¡Hola Alejandro!

¡Gracias por la pronta respuesta!

¡Tu blog ya está en la lista de favoritos de mi navegador! jajaja.

Pero me refiero a crear un compendio de técnicas y mejores prácticas para garantizar una seguridad y calidad muy altas en la entrega del servicio de DNS Recursivo a los clientes de un ISP.

Por ejemplo, un ISP con una gran cantidad de clientes (50 000 o más) sin duda debe tener preocupaciones como la alta disponibilidad y el equilibrio de carga.
Y para eso, la mejor solución es sin duda instanciar un conjunto Anycast dentro de su red.

¡Esta implementación de Anycast, por sí sola, ya es compleja de implementar!
Existe el problema del verificador de estado del servicio DNS y con eso interactuará con el motor del protocolo de enrutamiento para anunciar (o no) esa IP anycast.

Pero hay otros problemas como DNSSEC, que en un servidor DNS masivo puede ser traicionero. ¡Y necesita la atención adecuada!
Y ni siquiera me atrevo a discutirlo contigo aquí... jajaja.

Otro problema es habilitar en estos servidores funciones como la minimización de consultas, hiperlocal, DoT, DoH, etc.
Además de hiperlocal, sé que hay otros TLD que permiten la copia XFR de la zona completa, pero no tengo a mano una lista de estas zonas.

Para mí, una práctica que se recomienda, pero que estoy buscando los fundamentos técnicos para ayudar a defender el tema, es el uso de IP reservadas para uso privado como las IP que escuchan el servicio DNS y otra IP (en otra interfaz ) a las consultas externas.

Un tema que he visto como un tema recurrente de debate es si el DNS recursivo primario y secundario deben usar diferentes motores de DNS o no.

Y además de todo eso, vienen características complementarias como: whoami, estadísticas, lista negra arbitraria, etc.

Por fin...
Cada oración que cité aquí produciría un gran documento que explicaría por qué esta característica debería o no debería usarse, y cómo implementarla usando las herramientas de código abierto (o no) disponibles.
Y mira, ni siquiera mencioné todas las mejores prácticas posibles....

Ahora imagínelo todo compilado en un solo documento.

¡Para mí sería un sueño!

Em qua., 19 de jan. de 2022 às 00:26, Alejandro Acosta via dns-esp <dns-esp@listas.nic.cl> escreveu:
Hola Douglas, un gusto saludarte,

   En mi blog tengo varias cosas de DNS, pero ya algunas tienen muchos
años :-(

   Sin embargo, leyendo lo que solicitas me vino a la mente este post
del cual recibí buen feedback y parece ser que algo así es lo que buscas:

https://blog.acostasite.com/2017/01/3-recomendaciones-al-construir-el.html


   Y especificamente sobre recursivos -si, también sirve en
autoritativos- (no tan viejo), tengo este:

https://blog.acostasite.com/2019/07/por-fin-rrl-en-bind-por-defecto-con.html


Saludos,


Alejandro,


On 18/1/22 9:31 PM, Douglas Fischer via dns-esp wrote:
> ¡Hola a todos!
>
> Estoy buscando documentación, recetas de pasteles, guías prácticas,
> mejores prácticas para implementar servidores DNS recursivos para ISP.
>
> Cosas como hyperlocal, anycast interno, dnssec y etc.
>
> Yo también estoy tratando de tirar de la memoria...
> algo sobre usar IPs reservadas para uso privado para que sean las IPs
> de los servidores DNS Recursivos, y en el mismo servidor tener otras
> IPs (v4 y v6) para que sean las que se usen para las recursiones.
>
> ¿Algún colega puede sugerir alguna documentación?
>
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp


--
Douglas Fernando Fischer
Engº de Controle e Automação