Archive

Archive for the ‘DNSSec’ Category

O DNS solidário

17/11/2012 Leave a comment

 

Introdução

 

Muitos são os processos que tornam a Internet um ambiente mais confortável. Confortável no sentido de segurança e, principalmente, qualidade. O DNS é um deles. Sob o ponto de vista do bem estar geral, o DNS é um dos mais importantes componentes. Servidores de DNS são gerenciados por empresas e provedores de serviço de Internet (pequenos, médios e grandes). Não é somente o sistema autônomo o pré-requisito para a existência de servidores de DNS. O pré-requisito é que a organização tenha pelo menos um domínio registrado.

Este texto está interessado em abordar a questão da qualidade do DNS sob a ótica de sua disponibilidade (com foco na topologia), e propõe um mecanismo criativo para diminuir significativamente a sua indisponibilidade, melhorando a qualidade da Internet e aumentando um pouco mais sua segurança.

Se a organização é pequena, mesmo que tenha diversos domínios, a recomendação é não pensar duas vezes e usar os servidores de DNS do Registro.br. Há duas restrições, entretanto, que impediriam o uso daqueles servidores: se o domínio tiver mais de 15 registros (digamos, subdomínios) ou se for necessário a implementação de reversos de IPv4 e/ou IPv6 (que é o caso dos sistemas autônomos). A proposta criativa está orientada para aquelas organizações que não podem usar os DNSs do Registro.br, na totalidade de suas demandas.

 

Topologia de servidores de DNS

 

A recomendação técnica mínima é que se tenha pelo menos dois servidores autoritativos de DNS: um primário e outro secundário. E, também, que haja outros servidores de DNS do tipo recursivos, disponíveis para consultas de nomes e reversos de IPv6/IPv4. Na maioria das vezes, isto não acontece. Primeiro, não é usual a disponibilidade de recursivos. Isto não representa um problema técnico se são usados recursivos disponíveis na Internet, como os do Google. O ruim, na história dos recursivos é não usar nenhum e deixar que o autoritativo aceite consultas e se torne um autoritativo-recursivo. Usar um servidor autoritativo como recursivo é possível, deste que isto seja feito através de visões, como permite o Bind. Uma visão é autoritativa e outra é recursiva. Mas, neste texto, a demanda para recursivos é abstrata, embora não se deixe de pensar que os recursivos depende de autoritativos disponíveis, para funcionarem. A preocupação é o respeito às melhores práticas, de no mínimo dois autoritativos. O uso do servidores DNS solidários permite a aplicação das melhores práticas e representar uma topologia conforme a Figura 1.

 

Topologia para um DNS Solidário

Figura 1. Topologia de um DNS Solidário.

 

Governança do DNS Solidário

 

Recorrendo à Figura 1 destaca-se:

  • A visão do Registro.br está restrita aos dois servidores à esquerda (secundário e primário). O nome primário, neste caso é dado ao servidor que irá transferir a zona para todos os outros secundários. Na realidade, o único primário (ou “master”), na acepção técnica de servidores DNS é o escondido, sobre o qual as zonas são manipuladas.
  • O dois servidores registrados no Registro.br devem estar em redes física e logicamente distintas.
  • O primário escondido pode e deve estar localizado em uma rede remota distante. Por exemplo, em uma empresa de hospedagem, preferencialmente disponível em um PTT. As facilidades de conexão aos PTTs, via transporte, devem ser consideradas, agora ou no futuro.
  • O recursivo, que pode ser mais de um (dado à sua facilidade de implementação), deve estar nas proximidades das redes solidárias.
  • O DNSSEC é um pré-requisito fundamental!

A governança do DNS Solidário deve ser no estilo “várias partes interessadas”. Em outras palavras, a governança deve ser uma organização independente, onde a administração é dada a algum membro da rede de provedores solidários, por um período de tempo pequeno e com participação efetiva de todos os envolvidos para que a estrutura/topologia estejam bem cuidada, focada no interesse comum, respeitando algumas particularidades de membros específicos. Não há necessidade de uma organização formal e a imagem que melhor se adapta é a estrutura da Internet Society (ISOC), especificamente, o IETF.

Custos serão os fatores fundamentais da organização solidária. Eventuais responsáveis não devem receber por seu trabalho. Entretanto, admite-se que o pessoal técnico seja remunerado. Níveis de dedicação variam em função da complexidade da estrutura.

Organizações solidárias, principalmente em pequenos e médios provedores tendem ao aperfeiçoamento ao criativamente evoluírem para o ASN Solidário, Trânsito e Transporte Solidários, etc. Há exemplos práticos funcionando, embora sem uma organização efetiva, o que atrai alguns problemas, principalmente, no que diz respeito à qualidade de seus serviços de infraestrutura da Internet. Outros exemplos mostram a criação de organizações formais que aumentam consideravelmente os custos e a complexidade operacional tornando-se ineficientes. O modelo atual da Governança da Internet é um exemplo imperturbável!

Categories: DNS, DNSSec, PTT, TCP/IP Tags: