Resumen
La infraestructura global de Internet es un sistema complejo que requiere la colaboración y la actuación responsable de diversas partes interesadas para mantener su salud y estabilidad. Uno de los retos críticos a los que se enfrenta el ecosistema de Internet es la fuga de tráfico de búsqueda inversa de DNS relacionado con direcciones IP privadas. Este documento propone el despliegue de nodos AS112 como solución técnica para abordar este problema e invita a otras redes a adoptar un enfoque similar, contribuyendo así a una Internet más resistente y eficiente.
Introducción
Internet es una parte esencial de nuestra vida cotidiana, y las organizaciones que gestionan grandes redes desempeñan un papel importante a la hora de garantizar una experiencia de usuario estable y fiable. El tráfico de búsqueda inversa de DNS asociado a direcciones IP privadas, tal y como se define en RFC 1918 y RFC 6598, a menudo se filtra a la Internet pública debido a errores de configuración y otros factores. Este tráfico involuntario carga innecesariamente la infraestructura DNS global y afecta al rendimiento general de la red. Los nodos AS112 ofrecen un servicio de sumidero distribuido, absorbiendo este tráfico y mitigando sus efectos en el ecosistema de Internet.
¿Qué es el AS112?
Imagina que marcas accidentalmente un número de teléfono que no existe. En lugar de contactar con alguien, esperarías oír un mensaje diciendo que el número no está en servicio. Piense en Internet como si fuera una enorme guía telefónica, pero en lugar de números de teléfono, tenemos direcciones de sitios web y servicios en línea. A veces, las personas o los sistemas intentan por error llamar a direcciones que no existen o que están reservadas para uso privado (como una línea de teléfono privada que no aparece en la guía pública).
AS112 es como una amable operadora en este vasto sistema telefónico en línea. En lugar de dejar que estas llamadas erróneas molesten a la centralita principal (la raíz de Internet), AS112 interviene y dice: "Oye, esa dirección no existe o es privada. Por favor, compruébalo e inténtalo de nuevo". De este modo, AS112 ayuda a reducir el tráfico innecesario y garantiza que la centralita principal no se vea desbordada por estas llamadas erróneas.
¿Por qué es importante el AS112?
-Reducir el tráfico innecesario: Al igual que una línea telefónica ocupada, Internet puede atascarse con demasiadas peticiones. Al gestionar estas llamadas erróneas, AS112 garantiza que el sistema principal funcione sin problemas.
-Proteger el núcleo de Internet: La raíz de Internet es vital para las actividades en línea de todo el mundo. AS112 actúa como guardián, garantizando que la raíz no se vea sobrecargada con peticiones irrelevantes.
-Ayudar a los sistemas y a las personas: Al responder a estas solicitudes erróneas, AS112 proporciona retroalimentación, lo que puede ayudar a identificar y corregir errores.
En esencia, AS112 es como un operador servicial en el vasto mundo de Internet, que se asegura de que todo funcione bien y con eficacia.
Solución técnica
Los nodos AS112 se colocan estratégicamente dentro de una red para gestionar y absorber el tráfico de búsqueda inversa de DNS mal dirigido para direcciones IP privadas. Al desplegar estos nodos, las organizaciones pueden descargar el tráfico no deseado y reducir la carga de la infraestructura DNS local y global. La implementación de nodos AS112 implica los siguientes pasos:
- Determinar la ubicación óptima de los nodos AS112 en función de los patrones de tráfico y la topología de la red.
- Configure los nodos AS112 con el software adecuado, como BIND o Knot DNS, para gestionar el tráfico de búsqueda DNS inversa para los rangos específicos de direcciones IP privadas.
- Anunciar el prefijo AS112 en la tabla de enrutamiento global a través del Sistema Autónomo (AS) de la organización para atraer tráfico desviado.
- Supervise los nodos AS112 para asegurarse de que gestionan el tráfico de búsqueda inversa de forma eficaz y ajuste las configuraciones según sea necesario.
Recomendaciones de despliegue para AS112
Elección de la dirección IP
Utilice las direcciones IP dedicadas asignadas para los nodos AS112. Esto garantiza que el nodo sea reconocido como parte del proyecto AS112 y pueda gestionar el tráfico específico dirigido hacia él.
