Arquivo

Posts Tagged ‘TCP/IP’

A ISOC, o IETF e a infraestrutura da Internet

By connecting the world,
collaborating with others,
and advocating for equal access to the Internet,
the Internet Society strives to make the world a better place.
At the foundation of our work are a vision and a mission.

The Internet is for everyone.

 

Introdução

 

Até agora, neste blogue tenho escrito sobre assuntos pontuais da Infraestrutura da Internet, em particular com o foco em Sistemas Autônomos e no principal protocolo envolvido, o BGP. Com a proximidade do IETF 86, em Orlando (Flórida) rever o processo de funcionamento da Infraestrutura da Internet, em detalhes e no seu aspecto global parece oportuno.

Ideogama yang-ying, do Taoismo

Este trabalho tem como sua principal motivação, o esforço de Paul Hoffman1, com uma versão em espanhol aqui. As regras desta referência estão descritas na RFC67222 seguindo aquelas do IETF, em relação às suas publicações. A primeira publicação de O Tao do IETF foi a RFC46773, em 2006.

Tao (pronuncia-se dao), no Taoismo4 (pronuncia-se daoismo), se refere a algo que é tanto a fonte quanto a força motriz por trás de tudo que existe. Seu ideogama é o yang-ying, representado pela conhecida figura à direita.

O Tao do IETF dá ênfase aos três eventos anuais no aspecto referente à organização, orientando o recém chegado sobre o comportamento esperado na ocasião. Das trinta e oito páginas, oito são dedicadas à organização da Infraestrutura da Internet e o restante, indiretamente exibe a forma como são construídos os padrões utilizados na Internet.

 

A sopa de termos

 

Aqui ou em qualquer lugar na Internet, em livros e documentos aparecerão acrônimos e abreviações que algumas vezes trará uma certa dificuldade de leitura. A tabela abaixo, adaptada de Hoffman1 e do Glossário do IETF, ajudará a torná-los mais conhecidos. Uma tradução livre, do significado em português foi adicionada, para facilitar a compreensão, e poderá sofrer mudanças à medida que as contribuições forem recebidas.

Também, na tabela, as referências para informações adicionais de cada item. Tais referências, básicas, não se esgotam na tabela, pelo contrário. A quantidade de informações é imensa!

Sigla Inglês Português
AD Area Director Diretor de Área. Cada área (dividida em WGs) possui uma AD com um ou mais membros. O AD é responsável pela orientação / gerenciamento dos respectivos WGs. Os membros de cada AD podem ser vistos aqui
BCP Best Current Practice Melhores práticas correntes
BOF Birds of a Feather

Grupo de debate informal. Geralmente precede a formação de um WG. Um BOF pode ser convocado para debates sobre uma questão que, eventualmente, não será transformada em um WG.

FAQ Frequently Asked Question(s) Perguntas mais frequentes
FYI For Your Information Para sua informação
IAB6,9,10 Internet Architecture Board Conselho de arquitetura da Internet. Na criação de WGs, o IAB recomenda ou “aconselha”, a respeito.
IAD IETF Administrative Director Diretor administrativo do IETF
IANA Internet Assigned Numbers Authority Autoridade para atribuição de números da Internet
IAOC IETF Administrative Oversight Committee Comitê administrativo de supervisão do IETF.
IASA12 IETF Administrative Support Activity Atividade administrativa de suporte ao IETF
ICANN Internet Corporation for Assigned Names and Numbers Corporação da Internet para atribuição de nomes e números
I-D Internet Draft

Esboço da Internet. São os documentos de trabalho do IETF, de suas áreas, e de seus grupos. Durante o desenvolvimento de uma especificação, versões preliminares do documento estarão disponíveis no diretório de I-Ds do IETF, para revisão informal e comentários. Isso faz com que um documento de trabalho esteja disponível a um público amplo facilitando o processo de avaliação, revisão e, consequentemente, de evolução. No diretórios estão os I-Ds atuais e passados.

IEPG24 Internet Engineering and Planning Group

Grupo de Engenharia e Planejamento da Internet. É um encontro informal que se reúne no domingo, antes das reuniões da IETF em que são abordados temas de relevância operacional, além de avaliar outros temas, que despertam interesse, no momento.

