Basculement des serveurs DNS Racine !

dnssec jpg

Un message interessant de monsieur DNS

Voici un mail reçu hier sur la mailling liste : dns-fr@cru.fr Je pense que cela peut intéresser un plus large public.

De Stéphane Bortzmeyer :

C'est la dernière ligne droite, les gérants de L.root-servers.net confirment la date où le premier serveur racine va commencer à diffuser une zone signée avec DNSSEC : après-demain mercredi 27 entre 19h et 21h (heure française) (cf. message attaché).

En juillet 2010, tous les serveurs de noms de la racine diffuseront des réponses cinq à dix fois plus grandes qu'aujourd'hui. Dans certains cas, cela pourra entraîner une coupure quasi-complète de votre accès à l'internet. Ce document explique pourquoi, qui peut être touché, comment tester si on est vulnérable et comment résoudre le problème s'il est présent.

La racine du DNS sera signée avec la technologie DNSSEC et la diffusion des signatures s'étalera de janvier à juillet 2010. En juillet, tous les treize serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille bien plus importante que les réponses DNS classiques. Elles dépasseront l'ancienne limite de 512 octets du DNS et même la limite des 1500 octets de la MTU Ethernet (la plus répandue sur l'Internet).

En effet, le RFC 2671 qui supprimait la limite des 512 octets est sorti en août 1999, il y a plus de dix ans. Mais il existe toujours un certain nombre de pare-feux ou d'autres équipements réseau qui, mal conçus ou bien mal configurés, refusent les réponses DNS de plus de 512 octets. Parmi ceux qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple parce qu'ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Les réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus parler à la racine du DNS après juillet 2010 (puisqu'ils ne recevront plus les réponses) et n'auront donc quasiment plus d'accès Internet en pratique.

Il est donc important de tester votre réseau pour voir si la résolution DNS pourra fonctionner correctement après juillet 2010. Le moyen le plus simple est, sur une machine où le logiciel dig est installé (la plupart des Unix), de taper :

dig +short rs.dns-oarc.net txt

et de voir si la réponse indique plus de 1500 octets, comme ici :

"203.0.113.1 DNS reply size limit is at least 4023 bytes"

Cet outil, produit par l'OARC (DNS Operations, Analysis and Research Center) est documenté en https://www.dns-oarc.net/oarc/services/replysizetest

Si le test indique que les paquets de plus de 1500 octets ne peuvent pas passer, vous devez analyser l'ensemble de votre réseau et tous les équipements intermédiaires (notamment les pare-feux) pour s'assurer qu'ils sont configurés correctement.

Essayez aussi avec une requête DNS directe :

dig +dnssec @192.134.0.49 DNSKEY ripe.net

La réponse fait plus de 1500 octets. Si vous arrivez à la recevoir, c'est que le test précédent avait un problème. Si vous n'y arrivez pas, c'est qu'il reste bien un filtrage maladroit quelque part.

Glossaire :

DNS : http://fr.wikipedia.org/wiki/Domain_Name_System

DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol

MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit

Quelques références utiles :