Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fallar el 5 de mayo.

El día de hoy publicamos que el próximo 5 de mayo, a las 17:00 UTC, los 13 principales servidores DNS de Internet utilizarán DNSSEC. Algunos usuarios de Internet, especialmente aquellos dentro de las redes de corporaciones y detrás de ISPs pequeños, pudieran experimentar problemas de intermitencia en el servicio. Recién hemos realizado las pruebas sugeridas y hemos confirmado que por lo menos al día de hoy, Prodigy Internet, el principal ISP de México, carece, hasta el momento, de soporte para el cambio a DNSSEC de los DNS principales (DNS root servers). ACTUALIZACIÓN: Parece que Prodigy ha completado los cambios necesarios en sus DNS el día 4 de mayo de 2010.

La prueba dice que se debe utilizar el mandato dig de la siguiente forma:

dig +short rs.dns-oarc.net txt

Y que el resultado debe mostrar algo similar a lo siguiente:

rst.x4001.rs.dns-oarc.net.
rst.x3985.x4001.rs.dns-oarc.net.
rst.x4023.x3985.x4001.rs.dns-oarc.net.
"192.168.1.1 sent EDNS buffer size 4096"
"192.168.1.1 DNS reply size limit is at least 4023 bytes"

Es decir, las últimas dos líneas deben indicar reconoció la recepción de un búfer de 4096 bytes y que el servidor fue capaz de enviar una respuesta de 4023 bytes.

El siguiente ejemplo coresponde a la respuesta del DNS de un servicio de ADSL que carece de soporte para EDNS (Extension Mechanisms for DNS o mecanismos de extensión para DNS):

rst.x486.rs.dns-oarc.net.
rst.x454.x486.rs.dns-oarc.net.
rst.x384.x454.x486.rs.dns-oarc.net.
"X.X.X.X DNS reply size limit is at least 486 bytes"
"X.X.X.X lacks EDNS, defaults to 512"

Adivinen que respuesta devuelven, ante la prueba anterior, los servidores DNS de Prodigy Internet:

rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"200.33.146.201 DNS reply size limit is at least 490"
"200.33.146.201 lacks EDNS, defaults to 512"
"Tested at 2010-05-01 02:37:54 UTC"

La prueba fue realizad con los 20 servidores DNS que tiene Prodigy (desde nsmex1.uninet.net.mx hasta nsmex20.uninet.net.mx) y ninguno parece contar aún con el soporte que será necesario para el cambio a DNSSEC de los DNS principales y que comenzará a partir del 5 de mayo de 2010.

Por piedad, alguien hágale llegar esta información a los administradores de Prodigy Internet y otros proveedores, porque son capaces de dejar sin Internet a la mayor parte de México y echarle la culpa a las computadoras de los usuarios y otras excusas absurdas, como ocurrió durante 2008 con la vulnerabilidad de Kaminsky.

Quien quiera cotejar las mismas pruebas o bien verificar si su ISP está listo para el cambio que surtirñá efecto a partir del 5 de mayo, solo basta seguir las instrucciones disponibles en este enlace. Para verificar un servidor DNS en particular, utilizar la siguiente sintaxis, donde xx.xx.xx.xx corresponde a la dirección IP del servidor DNS que se quiere verificar:

dig @xx.xx.xx.xx +short rs.dns-oarc.net txt


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/prodigy-internet-carece-soprote-dnssec
  • Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fallar el 5 de mayo.
  • 4comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.

  • Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fallar el 5 de mayo.
  • Escrito por:Tereso Ramos el  01/05/2010, 21:56

Creo que todos están así, Iusacell está en las mismas.

---
D Web Studio - www.d-webstudio.net

  • Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fallar el 5 de mayo.
  • Escrito por:Anonymous el  02/05/2010, 01:03
Google Public DNS está en las mismas (8.8.8.8 y 8.8.4.4)
Open DNS está en las mismas 208.67.222.222 y 208.67.220.220

Metrored está bien? No sé 200.62.2.180 y 200.62.2.181
"200.62.2.187 sent EDNS buffer size 4096"
"200.62.2.187 DNS reply size limit is at least 3843"

Que no esto sucede únicamente cuando queremos preguntar acerca de una zona que ocupa DNSSEC ??

Porqué esto supone la caída del servicio ??
  • Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fallar el 5 de mayo.
  • Escrito por:Joel Barrios Dueñas el  02/05/2010, 02:52

 Metrored/Diveo están bien, cuando menos 148.243.65.17 y 148.243.65.16:

 

[root@mail ~]# dig +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
"148.243.65.16 sent EDNS buffer size 4096"
"Tested at 2010-05-02 02:49:23 UTC"
"148.243.65.16 DNS reply size limit is at least 3843"

---
--
Joel Barrios Dueñas.
Director General Alcance Libre, A.C.
http://www.AlcanceLibre.org/
La libertad del conocimiento al alcance de quien la busca.

  • Prodigy Internet carece de soporte para el cambio a DNSSEC de DNS principales. Servicio puede fa
  • Escrito por:Gerardo Juarez el  03/05/2010, 17:25

Maxcom parece que también:

 

<pre>

$ dig +short rs.dns-oarc.net txt

rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
"192.221.142.145 DNS reply size limit is at least 3843"
"Tested at 2010-05-03 17:12:34 UTC"
"192.221.142.145 sent EDNS buffer size 4096"

</pre>