1 Лютого, Кінець світу

Cisco є одним з найбільших DNS-провайдерів в світі, надаючи послугу безпечного DNS на базі Cisco Umbrella (раніше OpenDNS), але мова сьогодні піде не про неї і навіть не про безпеку. Справа в тому, що 1-го лютого настане так званий DNS Flag Day, після якого ваш сайт може бути недоступний користувачам в Інтернет.

Про що йде мова? Протокол DNS був розроблений на початку 80-х років. З тих пір багато води витекло і в протокол DNS знадобилося додати нові функції і можливості. Така робота була зпочатку в 1999 році, коли у вигляді RFC 2671 була опублікована перша версія розширень під назв EDNS0 (Extension Mechanism for DNS). Дана версія дозволила зняти деякі обмеження, наприклад, на розмір деяких полів прапорів, кодів повернення і т.п. Поточна версія розширеного протоколу EDNS описана в RFC 6891. При цьому в Інтернеті продовжували існувати DNS-сервера, які не підтримували і не підтримують EDNS, створюючи тим самим певні складності при взаємодії, необхідності забезпечувати сумісність, що в свою чергу призводить як до уповільнення роботу всієї системи DNS, так і до неможливості повною мірою реалізувати все нові можливості EDNS.

Але цієї вакханалії прийшов кінець – з 1-го лютого без підтримки стандарту EDNS сервера будуть недоступні і потрапити на них буде неможливо. Будуть внесені зміни в найпопулярніше ПО, що відповідає за роботу DNS – Bind, Knot Resolver, PowerDNS і Unbound, яке буде приймати тільки відповідний стандарту EDNS трафік. Трафік з старих і неоновлення серверів буде розглядатися як нелегітимний і ці сервера обслуговуватися не будуть, що може привести до недоступності доменів, які «висять» на цих серверах.

Для більшості компаній DNS Flag Day пройде непоміченим, так як багато DNS-провайдери вже оновлюють або оновили своє ПО до необхідних версій. Складнощі можуть виникнути у тих компаній, хто самостійно підтримує власні DNS-сервера, а також багатьох держорганів, які не дуже оперативно оновлюють ПЗ в своїй інфраструктурі, не маючи на це або коштів, або кваліфікованих фахівців. В результаті з 1-го лютого сайти багатьох відомств можуть стати недоступними або зіткнутися з проблемами з доступом.

Перевірити перспективи доступу до свого сайту в лютому 2019 го року досить просто – треба всього лише зайти на сайт dnsflagday.net, ввести там ім’я свого домену та отримати результат, який буде мати різні значення. В ідеалі ви повинні побачити картинку, аналогічну тій, яка показана нижче для сайту cisco.ru:

Якщо ви бачите картинку, аналогічну тій, яка видається, наприклад, для сайту АНО «Цифрова економіка», то це означає, що сайт працюватиме, але він не підтримує останній стандарт DNS і не зможе в повному обсязі реалізувати необхідні функції безпеки і може стати мішенню для хакерів, які можуть (а раптом) атакувати цей сайт.

Перші дві картинки з цієї замітки з червоними знаками дорожнього руху – це найгірше, що ви можете побачити. Краще скоріше оновити ПЗ, що забезпечує роботу вашого DNS. На сайті dnsflagday.net ви можете отримати всі необхідні інструкції та посилання для того, що актуалізувати своє ПЗ. Там же є посилання і на різні утиліти для адміністраторів, які дозволяють сканувати свою DNS-інфраструктуру в пошуках слабких місць.

В завершение заметки я не могу не коснуться вопросов безопасности. Дело в том, что некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может приводить к реализации DoS-атак (например, МСЭ может блокировать DNS cookies, которые являются частью EDNS и предназначены как раз для защиты от DoS-атак) и снижению скорости в Интернет. Поэтому стоит обратить внимание на правила ваших МСЭ, так как раньше это было достаточно распространено и многие уже просто забыли, когда и зачем добавлялись правила в свои средства сетевой периметровой безопасности.

До наступления DNS Flag Day остается меньше двух недель — еще достаточно времени на то, чтобы начать соответствовать стандарту и не снижать лояльность клиентов и граждан, которые, столкнувшись с недоступностью или замедленной работой вашего сайта, начнут нелицеприятно высказываться об этом в соцсетях.

Разумеется, говорить о глобальном апокалипсисе не стоит. Более того, для многих этот день, как я написал выше, пройдет и вовсе незамеченным. Но настройки DNS в этот день будут менять многие провайдеры, что может сказаться на доступности некоторых сайтов. Это риск, о котором стоит знать и к которому надо быть готовым.

Оригінал: https://habr.com/ru/company/cisco/blog/436662/