Servicio secundario DNS


Muchas instituciones afiliadas a RedIRIS mantienen sus propios servidores de DNS, desde los cuales publican y gestionan sus dominios.

Es deseable que esas instituciones dispongan de servidores adicionales fuera de su infraestructura, para que sus dominios sean publicados con mayor robustez frente a problemas o picos de uso. RedIRIS ofrece a sus instituciones afiliadas la posibilidad de alojar y publicar sus zonas de DNS en otros servidores adicionales, que además, al apoyarse en infraestructura de tipo Anycast, resultan muy robustos frente a problemas de caídas de servicio y ataque de denegación de servicio DDoS.

En ese caso, el rol de RedIRIS será meramente de secundario DNS, correspondiendo a la institución la gestión y el contenido de la zona DNS.

Infraestructura Anycast

RedIRIS tiene contratados dos servicios de publicación Anycast DNS para sus servidores públicos de publicación de dominios:

En general, los servicios Anycast funcionan utilizando una única IP que se comparte en diferentes nodos separados geográficamente. El routing en los ISP se encarga de que cada cliente acceda al servicio usando el nodo más cercano.

Los servicios Anycast tienen varias ventajas sobre los servicios basados en una o varias máquinas balanceadas:

  • Disponibilidad: el servicio se ofrece en múltiples nodos, si uno cae, se deja de anunciar y los clientes son redirigidos mediante routing de forma transparente al siguiente más cercano.
  • Rendimiento: un nodo más cercano mejora la latencia.
  • DDoS: durante los ataques de denegación de servicio, el atacante intenta crear un volumen de tráfico que no sea manejable por el objetivo de ese ataque. Normalmente ese tráfico se genera desde multitud de equipos distribuidos geográficamente (usando botnets o alguna vulnerabilidad). Si el objetivo es una única máquina o varias en la misma ubicación, el volumen total del tráfico puede saturar lineas de acceso, elementos de seguridad, máquinas de servicio, etc. En cambio, si el ataque es dirigido contra un servicio Anycast, cada equipo que participa en el ataque envía su parte del tráfico al nodo más cercano, distribuyéndose por la nube Anycast en vez de concentrarse en un punto, y permitiendo que cada nodo de la nube sea capaz de lidiar con la parte del ataque que le toca.

Condiciones de uso del servicio

Las zonas incluidas en el servicio Secundario DNS deben de cumplir con los siguientes requisitos:

  • deben contener dominios relativos a servicios o infraestructuras académicas, de investigación o de la Administración Pública.
  • deben ser zonas que contengan mayoritariamente dominios de uso no privado. No se ofrece el servicio de secundario DNS de RedIRIS a zonas con dominios que resuelvan direccionamiento IP privado.
  • las instituciones que hagan uso del servicio deben de garantizar un uso responsable de éste, definiendo dominios de forma eficiente y tratando de minimizar la publicación de dominios sin uso o definidos incorrecta o inadecuadamente.
  • las zonas deben estar correctamente configuradas, tanto en los servidores primarios de la institución, como en el TLD al que pertenece el dominio.

RedIRIS se reserva el derecho a dar de baja de su servicio de secundario DNS a aquellas zonas que no cumplan las condiciones expuestas anteriormente.

Alta de zonas

Las altas de dominios se realizan a través de la herramienta IRISDNS o mediante petición dirigida al buzón iris-nic@rediris.es indicando el nombre del dominio y los servidores primarios de la zona.

Corresponde a la institución contactar con el TLD correspondiente (o el agente registrador a través del cual ha comprado el dominio) para modificar la delegación del dominio e incluir en ella a los servidores secundarios que pone a su disposición RedIRIS.

Soporte

  • cada institución debe facilitar contactos específicos para el servicio secundario DNS de RedIRIS, que pueden ser buzones de servicio. En caso de que no se faciliten esos contactos específicos, RedIRIS usará como contacto por defecto el PER (Persona de Enlace con RedIRIS) de la institución.
  • tanto las novedades del servicio como las incidencias del servicio serán notificadas a través de la lista IRIS-DNS
  • El buzón para la atención de incidencias, peticiones de altas/bajas, así como consultas del servicio, será iris-nic@rediris.es. El personal de RedIRIS atenderá este buzón en un modelo de 8x5.

Configuración del servicio

Para el correcto funcionamiento del servicio, es necesario que las instituciones tengan correctamente configurados los servidores DNS que harán de primarios de las zonas.

La configuración de cada zona incluida en el servicio secundario debe incluir las sentencias:

also-notify { 130.206.1.2; 130.206.1.3; 2001:720:418:caf1::2; 2001:720:418:caf1::3; };

allow-transfer { 130.206.1.2; 130.206.1.3; 2001:720:418:caf1::2; 2001:720:418:caf1::3; };

Esta es una configuración específica de BIND. Puede consultar configuración en otras tecnologías en la lista de coordinación del servicio IRIS-DNS .

Estado del servicio

Si las zonas no se configuran de la forma descrita anteriormente, pueden caducar y se dejaran de publicar en los servidores de RedIRIS. Pueden consultar el estado actual de sus zonas en la herramienta IRISDNS, así como un pequeño diagnóstico de las correcciones necesarias.

RedIRIS se reserva el derecho de dar de baja de su servicio de secundario DNS a las zonas que estén caducadas.