Actualización de seguridad de servidores DNS

Fecha de publicación: 28/01/2019

Importancia:
Crítica

Recursos afectados:

• Para operadores de resolución DNS, se ven afectadas las versiones anteriores de los siguientes resolvers de DNS:
  • BIND 9.13.3 (desarrollo) y 9.14.0 (producción).
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0
• Para operadores de servidores DNS, se puede comprobar si el dominio se ve afectado mediante el formulario de prueba.
• Si desea obtener un resultado detallado del test, puede utilizar la herramienta ednscomp (también se encuentra disponible su código fuente), cuyos resultados pueden ser:
  • OK: el dominio no está afectado.
  • Compatible: el dominio tiene algunos problemas, pero no se verá afectado el DNS Flag Day.
  • High latency: el dominio sufrirá de timeouts al tratar de resolverlo.
  • Dead: el dominio no funcionará.
  • Además, la herramienta ednscomp cuenta con dos modos:
    • Permissive: el modo para la situación anterior a DNS Flag Day.
    • Strict: después del DNS Flag Day.
• También es posible la comprobación de la compatibilidad de EDNS realizando las siguientes pruebas mediante el comando DIG. Más información en el siguiente enlace:
  • dig +norec +noedns soa zone @server
  • dig +norec +edns=0 soa zone @server
  • dig +norec +edns=100 +noednsneg soa zone @server
  • dig +norec +ednsopt=100 soa zone @server
  • dig +norec +ednsflags=0x80 soa zone @server
  • dig +norec +dnssec soa zone @server
  • dig +norec +dnssec +bufsize=512 +ignore dnskey zone @server
  • dig +norec +edns=100 +noednsneg +ednsopt=100 soa zone @server

Descripción:

El 01/02/2019, los cuatro principales proveedores de software para DNS recursivos (Bind, Unbound, PowerDNS y Knot), realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisionales históricos que permitían ciertas prácticas inadecaudas del estándar en los servidores DNS autoritativos. Con este cambio, los resolvers, cuyos servidores de nombre incumplan el estándar EDNS, poco a poco comenzarán a fallar al resolver dominios.

Solución:

El administrador de los servidores de nombres afectados por estos cambios puede mitigar estas incompatibilidades cambiando la configuración del/de los servidor/es de nombres autorizado/s y posteriormente actualizando su software de DNS a las últimas versiones estables que se adhieran a los estándares. Una vez actualizado, deberá volver a realizar la prueba; si continúa fallando, deberá de verificar la configuración de su firewall para que no descarte paquetes DNS con extensiones EDNS, incluidas las extensiones desconocidas.

Además, es recomendable:

• Aplicar los parches de seguridad del fabricante o proveedor, si procede. La información relevante de algunos fabricantes se puede encontrar aquí:
  • Akamai
  • BlueCat
  • F5 BIG-IP
  • Juniper: las versiones anteriores de Juniper SRX eliminarán los paquetes EDNS de forma predeterminada. La solución es deshabilitar la manipulación de DNS a través del comando # set security alg dns doctoring none. Actualizar a las últimas versiones para el soporte de EDNS.
  • Infoblox
• Cumplimiento de EDNS, en particular, lo recomendado es implementar cookies DNS (RFC 7873) que requieren que las opciones de EDNS desconocidas sean manejadas correctamente por todos los servidores.
• Implementación de DNSSEC (Domain Name System Security Extensions).
• Revisar periódicamente los servidores DNS.
• Considerar migrar a una solución basada en dispositivo.
• Considerar migrar a una solución DNS comprobando previamente la problemática de EDNS.
• Corregir, en la medida de lo posible, cualquier problema identificado, solicitando asistencia técnica a sus proveedores de software (o preguntando a su empresa de alojamiento de dominios) cuando sea necesario.
• Revisar con la herramienta ednscomp.
  • Tal vez solo se necesite actualizar el software de su servidor DNS a la versión más actual.
  • Verificar que todos los balanceadores de carga o proxies DNS de su empresa sean compatibles y estén correctamente configurados.
  • Revisar si los firewalls o enrutadores que intentan inspeccionar paquetes DNS están correctamente actualizados.

Detalle:

Los mecanismos de extensión para DNS especificados en 1999 y actualizados en 2013 para establecer las “reglas de tránsito” que respondieran a las consultas con opciones o indicadores de EDNS, continúan sufriendo fallos e incompatibilidades en algunas de sus implementaciones. Los desarrolladores de software de DNS han intentado resolver estos problemas de interoperabilidad en el protocolo, especialmente en su extensión EDNS (estándar RFC 6891), mediante varias soluciones alternativas para comportamientos no estándar que se aplicarán a el 1 de febrero del 2019.

A partir de esa fecha, los dominios de servidores DNS que no cumplan con el estándar, no funcionarán, y la presencia online de los dominios que resuelven esos servidores, se degradará o desaparecerá lentamente a medida que los ISP y otras organizaciones actualicen sus resoluciones. Además, cuando actualicen sus resoluciones de DNS internas a versiones que no implementan soluciones alternativas, es posible que algunos sitios y servidores de correo electrónico dejen de estar disponibles.

Otros problemas que pueden surgir a causa de estas soluciones son:

• DNS autoritativos que bloquean respuestas. Las respuestas excesivamente lentas a las consultas de DNS y la dificultad de implementar nuevas funciones de protocolo DNS. Algunas de estas nuevas características (por ejemplo, las cookies de DNS) ayudarían a reducir los ataques DDoS basados en el abuso del protocolo DNS.
• Malas implementaciones de DNS que no siguen los estándares.
• Los servidores DNS que no responden en absoluto a las consultas de EDNS serán tratados como no accesibles.
• Los servidores DNS autoritativo bloquean las respuestas, o no contestan, o responden con el paquete incorrecto. En general, las malas implementaciones de DNS no siguen los estándares. (DNS resolvers tienen que esperar a timeout y reintentar con TCP o sin EDNS).
• Firewalls mal implementados o malas políticas que bloquean tráfico que sigue los estándares.

Etiquetas:
Actualización, Comunicaciones, DNS