IESG6,9,10 Internet Engineering Steering Group

Grupo de direção de engenharia da Internet. O IESG é responsável pelo gerenciamento técnico das atividades do IETF e do processo de desenvolvimento de padrões. Como parte da ISOC o IESG administra os processos de acordo com as regras e procedimentos ratificados pelos membros da administração superior da ISOC. O IESG é diretamente responsável pelas ações associadas ao acompanhamento do movimento dos padrões, incluindo a aprovação final das especificações.

IETF Internet Engineering Task Force Força de tarefas de engenharia da Internet
IPR Intellectual Property Rights Direitos de propriedade intelectual
IRSG Internet Research Steering Group Grupo de orientação de pesquisa da Internet
IRTF23 Internet Research Task Force

Força tarefa de pesquisa da Internet. A missão da IRTF é promover investigação de importância para a evolução da Internet do futuro, criando focos, grupos de pesquisa de longo e curto prazos, que trabalham em temas relacionados aos protocolos de Internet, aplicações, arquitetura e tecnologia.

ISOC7 Internet Society

Internet Society. É uma associação sem fins lucrativos, criada em 1992, com atuação internacional, que tem por objetivo promover liderança no desenvolvimento dos padrões Internet, bem como fomentar iniciativas educacionais e políticas públicas ligadas à rede mundial entre computadores. O escritório brasileiro da ISOC possui diversas informações adicionais, entre as quais, os estatutos e formas de associação.

NomCom5,6,8 Nominating Committee

Comitê de nomeação. Seu objetivo é analisar cada posição (cargo) em aberto no IESG, IAB e IAOC e nomear respectivos candidatos. Ele é composto de pelo menos um coordenador (“chair”), nomeado pelo Presidente da ISOC, 10 voluntários votantes, 2 a 3 membros de contatos (“liaisons”), e um assessor. O presidente do NomCom é apontado entre as primeira e segunda reuniões do ano, e um novo NomCom começa oficialmente o seu trabalho. Associar-se à ISOC é o primeiro passo para participar, efetivamente, do IETF, muito embora não seja mandatório.

RFC Request for Comments RFC
STD Standard (RFC) Padrões (RFC)
W3C World Wide Web Consortium Consórcio do WWW.
WG Working Group

Grupo de trabalho. É onde tudo começa no IETF. WGs são o mecanismos primários para o desenvolvimento de especificações do IETF e diretrizes, muitas das quais se destinam a ser os padrões ou recomendações. WGs são tipicamente criados para resolver um problema específico ou para a produção de um ou mais resultados específicos (uma diretriz, especificação de normas, etc.).Um WG possui uma existência temporária e é mantido o histórico dos WGs concluídos aqui. Em 05/01/2013 haviam 126 WGs ativos: veja aqui.

WGLC Working Group Last Call

Grupo de Trabalho Última Chamada. É uma última chamada dentro de um WG (realizada na lista), antes de um documento ser enviado ao IESG para consideração.

 

Interação entre as atividades

 

Este texto tem como objetivo a descrição do processo de formação dos padrões da Internet. Isto significa que o principal foco está no funcionamento do IETF. O IETF está relacionado com um conjunto de outras organizações e/ou atividades, as quais, incluindo o IETF possuem forte ligação funcional com a ISOC. A Figura 1 exibe as relações entre as que mais interessam para este texto, onde a ISOC é a peça fundamental, em todo o conjunto.

 

ISOC-ICANN-W3C

Figura 1. A relação da ISOC e as atividades que influenciam no comportamento da Internet.

 

A relação mostradas na Figura 1 é complexa. Muitas vezes a comunidade age, simplificando, com o objetivo de facilitar o entendimento, como por exemplo, referir-se ao IETF como sendo a representação do próprio IETF, em conjunto com IAB, IESG, IRSG, IRTF e RFC Editor. A principal referência que esclarece, detalhadamente, os mecanismos e caminhos da padronização é a RFC202619. ICANN e W3C são independentes, e possuem protocolos assinados com a ISOC para compor seus interesses, inclusive de autonomia e independência. A W3C é abrigada pelo MIT enquanto que a IANA foi entregue à administração da ICANN pelo governo dos EEUU, que não interfere diretamente. Alexis Simoneli20, descreve cada um dos componentes da Figura 1, com razoável detalhe e complementa este texto, neste quesito.

