Outubro. 9. 2023

Nós AS112: Uma solução técnica para aprimorar a estabilidade e o desempenho da Internet global 

Resumo

A infraestrutura global da Internet é um sistema complexo que exige colaboração e ação responsável de várias partes interessadas para manter sua saúde e estabilidade. Um dos principais desafios enfrentados pelo ecossistema da Internet é o vazamento do tráfego de pesquisa reversa do DNS relacionado a endereços IP privados. Este documento propõe a implantação de nós AS112 como uma solução técnica para resolver esse problema e convida outras redes a adotarem uma abordagem semelhante, contribuindo para uma Internet mais resiliente e eficiente. 


Introdução

A Internet é uma parte essencial do nosso dia a dia, e as organizações que gerenciam grandes redes desempenham um papel importante na garantia de uma experiência estável e confiável para o usuário. O tráfego de pesquisa reversa de DNS associado a endereços IP privados, conforme definido na RFC 1918 e na RFC 6598, geralmente vaza para a Internet pública devido a configurações incorretas e outros fatores. Esse tráfego não intencional carrega desnecessariamente a infraestrutura global do DNS e afeta o desempenho geral da rede. Os nós AS112 oferecem um serviço de sinkhole distribuído, absorvendo esse tráfego e atenuando seus efeitos no ecossistema da Internet. 


O que é o AS112? 

Imagine que você acidentalmente disca um número de telefone que não existe. Em vez de entrar em contato com alguém, você esperaria ouvir uma mensagem dizendo que o número não está em serviço. Agora, pense na Internet como uma enorme lista telefônica, mas, em vez de números de telefone, temos endereços de sites e serviços on-line. Às vezes, as pessoas ou os sistemas tentam, por engano, entrar em contato com endereços que não existem ou que são reservados para uso particular (como uma linha telefônica particular que não está listada no diretório público). 

O AS112 é como uma operadora amigável nesse vasto sistema telefônico on-line. Em vez de deixar que essas chamadas equivocadas incomodem a central telefônica principal (a raiz da Internet), o AS112 intervém e diz: "Ei, esse endereço não existe ou é privado. Por favor, verifique e tente novamente". Ao fazer isso, o AS112 ajuda a reduzir o tráfego desnecessário e garante que a central telefônica principal não fique sobrecarregada com essas chamadas equivocadas. 

Por que o AS112 é importante? 

-Reduzir o tráfego desnecessário: Assim como uma linha telefônica ocupada, a Internet pode ficar obstruída com muitas solicitações. Ao lidar com essas chamadas equivocadas, o AS112 garante que o sistema principal funcione sem problemas. 

-Proteger o núcleo da Internet: A raiz da Internet é vital para as atividades on-line de todos. O AS112 atua como um guardião, garantindo que a raiz não seja sobrecarregada com solicitações irrelevantes. 

-Ajuda a sistemas e pessoas: Ao responder a essas solicitações equivocadas, o AS112 fornece feedback, o que pode ajudar a identificar e corrigir erros. 

Em essência, o AS112 é como um operador prestativo no vasto mundo da Internet, garantindo que tudo funcione de forma suave e eficiente. 


Solução técnica 

Os nós AS112 são estrategicamente posicionados em uma rede para tratar e absorver o tráfego de pesquisa reversa de DNS mal direcionado para endereços IP privados. Ao implantar esses nós, as organizações podem descarregar o tráfego não intencional e reduzir a carga sobre a infraestrutura de DNS local e global. A implementação de nós AS112 envolve as seguintes etapas: 

  1. Determinar os locais ideais para os nós AS112 com base nos padrões de tráfego e na topologia da rede. 
  1. Configure os nós do AS112 com o software apropriado, como o BIND ou o Knot DNS, para lidar com o tráfego de pesquisa de DNS reverso para os intervalos de endereços IP privados específicos. 
  1. Anuncie o prefixo AS112 na tabela de roteamento global por meio do Sistema Autônomo (AS) da organização para atrair tráfego mal direcionado. 
  1. Monitore os nós do AS112 para garantir que eles lidem com o tráfego de pesquisa reversa de forma eficaz e ajuste as configurações conforme necessário. 

Recomendações de implementação para o AS112

Escolha de endereço IP

Use os endereços IP dedicados atribuídos aos nós do AS112. Isso garante que o nó seja reconhecido como parte do projeto AS112 e possa lidar com o tráfego específico direcionado a ele. 

