Ir al contenido principal

Servicio AS112: atendiendo los reversos de direcciones IP privadas


El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4.

Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com.

Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus redes internas, pero que no tienen sentido en la Internet pública. Son direcciones reservadas para uso libre, pero sin sentido en comunicaciones globales. Un ejemplo de estas son las direcciones internas a una red de hogar, como la 192.168.1.1 típica que se utiliza en routers caseros.

Aunque estas direcciones son internas a organizaciones, hay ocasiones en que las consultas reversas de DNS por estas direcciones se "escapan" hacia la Internet pública, ocasionando sobrecarga en los servidores DNS que los deben responder. Es por esto que desde hace más de una década se creó un proyecto colaborativo llamado "AS112", que busca crear una red anycast global de servidores DNS que ayuden a la resolución de estos reversos, y quitar la sobrecarga que originaba sobre los servidores raíz del DNS.

NIC Chile en su labor de colaborar con la Internet del país, ha lanzado desde mediados de febrero de 2020 un nodo nacional del servicio AS112 en Santiago.

El servicio se encuentra operando y respondiendo un tráfico permanente de cerca de 1000 consultas por segundo, con clientes principalmente en Chile pero también de países cercanos. No hay que olvidar que un servicio anycast utiliza las cercanías de ruteo para elegir la mejor copia, y es por esto que también es alcanzable desde fuera del país. Se puede realizar una prueba del nodo más cercano a su ubicación con una consulta como:

       

$ dig @prisoner.iana.org hostname.as112.net txt

; <<>> DiG 9.10.3-P4-Debian <<>> -4 @prisoner.iana.org hostname.as112.net txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26222
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;hostname.as112.net.  IN TXT

;; ANSWER SECTION:
hostname.as112.net. 604800 IN TXT "See http://www.as112.net/ for more information."
hostname.as112.net. 604800 IN TXT "NIC Chile" "Santiago, Chile"
hostname.as112.net. 604800 IN TXT "Unique IP: 200.1.123.82."

;; AUTHORITY SECTION:
hostname.as112.net. 604800 IN NS blackhole-2.iana.org.
hostname.as112.net. 604800 IN NS blackhole-1.iana.org.

;; Query time: 0 msec
;; SERVER: 192.175.48.1#53(192.175.48.1)
;; WHEN: Mon Mar 02 17:50:13 -03 2020
;; MSG SIZE  rcvd: 242

       
 


Con esto esperamos reducir la dependencia de conexiones lejanas y de tráfico internacional, mejorar los tiempos de respuesta para servicios internos, y ayudar a mejorar la limpieza y correctitud del DNS a nivel global.

En un futuro queremos comenzar a identificar las redes más importantes que detectamos utilizando el servicio, y contactarlas para sugerirles su corrección. En teoría estas consultas nunca debieran escapar de las propias redes de la organización y tendrían que ser respondidas internamente por los resolutores locales. Mandarlas a la Internet pública es un derroche de recursos e incluso una divulgación de topologías internas que es recomendable mantener en privado.


Para más información técnica se puede visitar el sitio https://www.as112.net/ donde se incluye documentación y enlaces a los estándares relevantes.


Comentarios

Entradas más populares de este blog

¿Cómo probar conectividad IPv6 en Chile?

NIC Chile ha estado empujando la adopción de IPv6 en Chile como parte de nuestra misión de mejorar Internet en el país, comenzando con obtener nuestro prefijo de direcciones y conectividad nativa el año 2006. Dentro de las actividades en más de una década tenemos algunas conferencias y seminarios , participación en los World IPv6 Day y en un piloto con Google , liderar a través de NIC Chile Labs la iniciativa " IPv6 para Chile " del 2010, apoyado por InnovaChile de Corfo y la Subsecretaría de Telecomunicaciones junto a grandes proveedores de Internet del país; entre otras charlas y cursos. Además nos hemos preocupado de entregar nuestros propios servicios en IPv6 nativo, permitiendo el registro de servidores "glue" para nuestros clientes en IPv6 desde el año 2007, activando los DNS para .CL desde el año 2010, dando servicios web, correo, whois desde el 2012, y por último el año 2015 activando nuestro servicio secundario de DNS para dominios .CL con IPv6, dando

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t