A ISOC representa uma blindagem completa sobre a capacidade de auto-gestão, do IETF. O modelo foi arquitetado de forma inteligente e serena pelo grupo de pessoas que participaram da criação inicial dos componentes técnicos envolvendo redes de computadores e os protocolos TCP/IP, muito bem abordado no texto escrito por nove deles, “Brief history of the Internet”14, onde mostram a linha de tempo, reproduzida na Figura 2.

 

Figura 2. Linha do tempo da formação da estrutura mostrada na Figura 1. Reproduzida de [14].

 

A Figura 2, mostra a formação do primeiro grupo de trabalho em 1968 (ARPANET WG) e a evolução até a fundação da ISOC, com o estrito objetivo de garantir a independência da Internet, culminando com a criação do W3C.

 

O funcionamento do IETF

 

O IETF foi criado em 1986 e é constituído de pessoas, não por empresas. O trabalho no IETF é dividido em áreas (atualmente 8) e cada área, em grupos de trabalho (WGs) ativos (atualmente, 126). Alguns grupos de trabalho foram concluídos e continuam disponíveis para acesso. Existem listas que não são WGs. Eis alguns pontos que ilustram como o IETF se comporta:

  1. É constituído de participantes e não de membros.
  2. Os padrões que saem do trabalho executado pelo IETF, não são padrões impostos sobre uma área técnica ou sobre instituições públicas ou privadas. São padrões porque as pessoas ou organizações, simplesmente, os usam. Por outro lado, instituições oficiais / formais, criadas para definir padrões no mundo acabam recomendando ou “oficializando” os resultados do IETF.
  3. Existe um coordenador, nomeado pela comunidade, que é também membro do IAB e o AD da área geral (General Area).
  4. Cada área possui dois ADs, exceto a General Area. São responsáveis pela coordenação, e aprovam a criação de BOFs e WGs, além revisar os documentos do WG antes de serem enviados ao IESG.
  5. A administração do IETF é de responsabilidade da IASA que, não possui autoridade sobre os procedimentos que desenvolvem padrões.
  6. O trabalho do IETF é feito nos WGs ou durante os encontros, por iniciativa dos participantes e segue um esquema de baixo para cima, muitas vezes iniciando-se em um BOF (mas, não necessariamente).
  7. O BOF, geralmente precede um WG e é criado a partir do interesse de um grupo de participantes (ou mesmo de um só participante), por um determinado assunto.

  8. Para se criar um BOF é necessário convencer um AD. Feito isto o BOF é agendado e, usualmente ocorre uma única reunião. No final, o BOF pode resultar ou não, na criação de um WG.
  9. O WG é formado por participantes. Nada é votado em um WG. A aprovação é por consenso (ou um código funcionando), e não há necessidade de unanimidade, pois o coordenador é quem decide se há consenso (apesar de ser um fato reconhecido pelos participantes). Se houver disputas, então prevalece o debate entre os participantes, na lista do grupo ou nos encontros do IETF. A última palavra, entretanto é da comunidade (isto é, de todo o IETF e não somente do WG).
  10. A língua oficial do IETF é o inglês. A “linguagem” das listas é o ASCII ou em formatos reconhecidos e aceitáveis.
  11. Proposta técnica de um WG é publicada como um I-D, e enviada ao IESG após a avaliação do AD do WG. Uma vez revisada pelo IESG poderá ser retornada ao WG, para se tornar uma RFC.
  12. Todo documento do IETF é público. I-D é o documento de trabalho do IETF e, também, documento do WG. O I-D permanece arquivado no IETF por 6 meses (pode haver exceções por parte do IESG), de onde é automaticamente excluído do ambiente original. Um I-D, após avaliado, favoravelmente, em várias instâncias da comunidade dá origem a uma RFC.
  13. Existem vários tipos de RFCs e nem toda RFC é um padrão. RFCs são caracterizadas pelo RFC Editor.
  14. O IETF é uma meritocracia. Algumas vozes (técnicas, não políticas) são mais importantes do que outras. Grandes esforços podem ser barrados por razão de uma opinião técnica relevante.

 

ietfxWG

Figura 3. BOFs e WGs. Fonte: Elaborado pelo autor, com base nas informações em [10] e [17].

