correo electrónico - tareas #6123 filethis where you cannot depend on the ad flag bit meaning...
TRANSCRIPT
Correo electrónico - Tareas #6123
DNS flag day
02/02/2019 04:57 PM - Daniel Viñar Ulriksen
Status: Nueva Start date: 02/02/2019
Priority: Alta Due date:
Assignee: Cielito - Coord. regional % Done: 0%
Category: Estimated time: 0.00 hour
Target version: Spent time: 1.00 hour
Description
El 1/2/19 a las 17:55, Monica Soliño escribió:
Adminstradores de dominios,
Dados los cambios previstos por los proveedores de servicio y de software DNS para el día de hoy, 1° de febrero denominado
Flag Day.
Recomendamos a quienes cuenten con dominios de internet y/o que gestionen sus propios servidores DNS, tomar las medidas
necesarias para mitigar cualquier degradación o pérdida de dicho servicio.
Los cambios previstos en las actualizaciones anunciadas tienen como objetivo mejorar aspectos de seguridad y funcionalidad.
Se verán afectados principalmente aquellos servidores DNS que no se ajusten al estándar original RFC 1035 o al nuevo estándar
(RFC 2671 y RFC6891).
Pueden encontrar más información y verificar si su servicio de DNS se verá afectado por el cambio en:
https://dnsflagday.net/index-es.html
History
#1 - 02/02/2019 05:01 PM - Daniel Viñar Ulriksen
Viendo la herramienta de pruebas que propone el sitio, tenemos varios problemas de DNS.
Nuestros DNS (incluido interior.edu.uy, cuyo master ya está en la nueva plataforma) dan un resultado: "Slow, Prueba finalizada: interior.edu.uy: ¡Serios
problemas detectados! (...) En la práctica funcionará, PERO los clientes experimentarán demoras al acceder a este dominio. (...)".
No estoy seguro que no sea sólo un problema de timeout por sobrecargas, pero hay que tratar este tema.
#2 - 02/03/2019 09:34 PM - Victor Alem
Daniel Viñar Ulriksen escribió:
Viendo la herramienta de pruebas que propone el sitio, tenemos varios problemas de DNS.
Nuestros DNS (incluido interior.edu.uy, cuyo master ya está en la nueva plataforma) dan un resultado: "Slow, Prueba finalizada: interior.edu.uy:
¡Serios problemas detectados! (...) En la práctica funcionará, PERO los clientes experimentarán demoras al acceder a este dominio. (...)".
No estoy seguro que no sea sólo un problema de timeout por sobrecargas, pero hay que tratar este tema.
01/17/2020 1/5
Luego de probar un par de veces más, tira esto con interior.edu.uy:
EDNS Compliance Tester
Checking: 'interior.edu.uy' as at 2019-02-04T00:32:58Z
interior.edu.uy. @164.73.128.5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok
do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
interior.edu.uy. @2001:1328:6::5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok
do=servfail ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
interior.edu.uy. @164.73.68.7 (massera.csic.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok
docookie=ok edns512tcp=ok optlist=ok,expire
interior.edu.uy. @2001:1328:2c:a::7 (massera.csic.edu.uy.): dns=timeout edns=timeout edns1=timeout edns@512=timeout ednsopt=timeout
edns1opt=timeout do=timeout ednsflags=timeout docookie=timeout edns512tcp=connection-refused optlist=timeout
interior.edu.uy. @164.73.227.7 (anaconda.cure.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok
ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,expire
interior.edu.uy. @2001:1328:56::7 (anaconda.cure.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok
ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,expire
interior.edu.uy. @164.73.98.9 (guabiyu.interior.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok
docookie=ok edns512tcp=ok optlist=ok
interior.edu.uy. @2001:1328:6a::9 (guabiyu.interior.edu.uy.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok
ednsflags=ok docookie=ok edns512tcp=ok optlist=ok
The Following Tests Failed
Warning: test failures may indicate that some DNS clients cannot resolve the zone or will get a unintended answer or resolution will be slower than
necessary.
Warning: failure to address issues identified here may make future DNS extensions that you want to use ineffective. In particular echoing back
unknown EDNS options and unknown EDNS flags will break future signaling between DNS client and DNS server. We already have examples of
this where you cannot depend on the AD flag bit meaning anything in replies because too many DNS servers just echo it back. Similarly the EDNS
Client Subnet (ECS) option cannot just be sent to everyone in part because of servers just echoing it back.
Plain DNS (dns)
dig +norec +noad +noedns soa zone @server
expect: SOA
expect: NOERROR
Plain EDNS (edns)
This is the style of the initial query that BIND 9.0.x sends.
