Voltar ao blog

9 de Outubro de 2023

Nós AS112: Uma solução técnica para aprimorar a estabilidade e o desempenho da Internet global 

Resumo  

A infraestrutura global da Internet é um sistema complexo que exige colaboração e ações responsáveis de várias partes interessadas para manter sua saúde e estabilidade. Um dos desafios críticos enfrentados pelo ecossistema da Internet é o vazamento de tráfego de consulta reversa de DNS relacionado a endereços IP privados. Este artigo propõe a implantação de nós AS112 como uma solução técnica para abordar essa questão e convida outras redes a adotarem uma abordagem semelhante, contribuindo para uma Internet mais resiliente e eficiente. 

Introdução  

A Internet é uma parte essencial de nossas vidas diárias, e organizações que gerenciam grandes redes desempenham um papel significativo para garantir uma experiência de usuário estável e confiável. O tráfego de consulta reversa de DNS associado a endereços IP privados, conforme definido nas RFC 1918 e RFC 6598, frequentemente vaza para a Internet pública devido a configurações incorretas e outros fatores. Esse tráfego não intencional sobrecarrega desnecessariamente a infraestrutura global de DNS e afeta o desempenho geral da rede. Os nós AS112 oferecem um serviço de sinkhole distribuído, absorvendo esse tráfego e mitigando seus efeitos no ecossistema da Internet. 

O que é AS112? 

Imagine que você disca acidentalmente um número de telefone que não existe. Em vez de falar com alguém, você esperaria ouvir uma mensagem dizendo que o número não está em serviço. Agora, pense na internet como uma enorme lista telefônica, mas em vez de números de telefone, temos endereços para sites e serviços online. Às vezes, pessoas ou sistemas tentam, por engano, acessar endereços que não existem ou que são reservados para uso privado (como uma linha telefônica particular que não está listada no diretório público). 

AS112 é como um operador amigável neste vasto sistema telefônico online. Em vez de deixar que essas chamadas equivocadas incomodem a central principal (a raiz da internet), o AS112 intervém e diz: “Olha, esse endereço não existe ou é privado. Por favor, verifique e tente novamente.” Ao fazer isso, o AS112 ajuda a reduzir o tráfego desnecessário e garante que a central principal não seja sobrecarregada com essas chamadas equivocadas. 

Por que o AS112 é Importante? 

-Redução de Tráfego Desnecessário: Assim como uma linha telefônica ocupada, a internet pode ficar congestionada com muitas solicitações. Ao lidar com essas chamadas equivocadas, o AS112 garante que o sistema principal funcione sem problemas. 

-Proteção do Núcleo da Internet: A raiz da internet é vital para as atividades online de todos. O AS112 atua como um guardião, garantindo que a raiz não seja sobrecarregada com solicitações irrelevantes. 

-Auxílio a Sistemas e Pessoas: Ao responder a essas solicitações equivocadas, o AS112 fornece feedback, o que pode ajudar na identificação e correção de erros. 

Em essência, o AS112 é como um operador prestativo no vasto mundo da internet, garantindo que tudo funcione de forma suave e eficiente. 

Solução Técnica 

Os nós AS112 são estrategicamente posicionados dentro de uma rede para gerenciar e absorver o tráfego de consultas DNS reverso mal direcionadas para endereços IP privados. Ao implementar esses nós, as organizações podem desafogar o tráfego não intencional e reduzir a carga sobre a infraestrutura DNS local e global. A implementação de nós AS112 envolve as seguintes etapas: 

  1. Determinar as localizações ideais para os nós AS112 com base nos padrões de tráfego e na topologia da rede. 
  1. Configurar os nós AS112 com software apropriado, como BIND ou Knot DNS, para lidar com o tráfego de consultas DNS reverso para as faixas específicas de endereços IP privados. 
  1. Anunciar o prefixo AS112 na tabela de roteamento global através do Sistema Autônomo (AS) da organização para atrair tráfego mal direcionado. 
  1. Monitorar os nós AS112 para garantir que eles gerenciem o tráfego de consultas reverso de forma eficaz e ajustar as configurações conforme necessário. 

Recomendações de Implantação para AS112

Escolha de Endereço IP

Utilize os endereços IP dedicados atribuídos aos nós AS112. Isso garante que o nó seja reconhecido como parte do projeto AS112 e possa gerenciar o tráfego específico direcionado a ele. 

