[dns-esp] DNSSEC en la raíz

Hugo Salgado Hernandez hsalgado en nic.cl
Mie Ene 27 22:15:55 CLST 2010


Hola.
Como algunos se habrán enterado, hoy se dió un paso muy importante
en la historia de DNSSEC. Debido a la estructura jerarquizada en
el protocolo, era muy importante que la raíz del DNS estuviera firmada.
Hoy se comenzó la etapa de pruebas, con firmas publicadas en 1 de los
13 servidores raíz.

Aunque algunos puedan pensar que esto no le importa a nadie que
no use DNSSEC, no es tan así.

Uno de los efectos de la firma es que los "paquetes de respuesta" del
DNS se hacen más grandes, incluso para consultas que no tienen "activo"
DNSSEC en forma deliberada!

Es decir, consultas que ayer recibían respuestas de 400 bytes, desde
hoy y sin hacer nada, recibirán respuestas de hasta 1000 bytes.

Y acá surge el problema: existen algunos firewalls, IDS, routers, etc.,
que por razones históricas (y por seguridad mal entendida) bloquean el
paso de paquetes DNS grandes. Por lo tanto, se sospecha que algunos
servidores recursivos no puedan recibir estas nuevas respuestas
firmadas.

El efecto práctico es que estas consultas den "timeout" al no recibir
la respuesta, y luego se reintente con otro de los servidores
disponibles. Es por esto que en esta etapa se comienza con 1 de los 13
servidores firmados. Si un resolver que tiene el problema de bloqueo
de los paquetes consulta a este servidor, y da timeout, tiene otros 12
con quienes seguir probando. Y como estos siguen tal como antes,
debería funcionar.

Es muy importante entonces, como operadores de DNS y público en general,
estar atentos a efectos como lentitud en la resolución, especialmente
lentitud en obtener respuestas negativas a dominios no existentes,
revisar los filtros alrededor de sus servidores DNS, y hacer pruebas de
tamaño de paquetes. La gente de OARC tiene más información técnica y un
sistema de test en
   https://www.dns-oarc.net/oarc/services/replysizetest
y también RIPE
<http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues>

Saludos,

Hugo



Más información sobre la lista de distribución dns-esp