Cyberstorm.mu est en pleine préparation pour le DNS Flag Day 2020. Après le succès de DNS Flag day 2019, le monde du DNS est de nouveau actif. Avec le déploiement de l’IPv6 vient s’ajouter le problème de fragmentation des réponses DNS très larges. L’idée est de limiter la taille des réponses DNS pour être plus petit que le « MTU » des connexions communes.
DNS Flag Day 2020 : la fragmentation des paquets de protocole Internet
Le prochain DNS Flag Day en train de se préparer activement en ce moment. Il se concentrera sur les problèmes opérationnels et de sécurité dans le DNS causés par la fragmentation des paquets de protocole Internet. Cependant, le problème reste le consensus au niveau de la taille exacte.
L’autre souci ce sont les pares-feux qui bloquent les requêtes DNS au niveau TCP.
Cyberstorm a lancé un audit de GDNS et TinyDNSSEC
Du côté de cyberstorm.mu, un audit de l’écosystème DNS est en cours. Le groupe mauricien veut faire un état des lieux en dehors des logiciels DNS avec un gros support commercial comme ISC BIND, Unbound/NSD, PowerDNS. Une équipe travaille d’ailleurs déjà dessus. Ainsi, Cyberstorm a commencé à auditer GDNS et TinyDNSSEC (fork de djbdns). Ils sont en discutions avec les développeurs DNS pour trouver un consensus au niveau technique. Les attaques types fragmentations arriveront surtout avec IPv6. Donc, nous préparons tout l’écosystème DNS.
Des millions d’utilisateurs impactés à travers le monde
Le Flag Day 2020 pourrait impacter des millions d’utilisateurs à travers le monde. Nous pensons qu’à Maurice il faut que tout le monde fasse un état des lieux surtout avec les pares-feux qui bloquent le DNS à travers TCP. Les entreprises devront se préparer. La communauté DNS a discuté des problèmes persistants d’interopérabilité et de performance avec le système DNS sur les listes de diffusion de l’industrie et lors de conférences telles que DNS-OARC 30 panel discussion (vidéo, diapositives).
Le plan du DNS Flag Day 2020 annoncé
Le plan proposé pour le DNS Flag Day 2020 a été annoncé à RIPE78 par Petr Špaček, CZ.NIC et Ondřej Surý, ISC (vidéo, diapositives). Cette année, le DNS Flag Day 2020 sera donc axé sur les problèmes de fragmentation IP des paquets DNS. La fragmentation de l’IP n’est pas fiable sur Internet aujourd’hui. Cela peut résulter en des échecs de transmission lorsque de grands messages DNS sont envoyés via UDP. Même lorsque la fragmentation fonctionne, elle peut ne pas être sûre ; il est théoriquement possible de falsifier des parties d’un message DNS fragmenté, sans détection facile à la réception.
À chaque problème une solution
Ces problèmes peuvent toutefois être résolus. D’abord, en configurant les serveurs pour limiter les messages DNS envoyés sur UDP à une taille qui ne déclenchera pas la fragmentation sur les liens réseau typiques. Ensuite, en s’assurant que les serveurs DNS peuvent passer de UDP à TCP lorsqu’une réponse DNS est trop grande pour tenir dans cette taille de tampon limitée.
Qui est derrière le DNS Flag Day ?
Le DNS Flag Day est dirigé par la communauté des fournisseurs de logiciels et de services DNS, et soutenu par le DNS Operations, Analysis, and Research Center (DNS-OARC) dont la plupart dans la communauté sont membres.