Journal modification infra DNS - DNS Flag Day

Posté par  . Licence CC By‑SA.
Étiquettes :
18
28
jan.
2019

Cher Journal,

Si tu administres des serveurs DNS tu es déjà certainement au courant.

A partir du 1er février il y a des grosses modifications qui risquent d'apparaitre dans la façon dont les serveurs DNS fonctionnent. Si ton/tes serveurs ne parlent pas EDNS (RFC2671, de 1999 et modifiée en 2013 dans le RFC6891) ton/tes serveurs seront considérés injoignables.

De fait plusieurs éditeurs de logiciels (isc bind, powerdns, knot,… ) DNS vont modifier le code de leurs serveurs DNS. Les résolveurs vont devenir + strict vis-à-vis du traitement des requêtes qui ne sont pas conformes EDNS.

Les modifications arriveront progressivement en production, je ne pense pas qu'il y aura un big-bang le 1er février. Mais petit à petit si tes serveurs DNS ne se conforment pas, tu risques d'observer des lenteurs et d'autres problèmes sur ton infra DNS

Tu peux trouver + d'info:

J.

  • # Si j'ai bien compris, quelques précisions

    Posté par  (site web personnel) . Évalué à 7. Dernière modification le 28 janvier 2019 à 12:05.

    Si ton/tes serveurs ne parlent pas EDNS

    Si j'ai bien suivi, c'est surtout si les serveur répond n'importe quoi ou pire ne répond pas quand on file un champs EDNS, il n'y a pas d'obligation de parler EDNS, juste de bien répondre (avec une réponse DNS classique) si on te demande si tu le supportes, donc coder ça est rapide et on a surtout affaire à des serveurs jemenfoutistes.

    Mais petit à petit

    Encore une fois si j'ai bien suivi, ce n'est pas petit à petit mais d'un coup (le 1er février donc) pour une grosse majorité du net au moins car ce sont surtout les fournisseurs de service DNS qui passent ensemble à la nouvelle configuration (qui considèrent les non répondants comme morts), en plus du changement de config par les nouvelles versions de logiciels.

    tu risques d'observer des lenteurs et d'autres problèmes sur ton infra DNS

    Encore une fois si j'ai bien suivi, ça sera plutôt que ton domaine disparaît du monde, pas des lenteurs.


    Corrections bienvenues si j'ai mal compris, et plus d'info (en Anglais) sur LWN ("After February 1, major DNS service providers will stop working around these buggy implementations").

    • [^] # Re: Si j'ai bien compris, quelques précisions

      Posté par  . Évalué à 2.

      Si j'ai bien suivi, c'est surtout si les serveur répond n'importe quoi ou pire ne répond pas quand on file un champs EDNS, il n'y a pas d'obligation de parler EDNS, juste de bien répondre (avec une réponse DNS classique) si on te demande si tu le supportes, donc coder ça est rapide et on a surtout affaire à des serveurs jemenfoutistes.
      

      Sur le site de l'afnic on peut lire ceci:

      Tout serveur qui ne répondra pas à des requêtes utilisant EDNS sera, de fait, considéré comme injoignable. Ils seront accompagnés de certains des plus importants fournisseurs de service DNS.

      Je suis pas un expert DNS je vais approfondir la question.

      Encore une fois si j'ai bien suivi, ce n'est pas petit à petit mais d'un coup (le 1er février donc) pour une grosse majorité du net au moins car ce sont surtout les fournisseurs de service DNS qui passent ensemble à la nouvelle configuration (qui considèrent les non répondants comme morts), en plus du changement de config par les nouvelles versions de logiciels.

      Les modifications seront effectives dans le code de plusieurs serveurs DNS à partir du 1er. Et en effet certains fournisseurs DNS vont suivre le mouvement.

    • [^] # Re: Si j'ai bien compris, quelques précisions

      Posté par  . Évalué à 2.

      Je viens de (re)parcourir un peu + en profondeur la page https://dnsflagday.net. Et en effet EDNS n'est pas obligatoire, si ton serveur DNS traite correctement les requêtes et indique bien qu'il ne supporte pas l'EDNS

      It is important to note that EDNS is still not mandatory. If you decide not to support EDNS it is okay as long as your software replies according to EDNS standard section 7.

      https://tools.ietf.org/html/rfc6891#section-7

      • [^] # Re: Si j'ai bien compris, quelques précisions

        Posté par  . Évalué à 1.

        Les RFC DNS disent que si le serveur ne comprend pas un champs, il doit l'ignorer.

        Avant les resolveurs essayaient d'etre sympa et se disaient, "tiens le mec (un autre DNS) ne repond rien (par exemple) peut etre qu'il n'est pas compliant", je vais reessayer sans les options que je sais mal supporter.
        Maintenant c'est fini. Mais ca n'a rien de revolutionnaire.
        Il n'est pas nécessaire que votre DNS supporte toutes les features de la planete, il faut juste qu'il n'improvise pas et réponde (selon la norme) en ignorant les options qu'il ne connait pas.

  • # Prêt !

    Posté par  (site web personnel) . Évalué à 2.

    Pour info j'ai mon serveur DNS perso, je n'ai pas touché à sa conf depuis bien des années, la dernière opération de maintenance était une migration de serveur à serveur sans changement de conf (mis à part quelques IPs dans des zones) et apparemment il est prêt.

