Evitemos tercerizar nuestra infraestructura crítica 

04/05/2022

Evitemos tercerizar nuestra infraestructura crítica 

Por Santiago Aggio

Nuestra propuesta busca incentivar a pequeños y medianos ISP (Proveedores de Servicios de Internet) de la región para que implementen servidores DNS (Domain Name System) recursivos y autoritativos en su propia infraestructura y así evitar tener que operar el servicio mediante un tercero utilizando servidores recursivos públicos.

La tercerización del servicio nos lleva a tener un menor control y capacidad de monitoreo, así como también vemos limitada nuestra capacidad de resolución de problemas y de aplicar políticas propias de resolución.

El hecho de contar con servidores DNS recursivos y autoritativos propios permite reforzar nuestra infraestructura crítica y a su vez posibilita la medición de diferentes parámetros del servicio, entre estos la cantidad de consultas que se reciben, qué tipo de consultas, cuántas son en IPv6, etc; en definitiva, habilita al ISP a contar con todos los parámetros que hacen a la estadística del DNS.

Un aspecto primordial es que la infraestructura requerida para contar con servidores DNS propios no necesita de una gran inversión: se requieren dos servidores autoritativos (zonas directas registradas e inversas delegadas), dos servidores recursivos (accesibles para las direcciones IP propias de nuestros usuarios o clientes) y un servidor para firmar las zonas (DNSSEC).

Métricas y mediciones. La instalación de servidores recursivos y autoritativos propios permite tener información en tiempo real, aprovechando el canal de estadística y contadores disponibles en los paquetes Bind y Unbound para obtener más información. Además los programas Prometheus + Grafana proveen una vista de la métrica del servicio en tiempo real.

La información generada por estas herramientas complementa las mediciones y detecciones obtenidas a partir del análisis de paquetes, flujos IP y logs (gráfica de ejemplo).

Invitamos a los pequeños y medianos ISP a implementar sus propios servidores de DNS recursivos y autoritativos.

Subscribe
Notify of

0 Comments
Inline Feedbacks
View all comments