Uso de BGP (Border Gateway Protocol)

O BGP deve ser empregado para anunciar a presença do nó AS112 às redes vizinhas. Isso auxilia no direcionamento do tráfego apropriado para o nó. 

Recomenda-se o uso de comunidades BGP para controlar o escopo do anúncio, garantindo que ele alcance o público-alvo pretendido. 

Considerações sobre o Ambiente de Rede 
  • Internet Pública: Ao implantar na internet pública, assegure que o nó seja acessível de todas as partes da internet. Isso pode envolver coordenação com provedores de serviços de internet e a garantia de que não há filtros bloqueando o tráfego. 
  • Pontos de Troca de Internet (IXPs): Para nós implantados em IXPs, é essencial garantir que o nó possa lidar com o volume de tráfego típico desses locais. Além disso, a coordenação com o operador do IXP é crucial. 
  • Redes Privadas: Se o nó for destinado a uma rede privada, garanta que ele atenda apenas a essa rede específica e não anuncie sua presença para a internet em geral. 
Considerações sobre Anycast 

Anycast é um método onde o mesmo endereço IP é utilizado por múltiplos nós em diferentes localizações. Isso contribui para a distribuição da carga e garante tempos de resposta mais rápidos. 

Ao utilizar anycast, assegure que todos os nós que compartilham o mesmo endereço IP possuam configurações e dados consistentes. Isso garante que os usuários obtenham a mesma resposta, independentemente do nó ao qual se conectam. 

Monitoramento Operacional 

 Monitore regularmente a operação do nó para garantir seu funcionamento correto. Isso inclui verificar atualizações de software, monitorar os níveis de tráfego e assegurar que o nó esteja respondendo às consultas conforme o esperado. 

Coordenação 

 É benéfico coordenar-se com outros operadores AS112, especialmente ao realizar mudanças ou atualizações significativas. Isso auxilia no compartilhamento de melhores práticas e na garantia de uma operação consistente em todos os nós. 

Estas são as recomendações de implantação de alto nível para AS112, baseadas na RFC. Elas fornecem diretrizes para garantir que o nó opere de forma eficiente e cumpra seu propósito no ecossistema mais amplo da internet. 

Considerações de Segurança para AS112 

Vazamento de Informações

Idealmente, os hosts nunca deveriam enviar consultas a servidores AS112. Consultas relacionadas a endereços de uso privado devem ser respondidas localmente dentro de um site. Se os hosts enviarem consultas a servidores AS112, eles podem inadvertidamente vazar informações sobre a infraestrutura privada para a rede pública, o que poderia representar um risco de segurança. 

Registro de Dados por Operadores AS112

Os operadores AS112 podem registrar as informações que recebem. Esses dados registrados podem estar sujeitos a vários riscos de segurança e privacidade. No entanto, esses riscos existem independentemente de servidores autoritativos para essas zonas estarem presentes na infraestrutura DNS pública. 

Tráfego Inesperado

As consultas respondidas pelos servidores AS112 são tipicamente não intencionais, o que significa que as respostas desses servidores são geralmente inesperadas. Tal tráfego de entrada inesperado pode acionar sistemas de detecção de intrusão ou firewalls. Os operadores de servidores AS112 devem estar preparados para consultas de operadores de infraestrutura remota que possam acreditar erroneamente que sua segurança foi comprometida. 

Potencial Mal-entendido

Operadores de servidores AS112 podem ser contatados por indivíduos que acreditam erroneamente que as respostas dos nós AS112 são um ataque à sua infraestrutura. Orientações para aqueles que têm essa concepção equivocada podem ser encontradas em [RFC6305]. 

Coordenação Flexível

A implantação de nós AS112 não é tão rigidamente coordenada quanto outros serviços distribuídos usando anycast. Isso torna desafiador detectar comprometimentos maliciosos de um nó AS112 ou a subversão dos dados servidos pelo nó devido à falta de gerenciamento centralizado. 

Vetor de Ataque Potencial

Alterar as respostas às consultas recebidas pelos nós AS112 pode influenciar o comportamento dos hosts que enviam as consultas. Tal comprometimento pode ser usado como um vetor de ataque contra infraestruturas privadas. 

