Menü
c't Magazin

DNS flag day: Initiative gegen veraltete DNS-Server und Middleboxen

Hersteller von wichtigen DNS-Resolvern wenden sich gegen veraltete Server und Netzwerkgeräte. Manche Webseiten wird man ab dem 1. Februar schlechter erreichen.

Von
vorlesen Drucken Kommentare lesen 30 Beiträge
DNS flag day: Initiative gegen veraltete DNS-Server und Middleboxen

Die Hersteller der populären quelloffenen DNS-Server BIND9, Unbound, Knot und PowerDNS haben eine Initiative gegen inkompatible oder veraltete DNS-Implementierungen gestartet. Große DNS-Betreiber wie Google, Facebook, Cisco, Cloudflare und diverse weitere Firmen und Institutionen haben sich der Initiative angeschlossen.

Gemeinsam wollen sie den veralteten und inkompatiblen DNS-Implementierungen den Garaus machen, indem sie diese mit ihren Produkten oder in ihrer Infrastruktur nicht mehr berücksichtigen.Der Stichtag ist der 1. Februar, der DNS flag day. Der Abruf von Webseiten, bei denen solche Server und Geräte beteiligt sind, dürfte dann erschwert sein, es sei denn, die Betreiber aktualisieren die betreffende Software oder Firmware.

Die Gruppe kritisiert, dass die bereits 1999 spezifizierte EDNS-Erweiterung von etlichen DNS-Servern und DNS-Middleboxen (Loadbalancer, Firewalls, etc.) im Internet noch immer nicht vollständig berücksichtigt wird. Tatsächlich kann man schon in der Alexa-Top-Liste leicht auch deutsche Domains finden, die EDNS nicht korrekt umsetzen. Eine kleine Liste der bei einem spontanen Test aufgefundenen Webseiten respektive Domains finden Sie am Ende dieses Beitrag. Dazu gehören überraschenderweise auch Domains von Banken.

EDNS ist eine Erweiterung des klassischen DNS-Protokolls, das heute praktisch jeder wichtige Internet-Dienst voraussetzt. Erst mit EDNS können Server auch DNS-Antworten, die länger sind als 512 Bytes mit dem üblichen User Datagram Protocol verschicken (> 512 <= 4096 Byte). Ältere Implementierungen müssen auf TCP umschalten, ein Geschwindigkeitsverlust. Außerdem definiert das Protokoll einige neue Flags und Returncodes. Die Erweiterung wurde bereits 1999 mit dem RFC 2671 eingeführt und ist eine Voraussetzung für die Sicherheitstechnik DNSSEC.

Hersteller von DNS-Resolvern haben Produkte, die mit EDNS nicht umgehen können, lange Zeit mit aufwendigen Behelfsmaßnahmen in ihren Resolvern berücksichtigt (BIND, Knot, Unbound und PowerDNS-Recursor). Das ändert sich mit dem DNS flag day: Dann werden die Behelfsmaßnahmen aus dem Quellcode der wichtigen DNS-Resolver getilgt.

Die Gruppe verspricht sich davon einen schlankeren Quellcode der DNS-Resolver, sodass er einfacher aktualisiert und abgesichert werden kann. Auch läuft die DNS-Namensauflösung ohne die Workarounds etwas flüssiger. Vor allem kann man ohne den Balast neue Funktionen erwarten, einschließlich Mechanismen gegen DDoS-Attacken.

Internet-Nutzer, die ihre DNS-Anfragen an einen der großen teilnehmenden DNS-Resolver schicken (Cloudflare, Google oder Cisco Umbrella), werden die Umstellung gleich am 1. Februar spüren: Webseiten und Dienste mit fehlerhaften DNS-Implementierungen werden schlecht oder nicht erreichbar sein. Bei den übrigen kann es einige Wochen dauern, bis der Effekt in freier Wildbahn spürbar wird, denn es dauert eine Weile, bis neue Versionen der Resolver im öffentlichen Betrieb eingesetzt werden.

Der Flag-Day ist aber zugleich ein guter Tag, an dem Betreiber von authoritativen DNS-Servern (speziell mit DNS-Load-Balancern) prüfen sollten, ob diese die EDNS-Spezifikation korrekt umsetzen. Dafür haben die Initiatoren des Flag-Days eine Testseite aufgesetzt (EDNS-Test von ISC).

