BIND 9.10.x sends.

    dig +nocookie +norec +noad +dnssec soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: DO flag in response if RRSIG is present in response
    See RFC3225
    EDNS - Unknown Flag Handling (ednsflags)

    dig +nocookie +norec +noad +ednsflags=0x80 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: Z bits to be clear in response
    See RFC6891, 6.1.4 Flags
    EDNS - DNSSEC with DNS COOKIE Option (docookie)

    This is the style of the initial query that BIND 9.11.0 and BIND 9.10.4 Windows onwards send.

    dig +cookie +norec +noad +dnssec soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: DO flag in response if RRSIG is present in response
    See RFC3225, RFC6891, and RFC7873.
    EDNS - over TCP Response (edns@512tcp)

    dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC5966 and See RFC6891
    EDNS - Supported Options Probe (optlist)

    dig +edns +noad +norec +nsid +subnet=0.0.0.0/0 +expire +cookie -q zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC6891

Codes

    ok - test passed.
    expire - EDNS EXPIRE supported [RFC7314].
    servfail - rcode SERVFAIL returned when not expected.
    timeout - lookup timed out.

To retrieve this report in the future: https://ednscomp.isc.org/ednscomp/7d8f83df5e

The source code for the tester can be downloaded from ISC Open Source Projects / DNS-Compliance-Testing.

For more information about EDNS please see the main site.

Zone Name:
Server (optional):
Address (optional): (IPv4 or IPv6)

© 2015 Internet Systems Consortium - Powered By: CGIC (Basic License) - Boutell.Com, Inc.

#3 Updated by Victor Alem 5 months ago

Bueno, según entiendo, uno de los problemas es la versión de bind9 empaquetada en la debian (9.10.3). Según dice acá las versiones 9.13.3 y 9.14.0 (desarrollo y producción respectivamente) no se adecuarán al nuevo estándar. La versión en desarrollo en este momento es la 9.13.5-W1

Hay que estudiar más el tema sin dudas......

#4 Updated by Pablo García 5 months ago

En Massera el servicio Bind9 no está escuchando en IPv6.

pgarcia@massera:~$ netstat -nlp | grep 53
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 164.73.68.7:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN -
udp 0 0 164.73.68.7:53 0.0.0.0:* -
udp 0 0 127.0.0.1:53 0.0.0.0:* -

En el archivo:
/etc/default/bind9
está configurado para que solo escuche en IPv4:
#CAMBIO PARA USAR IPV4 SOLO A RAIZ DE PROBLEMA: https://proyectos.interior.edu.uy/issues/4112
OPTIONS="-4 -u bind"

se lo dejó como viene por defecto para que funcione tanto en IPv4 cómo en IPv6:
OPTIONS="-u bind"

y quedó funcionando:
pgarcia@massera:~$ netstat -nlp | grep 53
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 164.73.68.7:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN -
tcp6 0 0 :::53 :::* LISTEN -
tcp6 0 0 ::1:953 :::* LISTEN -
udp 0 0 164.73.68.7:53 0.0.0.0:* -
udp 0 0 127.0.0.1:53 0.0.0.0:* -
udp6 0 0 :::53 :::* -

Se vuelve a correr el test del sitio web y dio OK.

#5 Updated by Pablo García 5 months ago

Hay que ver que el dominio interior.edu.uy, en el test da problemas con el resolvedor en SeCIU:
interior.edu.uy. @164.73.128.5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
interior.edu.uy. @2001:1328:6::5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail

Y es solo con el dominio interior.edu.uy

#6 Updated by Daniel Viñar Ulriksen 15 days ago

Va a haber otro flag day. La herramienta no está aún en línea. Hay elementos de test manuales

Also available in: Atom PDF