Ir al contenido principal

Servicio AS112: atendiendo los reversos de direcciones IP privadas


El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4.

Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com.

Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus redes internas, pero que no tienen sentido en la Internet pública. Son direcciones reservadas para uso libre, pero sin sentido en comunicaciones globales. Un ejemplo de estas son las direcciones internas a una red de hogar, como la 192.168.1.1 típica que se utiliza en routers caseros.

Aunque estas direcciones son internas a organizaciones, hay ocasiones en que las consultas reversas de DNS por estas direcciones se "escapan" hacia la Internet pública, ocasionando sobrecarga en los servidores DNS que los deben responder. Es por esto que desde hace más de una década se creó un proyecto colaborativo llamado "AS112", que busca crear una red anycast global de servidores DNS que ayuden a la resolución de estos reversos, y quitar la sobrecarga que originaba sobre los servidores raíz del DNS.

NIC Chile en su labor de colaborar con la Internet del país, ha lanzado desde mediados de febrero de 2020 un nodo nacional del servicio AS112 en Santiago.

El servicio se encuentra operando y respondiendo un tráfico permanente de cerca de 1000 consultas por segundo, con clientes principalmente en Chile pero también de países cercanos. No hay que olvidar que un servicio anycast utiliza las cercanías de ruteo para elegir la mejor copia, y es por esto que también es alcanzable desde fuera del país. Se puede realizar una prueba del nodo más cercano a su ubicación con una consulta como:

       

$ dig @prisoner.iana.org hostname.as112.net txt

; <<>> DiG 9.10.3-P4-Debian <<>> -4 @prisoner.iana.org hostname.as112.net txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26222
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;hostname.as112.net.  IN TXT

;; ANSWER SECTION:
hostname.as112.net. 604800 IN TXT "See http://www.as112.net/ for more information."
hostname.as112.net. 604800 IN TXT "NIC Chile" "Santiago, Chile"
hostname.as112.net. 604800 IN TXT "Unique IP: 200.1.123.82."

;; AUTHORITY SECTION:
hostname.as112.net. 604800 IN NS blackhole-2.iana.org.
hostname.as112.net. 604800 IN NS blackhole-1.iana.org.

;; Query time: 0 msec
;; SERVER: 192.175.48.1#53(192.175.48.1)
;; WHEN: Mon Mar 02 17:50:13 -03 2020
;; MSG SIZE  rcvd: 242


Con esto esperamos reducir la dependencia de conexiones lejanas y de tráfico internacional, mejorar los tiempos de respuesta para servicios internos, y ayudar a mejorar la limpieza y correctitud del DNS a nivel global.

En un futuro queremos comenzar a identificar las redes más importantes que detectamos utilizando el servicio, y contactarlas para sugerirles su corrección. En teoría estas consultas nunca debieran escapar de las propias redes de la organización y tendrían que ser respondidas internamente por los resolutores locales. Mandarlas a la Internet pública es un derroche de recursos e incluso una divulgación de topologías internas que es recomendable mantener en privado.


Para más información técnica se puede visitar el sitio https://www.as112.net/ donde se incluye documentación y enlaces a los estándares relevantes.


Etiquetas:

Comentarios

No se permiten comentarios nuevos.

Entradas más populares de este blog

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host
Publicar un comentario
Leer más

dns-tools: herramienta para verificar zonas (ZONEMD) y firmar DNSSEC en forma distribuida

Actualmente existen diversas soluciones que permiten automatizar la firma DNSSEC de los dominios, integrados a los mismos servicios que normalmente proveen DNS. En el ámbito de código abierto, los más utilizados permiten activar DNSSEC con algunas instrucciones en la configuración, sin preocuparse de llaves ni firmas. Sin embargo, siempre es bueno tener herramientas que permitan hacer verificaciones o incluso firmas de una forma más de bajo nivel. Suelen ocurrir casos de uso donde alguien prefiere tener más control, o integrarse con sistemas internos no estándar. Les presentamos  dns-tools , una herramienta de línea de comandos (CLI), escrita en lenguaje Go, que permite firmar con DNSSEC una zona, crear registros de  integridad  de zona llamados ZONEMD, y a su vez validar estas firmas y registros. Esta herramienta fue creada por NICLabs , el laboratorio de NIC Chile. Es mantenida con código abierto en github , con licencia MIT. Una de las cosas más destacadas, y que lo hace una herrami
Publicar un comentario
Leer más

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t
1 comentario
Leer más