[LACNIC/Seguridad] TCP & DNS

Mar Dic 29 14:36:24 BRST 2009

Francisco Arias wrote:

>     > Sólo para ser claros, DNS siempre ha "dependido" de TCP como
>     transporte.
>     > Y los servidores de DNS siempre han debido aceptar peticiones de DNS
>     > sobre TCP.
> 
>     Estrictamente hablando, el requisito de soporte de TCP para DNS es un
>     "SHOULD", y no un "MUST".
> 
> Perdón, pero dónde viste eso?

Si bien recuerdo, eso esta en el RFC 1123.

>     Bueno, el punto aca es que al menos actualmente, no se puede depender de
>      EDNS0, porque es bloqueado por firewalls. De ahi que TCP sea el
>     "fall-back".
>  
> Ese es justamente mi punto sobre la necesidad de que los operadores de
> redes se aseguren que su infraestructura permite el uso de EDNS0 y DNS
> sobre TCP por si se requiere.

Y ahi es donde se abre la "lata de problemas" ("can of worms" :-) ): ya
no se puede mirar para el costado cuando se habla de cuestiones de
seguridad en TCP.

Saludos cordiales, y Felices Fiestas para todos,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1