[LACNIC/Seguridad] TCP & DNS

[Francisco Arias]

2009/12/17 Fernando Gont <fernando en gont.com.ar>

> Francisco Arias wrote:
>
> >     Sin embargo, a partir del momento en que uno considera hacer depender
> >     infraestructura critica como el DNS en un protocolo como TCP,
> finalmente
> >     uno debe "hacerse cargo", y enfrentar problemas que hasta el momento
> >     venia ignorando.
> >
> > Sólo para ser claros, DNS siempre ha "dependido" de TCP como transporte.
> > Y los servidores de DNS siempre han debido aceptar peticiones de DNS
> > sobre TCP.
>
> Estrictamente hablando, el requisito de soporte de TCP para DNS es un
> "SHOULD", y no un "MUST".
>

Perdón, pero dónde viste eso?


> La diferencia ahora, es que con DNSSEC, la posibilidad de
> > tener una respuesta que requiera TCP para poder ser entregada "podría
> > ser" mayor dado el tamaño de la misma.
>
> Bueno, los numeros que se tienen indican que de hecho lo es. (fijate las
> referencias en el paper de Metzger et al)
>
> > No obstante, si se soporta EDNS0 en los servidores de DNS y las redes
> > (firewalls) permiten el paso de paquetes de DNS sobre UDP mayores a 512
> > Bytes, las peticiones que requieran TCP como transporte deben seguir
> > siendo marginales, quizá como hasta ahora.
>
> Bueno, el punto aca es que al menos actualmente, no se puede depender de
>  EDNS0, porque es bloqueado por firewalls. De ahi que TCP sea el
> "fall-back".
>

Ese es justamente mi punto sobre la necesidad de que los operadores de redes
se aseguren que su infraestructura permite el uso de EDNS0 y DNS sobre TCP
por si se requiere.

Saludos,

Francisco.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20091217/b230121d/attachment.html>