Evitemos tercerizar nuestra infraestructura crítica
04/05/2022
Nuestra propuesta busca incentivar a pequeños y medianos ISP (Proveedores de Servicios de Internet) de la región para que implementen servidores DNS (Domain Name System) recursivos y autoritativos en su propia infraestructura y así evitar tener que operar el servicio mediante un tercero utilizando servidores recursivos públicos.
La tercerización del servicio nos lleva a tener un menor control y capacidad de monitoreo, así como también vemos limitada nuestra capacidad de resolución de problemas y de aplicar políticas propias de resolución.
El hecho de contar con servidores DNS recursivos y autoritativos propios permite reforzar nuestra infraestructura crítica y a su vez posibilita la medición de diferentes parámetros del servicio, entre estos la cantidad de consultas que se reciben, qué tipo de consultas, cuántas son en IPv6, etc; en definitiva, habilita al ISP a contar con todos los parámetros que hacen a la estadística del DNS.
Un aspecto primordial es que la infraestructura requerida para contar con servidores DNS propios no necesita de una gran inversión: se requieren dos servidores autoritativos (zonas directas registradas e inversas delegadas), dos servidores recursivos (accesibles para las direcciones IP propias de nuestros usuarios o clientes) y un servidor para firmar las zonas (DNSSEC).
Métricas y mediciones. La instalación de servidores recursivos y autoritativos propios permite tener información en tiempo real, aprovechando el canal de estadística y contadores disponibles en los paquetes Bind y Unbound para obtener más información. Además los programas Prometheus + Grafana proveen una vista de la métrica del servicio en tiempo real.
La información generada por estas herramientas complementa las mediciones y detecciones obtenidas a partir del análisis de paquetes, flujos IP y logs (gráfica de ejemplo).
Invitamos a los pequeños y medianos ISP a implementar sus propios servidores de DNS recursivos y autoritativos.