Hola. Después del último ataque DoS a Dyn que dejó fuera varios
dominios famosos, se puso de moda tener "proveedores redundantes"
de DNS. O sea ya no basta lo bueno que sea cualquier proveedor,
siempre puede quedar fuera con un DoS gigante. Así que la
solución es tener al menos dos.
El problema entonces es que cada uno tiene su propia tecnología
o API, por lo que la complicación es automatizar las dos. Este
es un muy buen artículo de los developers de The Guardian con
su experiencia con Dyn y Route 53:
<https://www.theguardian.com/info/developer-blog/2016/dec/23/multiple-dns-sy…>
Por supuesto que nada de esto sería problema si se estandarizara
la forma de alimentar los secundarios, que... sorpresa! Existe desde
hace 20 años (AXFR/IXFR) ;)
Saludos,
Hugo
Interesante. FYI
-------- Mensaje reenviado --------
Asunto: [DNSOP] b-root begins anycast in May
Fecha: Tue, 18 Apr 2017 21:23:10 -0700
De: John Heidemann <johnh(a)isi.edu>
Para: dnsop <dnsop(a)ietf.org>
[This topic is not directly relevant to dnsop working group events, but
the WG overlaps with the right set of technical folks, so pardon the distraction.]
To improve B-Root DNS service, B-Root will be activating anycast on
2017-05-01, providing service from a new site in Miami in addition to
our current site in Los Angeles. We thank Florida International
University (https://www.fiu.edu) and Ampath.net (https://ampath.net) for
hosting our new hardware there, and USC (https://www.usc.edu) for
hardware support for this second site.
As part of this deployment, we will be renumbering B-Root's IPv6 address
to 2001:500:200::b, effective on 2017-06-01 (pending final coordination
with IANA). We also plan renumber our IPv4 address later in 2017; we
will announce that date here. Renumbering will help support anycast
with more resilient routing. (We will provide service on our old IPv6
and IPv4 addresses for at least one year after renumbering.)
Please address any questions about B-Root operations to b-poc (at)
isi.edu.
_______________________________________________
DNSOP mailing list
DNSOP(a)ietf.org
https://www.ietf.org/mailman/listinfo/dnsop
Hola. No se si supieron que hubo un problema hace unas semanas
con los reversos de RIPE, que dejó fuera a varias organizaciones.
Hoy publicaron un reporte:
<https://labs.ripe.net/Members/anandb/reverse-dns-outage-for-out-of-region-a…>
No tenía idea del mecanismo de "zonelets" para informarse de
transferencias de bloques entre regiones. Es interesante problema!
Se me ocurre que una solución podría ser usar DNAMEs delegando
al nombre a una zona bajo control del RIR de destino. Siguiendo
el ejemplo mencionado en el artículo, RIPE podría publicar algo
como:
122.193.in-addr.arpa. IN DNAME 122.193.in-addr.arin.net.
esto suponiendo que RIPE conoce de antemano que el recurso
fue transferido a ARIN (que *espero* sea ese el caso :) )
Esto deja la responsabilidad de publicar los NS al que realmente
corresponde, que es ARIN. DNAME tiene bastante despliegue, y
además se puede sintetizar en tiempo real, para ser
"retro-compatible".
La gente de LACNIC, sabe si esta solución se está discutiendo
como alternativa a los zonelets?
Saludos,
Hugo