F5 DNS - EDNS RFC Compliance

¿Que es el DNS Flag Day?

El día en el que veremos internet arder (el apocalipsis)….

El 01 de febrero de 2019 cuatro de los principales proveedores de DNS Resolver, realizarán un lanzamiento de su software con una característica en común; la cual, es que se manejará el estándar EDNS de forma estricta. Esto presenta el fin de parches temporales históricos que perdonaban ciertas conductas desviadas del estándar en los servidores DNS autoritativos.

Dentro de los problemas que se tienen se encuentran:

  •  DNS autoritativos que bloquean respuestas.
  • Malas implementaciones de DNS que no siguen los estándares.
  • Protecciones de seguridad (Firewalls, IDS/IPS, etc) mal implementados o con malas practicas que bloquean el trafico que sigue el estándar.
  • Los Resolver  deben esperar timeout y reintentar  con TCP y sin EDNS.

Por estos días algunos DNS públicos (Google, Facebook, PowerDNS, CloudFlare, Quad9, Cisco, etc) también realizaran estos cambios. 

¿Qué es EDNS RFC 6891?

Define un mecanismo compatible con DNS para indicar soporte para nuevas opciones incluyendo soporte para paquetes más grandes (sobre 512 bytes), más códigos de respuesta, etc. 

¿Para qué sirve EDNS?

 Es requerido para para que funcionen las siguientes extensiones:

  • NSID -- RFC 5001: identificación de instancia del servidor
  • DNSSEC -- bit DO: por favor, responda con registros DNSSEC
  • Client-subnet, RFC 7871: desde qué red viene esta consulta?
  • Keep-alive, RFC 7828: timeout variable para DNS sobre TCP.
  • Cookies, RFC 7873: mecanismo liviano de seguridad.
  • Las nuevas extensiones y funcionalidades que en el futuro se puedan adicionar...

 

¿Qué impacto tiene este cambio sobre el modulo GTM/DNS de F5?

Dado que el servicio de GTM/DNS de F5 es un servicio de DNS y una de sus implementaciones es responder de forma autoritativa, éste debe seguir el estándar DNS y cumplir de forma estricta los RFC’s que definen el servicio.

Por esto se hace necesario realizar una validación de los servicios que pasan por F5 GTM/DNS con el fin de prevenir una posible afectación del servicio.