 

A formação de um WG depende de um bom projeto e de massa crítica (um grupo de pessoas interessadas). Para convencer um AD ou vários é necessário um projeto bastante claro sobre a ideia envolvida. A forma adequada de fazer isto é escrever um I-D, estruturado objetivamente. Em alguns casos, o I-D é acompanhado por um código que funcione. O texto, mais o código já são suficientes para garantir sucesso, na aprovação do WG. Se, entretanto conseguir interessados, o processo pode ser bem mais rápido, intensificado pela estrutura da ideia no I-D. O caminho para o WG pode ser longo, mas o BOF é um dos ambientes mais propícios a avançar. Às vezes a criação formal do BOF é antecedida por apresentações locais e / ou BOFs informais (o BOF formal, em um encontro do IETF, geralmente é de uma única sessão).

Um exemplo interessante e que pode ser acompanhado é a proposta que está sendo elaborada por Danton Nunes21. Danton, está preocupado em recomendar algumas alternativas para melhorar o protocolo SPF: “…um mecanismo para endereço IP pode ou não enviar email de um dado domínio”. Após perfeiçoado sua ideia, Danton colocou-a na lista do GTER e recebeu inúmeras sugestões que lhe permitiu refiná-la. Sua próxima etapa foi desenvolver um código para testar a recomendação. Feito isto, apresentou o projeto na segunda reunião anual do GTER de maneira bastante consistente. O próximo passo, certamente será um BOF em encontro do IETF, pois ele já possui o I-D (ainda não formatado nos padrões desejáveis pelo IETF). A criação do WG será bem rápida, imagina-se. Mais rápido ainda, se ele fizer um debate informal com alguns participantes do IETF que foram importantes no desenvolvimento do protocolo original, pois sob a ótica da meritocracia do IETF, a opinião deles será relevante!

No exemplo do parágrafo anterior, a formatação do I-D será fundamental. O IETF divulga um conjunto de ferramentas, desenvolvidas por seus participantes, para facilitar o trabalho do autor, nesta etapa, e que podem ser vistas em IETF Tools.

Um exemplo final, que ilustra a informalidade das ideias dentro do IETF, na expectativa de que os participantes trabalhem sobre elas está em um I-D disponibilizado por Ammar J. Salih, relacionado com a adição de localização por GPS no cabeçalho do IPv6 e que pode ser visto aqui: Adding GPS location to IPv6 header. Ammar divulgou seu projeto no Linkedin, no grupo do IETF. Apesar de bastante claro, o I-D está, ainda, escrito informalmente, o que é admissível. Como se pode ver, o I-D permanecerá no sítio do IETF, por 6 meses, caso não siga em frente, da forma exibida na Figura 3.

Como se pode verificar, o BOF é um componente importantíssimo no processo. Ele ajuda a consolidar a ideia, nos arredores do problema. A RFC543422 é o documento que recomenda o que se deve fazer para que o BOF seja um sucesso. No LACNIC XVIII vi propostas de algumas sessões de BOF, o que indica o fato de que o BOF pode ser considerado informal (isto é, fora dos encontros do IETF). Voltemos ao exemplo do Danton Nunes. A sua palestra foi, de certa forma, um BOF, do qual “compulsoriamente” pessoas de diversas correntes de pensamento participaram. Alguns, portanto, sem interesse no assunto. A ausência da noção de existência ou não de massa crítica no Brasil, não foi respondida naquele momento. O GTER poderia pensar na possibilidade de permitir os “GTER-GTS-BOFs”, sem prejuízo da apresentação normal. A recomendação partiria do interessado ou da coordentação do GTER / GTS. Isto poderia estimular a participação da comunidade brasileira no IETF. Se o assunto for considerado relevante, pela comunidade presente, o Nic.br poderia apoiar a participação do(s) “dono(s)” da ideia, no IETF. A proposta do Danton, não foi a única apresentada no GTER, e provavelmente, no GTS.


Nota 1: S. Moonesamy, da República do Maurício, ISOC Fellow e, bastante ativo no IETF, lembrou que já existe um WG para o SPF. Moonesamy, também, recomendou algumas correções importantes no texto, a quem o autor agradece.


 

Como participar do IETF

 

Existem, basicamente, duas maneiras de participar no IETF: encontros e WGs. A Figura 4, abaixo apresenta um resumo geral e os pré-requisitos (quando for o caso). Complementarmente, a Figura 4 exibe os locais nos quais ocorrerão os três eventos principais durante os anos de 2013 e 2014.

 

Participacoes

Figura 4. Como participar do IETF e os eventos programados (2013 / 2014). Fonte: Adaptado de vários textos do IETF.

 

Os encontros (“meetings”), do IETF são as oportunidades em que os participantes dos WGs encontram-se para consolidar as idéias e se conhecerem. A participação pode ser remota. As várias formas de participação remota estão descritas na documentação de cada encontro, como por exemplo, em “Agendas and Meeting Materials” do IETF 86 que, aos poucos vai se delineando. Um panorama dos recursos que são colocados para a participação remota pode ser visto, quando da realização do IETF 85.

A participação presencial, além da forma tradicional (inscrever, pagar, viajar e participar), a ISOC oferece bolsas (“Fellowships”) para que diversos tipos de pessoas tenham oportunidade de participar, até em duas oportunidades. Estas bolsas incluem a estada no hotel do encontro, despesas de passagem e uma ajuda de custos. Todas as informações estão disponíveis em “Education and Leadership Programmes“. Há alguns pré-requisitos para concorrer a uma bolsa que estão descritos em “Selection Criteria for Fellowships to the IETF“. Um dos mais importantes é ser associado da ISOC, onde existe uma forma de se associar, sem necessidade de contribuição.

A participação efetiva e duradoura é através dos WGs. Como já foi dito, o IETF divide suas atividades operacionais em 8 áreas às quais são associados respectivos WGs. A Figura 4 exibe as oito áreas, com uma pequena descrição dos interesses relacionados. Detalhes, entretanto, dos interesses de cada área e respectivos grupos podem ser encontrados em “Active IETF Working Groups“.

Às vezes, a interpretação do domínio de uma das oito áreas do IETF pode parecer confusa, principalmente, durante as sessões de um encontro. Existe um conjunto de tutoriais que ajudam no entendimento de tópicos específicos. Alvaro Retana e Fernando Gont, em [18] comentam sobre as áreas e fatos interessantes dos respectivos grupos, incluindo estatísticas.

 

Conclusões

 

Este é um texto introdutório sobre o IETF, seu funcionamento, sua relação com a ISOC e demais organizações associadas, além de mostrar como são construídos os documentos que dão origem às RFCs. As regras do IETF são bem definidas e oferecem uma flexibilidade suficiente para que os participantes se sintam à vontade livres para desenvolver o trabalho, que não é pequeno. Há anos funciona muito bem e as idéias são consolidadas em um ambiente de “múltiplas partes interessadas”. Um verdadeiro caos organizado! O IETF tira o máximo do conhecimento de milhares de pessoas, que agem soberana, e prazeirosamente, em benefício dos usuários da Internet.

O assunto não se esgota já que é bastante complexo. Os três encontros anuais do IETF constituem o exercício culminante dos esforços que são feitos pela comunidade que deles participam, antes e durante. O próximo será o IETF 86, em Orlando, Flórida. A sua organização já está em franco andamento e pode ser vista aqui, em constante e rápida atualização.

Este texto, além de ser uma introdução incompleta do funcionamento do IETF, contêm referências que, também, não são completas. A quantidade de material disponível, seja em RFCs, no sítio do IETF ou em outras fontes, são inesgotáveis. Em The IETF Process: an Informal Guide, editado por Brian Carpenter tem-se uma excelente referência complementar, como ele mesmo diz diz: “…is an informal guide to various IETF process documents, intended mainly to assist IETF participants in navigating the labyrinth. …”, que vale a pena acompanhar.

Já é possível antever que – antes, durante e depois do IETF 86 -, a experiência será maravilhosa! Sob o ponto de vista técnico, uma oportunidade dos Deuses que, minimamente deve ser divulgada, e recomendado, para quem ainda não o fez, que se associe à ISOC: aqui e / ou aqui.

Em resumo, vale esclarecer que a exposição acima é a visão de um “First Time Fellow” preparando-se para o que será uma experiência inesquecível.

