[LACNIC/Seguridad] TCP & DNS
Fernando Gont
fernando en gont.com.ar
Mar Dic 29 14:36:24 BRST 2009
Francisco Arias wrote:
> > Sólo para ser claros, DNS siempre ha "dependido" de TCP como
> transporte.
> > Y los servidores de DNS siempre han debido aceptar peticiones de DNS
> > sobre TCP.
>
> Estrictamente hablando, el requisito de soporte de TCP para DNS es un
> "SHOULD", y no un "MUST".
>
> Perdón, pero dónde viste eso?
Si bien recuerdo, eso esta en el RFC 1123.
> Bueno, el punto aca es que al menos actualmente, no se puede depender de
> EDNS0, porque es bloqueado por firewalls. De ahi que TCP sea el
> "fall-back".
>
> Ese es justamente mi punto sobre la necesidad de que los operadores de
> redes se aseguren que su infraestructura permite el uso de EDNS0 y DNS
> sobre TCP por si se requiere.
Y ahi es donde se abre la "lata de problemas" ("can of worms" :-) ): ya
no se puede mirar para el costado cuando se habla de cuestiones de
seguridad en TCP.
Saludos cordiales, y Felices Fiestas para todos,
--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1
Más información sobre la lista de distribución Seguridad