Utilización de BGP (Border Gateway Protocol)
Se debe utilizar BGP para anunciar la presencia del nodo AS112 a las redes vecinas. Esto ayuda a dirigir el tráfico apropiado al nodo.
Se recomienda utilizar comunidades BGP para controlar el alcance del anuncio y garantizar que llegue a la audiencia deseada.
Consideraciones sobre el entorno de red
- Internet público: Si se instala en una red pública, hay que asegurarse de que se puede acceder al nodo desde cualquier punto de Internet. Esto puede implicar coordinarse con los proveedores de servicios de Internet y asegurarse de que no hay filtros que bloqueen el tráfico.
- Puntos de Intercambio de Internet (IXP): Para los nodos desplegados en IXP, es esencial asegurarse de que el nodo puede gestionar el volumen de tráfico típico de estos lugares. Además, la coordinación con el operador del IXP es crucial.
- Redes privadas: Si el nodo está destinado a una red privada, asegúrate de que sólo sirve a esa red específica y no anuncia su presencia a Internet.
Consideraciones sobre Anycast
Anycast es un método en el que la misma dirección IP es utilizada por múltiples nodos en diferentes ubicaciones. Esto ayuda a distribuir la carga y garantiza tiempos de respuesta más rápidos.
Si utiliza anycast, asegúrese de que todos los nodos que utilicen la misma dirección IP tengan configuraciones y datos coherentes. Esto garantiza que los usuarios obtengan la misma respuesta independientemente del nodo al que se conecten.
Control operativo
Supervise regularmente el funcionamiento del nodo para asegurarse de que funciona correctamente. Esto incluye comprobar si hay actualizaciones de software, supervisar los niveles de tráfico y asegurarse de que el nodo responde a las consultas como se espera.
Coordinación
Es beneficioso coordinarse con otros operadores de AS112, sobre todo cuando se realizan cambios o actualizaciones importantes. Esto ayuda a compartir las mejores prácticas y a garantizar un funcionamiento coherente en todos los nodos.
Estas son las recomendaciones de despliegue de alto nivel para AS112 basadas en la RFC. Proporcionan directrices para garantizar que el nodo funcione de manera eficiente y sirva a su propósito previsto en el ecosistema más amplio de Internet.
Consideraciones de seguridad para AS112
Lo ideal es que los hosts nunca envíen consultas a los servidores AS112. Las consultas relacionadas con direcciones de uso privado deben responderse localmente dentro de un sitio. Si los hosts envían consultas a los servidores AS112, podrían filtrar inadvertidamente información sobre la infraestructura privada a la red pública. Esto podría suponer un riesgo para la seguridad.
Registro de operadores AS112
Los operadores del AS112 podrían registrar la información que reciben. Estos datos registrados podrían estar sujetos a diversos riesgos de seguridad y privacidad. Sin embargo, estos riesgos existen independientemente de si los servidores autoritativos para estas zonas están presentes en la infraestructura pública de DNS.
Tráfico inesperado
Las consultas respondidas por los servidores AS112 suelen ser involuntarias, lo que significa que las respuestas de los servidores AS112 suelen ser inesperadas. Este tráfico entrante inesperado podría activar sistemas de detección de intrusos o cortafuegos. Los operadores de servidores AS112 deben estar preparados para recibir consultas de operadores de infraestructuras remotas que podrían creer erróneamente que su seguridad se ha visto comprometida.
Posibles malentendidos
Los operadores de servidores AS112 pueden ser contactados por personas que creen erróneamente que las respuestas de los nodos AS112 son un ataque a su infraestructura. En [RFC6305] se puede encontrar orientación para aquellos que tienen esta idea errónea.
Coordinación suelta
El despliegue de los nodos AS112 no está tan estrechamente coordinado como el de otros servicios distribuidos mediante anycast. Esto dificulta la detección de compromisos maliciosos de un nodo AS112 o la subversión de los datos servidos por el nodo debido a la falta de gestión centralizada.
Vector potencial de ataque
Cambiar las respuestas a las consultas recibidas por los nodos AS112 podría influir en el comportamiento de los hosts que envían las consultas. Un compromiso de este tipo podría utilizarse como vector de ataque contra infraestructuras privadas.