Uso do BGP (Border Gateway Protocol)

O BGP deve ser usado para anunciar a presença do nó AS112 às redes vizinhas. Isso ajuda a direcionar o tráfego apropriado para o nó. 

Recomenda-se usar as comunidades BGP para controlar o escopo do anúncio, garantindo que ele atinja o público-alvo. 

Considerações sobre o ambiente de rede 
  • Internet pública: Se estiver implementando na Internet pública, certifique-se de que o nó possa ser acessado de todas as partes da Internet. Isso pode envolver a coordenação com os provedores de serviços de Internet e a garantia de que não haja filtros bloqueando o tráfego. 
  • Pontos de troca de tráfego na Internet (IXPs): Para nós implantados em IXPs, é essencial garantir que o nó possa lidar com o volume de tráfego típico desses locais. Além disso, a coordenação com o operador do IXP é fundamental. 
  • Redes privadas: Se o nó for destinado a uma rede privada, certifique-se de que ele atenda apenas a essa rede específica e não anuncie sua presença para a Internet em geral. 
Considerações sobre Anycast 

Anycast é um método em que o mesmo endereço IP é usado por vários nós em diferentes locais. Isso ajuda a distribuir a carga e a garantir tempos de resposta mais rápidos. 

Se estiver usando anycast, certifique-se de que todos os nós que usam o mesmo endereço IP tenham configurações e dados consistentes. Isso garante que os usuários obtenham a mesma resposta, independentemente do nó ao qual se conectam. 

Monitoramento operacional 

 Monitore regularmente a operação do nó para garantir que ele esteja funcionando corretamente. Isso inclui a verificação de atualizações de software, o monitoramento dos níveis de tráfego e a garantia de que o nó esteja respondendo às consultas conforme o esperado. 

Coordenação 

 É vantajoso coordenar com outros operadores do AS112, especialmente ao fazer alterações ou atualizações significativas. Isso ajuda a compartilhar práticas recomendadas e a garantir uma operação consistente em todos os nós. 

Estas são as recomendações de implantação de alto nível para o AS112 com base na RFC. Elas fornecem diretrizes para garantir que o nó opere com eficiência e atenda à finalidade pretendida no ecossistema mais amplo da Internet. 


Considerações de segurança para o AS112 

Vazamento de informações

O ideal é que os hosts nunca enviem consultas aos servidores AS112. As consultas relacionadas a endereços de uso privado devem ser respondidas localmente em um site. Se os hosts enviarem consultas aos servidores AS112, eles poderão vazar inadvertidamente informações sobre a infraestrutura privada para a rede pública. Isso pode representar um risco de segurança. 

Registro em log por operadores AS112

Os operadores do AS112 podem registrar as informações que recebem. Esses dados registrados podem estar sujeitos a vários riscos de segurança e privacidade. No entanto, esses riscos existem independentemente de os servidores autoritativos para essas zonas estarem presentes na infraestrutura pública de DNS. 

Tráfego inesperado

As consultas respondidas pelos servidores AS112 geralmente não são intencionais, o que significa que as respostas dos servidores AS112 geralmente são inesperadas. Esse tráfego de entrada inesperado pode acionar sistemas de detecção de intrusão ou firewalls. Os operadores de servidores AS112 devem estar preparados para consultas de operadores de infraestrutura remota que podem acreditar erroneamente que sua segurança foi comprometida. 

Possível mal-entendido

Os operadores de servidores AS112 podem ser contatados por pessoas que acreditam erroneamente que as respostas dos nós AS112 são um ataque à sua infraestrutura. Orientações para aqueles que têm essa concepção errônea podem ser encontradas em [RFC6305]. 

Coordenação solta

A implantação de nós AS112 não é tão bem coordenada quanto outros serviços distribuídos usando anycast. Isso dificulta a detecção de comprometimentos maliciosos de um nó AS112 ou a subversão dos dados fornecidos pelo nó devido à falta de gerenciamento centralizado. 

Vetor de ataque em potencial

A alteração das respostas às consultas recebidas pelos nós do AS112 pode influenciar o comportamento dos hosts que enviam as consultas. Esse comprometimento pode ser usado como um vetor de ataque contra a infraestrutura privada. 

