[dns-esp] Docs best practices Recursive DNS Servers

Nicolas Antoniello nantoniello en gmail.com
Mie Ene 19 10:20:20 -03 2022 

Hola Douglas y todos/as,

Justamente con el objetivo que vos mencionas de disponer de información
para operaciones de servidores DNS (recursivos y autoritativos) desde ICANN
venimos trabajando en el desarrollo de lo que llamamos KINDNS. El objetivo
es desarrollar un marco que se centre en las mejores prácticas operativas
más importantes o instancias concretas de las mejores prácticas de
seguridad en torno al DNS. La idea es trabajar con la comunidad técnica,
identificando y documentando un conjunto de normas acordadas mutuamente que
respaldan un ecosistema de DNS seguro para que los operadores pequeños y
grandes pueden complementar fácilmente y recurrir allí para referencia
sobre los temas.

Aquí hay una descripción inicial e ideas de los objetivos del programa que
espero podamos tenerlo disponible en el correr del este año.
https://community.icann.org/display/KINDNS

Mientras tanto, hay documentos desplegados por varios sitios con buenas
prácticas, experiencias y recomendaciones (además de los estándares de la
IETF); por ejemplo en los sitios de APNIC, RIPE y en algunos sitios de
operadores de servidores DNS recursivos públicos que también han publicado
algunas de sus experiencias.
También podemos armar una serie de instancias de capacitación en temas de
DNS (con centro en lo operativo) en el correr de este año... qué les parece?
En la comunidad aquí en LAC tenemos unas cuantas personas que pueden
contribuir con su experiencia y podemos armar un buen plan para ir
desarrollando en el año.

Voy a armar un borrador de serie de webinars y charlas posibles sobre DNS y
se los envío para que contribuyan con lo que les parezca más adecuado y así
podemos armar algo bien interesante y comenzar a desarrollarlo por ejemplo
a partir de Marzo.

Tomo los temas que planteó Douglas para integrarlos en el plan.

Fraterno saludo,
Nico



El mié, 19 ene 2022 a la(s) 07:13, Douglas Fischer via dns-esp (
dns-esp en listas.nic.cl) escribió:

> ¡Hola Alejandro!
>
> ¡Gracias por la pronta respuesta!
>
> ¡Tu blog ya está en la lista de favoritos de mi navegador! jajaja.
>
> Pero me refiero a crear un compendio de técnicas y mejores prácticas para
> garantizar una seguridad y calidad muy altas en la entrega del servicio de
> DNS Recursivo a los clientes de un ISP.
>
> Por ejemplo, un ISP con una gran cantidad de clientes (50 000 o más) sin
> duda debe tener preocupaciones como la alta disponibilidad y el equilibrio
> de carga.
> Y para eso, la mejor solución es sin duda instanciar un conjunto Anycast
> dentro de su red.
>
> ¡Esta implementación de Anycast, por sí sola, ya es compleja de
> implementar!
> Existe el problema del verificador de estado del servicio DNS y con eso
> interactuará con el motor del protocolo de enrutamiento para anunciar (o
> no) esa IP anycast.
>
> Pero hay otros problemas como DNSSEC, que en un servidor DNS masivo puede
> ser traicionero. ¡Y necesita la atención adecuada!
> Y ni siquiera me atrevo a discutirlo contigo aquí... jajaja.
>
> Otro problema es habilitar en estos servidores funciones como la
> minimización de consultas, hiperlocal, DoT, DoH, etc.
> Además de hiperlocal, sé que hay otros TLD que permiten la copia XFR de la
> zona completa, pero no tengo a mano una lista de estas zonas.
>
> Para mí, una práctica que se recomienda, pero que estoy buscando los
> fundamentos técnicos para ayudar a defender el tema, es el uso de IP
> reservadas para uso privado como las IP que escuchan el servicio DNS y otra
> IP (en otra interfaz ) a las consultas externas.
>
> Un tema que he visto como un tema recurrente de debate es si el DNS
> recursivo primario y secundario deben usar diferentes motores de DNS o no.
>
> Y además de todo eso, vienen características complementarias como: whoami,
> estadísticas, lista negra arbitraria, etc.
>
> Por fin...
> Cada oración que cité aquí produciría un gran documento que explicaría por
> qué esta característica debería o no debería usarse, y cómo implementarla
> usando las herramientas de código abierto (o no) disponibles.
> Y mira, ni siquiera mencioné todas las mejores prácticas posibles....
>
> Ahora imagínelo todo compilado en un solo documento.
>
> ¡Para mí sería un sueño!
>
> Em qua., 19 de jan. de 2022 às 00:26, Alejandro Acosta via dns-esp <
> dns-esp en listas.nic.cl> escreveu:
>
>> Hola Douglas, un gusto saludarte,
>>
>>    En mi blog tengo varias cosas de DNS, pero ya algunas tienen muchos
>> años :-(
>>
>>    Sin embargo, leyendo lo que solicitas me vino a la mente este post
>> del cual recibí buen feedback y parece ser que algo así es lo que buscas:
>>
>> https://blog.acostasite.com/2017/01/3-recomendaciones-al-construir-el.html
>>
>>
>>    Y especificamente sobre recursivos -si, también sirve en
>> autoritativos- (no tan viejo), tengo este:
>>
>>
>> https://blog.acostasite.com/2019/07/por-fin-rrl-en-bind-por-defecto-con.html
>>
>>
>> Saludos,
>>
>>
>> Alejandro,
>>
>>
>> On 18/1/22 9:31 PM, Douglas Fischer via dns-esp wrote:
>> > ¡Hola a todos!
>> >
>> > Estoy buscando documentación, recetas de pasteles, guías prácticas,
>> > mejores prácticas para implementar servidores DNS recursivos para ISP.
>> >
>> > Cosas como hyperlocal, anycast interno, dnssec y etc.
>> >
>> > Yo también estoy tratando de tirar de la memoria...
>> > algo sobre usar IPs reservadas para uso privado para que sean las IPs
>> > de los servidores DNS Recursivos, y en el mismo servidor tener otras
>> > IPs (v4 y v6) para que sean las que se usen para las recursiones.
>> >
>> > ¿Algún colega puede sugerir alguna documentación?
>> >
>> > _______________________________________________
>> > dns-esp mailing list
>> > dns-esp en listas.nic.cl
>> > https://listas.nic.cl/mailman/listinfo/dns-esp
>> _______________________________________________
>> dns-esp mailing list
>> dns-esp en listas.nic.cl
>> https://listas.nic.cl/mailman/listinfo/dns-esp
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20220119/97204aba/attachment-0001.html>

Más información sobre la lista de distribución dns-esp