Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales.

5 05 2010

El día de hoy publicamos que el próximo 5 de mayo, a las 17:00 UTC, los 13 principales servidores DNS de Internet utilizarán DNSSEC. Algunos usuarios de Internet, especialmente aquellos dentro de las redes de corporaciones y detrás de ISPs pequeños, pudieran experimentar problemas de intermitencia en el servicio. Recién hemos realizado las pruebas sugeridas, y hemos confirmado que por lo menos al día de hoy, Prodigy Internet, el principal ISP de México, carece, hasta el momento, de soporte para el cambio a DNSSEC de los DNS principales (DNS root servers).

La prueba dice que se debe utilizar el mandato dig de la siguiente forma:

dig +short rs.dns-oarc.net txt

Y que el resultado debe mostrar algo similar a lo siguiente:

rst.x4001.rs.dns-oarc.net.
rst.x3985.x4001.rs.dns-oarc.net.
rst.x4023.x3985.x4001.rs.dns-oarc.net.
"192.168.1.1 sent EDNS buffer size 4096"
"192.168.1.1 DNS reply size limit is at least 4023 bytes"

Es decir, las últimas dos líneas deben indicar reconoció la recepción de un búfer de 4096 bytes y que el servidor fue capaz de enviar una respuesta de 4023 bytes.

El siguiente ejemplo coresponde a la respuesta del DNS de un servicio de ADSL que carece de soporte para EDNS (Extension Mechanisms for DNS, o mecanismos de extensión para DNS):

rst.x486.rs.dns-oarc.net.
rst.x454.x486.rs.dns-oarc.net.
rst.x384.x454.x486.rs.dns-oarc.net.
"X.X.X.X DNS reply size limit is at least 486 bytes"
"X.X.X.X lacks EDNS, defaults to 512"

Adivinen que respuesta devuelven, ante la prueba anterior, los servidores DNS de Prodigy Internet:

rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"200.33.146.201 DNS reply size limit is at least 490"
"200.33.146.201 lacks EDNS, defaults to 512"
"Tested at 2010-05-01 02:37:54 UTC"

La prueba fue realizad con los 20 servidores DNS que tiene Prodigy (desde nsmex1.uninet.net.mx hasta nsmex20.uninet.net.mx), y ninguno parece contar aún con el soporte que será necesario para el cambio a DNSSEC de los DNS principales y que comenzará a partir del 5 de mayo de 2010.

Por piedad, alguien hágale llegar esta información a los administradores de Prodigy Internet y otros proveedores, porque son capaces de dejar sin Internet a la mayor parte de México y echarle la culpa a las computadoras de los usuarios y otras excusas absurdas, como ocurrió durante 2008 con la vulnerabilidad de Kaminsky.

Quien quiera cotejar las mismas pruebas, o bien verificar si su ISP está listo para el cambio que surtirñá efecto a partir del 5 de mayo, solo basta seguir las instrucciones disponibles en este enlace. Para verificar un servidor DNS en particular, utilizar la siguiente sintaxis, donde xx.xx.xx.xx corresponde a la dirección IP del servidor DNS que se quiere verificar:

dig @xx.xx.xx.xx +short rs.dns-oarc.net txt

Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: