[NIC Chile] Comportamiento anómalo DNS del 24/03/2010

[Anuncios NIC Chile]

Comportamiento anómalo DNS del 24/03/2010
-----------------------------------------

    Debido al revuelo que ha causado en la prensa especializada el
descubrimiento de anomalías en el funcionamiento de servidores DNS
ubicados en China, NIC Chile informa:

    El día Miércoles 24 de Marzo del 2010, gracias a información
provista por Ingenieros del proveedor de Internet "VTR", Mauricio
Vergara, Administrador DNS de .CL en NIC Chile, comunicó a través de
una lista de correos de operadores manejada por DNS-OARC, una extraña
anomalía que involucraba una aparente alteración de datos en las
respuestas DNS de uno de los servidores del root server "I" ubicado en
China que afectaba a dominios tales como Facebook.com, Twitter.com y
Youtube.com.

1.- ¿El problema detectado continúa?

    Por lo que nos hemos enterado a través de Autonomica/Netnod
(Organización sueca, operadores del root-server "I"), ellos habrían
apagado la conexión de su nodo ubicado en China, y no hemos vuelto a
detectar el comportamiento anómalo.

2.- ¿Saben ustedes cuales ISPs fueron afectados?

    En su momento sólo pudimos detectar que se vieron afectados en
Chile los ISP VTR y Telmex.

    Al tratar de ver si este era un problema específico que afectaba a
Chile, pudimos comprobar que en un servidor que NIC Chile opera en
California, se producía la misma anomalía.

3.- ¿Qué explicaría que alguien hiciera anuncios de un root server
desde China hacia el resto del mundo?

    Las consultas a los root servers se hacen a cualquiera de los 13
servidores raíz ubicados en todo el mundo; estos servidores se
identifican por una letra, desde la "A" hasta la "M". El servidor raiz
"I", como casi todo el resto de los root servers, es en realidad un
conjunto de más de 40 servidores ubicados en distintas ciudades de
todos los continentes (a esto se le denomina una nube anycast). Da la
casualidad que en esta ocasión, un servidor que estaba ubicado en
Beijing, parecía estar "más cercano" (en término de rutas de Internet)
que otros servidores del root server "I" (por ejemplo, los de Estados
Unidos o de Europa). Más información al respecto la podría entregar
Autonomica/Netnod.

4.- ¿Creen ustedes que esto es accidental?

    El llegar a una ruta china desde un país como Chile, es algo que
puede suceder dentro de la operación nornmal de Internet. De hecho,
Internet funciona de esa manera y busca siempre un camino que considere
"cercano", y dependiendo de la configuración de las conexiones entre
proveedores de Internet, China puede aparecer más cercano que otros
países geográficamente próximos.

    Aunque no podemos estar 100% seguros, esta situación podría ser una
consecuencia no deseada de la aplicación de filtros y alteraciones de
contenido del DNS, que aparentemente se hacen en China.

5.- ¿Cuándo se dieron cuenta del problema?

    El Miércoles 24 de Marzo cerca de las 10:00 AM CLST, cuando Pablo
Jimenez (Ingeniero de servicios IP y Monitoreo de VTR) se comunicó con
Mauricio Vergara Ereche, Administrador DNS de .CL en NIC Chile, para
preguntarnos si veíamos este comportamiento anómalo. Nos comentó que
ellos, ya llevaban al menos un par de días con el problema.

    Hay que destacar que en VTR fueron los primeros que detectaron este
suceso y se acercaron a nosotros para ver cómo podrían ellos contactar
a gente del Root-Server "I", o si habíamos visto algo similar.

    A partir de eso empezamos a investigar y detectamos que el problema
probablemente provenía del servidor del Root Server "I" ubicado en
China. En seguida Mauricio Vergara se contactó directamente con
Autonomica/Netnod y les explicamos lo que habíamos detectado. Luego,
Pablo Jimenez también los contactó a ellos. Casi paralelamente,
nosotros comunicamos esta anomalía a una lista de correo de
coordinación para DNS alojada por DNS-OARC, agrupación de la cual NIC
Chile es miembro. DNS-OARC tiene como objetivo principal ser un centro
de investigación para el análisis y la operación del mundo DNS y
generalmente está al tanto de eventos como éste.

6.- ¿En NIC Chile tuvieron problemas con Facebook, Youtube y Twitter?

    Al hacer las consultas a nivel de DNS se podía ver que el
comportamiento anómalo no ocurría siempre, pero se detectaron algunas
respuesta que se veían extrañas y parecían "adulteradas" en el camino.
Eso era claramente un error.

7.- ¿Estos problemas se pueden atribuir al cortafuegos chino?

    No tenemos una certeza completa en este punto, pero es probable.

8.- ¿A quién fue dirigido el e-mail de Mauricio Vergara?

    Tal como se indicó anteriormente, el e-mail fue dirigido a una
lista de correos administrada por DNS-OARC.

9.- ¿Es preocupante lo que pasó?

    Si esta fuera una situación que persistiera en el tiempo, sería
indudablemente muy preocupante. Alterar datos y modificar o filtrar
contenidos en el DNS afecta el funcionamiento normal y correcto de
Internet.

    Afortunadamente este comportamiento anormal no ha continuado.

10.- ¿Se puede evitar o estamos a expensas de servidores extranjeros?

    Hoy en día se trabaja en implementar a nivel global (NIC Chile
incluido) una extensión de seguridad para el protocolo DNS, conocida
como DNSSEC, el cual ayuda a autenticar el origen de las respuestas DNS
empleando algoritmos criptográficos para poder asegurar que el
contenido y origen de una respuesta sea de quién corresponde.

    Para mayor información en DNSSEC:

    * http://www.nic.cl/anuncios/2010-01-12.html
    * http://www.root-dnssec.org


NIC Chile
Santiago, lunes 29 de marzo de 2010.

_______________________________________________
Anuncios mailing list
Anuncios en listas.nic.cl
https://listas.nic.cl/mailman/listinfo/anuncios