La contribución de LACNIC a la resiliencia del DNS
25/03/2024
Durante el webinar “Oportunidades para el desarrollo de Infraestructura Crítica”, Carlos Martínez, CTO de LACNIC, destacó la contribución del RIR de América Latina y el Caribe al anycast del DNS en tres aspectos diferentes.
Anycast de las zonas reversas de LACNIC. LACNIC opera las zonas reversas asociadas a los bloques /8 de IPv4 y del /12 de IPv6 que tiene delegados Esas zonas reciben muchísimo tráfico y por eso se distribuye en servidores anycast operados por LACNIC. Si la resolución de esas zonas llegara a fallar, todos los asociados de LACNIC se quedarían sin resolución reversa.
Anycast de las zonas “in.addr.arpa” e “ipv6.arpa”: las zonas de los /8 y del /12 de todos los Registros dependen de estas dos zonas de nivel superior (top level) en la jerarquía reversa del DNS. La resolución de ambas es fundamental para todo Internet y es responsabilidad de todos los RIRs. En ese sentido LACNIC contribuye con servidores anycast tanto para “in.addr.arpa” como para “ipv6.arpa”. Es un esfuerzo cooperativo con los otros RIRs.
Anycast de servidores raíz. La zona raíz del DNS depende de 13 servidores autoritativos. LACNIC contribuye con copias de varios de ellos. Desde hace cerca de 20 años LACNIC ha apoyado la instalación de copias anycast a través del programa +Raíces. Tenemos 36 copias instaladas más otras en proceso de instalación. Instalar una copia de un servidor es un proceso que involucra la cooperación con el operador del servidor y adquisición de hardware , apuntó el CTO de LACNIC.
¿Qué es anycast? Es una técnica de direccionamiento y enrutamiento en la que una misma dirección IP es asignada a múltiples servidores de nombres (DNS) dispersos geográficamente. Cuando un usuario realiza una consulta DNS, esta se dirige al servidor más cercano en términos de latencia o ruta de red.
En los casos en se quiere operar un DNS a gran escala, se tiene una zona con muchos registros y tráfico, o un servidor recursivo que atiende a muchos clientes, la disponibilidad del servidor puede requerir de trabajo especial, afirmó Martínez.
¿Con el DNS se puede utilizar la técnica anycast? Al ser un protocolo basado en UDP no hay que luchar con el establecimiento de conexiones. “Esto funciona y funciona muy bien”, agregó el gerente técnico de LACNIC. Por ejemplo, si un servidor de DNS que está publicando por anycast desaparece porque se apaga o se produce una falla, el inconveniente se subsana si el anuncio BGP sigue estando en las tablas BGP mundiales. “El propio BGP se encarga de elegir el siguiente mejor. La mayor parte del tiempo los usuarios ni se enteran”, dijo Martínez.
Mejora de la latencia. La utilización de esta herramienta anycast permite dirigir las solicitudes de los usuarios al servidor DNS más cercano, por lo que la técnica reduce significativamente la latencia. Esto se traduce en tiempos de carga más rápidos para sitios web y aplicaciones, mejorando la experiencia del usuario.
Martínez también señaló que al tener múltiples servidores que pueden responder a una misma dirección IP, anycast mejora la redundancia. Si un servidor falla o es inaccesible, las solicitudes pueden ser automáticamente ruteadas a otro servidor disponible, incrementando la disponibilidad del servicio.
Mitigación de ataques. Anycast puede ayudar a mitigar ataques de Denegación de Servicio Distribuido (DDoS) distribuyendo el tráfico malicioso entre varios servidores, en lugar de sobrecargar un único punto. Esto hace más difícil para los atacantes saturar la capacidad de la red o del servidor. Cuando las copias anycast están disponibles, el ataque se diluye naturalmente entre todas las copias y es absorbido por la copia más cercana a las direcciones que se están falsificando, salvaguardando así a las demás.
De esta forma LACNIC contribuye en el acceso más resiliente de uno de los recursos críticos de Internet, como es el DNS. Se logra redundancia y se disminuye la criticidad, permitiendo una mejor respuesta ante posibles ataques de DDoS o en eventuales fallos en la infraestructura crítica de Internet.