Medidas de Proteção

Os operadores AS112 devem garantir que os nós AS112 estejam protegidos contra comprometimento. Medidas semelhantes às usadas para servidores de nomes de produção ou infraestrutura de rede devem ser empregadas. As orientações fornecidas para servidores de nomes raiz em [RFC2870] podem ser úteis. 

Considerações sobre DNSSEC

As zonas hospedadas pelos servidores AS112 não são assinadas com DNSSEC. Dada a estrutura distribuída e de coordenação flexível do serviço AS112, assinar as zonas exigiria que o material da chave privada fosse efetivamente público, o que anularia quaisquer benefícios de segurança do uso dessas chaves. 

Em essência, embora o AS112 forneça um serviço valioso no tratamento de consultas DNS para endereços IP não roteáveis, existem várias considerações de segurança das quais operadores e usuários devem estar cientes. Medidas adequadas e conscientização podem ajudar a mitigar riscos potenciais. 

Implementação AS112 da EdgeUno 

A EdgeUno, provedora líder de infraestrutura de internet na América Latina, abraçou proativamente o projeto AS112 para aprimorar a eficiência e a confiabilidade de sua extensa rede. Reconhecendo a importância de lidar com consultas DNS para endereços IP não globalmente únicos, a EdgeUno implementou nós AS112 de maneira estratégica: 

Abrangência Geográfica: Os nós AS112 da EdgeUno estão estrategicamente implantados em oito localidades chave na América Latina. Essas localidades incluem: 

-Colômbia 

-México, com nós específicos em MEX1, GLD1 e QRO1 

-Chile 

-Miami (servindo como um ponto de conexão vital para a América Latina) 

-Brasil 

-Argentina 

Essa implementação abrangente garante que as consultas DNS originadas de diversas partes da região sejam processadas de forma eficiente, reduzindo o tráfego desnecessário e aprimorando a experiência do usuário. 

Especificações técnicas 

-Sistema Operacional: Os nós AS112 da EdgeUno operam em servidores com Linux Debian, um sistema operacional robusto e confiável, reconhecido por sua estabilidade e segurança. 

-Daemon de Roteamento: A escolha do daemon de roteamento BIRD garante capacidades de roteamento eficientes e dinâmicas, permitindo que os nós AS112 gerenciem o tráfego DNS e respondam às consultas de forma eficaz. 

-Compatível com IPv4 / IPv6 

-Monitoramento e Análise 

A EdgeUno utiliza uma combinação de Grafana e InfluxDB para monitorar seus nós AS112. Essa configuração oferece: 

Visualização em tempo real do desempenho e tráfego dos nós por meio dos dashboards interativos do Grafana. 

Armazenamento e recuperação eficiente de dados com InfluxDB, garantindo que quaisquer anomalias ou problemas possam ser rapidamente identificados e solucionados.

 

Chamada para Ação 

Convidamos outras redes a considerar a implementação de nós AS112 em sua infraestrutura para obter os seguintes benefícios: 

  1. Melhorar a saúde e a estabilidade geral do ecossistema global da Internet, reduzindo a carga nos servidores DNS raiz. 
  2. Aprimorar o desempenho local do DNS e contribuir para uma melhor performance de rede para os clientes. 
  3. Demonstrar compromisso com a comunidade da Internet, assumindo um papel proativo na manutenção de sua infraestrutura. 
  4. Fomentar a colaboração entre operadores de rede e partes interessadas para abordar desafios comuns e promover práticas responsáveis na Internet. 

Conclusão 

A implantação de nós AS112 é um passo importante e responsável para organizações que gerenciam grandes redes. Ao adotar essa solução técnica, os operadores de rede podem contribuir para uma Internet mais resiliente e eficiente, beneficiando seus clientes e a comunidade online em geral. Portanto, incentivamos outras redes a explorar a implementação de nós AS112 e a se juntar ao esforço coletivo para manter e aprimorar a infraestrutura global da Internet. 

Referências

  1. RFC 7534 – Operações de Nameserver AS112 
  1. Site Oficial da EdgeUno https://edgeuno.com/
  1. RFC 1918 – Alocação de Endereços para Internets Privadas 
  1. RFC 6598 – Prefixo IPv4 Reservado pela IANA para Espaço de Endereçamento Compartilhado