dig +nocookie +norec +noad +edns=0 soa zone @server
expect: SOA
expect: NOERROR
expect: OPT record with version set to 0
expect: EDNS over IPv6
See RFC6891
EDNS - Unknown Version Handling (edns1)
dig +nocookie +norec +noad +edns=1 +noednsneg soa zone @server
expect: BADVERS
01/17/2020 2/5
expect: OPT record with version set to 0
expect: not to see SOA
See RFC6891, 6.1.3. OPT Record TTL Field Use
EDNS - Truncated Response (edns@512)
dig +nocookie +norec +noad +dnssec +bufsize=512 +ignore dnskey zone @server
expect: NOERROR
expect: OPT record with version set to 0
expect: UDP DNS message size to be less than or equal to 512 bytes
See RFC6891, 7. Transport Considerations
EDNS - Unknown Option Handling (ednsopt)
dig +nocookie +norec +noad +ednsopt=100 soa zone @server
expect: SOA
expect: NOERROR
expect: OPT record with version set to 0
expect: that the option will not be present in response
See RFC6891, 6.1.2 Wire Format
EDNS - Unknown Version with Unknown Option Handling (edns1opt)
dig +nocookie +norec +noad +edns=1 +noednsneg +ednsopt=100 soa zone @server
expect: BADVERS
expect: OPT record with version set to 0
expect: not to see SOA
expect: that the option will not be present in response
See RFC6891
EDNS - DNSSEC (do)
This is the style of then initial query that BIND 9.1.0 - BIND 9.10.x sends.
dig +nocookie +norec +noad +dnssec soa zone @server
expect: SOA
expect: NOERROR
expect: OPT record with version set to 0
expect: DO flag in response if RRSIG is present in response
See RFC3225
EDNS - Unknown Flag Handling (ednsflags)
dig +nocookie +norec +noad +ednsflags=0x80 soa zone @server
expect: SOA
expect: NOERROR
expect: OPT record with version set to 0
expect: Z bits to be clear in response
See RFC6891, 6.1.4 Flags
EDNS - DNSSEC with DNS COOKIE Option (docookie)
This is the style of the initial query that BIND 9.11.0 and BIND 9.10.4 Windows onwards send.
dig +cookie +norec +noad +dnssec soa zone @server
expect: SOA
expect: NOERROR
expect: OPT record with version set to 0
expect: DO flag in response if RRSIG is present in response
01/17/2020 3/5
See RFC3225, RFC6891, and RFC7873.
EDNS - over TCP Response (edns@512tcp)
dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
expect: NOERROR
expect: OPT record with version set to 0
See RFC5966 and See RFC6891
EDNS - Supported Options Probe (optlist)
dig +edns +noad +norec +nsid +subnet=0.0.0.0/0 +expire +cookie -q zone @server
expect: NOERROR
expect: OPT record with version set to 0
See RFC6891
Codes
ok - test passed.
expire - EDNS EXPIRE supported [RFC7314].
servfail - rcode SERVFAIL returned when not expected.
timeout - lookup timed out.
To retrieve this report in the future: https://ednscomp.isc.org/ednscomp/7d8f83df5e
The source code for the tester can be downloaded from ISC Open Source Projects / DNS-Compliance-Testing.
For more information about EDNS please see the main site.
Zone Name:
Server (optional):
Address (optional): (IPv4 or IPv6)
© 2015 Internet Systems Consortium - Powered By: CGIC (Basic License) - Boutell.Com, Inc.
#3 - 02/03/2019 10:00 PM - Victor Alem
Bueno, según entiendo, uno de los problemas es la versión de bind9 empaquetada en la debian (9.10.3). Según dice acá las versiones 9.13.3 y 9.14.0
(desarrollo y producción respectivamente) no se adecuarán al nuevo estándar. La versión en desarrollo en este momento es la 9.13.5-W1
Hay que estudiar más el tema sin dudas......
#4 - 02/04/2019 03:04 PM - Pablo García
En Massera el servicio Bind9 no está escuchando en IPv6.
pgarcia@massera:~$ netstat -nlp | grep 53
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 164.73.68.7:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN -
01/17/2020 4/5
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN -
udp 0 0 164.73.68.7:53 0.0.0.0:* -
udp 0 0 127.0.0.1:53 0.0.0.0:* -
En el archivo:
/etc/default/bind9
está configurado para que solo escuche en IPv4:
#CAMBIO PARA USAR IPV4 SOLO A RAIZ DE PROBLEMA: https://proyectos.interior.edu.uy/issues/4112
OPTIONS="-4 -u bind"
se lo dejó como viene por defecto para que funcione tanto en IPv4 cómo en IPv6:
OPTIONS="-u bind"
y quedó funcionando:
pgarcia@massera:~$ netstat -nlp | grep 53
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 164.73.68.7:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN -
tcp6 0 0 :::53 :::* LISTEN -
tcp6 0 0 ::1:953 :::* LISTEN -
udp 0 0 164.73.68.7:53 0.0.0.0:* -
udp 0 0 127.0.0.1:53 0.0.0.0:* -
udp6 0 0 :::53 :::* -
Se vuelve a correr el test del sitio web y dio OK.
#5 - 02/04/2019 03:05 PM - Pablo García
Hay que ver que el dominio interior.edu.uy, en el test da problemas con el resolvedor en SeCIU:
interior.edu.uy. @164.73.128.5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail
ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
interior.edu.uy. @2001:1328:6::5 (seciu.edu.uy.): dns=servfail edns=servfail edns1=ok edns@512=servfail ednsopt=servfail edns1opt=ok do=servfail
ednsflags=servfail docookie=servfail edns512tcp=servfail optlist=servfail
Y es solo con el dominio interior.edu.uy
#6 - 06/10/2019 02:45 PM - Daniel Viñar Ulriksen
Va a haber otro flag day. La herramienta no está aún en línea. Hay elementos de test manuales
01/17/2020 5/5