¿Qué tecnologías pueden mejorar la seguridad del DNS?
15/02/2023
Por Hugo Salgado, Ingeniero de Investigación y Desarrollo en NIC Chile y Guillermo Cicileo, Líder de I+D en infraestructura de Internet en LACNIC
En los últimos años hemos observado un creciente interés de la comunidad técnica de la región para introducir mejoras en las características de privacidad del Sistema de Nombres de Dominio, entre las que se destaca el cifrado de las consultas y las respuestas en la comunicación entre los clientes y sus resolvers.
Dentro de las tecnologías que han surgido para mejorar la privacidad del DNS -que no estaban disponibles en su arquitectura original- se encuentran DoT (DNS sobre TLS), DoH (DNS sobre HTTPS), DoQ (DNS sobre QUIC) y otros proyectos independientes como DNSCrypt y Oblivious DNS, cada una con sus respectivas ventajas y deficiencias.
En el caso particular de DoT, la comunidad técnica lo considera como la evolución más natural del DNS y se trata de una tecnología libre y ya estandarizada.
Desde LACNIC realizamos un estudio el pasado año para medir el uso de DoT en resolvers de América Latina y el Caribe, mediante el análisis de fuentes abiertas de datos conocidos y susceptibles de ser analizados. Medir la disponibilidad de la tecnología DoT en resolvers, permite visualizar el panorama de la región para que los clientes comiencen a usar privacidad en el DNS.
El objetivo de este trabajo, además de obtener mediciones preliminares, fue dejar la medición en curso durante 2023 y poder así verificar la evolución del uso de transporte cifrado en el DNS.
Puntualmente recurrimos a tres fuentes: una lista de 33 servicios de Resolvers Públicos, en los que analizamos la posibilidad de realizar consultas DoT desde clientes en la región; en segundo lugar recopilamos información de resolvers que permiten consultas DNS clásicas desde cualquier lugar de Internet, e intentamos una consulta DNS-sobre-TLS en las mismas direcciones IP del servidor DNS normal; y, por último, utilizamos la plataforma abierta de medición RIPE Atlas, que mediante sondas en distintos países de la región permite hacer consultas a resolvers en sus redes internas (en esta medición detectamos más de 300 sondas en forma activa que nos proporcionaron información).
Los primeros resultados de este estudio demuestran un inicio tímido del uso de DoT en América Latina y el Caribe, con una tasa de resolvers abiertos que ofrecen DoT 7,9% en IPv6, y 1,2% en IPv4.
Por otra parte, obtuvimos entre 3,5% y 13,3% de fallas en consultas desde sondas en la región LAC hacia resolvers conocidos que ofrecen DoT. Esto puede estar indicando que existen bloqueos en las redes que impedirían tener un servicio que alcance 100% de los clientes.
Concluimos que ya es posible detectar la disponibilidad del servicio DoT en nuestra región, pese a lo nuevo de la tecnología y las limitaciones en obtener fuentes de datos. Aunque por el momento existe una baja adopción, gracias a esta plataforma podremos ir midiendo su evolución en el futuro.
Los invitamos a leer el informe completo aquí.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.