Názory k článku Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5

Děkuju za článek , jako uživatel Turris omnia jsem se s tímto problémem nejspíše také setkal, náhodné krátké výpadky na webu banky při zapnutém dnssec.

Dnes bych k tomu dodal, že nová verze Knot Resolveru změnila strategii agresivního cachování tak, že v těchto případech problém nenastane.

A tedy ani ten "útok" pak nejde proti kombinaci kresd + F5 použít, i když předpokládám že změnu lidé ocení hlavně v normální situaci kdy některé weby vypadávají – zdá se že jich je v CZ prostředí malý podíl, ale některé jsou celkem důležité/velké. Netrpěliví Turristé mohou zkusit RC verzi už teď, ale vzhledem k tomu že ta chyba se projevuje už rok...

Smutná část je, že tím možná klesne tlak opravy chyb na straně rozbitých serverů.

25. 7. 2019, 13:38 editováno autorem komentáře

V článku to není explicitně napsané, ale jestli to chápu správně, chyba se projevuje tehdy, když je F5 pro vnější svět uvedený jako autoritativní server nějaké domény, ale ve skutečnosti dělá jen load-balancer a dotazy přeposílá na skutečné (obvykle skryté) autoritativní DNS servery (tj. konfigurace DNS nazývaná „hidden master“). Pak ale ty skryté autoritativní servery obvykle budou v nějaké chráněné síti a load-balancer (resp. DNS cache) by neměl akceptovat odpovědi odjinud, takže by nemělo být možné provést útok otrávením cache.

Zajímavé by ale bylo, pokud se stejný kód (a agresivní DNS cache na straně F5) používá i v případě, kdy F5 dělá load-balancer např. pro HTTP/HTTPS provoz a backend servery měl nakonfigurované pomocí DNS názvů. Pak by tahle chyba mohla způsobit, že F5 přestane umět překládat názvy backend serverů, což by se projevilo úplně všem uživatelům – nejenom těm, kteří mají zapnuté DNSSEC.