Subred del cliente EDNS

Opción en Mecanismos de Extensión para DNS

La subred del cliente EDNS ( ECS ) es una opción en los mecanismos de extensión para DNS que permite que un solucionador de DNS recursivo especifique la subred para el host o cliente en cuyo nombre está realizando una consulta de DNS . Generalmente, esto tiene como objetivo ayudar a acelerar la entrega de datos desde las redes de entrega de contenido (CDN), al permitir un mejor uso del equilibrio de carga basado en DNS para seleccionar una dirección de servicio cerca del cliente cuando la computadora del cliente no está necesariamente cerca del solucionador recursivo. ^{[1] [2]}

Cuando un servidor de nombres autorizado recibe una consulta de DNS, aprovecha la extensión DNS de ECS para resolver el nombre de host en una CDN que está geolocalizada cerca de la subred de la IP del cliente , por lo que el cliente realiza más solicitudes a una CDN cercana, reduciendo así la latencia. . El mecanismo de subred del cliente EDNS se especifica en RFC  7871.

Implicaciones de privacidad y seguridad

Debido a que ECS proporciona información de la red del cliente al solucionador ascendente, la extensión revela cierta información sobre la ubicación del cliente que de otro modo el solucionador no podría deducir. ^[3] Los investigadores de seguridad han sugerido que ECS podría usarse para realizar vigilancia en Internet . ^[3] ECS también se puede explotar para realizar ataques selectivos de envenenamiento de la caché de DNS destinados a redirigir únicamente a clientes específicos a un registro DNS envenenado. ^[3]

Polémica por la falta de apoyo

El propietario de la herramienta de archivo web de autoservicio Archive.today ha expresado su preocupación porque Cloudflare 1.1.1.1 no pasa el contenido de este campo al servidor DNS autorizado para Archive.today y, en respuesta, ha configurado el solucionador del sitio para considerar el DNS de Cloudflare. solicitudes no válidas: bloquea de manera efectiva que 1.1.1.1 resuelva los registros DNS del sitio web. ^[4]

El propietario del sitio cree que 1.1.1.1 con demasiada frecuencia enruta solicitudes DNS recursivas de una manera no óptima geográficamente, lo que provoca una conectividad más deficiente que si la función estuviera disponible en todo momento. ^[4]

El director ejecutivo de Cloudflare, Matthew Prince, citó preocupaciones sobre la privacidad como razón para que 1.1.1.1 no admita ECS. ^[5]

Referencias

1. "Cómo funciona". Una Internet más rápida . Archivado desde el original el 28 de marzo de 2018 . Consultado el 27 de marzo de 2018 .{{cite web}}: Mantenimiento CS1: URL no apta ( enlace )
2. "Directrices de subred de cliente (ECS) de EDNS | DNS público | Desarrolladores de Google". Desarrolladores de Google . Consultado el 2 de abril de 2018 .
3. Kintis P, Nadji Y, Dagon D, Farrell M, Antonakakis M (junio de 2016). "Comprensión de las implicaciones de privacidad de ECS" (PDF) . Detección de Intrusiones y Malware, y Evaluación de Vulnerabilidades . Apuntes de conferencias sobre informática. vol. 9721. Saltador. págs. 343–353. doi :10.1007/978-3-319-40667-1_17. ISBN 978-3-319-40667-1.
4. @archiveis (16 de julio de 2018). ""Tener que hacer" aquí no es tan directo" ( Tweet ) – vía Twitter . La ausencia de EDNS y la falta de coincidencia masiva (no solo en AS/País, sino incluso a nivel continental) de dónde provienen el DNS y las solicitudes HTTP relacionadas causan tantos problemas que considero que las solicitudes sin EDNS de Cloudflare no son válidas.
5. Matthew Prince (4 de mayo de 2019). "Comentario de Matthew Prince sobre Hacker News". Noticias de piratas informáticos . Consultado el 4 de octubre de 2021 . No bloqueamos archive.is ni ningún otro dominio a través de 1.1.1.1. Creemos que hacerlo violaría la integridad del DNS y las promesas de privacidad y seguridad que hicimos a nuestros usuarios cuando lanzamos el servicio. Los servidores DNS autorizados de Archive.is devuelven malos resultados a 1.1.1.1 cuando los consultamos. Propuse que lo solucionáramos por nuestra parte, pero nuestro equipo, con razón, dijo que eso también violaría la integridad del DNS y las promesas de privacidad y seguridad que hicimos a nuestros usuarios cuando lanzamos el servicio. El propietario de archive.is ha explicado que nos devuelve malos resultados porque no pasamos la información de la subred EDNS. Esta información filtra información sobre la IP de un solicitante y, a su vez, sacrifica la privacidad de los usuarios. Esto es especialmente problemático a medida que trabajamos para cifrar más tráfico DNS, ya que la solicitud del Resolver al DNS autorizado normalmente no está cifrada. Somos conscientes de ejemplos del mundo real en los que actores estatales han monitoreado la información de la subred EDNS para rastrear individuos, lo que fue parte de la motivación para las políticas de privacidad y seguridad de 1.1.1.1. Los subconjuntos de IP de EDNS se pueden utilizar para geolocalizar mejor las respuestas de los servicios que utilizan equilibrio de carga basado en DNS. Sin embargo, 1.1.1.1 se distribuye en toda la red de Cloudflare, que hoy abarca 180 ciudades. Publicamos la información de geolocalización de las IP desde las que consultamos. Eso permite que cualquier red con menos densidad que la nuestra devuelva correctamente resultados específicos de DNS. Para un operador relativamente pequeño como archive.is, no habría pérdida en la fidelidad del equilibrio de carga geográfica dependiendo de la ubicación del PoP de Cloudflare en lugar de las subredes IP de EDNS. Estamos trabajando con una pequeña cantidad de redes con una mayor densidad de red/ISP que Cloudflare (por ejemplo, Netflix, Facebook, Google/YouTube) para crear una alternativa de subred IP de EDNS que les brinde la información que necesitan para la orientación por geolocalización sin correr riesgos. privacidad y seguridad del usuario. Esas conversaciones han sido productivas y continúan. Si archive.is tiene sugerencias en este sentido, estaremos encantados de considerarlas.