Medidas de protección
Los operadores de AS112 deben asegurarse de que los nodos AS112 están protegidos de cualquier riesgo. Se deben emplear medidas similares a las utilizadas para los servidores de nombres de producción o la infraestructura de red. La guía proporcionada para servidores de nombres raíz en [RFC2870] puede ser útil.
Consideraciones sobre DNSSEC
Las zonas alojadas en los servidores AS112 no están firmadas con DNSSEC. Dada la estructura distribuida y poco coordinada del servicio AS112, firmar las zonas requeriría que el material de las claves privadas fuera efectivamente público, lo que anularía cualquier ventaja de seguridad derivada del uso de dichas claves.
En esencia, aunque AS112 proporciona un valioso servicio en el manejo de consultas DNS para direcciones IP no enrutables, hay varias consideraciones de seguridad que los operadores y usuarios deben tener en cuenta. Las medidas adecuadas y la concienciación pueden ayudar a mitigar los riesgos potenciales.
Aplicación del AS112 de EdgeUno
EdgeUno, proveedor líder de infraestructura de Internet en América Latina, ha adoptado proactivamente el proyecto AS112 para mejorar la eficiencia y fiabilidad de su extensa red. Reconociendo la importancia de gestionar las consultas DNS para direcciones IP no únicas a nivel mundial, EdgeUno ha implementado nodos AS112 de forma estratégica:
Distribución geográfica: Los nodos AS112 de EdgeUno están desplegados estratégicamente en ocho ubicaciones clave de Latinoamérica. Estas ubicaciones incluyen:
-Colombia
-México, con nodos específicos en MEX1, GLD1 y QRO1
-Chile
-Miami (sirve de punto de conexión vital para América Latina)
-Brasil
-Argentina
Este despliegue generalizado garantiza que las consultas DNS originadas en diversas partes de la región se gestionen con eficacia, reduciendo el tráfico innecesario y mejorando la experiencia del usuario.
Especificaciones técnicas
-Sistema operativo: Los nodos AS112 de EdgeUno funcionan en servidores con Linux Debian, un sistema operativo robusto y fiable conocido por su estabilidad y seguridad.
-Demonio de enrutamiento: La elección del demonio de enrutamiento BIRD garantiza unas capacidades de enrutamiento eficientes y dinámicas, lo que permite a los nodos AS112 gestionar eficazmente el tráfico DNS y responder a las consultas.
-Compatible con IPv4 / IPv6
-Seguimiento y análisis
EdgeUno emplea una combinación de Grafana e InfluxDB para monitorizar sus nodos AS112. Esta configuración proporciona:
Visualización en tiempo real del rendimiento y el tráfico de los nodos a través de los paneles interactivos de Grafana.
Almacenamiento y recuperación de datos eficientes con InfluxDB, lo que garantiza que cualquier anomalía o problema pueda identificarse y resolverse rápidamente.
Llamamiento a la acción
Invitamos a otras redes a considerar la implantación de nodos AS112 en su infraestructura para conseguir las siguientes ventajas:
- Mejorar la salud y estabilidad generales del ecosistema global de Internet reduciendo la carga de los servidores DNS raíz.
- Mejore el rendimiento del DNS local y contribuya a mejorar el rendimiento de la red para los clientes.
- Demostrar compromiso con la comunidad de Internet asumiendo un papel proactivo en el mantenimiento de su infraestructura.
- Fomentar la colaboración entre operadores de redes y partes interesadas para abordar retos comunes y promover prácticas responsables en Internet.
Conclusión
El despliegue de nodos AS112 es un paso importante y responsable para las organizaciones que gestionan grandes redes. Al adoptar esta solución técnica, los operadores de redes pueden contribuir a una Internet más resistente y eficiente, beneficiando a sus clientes y a la comunidad en línea en general. Por lo tanto, animamos a otras redes a que exploren la implantación de nodos AS112 y se unan al esfuerzo colectivo para mantener y mejorar la infraestructura global de Internet.
Referencias
- RFC 7534 - Operaciones del servidor de nombres AS112
- Sitio web oficial de EdgeUno https://edgeuno.com/
- RFC 1918 - Asignación de direcciones para redes privadas
- RFC 6598 - Prefijo IPv4 reservado por IANA para espacio de direcciones compartido