Zu Beachten ist, dass der Test in einigen Fällen "false positives" liefert. Sollte die Test-Webseite EDNS-Probleme für eine Domain melden, ist das kein Anlass für Panik. Kontrollieren Sie in diesem Fall zusätzlich manuell, ob EDNS funktioniert. Alternativ kann man diese Aufgabe dem Hersteller eines DNS-Load-Balancers übertragen.

Wenn Sie die EDNS-Tests von ISC auswerten: Kritisch sind Fehlermeldungen in roter Farbe. Fehlermeldungen in Orange beziehen sich auf künftige DNS-Erweiterungen, die derzeit spezifiziert werden. Das heißt, es gibt bei orangen Fehlermeldungen zwar keinen akuten Handlungsbedarf, aber die Fehler sollten ab dem 1. Februar zügig beseitigt werden.

Die Folge von fehlenden oder unzureichenden EDNS-Implementierungen kann je nach Bedeutung einer Webseite schmerzlich sein. Es kann passieren, dass DNS-Zonen auf Servern mit EDNS-Fehlern nicht mehr aufgelöst werden. Besonders betroffen sind große Anbieter in China, darunter wechat.cn, aliexpress.com und alibaba.cn. Zurzeit ist unklar, woran das liegt. Möglicherweise spielt die chinesische (DNS) Firewall eine Rolle.

Wir haben kurzerhand einige der Top-100-Alexa-Webseiten in Deutschland getestet und kleinere EDNS-Fehler bei mehreren Domains verzeichnet. Die meisten wird man mit einem Software-Update leicht beheben können – zu beachten ist, dass die Testergebnisse wie geschildert auch Falschpositive enthalten können; Administratoren sollten die Tabelle also nur als Hinweis nehmen, ihre DNS-Infrastruktur zu überprüfen.

Die meisten Domains, die wir in der Liste aufführen, haben ein Problem mit der noch nicht verabschiedeten und noch nicht im Internet benutzten Erweiterung EDNS1 (aktuell wird EDNS0 eingesetzt). Die IETF und besonders ISC, der Entwickler des BIND-Servers, drängen aber auf die EDNS1-Erweiterung. Sie könnte im nächsten Jahr verabschiedet werden. Die Aktualisierung von DNS-Infrastrukturen, die hinter den großen Domains stecken, kann zwar aufwendig sein. Dennoch empfiehlt sich für die Betreiber von Domains mit EDNS1-Fehlermeldungen, ihre DNS-Server und Load-Balancer rechtzeitig auf den Stand zu bringen, bevor EDNS1 Fuß fasst.

Unsere DNS-Server, die für heise.de zuständig sind, könnten aktuell mit EDNS1 ebenfalls noch nicht umgehen. Das ist aber noch nicht akut und unsere Administratoren bereiten eine rechtzeitige Aktualisierung unserer DNS-Infrastruktur vor. DNS-Server, die Probleme mit EDNS0 haben, brauchen aber umgehende Aufmerksamkeit. Laut den Ergebnissen von ISC könnte das auf vier Domains zutreffen, die in der Tabelle aufgeführt sind.

Domainname von ISC gemeldeter Fehlertyp EDNS-Analyse von ISC
autoscout24.de EDNS1 https://ednscomp.isc.org/ednscomp/c4f2ea6b9e
bahn.de EDNS1 https://ednscomp.isc.org/ednscomp/9daf2ea23d
bing.com EDNS1 https://ednscomp.isc.org/ednscomp/f2d1523e84
comdirect.de EDNS1 https://ednscomp.isc.org/ednscomp/86dc330159
dhl.de EDNS1 https://ednscomp.isc.org/ednscomp/d149e0582b
ebay-kleinanzeigen.de EDNS0 (tendenziell problematisch) https://ednscomp.isc.org/ednscomp/a08a083b50
faz.net EDNS1 (problematisch ab dem 1.2.) https://ednscomp.isc.org/ednscomp/4f3e49e576
heise.de EDNS1 https://ednscomp.isc.org/ednscomp/f1f9da6dd6
microsoft.de EDNS1 https://ednscomp.isc.org/ednscomp/6d804354ca
mobile.de EDNS0 (tendenziell problematisch) https://ednscomp.isc.org/ednscomp/fa7f622ed2
n26.de EDNS1 https://ednscomp.isc.org/ednscomp/b350dd6fdb
netflix.com EDNS1 https://ednscomp.isc.org/ednscomp/b8a3576b82
netbank.de EDNS1 https://ednscomp.isc.org/ednscomp/50926e51b3
zeit.de EDNS0 (problematisch ab dem 1.2.) https://ednscomp.isc.org/ednscomp/80b77d6d77
Anzeige

(dz)

Anzeige