Hacemos un atento llamado a todos los administradores de redes para realizar verificaciones de último minuto en sus servidores DNS, ruteadores y muros cortafuegos antes de que los servidores DNS principales de Internet (root servers) comiencen a funcionar con la actualización de seguridad DNSSEC mañana entre las 11:00 y 13:00 (tiempo central de México), es decir, entre 17:00 y 19:00 tiempo del meridiano de Greenwich.

Como informamos la semana pasada, este 5 de mayo la actualización de DNSSEC añadirá una firma digital a cada respuesta proveniente de los servidores DNS principales de Internet, donde los componentes encargados de resolver estarán configurados para solicitar respuestas firmadas (a través de establecer el octeto DO en las extensiones para DNS —configuración de EDNS) para las respuestas necesarias para una página de Internet, a fin de proporcionar un nivel adicional de seguridad para los usuarios de Internet y garantizar que éstos se están conectando a la página correcta.

Han surgido preocupaciones de que la actualización podría ocasionar algunos problemas a los administradores de redes que trabajan con equipos antiguos que o bien están configurados para rechazar respuestas de DNS mayores a 512 bytes o son incapaces de aceptar respuestas de DNS divididas en varios paquetes utilizando el protocolo TCP.

La más reciente actualización de ICANN respecto de la mejora hacia DNSSEC, publicada ayer, confirmó que el grupo de servidores J-Root será el último servidor DNS de los 13 principales en realizar la transición, mañana entre las 15:00 y 19:00 UTC.

ICANN ha dicho que es poco probable que haya efectos indeseables originados por los 12 servidores actualizados a la fecha. Sin embargo, se recomienda realizar una serie de pruebas utilizando las siguientes herramientas:

• Prueba de tamaño de respuesta disponible en DNS-OARC:
  https://www.dns-oarc.net/oarc/services/replysizetest.

• Prueba de DNS en Ripe Labs para componente para resolución:
  http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues.

• Herramienta automatizada desarrollada por la Universidad de Californa en Berkeley y la guía de Microsoft para DNSSEC para Windows Server 2008 R2.

Para los administradores de DNS en redes corporativas, se recomienda revisar la configuración de sus equipos de red, particularmente si son capaces de gestionar respuestas con paquetes mayores a 512 bytes o solicitudes en múltiples paquetes a través del protocolo TCP.

Los operadores de servicio deben considerar si los cambios en el tamaño de paquetes UDP mejorará el desempeño en general y considerar si los componentes de resolución debieran ser configurados para solicitar la información de DNSSEC o ignorarlo en el corto plazo.

Usuarios de servicio ADSL, se recomienda considerar actualización de la programación en firme (firmware) de sus modems o bien desactivar el DNS de éstos y utilizar DNS externos.

Fuente: IT News.