[LACNIC/Seguridad] TCP & DNS

[Fernando Gont]

Francisco Arias wrote:

>     Sin embargo, a partir del momento en que uno considera hacer depender
>     infraestructura critica como el DNS en un protocolo como TCP, finalmente
>     uno debe "hacerse cargo", y enfrentar problemas que hasta el momento
>     venia ignorando.
> 
> Sólo para ser claros, DNS siempre ha "dependido" de TCP como transporte.
> Y los servidores de DNS siempre han debido aceptar peticiones de DNS
> sobre TCP. 

Estrictamente hablando, el requisito de soporte de TCP para DNS es un
"SHOULD", y no un "MUST".


> La diferencia ahora, es que con DNSSEC, la posibilidad de
> tener una respuesta que requiera TCP para poder ser entregada "podría
> ser" mayor dado el tamaño de la misma.

Bueno, los numeros que se tienen indican que de hecho lo es. (fijate las
referencias en el paper de Metzger et al)



> No obstante, si se soporta EDNS0 en los servidores de DNS y las redes
> (firewalls) permiten el paso de paquetes de DNS sobre UDP mayores a 512
> Bytes, las peticiones que requieran TCP como transporte deben seguir
> siendo marginales, quizá como hasta ahora.

Bueno, el punto aca es que al menos actualmente, no se puede depender de
EDNS0, porque es bloqueado por firewalls. De ahi que TCP sea el "fall-back".



> Debo agregar que estoy de acuerdo contigo, Fernando en el hecho de que
> el soporte de TCP en el DNS es un problema que se venía ignorando desde
> hace mucho.

Si. En general, as cuestiones de seguridad en TCP han sido ignoradas.
Sin ir mas lejos, recien hace unos poquitos años se mepezo a trabajar en
contramedidas concretas para ataques contra mecanismos basicos de TCP.

Como dice el dicho, "no hay mal que por bien no venga". :-)

Saludos cordiales,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1