 

Artigos relacionados

 

 

Referências

 

  1. Paul Hoffman (Editor). The Tao of IETF: A Novice’s Guide to the Internet Engineering Task Force. IETF 2012. Acessado em 08/11/2012.
  2. RFC6722, Publishing the “Tao of the IETF” as a Web Page P. Hoffman [ August 2012 ] (TXT = 6192) (Obsoletes RFC4677) (Status: INFORMATIONAL) (Stream: IETF, WG: NON WORKING GROUP). Acessado em 08/11/2012.
  3. RFC4677, The Tao of IETF – A Novice’s Guide to the Internet Engineering Task Force P. Hoffman, S. Harris [ September 2006 ] (TXT = 127383) (Obsoletes RFC3160) (Obsoleted-By RFC6722) (Status: INFORMATIONAL) (Stream: IETF, WG: NON WORKING GROUP). Acessado em 08/11/2012.
  4. Wikipédia. Taoismo. Acessado em 08/11/2012.
  5. RFC3797. Publicly Verifiable Nominations Committee (NomCom) Random Selection D. Eastlake 3rd [ June 2004 ] (TXT = 39883) (Obsoletes RFC2777) (Status: INFORMATIONAL) (Stream: IETF, WG: NON WORKING GROUP). Acessado em 08/11/2012.
  6. RFC3777. IAB and IESG Selection, Confirmation, and Recall Process: Operation of the Nominating and Recall Committees J. Galvin [ June 2004 ] (TXT = 76395) (Obsoletes RFC2727) (Updated-By RFC5078, RFC5633, RFC5680) (Also BCP0010) (Status: BEST CURRENT PRACTICE) (Stream: IETF, Area: gen, WG: nomcom). Acessado em 08/11/2012.
  7. ISOC Escritório Brasileiro. http://www.isoc.org.br/. Acessado em 08/11/2012.
  8. Messages from the IAB/IESG Nominating Committee. https://datatracker.ietf.org/ann/nomcom/. Acessado em 08/11/2012.
  9. List of IAB/IESG Nominating Committee Members (by year). https://www.ietf.org/nomcom/committee.html/. Acessado em 08/11/2012.
  10. Scott Bradner. IETF Structure and Internet Standards Process. 85th IETF Atlanta, Georgia, USA, 2012. Disponível em: http://www.ietf.org/proceedings/85/slides/slides-85-edu-newcomers-0.pdf. Acessado em 02/01/2013.
  11. RFC4071 (BCP101). Structure of the IETF Administrative Support Activity (IASA) R. Austein, B. Wijnen [ April 2005 ] (TXT = 48614) (Updated-By RFC4371) (Also BCP0101) (Status: BEST CURRENT PRACTICE) (Stream: IETF, WG: NON WORKING GROUP). Acessado em 08/11/2012.
  12. RFC2026. The Internet Standards Process — Revision 3 S. Bradner [ October 1996 ] (TXT = 86731) (Obsoletes RFC1602, RFC1871) (Updated-By RFC3667, RFC3668, RFC3932, RFC3979, RFC3978, RFC5378, RFC5657, RFC5742, RFC6410) (Also BCP0009) (Status: BEST CURRENT PRACTICE) (Stream: IETF, Area: gen, WG: poised95). Acessado em 10/11/2012.
  13. Vint Cerf. IETF and the Internet Society: A bit of history. 18 July, 1995. Disponível em http://www.internetsociety.org/internet/what-internet/history-internet/ietf-and-internet-society. Acessado em 10/11/2012.
  14. Barry M. Leiner, Vinton G. Cerf, David D. Clark, Robert E. Kahn, Leonard Kleinrock, Daniel C. Lynch, Jon Postel, Larry G. Roberts, Stephen Wolff. Brief History of the Internet. Disponível em http://www.internetsociety.org/internet/what-internet/history-internet/brief-history-internet. Acessado em 10/11/2012.
  15. IETF. A Brief History of the Internet & Related Networks. Disponível em http://www.internetsociety.org/internet/what-internet/history-internet/brief-history-internet-related-networks. Acessado em 10/11/2012.
  16. Bruce Sterling. February 1993. Short History of the Internet. Disponível em http://www.internetsociety.org/internet/what-internet/history-internet/short-history-internet. Acessado em 10/11/2012.
  17. Thomas Narten. IETF 81, Quebec City, Quebec. July 24, 2011. Bringing New Work to the IETF. Disponível em http://www.ietf.org/edu/documents/81IETF-New-Work.pdf. Acessado em 02/01/2012.
  18. Alvaro Retana, Fernando Gont. Areas y Grupos de Trabajo en IETF. Lacnic XVIII, 2012. Disponível em https://www.dropbox.com/sh/4358z9df8dykn8l/GHZSPMjoSj/Acosta_28102012_IETF.pdf. Acessado em 03/01/2013.
  19. RFC2026. The Internet Standards Process — Revision 3 S. Bradner [ October 1996 ] (TXT = 86731) (Obsoletes RFC1602, RFC1871) (Updated-By RFC3667, RFC3668, RFC3932, RFC3979, RFC3978, RFC5378, RFC5657, RFC5742, RFC6410) (Also BCP0009) (Status: BEST CURRENT PRACTICE) (Stream: IETF, Area: gen, WG: poised95). Acessado em 03/01/2013.
  20. Alexis Simoneli. A Concise Guide to the Major Internet Bodies. January 2005. Disponível em http://ubiquity.acm.org/article.cfm?id=1071915. Acessado em 02/01/2012.
  21. Danton Nunes. Proposta de um novo protocolo anti−spam
    complementar ao SPF. 34ª Reunião do GETER, 07/12/2012, São Paulo, SP. Disponível em ftp://ftp.registro.br/pub/gter/gter34/03-SPFrev.pdf. Acessado em 06/01/2013.
  22. RFC5434. Considerations for Having a Successful Birds-of-a-Feather (BOF) Session T. Narten [ February 2009 ] (TXT = 33887) (Status: INFORMATIONAL) (Stream: IETF, WG: NON WORKING GROUP). Acessado em 07/01/2013.
  23. RFC2014. IRTF Research Group Guidelines and Procedures A. Weinrib, J. Postel [ October 1996 ] (TXT = 27507) (Also BCP0008) (Status: BEST CURRENT PRACTICE) (Stream: Legacy). Acessado em 13/01/2013.
  24. RFC1690. Introducing the Internet Engineering and Planning Group (IEPG) G. Huston [ August 1994 ] (TXT = 3013) (Status: INFORMATIONAL) (Stream: Legacy) . Acessado em 10/02/2013.
Anúncios
Categorias:IAB, IANA IPv4, IESG, IETF, ISOC, TCP/IP, W3C Tags:, ,

