P.S.: Eu ainda patino no espanhol, então vou tomar a liberdade de escrever pt_BR
O anúcio da publicação da RFC8976 me lembrou uma pergunta que já faz tempo que eu quero fazer para os colegas dessa lista.
Será que já existe alguma iniciativa de um "hyperlocal++"?
Algo que além dos gTLDs, permitisse também um compartilhamento de alguns dos próximos níveis da hierarquia de nomes?
Exemplificando:
A capital do estado onde eu moro é Curitiba, no Paraná(também conhecida como Rússia brasileira... haha)
Existe o domínio
curitiba.pr.gov.brO Estado do Paraná mantém uma estrutura de NSs do
pr.gov.br e delega SOA para os NS das cidades do PR.
- Hypelocal do "." que aponta para ".br"
- NSs do ".br" que apontam para o ".
gov.br" (que também está no anycast Lacnic)
Se existisse alguma coisa parecida com o Hyperlocal que me permitisse ao meu recursivo ir buscar para replicar localmente zona do
pr.gov.br, poderíamos replicar o mesmo efeito positivo do Hypelocal da zona raiz, mas para outras estruturas de DNS.
Obviamente até agora só pensei no lado bom dessa ideia, e ainda não pensei nos impactos negativos.
E justamente trago essa ideia aos colegas, mas me mostrarem do que estou esquecendo.
O primeiro ponto negativo, que eu via como um impeditivo para essa ideia do "hyperlocal++" era justamente a possibilidade de zonas de segundo e terceiro nível serem falsificadas no caminho da replicação.
Com a RFC8976, acredito que isso se resolva.
Outro ponto negativo que pensei, é que a abertura pública para replicação do arquivo completo das zonas seriam como uma lista de alvos para eventuais ataques direcionados a determinada organização/domínio.
Quanto a isso, sendo pragmático:
- Considerando que os "alvos" seriam os NS autoritativos daquela zona, esses já podem ser obtidos por qualquer um através de consultas de SOA/NS.
- Os "well know" names (Ex.: www, smtp, ns1, ns2, etc...) também seriam facilmente obtidos por consultas de dicionário.
- Hosts com nomes especiais e diferentes(Ex.: internaldatabase ) ou serviços delicados (Ex.: _sip._utp ) realmente seria expostos se a zona inteira fosse replicada, podendo facilitar algum tipo de ataque.
Não sou um grande conhecedor de DNS, mas imaginei que se houvesse alguma coisa como um RPZ - Response Police Zone, de pedido de replicação de zona XFR...
Ou seja: A possibilidade de se gerar um arquivo sumarizado da zona, contendo somente as informações de SOA/NS/ZONEMD, dependendo se o IP de origem do XFR é um não NS oficial da zona.
Isso "resolveria" o problema de entregar todos os RRs da zona, revelando assim coisas que não se deseja.
E também permitiria que o recursivo que for usar esse recurso forme uma árvore de autoritativos de zonas, reduzindo assim tempo de consulta, e reduzindo fadiga nos autoritativos mundo afora.
Quem sabe até, poder-se-ia criar uma coletânea gerada automaticamente(ciclicamete) para ser publicada para todos os Recursivos que desejem usar, para que esses já saibam exatamente a quais autoritativos perguntar sobre cada zona.
P.S.2: Terminando de redigir esse e-mail me veio a cabeça que a extrapolação ao máximo desse conceito de "hyperlocal++" seria voltarmos a década de 70, replicando o arquivo hosts da internet inteira de computador em computador. hahaha.