ThaiCERT ไทยเซิร์ต - THNIC แจ้งเตือน เว็บไซต์ที่ไม่รองรับมาตรฐาน EDNS อาจใช้งานไม่ได้หลัง 1 กุมภาพันธ์ 2562 ผู้ดูแลระบบโปรดตรวจสอบ
Clear
Lead Graphic Papers

THNIC แจ้งเตือน เว็บไซต์ที่ไม่รองรับมาตรฐาน EDNS อาจใช้งานไม่ได้หลัง 1 กุมภาพันธ์ 2562 ผู้ดูแลระบบโปรดตรวจสอบ


วันที่ประกาศ: 27 ธันวาคม 2561
ปรับปรุงล่าสุด: 27 ธันวาคม 2561
เรื่อง: THNIC แจ้งเตือน เว็บไซต์ที่ไม่รองรับมาตรฐาน EDNS อาจใช้งานไม่ได้หลัง 1 กุมภาพันธ์ 2562 ผู้ดูแลระบบโปรดตรวจสอบ
ประเภทภัยคุกคาม: Availability

Share on Facebook Share on Twitter Share on Google+

ที่มาและความสำคัญ


THNIC ประกาศแจ้งเตือนหน่วยงานเตรียมพร้อมรับมือเหตุการณ์ DNS Flag Day วันที่ 1 กุมภาพันธ์ 2562 เนื่องจากจะมีการเปลี่ยนแปลงกระบวนการทำงานของ DNS ระบบที่ยังไม่รองรับมาตรฐานใหม่อาจไม่สามารถใช้งานได้
DNS (Domain Name System) เป็นโพรโทคอลที่ใช้ในการติดต่อสื่อสารผ่านอินเทอร์เน็ต จุดประสงค์เพื่อให้สามารถเข้าใช้งานเว็บไซต์ อีเมล หรือบริการอื่นๆ ในอินเทอร์เน็ตได้โดยการพิมพ์ชื่อโดเมนแทนที่จะเป็นการพิมพ์ที่อยู่ไอพีโดยตรง มาตรฐาน DNS เกิดขึ้นในปี พ.ศ. 2525 และมีการปรับปรุงพัฒนาต่อมาเรื่อยๆ หนึ่งในการเปลี่ยนแปลงที่สำคัญคือมีการเพิ่มมาตรฐาน EDNS (Extension Mechanisms for DNS) ขึ้นมาในปี พ.ศ. 2542 โดยมีการปรับปรุงหลายอย่าง เช่น ขยายขนาดของข้อมูลที่รับส่งผ่าน DNS จากเดิมไม่เกิน 512 ไบต์เป็น 4096 ไบต์ ใช้ DNS Cookie เพื่อป้องกันการโจมตีแบบ DoS หรือใช้ DNSSEC ในการยืนยันตัวตนเซิร์ฟเวอร์ เป็นต้น
อย่างไรก็ตาม ถึงแม้มาตรฐาน EDNS จะมีการประกาศใช้งานมาเกือบ 20 ปีแล้ว แต่ซอฟต์แวร์ที่ใช้ให้บริการ DNS หรือการตั้งค่าเซิร์ฟเวอร์/ไฟร์วอลล์ ของบางระบบอาจยังไม่ได้รับการปรับปรุงให้รองรับมาตรฐานนี้ ที่ผ่านมาทั้งผู้พัฒนาซอฟต์แวร์และผู้ให้บริการ DNS ใช้วิธีแก้ปัญหาเฉพาะหน้าโดยยอมรับการเชื่อมต่อกับระบบที่ยังไม่รองรับมาตรฐาน EDNS ไปก่อน อย่างไรก็ตาม เนื่องจากการแก้ไขปัญหาแบบเฉพาะหน้านั้นมีผลกระทบหลายอย่าง เช่น ความล่าช้าในการทำงานเนื่องจากระบบต้องรองรับทั้งมาตรฐานเก่าและใหม่ไปพร้อมกัน หรือข้อจำกัดในการพัฒนาและใช้งานคุณสมบัติที่อยู่ในมาตรฐานใหม่ ที่สำคัญคือมีเซิร์ฟเวอร์อยู่จำนวนมากที่ยังไม่ได้รับการปรับปรุงระบบเพื่อให้รองรับมาตรฐานใหม่เนื่องจากยังคงใช้งานระบบเดิมต่อไปได้ ผู้พัฒนาซอฟต์แวร์ DNS และผู้ให้บริการ DNS รายหลักๆ จึงตกลงกันว่าตั้งแต่วันที่ 1 กุมภาพันธ์ 2562 จะบังคับให้บริการ DNS ในอินเทอร์เน็ตต้องรองรับมาตรฐาน EDNS เท่านั้น โดยบริการที่ยังไม่รองรับมาตรฐานใหม่จะถูกตัดออกจากระบบไป วันที่จะมีการปรับปรุงระบบครั้งใหญ่นี้ถูกเรียกว่า DNS Flag Day ผลกระทบที่จะตามมาคือระบบที่ยังไม่รองรับมาตรฐาน EDNS อาจไม่สามารถเข้าถึงได้ [1]

ผลกระทบที่อาจเกิดขึ้น


ตั้งแต่วันที่ 1 กุมภาพันธ์ 2562 ระบบให้บริการที่ไม่รองรับมาตรฐาน EDNS อาจไม่สามารถเข้าถึงได้
อ้างอิงข้อมูลจากมูลนิธิศูนย์สารสนเทศเครือข่ายไทย (THNIC Foundation) พบว่าโดเมนในประเทศไทยประมาณ 10,000 โดเมน หรือคิดเป็น 15% ของโดเมน .TH ทั้งหมด ยังไม่ได้รองรับมาตรฐาน EDNS ทำให้ระบบดังกล่าวอาจไม่สามารถเข้าถึงได้ตั้งแต่วันที่ 1 กุมภาพันธ์ 2562 [2]

ข้อแนะนำในการตรวจสอบและปรับปรุงระบบ

การตรวจสอบ


ผู้ดูแลระบบสามารถตรวจสอบว่าระบบของตนนั้นรองรับมาตรฐาน EDNS แล้วหรือไม่ โดยการใช้บริการสาธารณะ เช่น เว็บไซต์ DNS Flag Day (https://dnsflagday.net/) หรือเว็บไซต์ EDNS Complicance (https://ednscomp.isc.org/ednscomp)

การปรับปรุงระบบ


หากพบว่าระบบยังไม่รองรับมาตรฐาน EDNS อาจเกิดได้จาก 2 สาเหตุหลัก คือ ใช้งานซอฟต์แวร์รุ่นเก่าหรือยังไม่ได้ตั้งค่าให้รองรับ EDNS กับอีกสาเหตุคือมีการตั้งค่าไฟร์วอลล์ไม่ถูกต้อง
กระบวนการแก้ไขปัญหา
  1. ตรวจสอบและปรับปรุงซอฟต์แวร์ DNS ให้เป็นรุ่นล่าสุด และตรวจสอบการตั้งค่าให้รองรับ EDNS
  2. ตรวจสอบการตั้งค่าไฟร์วอลล์ให้รองรับ EDNS เช่น อนุญาตให้ UDP packet ขนาดเกิน 512 ไบต์สามารถผ่านเข้าออกได้

ทั้งนี้ ถึงแม้ทางหน่วยงานจะมีการแก้ไขปัญหาในระบบบริการ DNS ของตนเองแล้ว แต่หากหน่วยงานภายนอกไม่ได้มีการแก้ไขปัญหาดังกล่าว เมื่อถึงวันที่ 1 กุมภาพันธ์ 2562 ระบบปลายทางนั้นอาจไม่สามารถเข้าถึงได้ ทางหน่วยงานอาจจำเป็นต้องมีการประชาสัมพันธ์ให้กับบุคลากรภายในทราบ รวมถึงให้ความรู้และเตรียมคำตอบสำหรับเจ้าหน้าที่ Call Center, IT Support และ Help Desk ในกรณีที่มีผู้ใช้งานโทรศัพท์เข้ามาสอบถามปัญหาในวันที่มีการปรับระบบมาตรฐาน DNS

อ้างอิง

  1. https://www.thnic.or.th/edns/
  2. https://www.thaipr.net/it/909743
Clear