    Donc pour ceux qui s'inquiètent, si vous avez un bind/named sur une debian à peu près à jour a priori vous avez rien à faire de particulier.

    • [^] # Re: Prêt !

      Posté par  . Évalué à 4.

      si vous avez un bind/named sur une debian à peu près à jour a priori vous avez rien à faire de particulier.

      Et je confirme même pour une Debian vraiment pas à jour /o\ (il faut un bind de moins de 10 ans, en gros, pour avoir le support EDNS ; et même sans, du moment que tu réponds pas de manière buggée, ça marche).

    • [^] # Re: Prêt !

      Posté par  . Évalué à 3.

      Si tu as un DNS tout propre, mais en amont un équipement réseau avec une feature anti-DDOS boiteuse, ou une mauvaise configuration… Alors oui, tu peux être impacté ;)

  • # Et linuxfr

    Posté par  (site web personnel, Mastodon) . Évalué à 6.

    linuxfr.org: Minor problems detected!
    This domain is going to work after February 1st 2019.
    This domain does not support latest DNS standards:
    As a consequence this domain cannot support the latest security features and might be an easier target for network attackers than necessary.
    These imperfections might cause problems in the future.
    Administrators - it is recommended to fix problems mentioned in the technical report below to avoid compatibility problems in the future. Please see description for DNS admins. Thank you for cooperation!

    PS : orange.fr est dans le rouge :D

    Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

    • [^] # Re: Et linuxfr

      Posté par  . Évalué à 7.

      PS : orange.fr est dans le rouge :D

      Orange sont les pires trafiqueurs de DNS au monde, quitte à casser tout l'Internet. Je ne sais pas récemment, mais pendant longtemps ils ont bloqué tout les enregistrements SRV ; en fait, tout ce qui n'était pas un A ou MX. Pareil pour les AAAA (pour la résolution d'IPv6), où ils s'abstenaient explicitement de répondre, même pas par la négative, ce qui causait des timeout insupportables qui ont conduit à être (selon moi) la source majoritaire de « IPv6 ça na marche pas, c'est de la merde » en France. Vivement qu'ils se prennent une fessée pour qu'ils comprennent un peu.

  • # Rien compris

    Posté par  . Évalué à 2. Dernière modification le 28 janvier 2019 à 14:42.

    Le texte en gris sur fond blanc n'aide pas.

    Donc pour les auto-hébergés qui n'ont pas compris et qui ont un ptit DNS, il va y avoir quelque chose à faire ?
    Aucun changement pour les rogues DNS (ex dnschef) ?

    Si ton/tes serveurs ne parlent pas EDNS (RFC2671, de 1999 et modifiée en 2013 dans le RFC6891) ton/tes serveurs seront considérés injoignables.

    Les clients ne pourront plus joindre le serveur ou le serveur ne pourra plus contacter les autres serveurs ?

    • [^] # Re: Rien compris

      Posté par  (site web personnel) . Évalué à 0.

      qui ont un ptit DNS

      barre : qui ont un logiciel DNS pourri, rien à voir avec la taille. La demande n'est pas de gérer EDNS, mais de savoir répondre correctement même quand l'option est demandée (ce que si j'ai bien suivi tout le monde ne fait pas).

      Et sérieusement, on ne parle pas d'auto-hébergé, mêmes les auto-hébergé peuvent installer un serveur DNS maintenu, la on a l'impression que tu dis que Linux c'est pas fait pour les petits serveurs juste pour les grands, non Linux est fait pour petits et grands, pareil pour serveurs DNS (j'en ai sur des VM toutes petites… et ça va très bien, tout vert).

      • [^] # Re: Rien compris

        Posté par  . Évalué à -1. Dernière modification le 28 janvier 2019 à 18:02.

        barre : qui ont un logiciel DNS pourri, rien à voir avec la taille.

        "Ptit DNS" peut être traduit par "serveur DNS installé par quelqu'un n'ayant pas les connaissances et encore moins la motivation du Grand Maître Jedi du DNS S.Bortzmeyer".

        mêmes les auto-hébergé peuvent installer un serveur DNS maintenu

        C'est peut-être pour ça que je pose la question ? 😋

        La demande n'est pas de gérer EDNS, mais de savoir répondre correctement même quand l'option est demandée (ce que si j'ai bien suivi tout le monde ne fait pas).

        Wikipedia répond a la question de façon ambigüe :
        "En cas de non-réponse à une requête utilisant EDNS, une nouvelle tentative de résolution est faite sans EDNS par le client"
        Cela concerne donc la communication entre les clients (smartphone, pc, chat connecté, missile thermonucléaire) et les serveurs DNS (le routeur, PiHole, DnsChef, Bind9, etc).

        Néanmoins la phrase qui fait peur : "Si ton/tes serveurs ne parlent pas EDNS (RFC2671, de 1999 et modifiée en 2013 dans le RFC6891) ton/tes serveurs seront considérés injoignables."
        Poses les questions suivantes :

        1. Pourquoi subitement le 1er fevrier mon serveur serait-il injoignable par des smartphones/PC (qui de toute façon ne font pas les updates pour une bonne partie d'entre eux) ?
        2. Est-ce que les logiciels qu'on utilise (1) sont déjà compatible ? Doit-on aller lire un énième pavé avec texte sur fond gris pour appliquer une modification quelconque sur nos logiciels ?

        1 PiHole, DnsChef, Bind9 ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.