Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L.
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Gracias Saben si esa buena practica esta en algun RFC ? o en que se justifica... aparte de la posibilidad de caida del AS, como para considerarlos en la justificacion de la inversion de infraestructura que me sirva para mitigarla. Saludos!
El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (carlosm3011@gmail.com) escribió:
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola Miguel!
Como dijo Carlos un poco antes, creo que el costo e inversión para mantener tu operación depende de lo crítico del servicio y su tamaño.
Si quieres buscar una referencia técnica, te puedo recomendar la estructura base del documento RSSAC024 < https://www.icann.org/en/system/files/files/rssac-024-04nov16-en.pdf%3E que define aspectos técnicos para la operación de los Root-Servers (sí, es un poco over-kill, pero es lo primero que se me vino a la mente)
La recomendación de tener bloques de IPs distintos y/o en distintos números autónomos una de las mejores prácticas a tomar en cuenta para que los servidores autoritativos tengan redundancia a nivel de conectividad: Si un ISP tiene un problema de conexión o tu sesión BGP falla, te queda al menos otra alternativa... Por otro lado, una buena práctica también recomendaría tener diferentes sistemas operativos, distintos proveedores de Software DNS, diversos motores de enrutamiento BGP y después incluso podemos empezar a hablar de redundancia de Hardware, datacenter, energía, enfriamiento y un sin número de otras cosas más que es muy probable que pueda olvidar. Finalmente, una buena práctica diría también que hay que tener una combinación de todas esas variables para minimizar el riesgo y aumentar el uptime del servicio.
Mi recomendación? Evalúa costos vs riesgos. La alternativa de ser secundario con otro operador de tu mismo tamaño, ocupar el servicio secundario gratuito de NIC Chile (si tienes tu dominio en .CL) o sub-contratar servicios DNS a terceros, también pueden ser alternativas viables y que se ajusten a tu escenario.
Saludos!
On Wed, Apr 3, 2019 at 2:16 PM Miguel Angel Amador sysadmin@motd.cl wrote:
Gracias Saben si esa buena practica esta en algun RFC ? o en que se justifica... aparte de la posibilidad de caida del AS, como para considerarlos en la justificacion de la inversion de infraestructura que me sirva para mitigarla. Saludos!
El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (< carlosm3011@gmail.com>) escribió:
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
On 18:15 03/04, Miguel Angel Amador wrote:
Gracias Saben si esa buena practica esta en algun RFC ? o en que se justifica...
RFC2182 "Selection and Operation of Secondary DNS Servers", sección 3.1:
"Secondary servers must be placed at both topologically and geographically dispersed locations on the Internet, to minimise the likelihood of a single failure disabling all of them.
That is, secondary servers should be at geographically distant locations, so it is unlikely that events like power loss, etc, will disrupt all of them simultaneously. They should also be connected to the net via quite diverse paths. This means that the failure of any one link, or of routing within some segment of the network (such as a service provider) will not make all of the servers unreachable. "
No dice explícitamente ASN, pero por lo general se considera que diversidad de ASN implica diversidad de organizaciones y paths.
Hugo
aparte de la posibilidad de caida del AS, como para considerarlos en la justificacion de la inversion de infraestructura que me sirva para mitigarla. Saludos!
El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (carlosm3011@gmail.com) escribió:
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Gracias Hugo, ese va mas al grano, yo encontre esto:
Network diversity
The name servers must be in at least two topologically separate networks. A network is defined as an origin autonomous system in the BGP routing table. The requirement is assessed through inspection of views of the BGP routing table.
https://www.iana.org/help/nameserver-requirements
Que siendo la IANA, podría considerarse una formalidad. creo que con la explicación de la caída de la sesión BGP... se justifica que deban estar en AS diferentes... y mas aun en infraestructuras diferentes.
Saludos
El mié., 3 abr. 2019 a las 23:01, Hugo Salgado-Hernández (hsalgado@nic.cl) escribió:
On 18:15 03/04, Miguel Angel Amador wrote:
Gracias Saben si esa buena practica esta en algun RFC ? o en que se justifica...
RFC2182 "Selection and Operation of Secondary DNS Servers", sección 3.1:
"Secondary servers must be placed at both topologically and geographically dispersed locations on the Internet, to minimise the likelihood of a single failure disabling all of them.
That is, secondary servers should be at geographically distant locations, so it is unlikely that events like power loss, etc, will disrupt all of them simultaneously. They should also be connected to the net via quite diverse paths. This means that the failure of any one link, or of routing within some segment of the network (such as a service provider) will not make all of the servers unreachable. "
No dice explícitamente ASN, pero por lo general se considera que diversidad de ASN implica diversidad de organizaciones y paths.
Hugo
aparte de la posibilidad de caida del AS, como para considerarlos en la justificacion de la inversion de infraestructura que me sirva para mitigarla. Saludos!
El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (<
carlosm3011@gmail.com>)
escribió:
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Lo mas importante es que tu dominio jamas deje de responder.
Si tu servicio se cae por completo y todos tus DNS dejan de responder, luego de un rato (TTL de tu zona) tu dominio empieza a ser considerado inexistente... por ej, el correo empieza a rebotar como 'no existe'
Con que tengas un DNS que siga respondiendo, al menos tu dominio existe...
On Wed, Apr 3, 2019 at 6:16 PM Miguel Angel Amador sysadmin@motd.cl wrote:
Gracias Saben si esa buena practica esta en algun RFC ? o en que se justifica... aparte de la posibilidad de caida del AS, como para considerarlos en la justificacion de la inversion de infraestructura que me sirva para mitigarla. Saludos!
El mié., 3 abr. 2019 a las 17:49, Carlos M. Martinez (< carlosm3011@gmail.com>) escribió:
Hola Miguel Angel,
Tener DNSs autoritativos en ASes diferentes es en general una buena práctica. Dependiendo del tamaño de tu operación puedes tener p.ej. 2 en tu red y 2 mas fuera.
Hoy por hoy es muy facil tener esto, alcanza contratar unas VMs en sitios como Digital Ocean o el mismo Amazon AWS. También puedes buscar hacer acuerdos de intercambio de secundarios con otras organizaciones. Nosotros en particular (LACNIC) hacemos eso. Por ejemplo, somos secundarios de zonas de RIPE y RIPE es secundario de zonas nuestras.
s2
Carlos
On 3 Apr 2019, at 17:42, Miguel Angel Amador wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L. _______________________________________________ dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp
Hola, Miguel Ángel,
Una alternativa es tener 1 DNS en tu ASN y que el otro DNS te lo provea tu ISP, que obviamente estará en otro ASN.
Saludos
-alv-
On Apr 3, 2019, at 5:42 PM, Miguel Angel Amador miguel@motd.cl wrote:
Estimados Esperando que se encuentren bien, me surgió una duda, actualmente estamos en proceso de migrar de bloques ip públicos con ISP a tener nuestro propio ASN, donde agrupar nuestras IP's Publicas... y me surgió la duda, porque me parece que vi por ahí que dentro de las buenas practicas para dns autoritativos públicos, estaba el tener al menos 2 DNS Públicos y que estuvieran en AS (sistemas autónomos) diferentes. que tan cierto es esto? que tan riesgoso puede ser? lo único que se me ocurre, es perder el AS... pero eso seria muy difícil, alguien sabe de algún pro o contra de esta recomendación? Los leo... Atte. Miguel Angel Amador L.
dns-esp mailing list dns-esp@listas.nic.cl https://listas.nic.cl/mailman/listinfo/dns-esp