Op 1 oktober 2020 is het opnieuw DNS Flag Day. Het idee hierachter is: maak het DNS-protocol efficiënter en robuuster door een gecoördineerde inspanning van de deelnemende DNS-spelers. Dit jaar staat DNS Flag Day in het teken van het voorkomen van IP-fragmentatie.
Waarom moet DNS evolueren?
Het Domain Name System of DNS stamt uit het tijdperk van een nog jong internet. De oude protocollen waren gebaseerd op vertrouwen, en beveiliging was bijzaak. Stilaan echter beseften we dat het DNS robuuster moest worden en meer functies bevatten in de boodschappen die het uitwisselde.
En zo ontstond, in 1999, EDNS of Extension mechanisms for DNS. De komst van EDNS maakte ook DNSSEC , DNS geolocatie en andere beveiligingsmaatregelen mogelijk, zoals cookies in de klassieke DNS-boodschappen. Elke overgang is echter moeilijk. Sommige bestaande firewalls of DNS-implementaties kregen geen update of de EDNS-standaard werd foutief geïnstalleerd. Om deze toch te blijven ondersteunen, zorgden de recursieve resolvers voor workarounds/patches.
|
Extension mechanism for DNS (EDNS) is een uitbreiding op het DNS-protocol dat toelaat om de grotere DNS-antwoorden te versturen en om nieuwe parameters mee te geven. Dit was nodig omdat het DNS-protocol beperkt is tot 512 bytes en omdat nieuwere technieken zoals bijvoorbeeld DNSSEC nieuwe parameters en grotere pakketten vereisen.
EDNS introduceert hiervoor een nieuw resource record, OPT, maar behoudt nog steeds backward-compatibility. Het OPT record biedt DNS de mogelijkheid van extra flags, response codes en labels. Ook de grootte van het DNS UDP-pakket wordt hierin weergegeven. |
|---|
Standaardisering
20 jaar lang hebben de patches zich opgestapeld. Het wordt alsmaar complexer om deze gepatchte software te onderhouden met (soms gevaarlijke) bugs als gevolg. De patches zijn hulpmiddelen maar ze zorgen ook voor een trage responstijd en staan innovatie in de weg. Daarom moet iedereen dringend de standaarden volgen.
Dergelijke bekommernissen hebben in 2019 geleid tot het ontstaan van de eerste DNS Flag Day. Dit is een jaarlijks wederkerend initiatief met als doel het DNS-protocol (Domain Name System) veiliger, betrouwbaarder en robuuster te maken. De DNS community pakt elk jaar een specifiek mankement van het DNS-protocol aan. Zo had Flag Day 2019 als positief resultaat dat over de hele wereld DNS-servers en -operators hun DNS-serverimplementaties correct standaardiseerden.
IP-fragmentatie
Dit jaar staat DNS Flag Day in het teken van het voorkomen van IP-fragmentatie. Bij IP-fragmentatie wordt een IP-pakket in kleinere stukken opgedeeld omdat het te groot is om te versturen over netwerken die alleen kleinere pakketten aankunnen. Op het internet van vandaag kan IP-fragmentatie overdrachtsfouten veroorzaken. Bovendien zijn gefragmenteerde pakketten minder veilig.
Flag Day 2020 stelt voor om IP-fragmentatie te vermijden door:
- Enerzijds de grootte van de DNS-antwoorden te beperken. Dat kan door de EDNS buffergrootte in te stellen op een maximum waarde van 1232 bytes, zowel op de DNS resolver servers, als op de authoritatieve DNS servers.
- En anderzijds te zorgen dat de DNS servers ook DNS over TCP ondersteunen waarop de DNS-communicatie kan terugvallen als het DNS-antwoord toch groter is dan de ingestelde bufferwaarde.
DNS Belgium streeft ernaar om een kwalitatieve en veilige internetervaring voor iedereen te creëren. Daarom hebben we voor onze registrars onderzocht hoe compliant ze zijn. Maar dat doen we natuurlijk ook door cybercriminaliteit op alle mogelijke manieren te bestrijden. We dragen Flag Day 2020 dan ook een warm hart toe.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.