Medidas de proteção

Os operadores do AS112 devem garantir que os nós do AS112 estejam protegidos contra comprometimento. Devem ser empregadas medidas semelhantes àquelas usadas para servidores de nomes de produção ou infraestrutura de rede. A orientação fornecida para servidores de nomes raiz em [RFC2870] pode ser útil. 

Considerações sobre DNSSEC

As zonas hospedadas pelos servidores AS112 não são assinadas com DNSSEC. Dada a estrutura distribuída e pouco coordenada do serviço AS112, a assinatura das zonas exigiria que o material da chave privada fosse efetivamente público, o que anularia qualquer benefício de segurança do uso dessas chaves. 

Em essência, embora o AS112 forneça um serviço valioso no tratamento de consultas de DNS para endereços IP não roteáveis, há várias considerações de segurança das quais os operadores e usuários devem estar cientes. Medidas adequadas e conscientização podem ajudar a reduzir os possíveis riscos. 


Implementação do AS112 da EdgeUno 

A EdgeUno, um dos principais fornecedores de infraestrutura de Internet na América Latina, adotou proativamente o projeto AS112 para aumentar a eficiência e a confiabilidade de sua rede expansiva. Reconhecendo a importância de lidar com consultas de DNS para endereços IP não exclusivos globalmente, a EdgeUno implementou os nós AS112 de maneira estratégica: 

Distribuição geográfica: Os nós AS112 da EdgeUno estão estrategicamente implantados em oito locais importantes na América Latina. Esses locais incluem: 

-Colômbia 

-México, com nós específicos em MEX1, GLD1 e QRO1 

-Chile 

-Miami (servindo como um ponto de conexão vital para a América Latina) 

-Brasil 

-Argentina 

Essa ampla implantação garante que as consultas de DNS originadas de várias partes da região sejam tratadas com eficiência, reduzindo o tráfego desnecessário e melhorando a experiência do usuário. 

Especificações técnicas 

-Sistema operacional: Os nós AS112 da EdgeUno são executados em servidores alimentados pelo Linux Debian, um sistema operacional robusto e confiável conhecido por sua estabilidade e segurança. 

-Daemon de roteamento: A escolha do daemon de roteamento BIRD garante recursos de roteamento eficientes e dinâmicos, permitindo que os nós do AS112 gerenciem efetivamente o tráfego de DNS e respondam a consultas. 

-Capacidade para IPv4 / IPv6

-Monitoramento e análise 

A EdgeUno emprega uma combinação de Grafana e InfluxDB para monitorar seus nós AS112. Essa configuração fornece: 

Visualização em tempo real do desempenho e do tráfego dos nós por meio dos painéis interativos do Grafana. 

Armazenamento e recuperação eficientes de dados com o InfluxDB, garantindo que quaisquer anomalias ou problemas possam ser rapidamente identificados e resolvidos.

 

Chamada para ação 

Convidamos outras redes a considerar a implementação de nós AS112 em sua infraestrutura para obter os seguintes benefícios: 

  1. Melhorar a saúde e a estabilidade gerais do ecossistema global da Internet, reduzindo a carga nos servidores DNS raiz. 
  2. Aprimore o desempenho do DNS local e contribua para melhorar o desempenho da rede para os clientes. 
  3. Demonstrar compromisso com a comunidade da Internet, assumindo um papel proativo na manutenção de sua infraestrutura. 
  4. Incentivar a colaboração entre operadores de rede e partes interessadas para enfrentar desafios comuns e promover práticas responsáveis na Internet. 

Conclusão 

A implantação de nós AS112 é uma etapa importante e responsável para as organizações que gerenciam grandes redes. Ao adotar essa solução técnica, os operadores de rede podem contribuir para uma Internet mais resiliente e eficiente, beneficiando seus clientes e a comunidade on-line em geral. Portanto, incentivamos outras redes a explorar a implementação de nós AS112 e a participar do esforço coletivo para manter e aprimorar a infraestrutura global da Internet. 


Referências

  1. RFC 7534 - Operações do servidor de nomes AS112 
  1. Site oficial da EdgeUno https://edgeuno.com/
  1. RFC 1918 - Alocação de endereços para redes privadas 
  1. RFC 6598 - Prefixo IPv4 reservado pela IANA para espaço de endereço compartilhado