[LACNIC/Seguridad] TCP & DNS

[Francisco Arias]

Mis comentarios abajo.

2009/12/16 Fernando Gont <fernando en gont.com.ar>

>
> Sin embargo, a partir del momento en que uno considera hacer depender
> infraestructura critica como el DNS en un protocolo como TCP, finalmente
> uno debe "hacerse cargo", y enfrentar problemas que hasta el momento
> venia ignorando.
>

Sólo para ser claros, DNS siempre ha "dependido" de TCP como transporte. Y
los servidores de DNS siempre han debido aceptar peticiones de DNS sobre
TCP. La diferencia ahora, es que con DNSSEC, la posibilidad de tener una
respuesta que requiera TCP para poder ser entregada "podría ser" mayor dado
el tamaño de la misma.

No obstante, si se soporta EDNS0 en los servidores de DNS y las redes
(firewalls) permiten el paso de paquetes de DNS sobre UDP mayores a 512
Bytes, las peticiones que requieran TCP como transporte deben seguir siendo
marginales, quizá como hasta ahora.

Debo agregar que estoy de acuerdo contigo, Fernando en el hecho de que el
soporte de TCP en el DNS es un problema que se venía ignorando desde hace
mucho.

Saludos,

Francisco.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20091216/fc598801/attachment.html>