[dns-esp] Docs best practices Recursive DNS Servers

Mie Ene 19 07:13:30 -03 2022

¡Hola Alejandro!

¡Gracias por la pronta respuesta!

¡Tu blog ya está en la lista de favoritos de mi navegador! jajaja.

Pero me refiero a crear un compendio de técnicas y mejores prácticas para
garantizar una seguridad y calidad muy altas en la entrega del servicio de
DNS Recursivo a los clientes de un ISP.

Por ejemplo, un ISP con una gran cantidad de clientes (50 000 o más) sin
duda debe tener preocupaciones como la alta disponibilidad y el equilibrio
de carga.
Y para eso, la mejor solución es sin duda instanciar un conjunto Anycast
dentro de su red.

¡Esta implementación de Anycast, por sí sola, ya es compleja de implementar!
Existe el problema del verificador de estado del servicio DNS y con eso
interactuará con el motor del protocolo de enrutamiento para anunciar (o
no) esa IP anycast.

Pero hay otros problemas como DNSSEC, que en un servidor DNS masivo puede
ser traicionero. ¡Y necesita la atención adecuada!
Y ni siquiera me atrevo a discutirlo contigo aquí... jajaja.

Otro problema es habilitar en estos servidores funciones como la
minimización de consultas, hiperlocal, DoT, DoH, etc.
Además de hiperlocal, sé que hay otros TLD que permiten la copia XFR de la
zona completa, pero no tengo a mano una lista de estas zonas.

Para mí, una práctica que se recomienda, pero que estoy buscando los
fundamentos técnicos para ayudar a defender el tema, es el uso de IP
reservadas para uso privado como las IP que escuchan el servicio DNS y otra
IP (en otra interfaz ) a las consultas externas.

Un tema que he visto como un tema recurrente de debate es si el DNS
recursivo primario y secundario deben usar diferentes motores de DNS o no.

Y además de todo eso, vienen características complementarias como: whoami,
estadísticas, lista negra arbitraria, etc.

Por fin...
Cada oración que cité aquí produciría un gran documento que explicaría por
qué esta característica debería o no debería usarse, y cómo implementarla
usando las herramientas de código abierto (o no) disponibles.
Y mira, ni siquiera mencioné todas las mejores prácticas posibles....

Ahora imagínelo todo compilado en un solo documento.

¡Para mí sería un sueño!

Em qua., 19 de jan. de 2022 às 00:26, Alejandro Acosta via dns-esp <
dns-esp en listas.nic.cl> escreveu:

> Hola Douglas, un gusto saludarte,
>
>    En mi blog tengo varias cosas de DNS, pero ya algunas tienen muchos
> años :-(
>
>    Sin embargo, leyendo lo que solicitas me vino a la mente este post
> del cual recibí buen feedback y parece ser que algo así es lo que buscas:
>
> https://blog.acostasite.com/2017/01/3-recomendaciones-al-construir-el.html
>
>
>    Y especificamente sobre recursivos -si, también sirve en
> autoritativos- (no tan viejo), tengo este:
>
>
> https://blog.acostasite.com/2019/07/por-fin-rrl-en-bind-por-defecto-con.html
>
>
> Saludos,
>
>
> Alejandro,
>
>
> On 18/1/22 9:31 PM, Douglas Fischer via dns-esp wrote:
> > ¡Hola a todos!
> >
> > Estoy buscando documentación, recetas de pasteles, guías prácticas,
> > mejores prácticas para implementar servidores DNS recursivos para ISP.
> >
> > Cosas como hyperlocal, anycast interno, dnssec y etc.
> >
> > Yo también estoy tratando de tirar de la memoria...
> > algo sobre usar IPs reservadas para uso privado para que sean las IPs
> > de los servidores DNS Recursivos, y en el mismo servidor tener otras
> > IPs (v4 y v6) para que sean las que se usen para las recursiones.
> >
> > ¿Algún colega puede sugerir alguna documentación?
> >
> > _______________________________________________
> > dns-esp mailing list
> > dns-esp en listas.nic.cl
> > https://listas.nic.cl/mailman/listinfo/dns-esp
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>

-- 
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20220119/c3f72f10/attachment.html>