Curso IRR – Parte I: Introdução

Vou reproduzir o treinamento virtual que dei recentemente para cerca de 46 inscritos. Um pouco mais aperfeiçoado. Haverá no mínimo uma postagem por semana.

Os tópicos a serem abordados serão:

  • As bases de dados.
  • Pesquisas às bases com o objetivo de avaliar as tabelas de rotas e eventuais consistências das tabelas.
  • A utilização da base para ajustar de forma adequada os filtros dos roteadores.
  • Ferramentas de apoio.

Cada postagem, com o título começando por “Curso IRR”, refere-se a uma mensagem do treinamento virtual. São poucas mensagens, complementadas pela documentação, disponível e/ou a ser inserida na Base de Conhecimento da Pegasus, em .

Muito importante serão os exercícios. Para isso, o PEGASUS IRR estará disponível para os interessados, por um período de 30 dias, sem ônus. Se alguém estiver em alguma base que não a do PEGASUS IRR pode, assim mesmo usar nosso registro e, portanto, executar os exercícios. Estar registrado em mais de uma base IRR, não é recomendável mas, não há problemas que isso aconteça por pouco tempo. Os interessados podem solicitar o uso temporário a j at braga dot net dot br, indicando o ASN.

Sintam-se à vontade para, através dos comentários participar de cada segmento. Assim, todos se beneficiarão. Nenhuma dúvida deve ser evitada e é menor ou maior do que a outra. Portanto, não se acanhem, por favor.

O whois será a nossa principal ferramenta de pesquisas. Os hosts podem ser tanto o irr.redepegasus.net.br como outro qualquer (p. ex.: whois.radb.net). Eis alguns exemplos de pesquisas:

. whois -h irr.redepegasus.com.br juliao
. whois -h irr.redepegasus.com.br fltr-unallocated
. whois -h irr.redepegasus.com.br AS28182
. whois -h irr.redepegasus.com.br fltr-bogons
. whois -h irr.redepegasus.com.br MAINT-BOGON-FILTERS
. whois -h irr.redepegasus.com.br MAINT-AS28182
. whois -h whois.radb.net MAINT-AS28182

Exercícios para esse segmento

Podem enviar os exercícios para j at braga dot net dot br que serão avaliados em Comentários de cada segmento. Daremos uma declaração de participação no treinamento com base nos exercícios resolvidos, nos enviado.

