Mejoras en servicios DNS de RedIRIS


 Con el objetivo de mejorar los servicios DNS ofrecidos por RedIRIS, en breve se realizarán cambios centrados fundamentalmente en cuestiones de seguridad.

Anycast

El servicio Secundario DNS consiste en ofrecer dos servidores (sun.rediris.es y chico.rediris.es) para que publiquen los dominios de las instituciones en forma de secundarios (también llamados esclavos). De esta forma, se disponen de dos servidores en una infraestructura distinta, aumentando la robustez de la publicación y su rendimiento.
 
Con el objetivo de mejorar la disponibilidad y la protección frente a ataques de denegación de servicio, a lo largo de este año vamos a sustituir nuestros servidores Sun y Chico por nubes Anycast DNS de proveedores comerciales. Esto significa, que en vez de un servidor físico en la infraestructura de RedIRIS, serán multitud de servidores geográficamente dispersos a lo largo del mundo los que responderán a los dominios. 
 
En general, los servicios Anycast funcionan utilizando una única IP que se comparte en diferentes nodos separados geográficamente. El routing en los ISP se encarga de que cada cliente acceda al servicio usando el nodo más cercano.
 
Los servicios Anycast tienen varias ventajas sobre los tradicionales:
 
  • Disponibilidad: el servicio se ofrece en múltiples nodos, si uno cae, se deja de anunciar y los clientes son redirigidos mediante routing de forma transparente al siguiente más cercano.
  • Rendimiento: un nodo más cercano mejora la latencia.
  • DDoS: durante los ataques de denegación de servicio, el atacante intenta crear un volumen de tráfico que no sea manejable por el objetivo de ese ataque. Si el ataque es dirigido contra un servicio Anycast, cada elemento que participa en el ataque envía su parte del tráfico al nodo más cercano, distribuyéndose el ataque por la nube Anycast en vez de concentrarse en un único punto. De esta forma, cada nodo de la nube es capaz de lidiar con la parte del ataque que le toca.

DNSSEC

El objetivo de DNSSEC es garantizar la autenticidad de los datos y su integridad, es decir, que son publicados por los servidores autorizados para ello (autenticidad) y que no han sido modificados desde que se publicaron (integridad).
 
Desde finales de 2018 hemos implementado algunas funcionalidades en torno a DNSSEC para los servicios:
 
  • Hosting DNS: ahora es posible firmar mediante DNSSEC los dominios gestionados y publicados mediante este servicio.  
  • Delegación DNS: ya es posible subir los registros DS para las resoluciones inversas que delegamos.
 
Además, en breve RedIRIS firmará todos sus dominios, de forma que se completará la cadena de validación de las delegaciones inversas y aumentará la fiabilidad de todos sus servicios, al garantizarse la autenticidad de la información DNS asociada a ellos.
 

Estado de servicio

En la herramienta IRISDNS (https://irisdns.rediris.es/) hemos desplegado una funcionalidad para comprobar el estado de las zonas y de su publicación en el servicio Secundario y Delegación, de forma que los usuarios del servicio puedan comprobar si las configuraciones son correctas y están funcionando como se espera.
 

Novedades y coordinación

Todas las novedades acerca de estas funcionalidades, así como información relevante de seguridad en el DNS, las iremos contando a través de nuestra lista de coordinación IRIS-DNS (http://www.rediris.es/list/info/iris-dns.html)
 
Recomendamos a todos los administradores DNS de las instituciones afiliadas, así como aquellas personas que quieran estar al tanto que se suscriban a ella.
 
Además, se puede consultar más información acerca de los servicios DNS aquí