Hola Douglas y todos/as,
Justamente con el objetivo que vos mencionas de disponer de información para operaciones de servidores DNS (recursivos y autoritativos) desde ICANN venimos trabajando en el desarrollo de lo que llamamos KINDNS. El objetivo es desarrollar un marco que se centre en las mejores prácticas operativas más importantes o instancias concretas de las mejores prácticas de seguridad en torno al DNS. La idea es trabajar con la comunidad técnica, identificando y documentando un conjunto de normas acordadas mutuamente que respaldan un ecosistema de DNS seguro para que los operadores pequeños y grandes pueden complementar fácilmente y recurrir allí para referencia sobre los temas.
Aquí hay una descripción inicial e ideas de los objetivos del programa que espero podamos tenerlo disponible en el correr del este año.
Mientras tanto, hay documentos desplegados por varios sitios con buenas prácticas, experiencias y recomendaciones (además de los estándares de la IETF); por ejemplo en los sitios de APNIC, RIPE y en algunos sitios de operadores de servidores DNS recursivos públicos que también han publicado algunas de sus experiencias.
También podemos armar una serie de instancias de capacitación en temas de DNS (con centro en lo operativo) en el correr de este año... qué les parece?
En la comunidad aquí en LAC tenemos unas cuantas personas que pueden contribuir con su experiencia y podemos armar un buen plan para ir desarrollando en el año.
Voy a armar un borrador de serie de webinars y charlas posibles sobre DNS y se los envío para que contribuyan con lo que les parezca más adecuado y así podemos armar algo bien interesante y comenzar a desarrollarlo por ejemplo a partir de Marzo.
Tomo los temas que planteó Douglas para integrarlos en el plan.
Fraterno saludo,
Nico
¡Hola Alejandro!
¡Gracias por la pronta respuesta!
¡Tu blog ya está en la lista de favoritos de mi navegador! jajaja.
Pero me refiero a crear un compendio de técnicas y mejores prácticas para garantizar una seguridad y calidad muy altas en la entrega del servicio de DNS Recursivo a los clientes de un ISP.
Por ejemplo, un ISP con una gran cantidad de clientes (50 000 o más) sin duda debe tener preocupaciones como la alta disponibilidad y el equilibrio de carga.
Y para eso, la mejor solución es sin duda instanciar un conjunto Anycast dentro de su red.
¡Esta implementación de Anycast, por sí sola, ya es compleja de implementar!
Existe el problema del verificador de estado del servicio DNS y con eso interactuará con el motor del protocolo de enrutamiento para anunciar (o no) esa IP anycast.
Pero hay otros problemas como DNSSEC, que en un servidor DNS masivo puede ser traicionero. ¡Y necesita la atención adecuada!
Y ni siquiera me atrevo a discutirlo contigo aquí... jajaja.
Otro problema es habilitar en estos servidores funciones como la minimización de consultas, hiperlocal, DoT, DoH, etc.
Además de hiperlocal, sé que hay otros TLD que permiten la copia XFR de la zona completa, pero no tengo a mano una lista de estas zonas.
Para mí, una práctica que se recomienda, pero que estoy buscando los fundamentos técnicos para ayudar a defender el tema, es el uso de IP reservadas para uso privado como las IP que escuchan el servicio DNS y otra IP (en otra interfaz ) a las consultas externas.
Un tema que he visto como un tema recurrente de debate es si el DNS recursivo primario y secundario deben usar diferentes motores de DNS o no.
Y además de todo eso, vienen características complementarias como: whoami, estadísticas, lista negra arbitraria, etc.
Por fin...
Cada oración que cité aquí produciría un gran documento que explicaría por qué esta característica debería o no debería usarse, y cómo implementarla usando las herramientas de código abierto (o no) disponibles.
Y mira, ni siquiera mencioné todas las mejores prácticas posibles....
Ahora imagínelo todo compilado en un solo documento.
¡Para mí sería un sueño!
Hola Douglas, un gusto saludarte,
En mi blog tengo varias cosas de DNS, pero ya algunas tienen muchos
años :-(
Sin embargo, leyendo lo que solicitas me vino a la mente este post
del cual recibí buen feedback y parece ser que algo así es lo que buscas:
https://blog.acostasite.com/2017/01/3-recomendaciones-al-construir-el.html
Y especificamente sobre recursivos -si, también sirve en
autoritativos- (no tan viejo), tengo este:
https://blog.acostasite.com/2019/07/por-fin-rrl-en-bind-por-defecto-con.html
Saludos,
Alejandro,
On 18/1/22 9:31 PM, Douglas Fischer via dns-esp wrote:
> ¡Hola a todos!
>
> Estoy buscando documentación, recetas de pasteles, guías prácticas,
> mejores prácticas para implementar servidores DNS recursivos para ISP.
>
> Cosas como hyperlocal, anycast interno, dnssec y etc.
>
> Yo también estoy tratando de tirar de la memoria...
> algo sobre usar IPs reservadas para uso privado para que sean las IPs
> de los servidores DNS Recursivos, y en el mismo servidor tener otras
> IPs (v4 y v6) para que sean las que se usen para las recursiones.
>
> ¿Algún colega puede sugerir alguna documentación?
>
> _______________________________________________
> dns-esp mailing list
> dns-esp@listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp
--
Douglas Fernando Fischer
Engº de Controle e Automação
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp