Ir al contenido principal

Servicio AS112: atendiendo los reversos de direcciones IP privadas


El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4.

Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com.

Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus redes internas, pero que no tienen sentido en la Internet pública. Son direcciones reservadas para uso libre, pero sin sentido en comunicaciones globales. Un ejemplo de estas son las direcciones internas a una red de hogar, como la 192.168.1.1 típica que se utiliza en routers caseros.

Aunque estas direcciones son internas a organizaciones, hay ocasiones en que las consultas reversas de DNS por estas direcciones se "escapan" hacia la Internet pública, ocasionando sobrecarga en los servidores DNS que los deben responder. Es por esto que desde hace más de una década se creó un proyecto colaborativo llamado "AS112", que busca crear una red anycast global de servidores DNS que ayuden a la resolución de estos reversos, y quitar la sobrecarga que originaba sobre los servidores raíz del DNS.

NIC Chile en su labor de colaborar con la Internet del país, ha lanzado desde mediados de febrero de 2020 un nodo nacional del servicio AS112 en Santiago.

El servicio se encuentra operando y respondiendo un tráfico permanente de cerca de 1000 consultas por segundo, con clientes principalmente en Chile pero también de países cercanos. No hay que olvidar que un servicio anycast utiliza las cercanías de ruteo para elegir la mejor copia, y es por esto que también es alcanzable desde fuera del país. Se puede realizar una prueba del nodo más cercano a su ubicación con una consulta como:

       

$ dig @prisoner.iana.org hostname.as112.net txt

; <<>> DiG 9.10.3-P4-Debian <<>> -4 @prisoner.iana.org hostname.as112.net txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26222
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;hostname.as112.net.  IN TXT

;; ANSWER SECTION:
hostname.as112.net. 604800 IN TXT "See http://www.as112.net/ for more information."
hostname.as112.net. 604800 IN TXT "NIC Chile" "Santiago, Chile"
hostname.as112.net. 604800 IN TXT "Unique IP: 200.1.123.82."

;; AUTHORITY SECTION:
hostname.as112.net. 604800 IN NS blackhole-2.iana.org.
hostname.as112.net. 604800 IN NS blackhole-1.iana.org.

;; Query time: 0 msec
;; SERVER: 192.175.48.1#53(192.175.48.1)
;; WHEN: Mon Mar 02 17:50:13 -03 2020
;; MSG SIZE  rcvd: 242

       
 


Con esto esperamos reducir la dependencia de conexiones lejanas y de tráfico internacional, mejorar los tiempos de respuesta para servicios internos, y ayudar a mejorar la limpieza y correctitud del DNS a nivel global.

En un futuro queremos comenzar a identificar las redes más importantes que detectamos utilizando el servicio, y contactarlas para sugerirles su corrección. En teoría estas consultas nunca debieran escapar de las propias redes de la organización y tendrían que ser respondidas internamente por los resolutores locales. Mandarlas a la Internet pública es un derroche de recursos e incluso una divulgación de topologías internas que es recomendable mantener en privado.


Para más información técnica se puede visitar el sitio https://www.as112.net/ donde se incluye documentación y enlaces a los estándares relevantes.


Comentarios

Entradas más populares de este blog

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012-, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.


¿Cómo probar conectividad IPv6 en Chile?

NIC Chile ha estado empujando la adopción de IPv6 en Chile como parte de nuestra misión de mejorar Internet en el país, comenzando con obtener nuestro prefijo de direcciones y conectividad nativa el año 2006. Dentro de las actividades en más de una década tenemos algunasconferencias y seminarios, participación en los World IPv6 Day y en un piloto con Google, liderar a través de NIC Chile Labs la iniciativa "IPv6 para Chile" del 2010, apoyado por InnovaChile de Corfo y la Subsecretaría de Telecomunicaciones junto a grandes proveedores de Internet del país; entre otras charlas y cursos.

Además nos hemos preocupado de entregar nuestros propios servicios en IPv6 nativo, permitiendo el registro de servidores "glue" para nuestros clientes en IPv6 desde el año 2007, activando los DNS para .CL desde el año 2010, dando servicios web, correo, whois desde el 2012, y por último el año 2015 activando nuestro servicio secundario de DNS para dominios .CL con IPv6, dando con este …

El servicio más extraño de NIC Chile

Uno de los servicios más extraños que nos ha tocado entregar dentro de NIC Chile desde tiempos históricos, es el de "verificador de la Internet funcionando" ;)

Muchos administradores de red en sus organizaciones, cuando necesitan confirmar que su conexión a Internet está funcionando, hacen una prueba muy sencilla llamada "ping". Este test es básicamente enviar un paquete especial a un servidor determinado, que te responde con una copia del mismo paquete recibido. De hecho, el nombre original del servicio es "eco". Lo de ping es el nombre de una de sus primeras implementaciones, que hacía ese sonido por los parlantes del computador cada vez que tenía una respuesta, al estilo de los sonares de submarinos :) Se trata de  una herramienta sencilla y básica de cualquier administrador de red, que provee una primera prueba de que un sitio remoto es alcanzable.


¿Y hacia qué servidor puedo enviar mis ping? En teoría, ¡a cualquiera! El servicio "eco" es pr…