  1. Quais os hosts possíveis de serem pesquisados via whois e estejam espelhadas pela base do RADB?
  2. Executar as pesquisas acima e pensar sobre os resultados. Fazer as pesquisas em mais de um host.
  3. Dê uma demorada olhada no sítio do RADB.

 

Textos relacionados:

 

Categorias:IRR, Sem categoria Tags:,

Bloqueando ou censurando domínios (Bind e Unbound)

Últimas atualizações:
02/06/2009 – 10:33

Introdução

Dia 18/05/2009, a Abranet, recebeu uma notificação judicial para bloquear uma série de domínios relacionados com pornografia infantil. Esse artigo dá uma dica sumária de como fazer isso, usando servidores de nomes. O uso dos servidores de nomes elimina a preocupação de estabelecer os bloqueios (ou censuras) em equipamentos de borda (roteadores, firewall, entre outros), como inicialmente pensei em fazer, quando perguntaram-me como. Cheguei a passar uma mensagem na lista da Abranet solicitando idéias aos participantes. Os equipamentos de borda não são muito hábeis para tratar domínios, como sabemos. Boa parte da relação de dominios apresentados à Abranet, estavam hospedados no Google. Mas, acabei eu mesmo respondendo meu próprio e-mail indicando a referência [1], que aponta uma solução simples e imediata.

Coincidentemente, um dos colaboradores da Pegasus me ligou, antes da mensagem da Abranet, abordando questão semelhante, em um cenário ampliado. Sua preocupação estava voltada para a demanda de seus clientes em censurar sítios da Internet, com o objetivo principal de manter funcionários e familiares, longe das armadilhas preparadas, geralmente em mensagens (“malware”, por exemplo) e, principalmene, longe de sítios indesejáveis. O cliente mal avisado sobrecarrega a rede interna de uma empresa ou provedor, quando algum programa de má-fé se instala em seu equipamento vulnerável. Também, gera constrangimentos para a empresa ou o provedor, que estão sempre sendo solicitados por terceiros (os CERTs, principalmente), a tomarem providências em relação a máquinas comprometidas de seus usuários.

Ponderações sobre o projeto

Conversa vai e conversa vem, com outros técnicos e amigos levaram-me a conduzir um experimento tendo como base a solução simples proposta em [1], um pouco mais ampliada. Experiencia bem sucedida e, as convesas, conduziram-me às seguintes abordagens e questões, que não se esgotam, por si:

  1. O usuário dos servidores de nomes da rede deve ser informado porque o domínio não estava acessível.
  2. Manter o DNSSEC intocável.
  3. Somente os recursivos devem ser alterados. Os autoritativos continuam exercendo o papel a eles destinado, de somente exibirem as zonas da rede. Os dominios censurados são respondidos com autoridade somente para as respectivas redes internas.
  4. Fácil utilização e, imediata disponibilidade, relativos ao bloqueio ou censura.
  5. Os domínios devem ser classificados e sub-classificados (2 níveis): malware, pornografia, pornografia infantil, etc.
  6. Manter histórico das atividades, por domínio, rede, segmento de rede e cliente.
  7. Aplicável hierarquicamente, no sentido de que dominios são bloqueados ou censurados pela administração da rede, pelo administrador de cada segmento de rede e por seus respectivos clientes. E o processo deve permitir a reversibilidade.
  8. Deve o cliente ser impedido de usar servidores recursivos externos (por exemplo, o openDNS)?
  9. A idéia deve ser exposta no sentido de permitir que servidores extenos à rede a implementassem?
  10. Se a resposta à questão anterior for sim, um outro nível hierárquico deve ser implementado?

A resposta ao item 9 é não e responde portanto o item 10. O item 8 foi deixado para cada rede decidir e, a solução está associada aos equipamentos de borda. Para a implementação escolheu-se a linguagem Python. A justificativa pela Python se deu pelo fato da TeleSA ter nos oferecido, como hospedeiro, a base de conhecimento do Sistema FaleOK e do VoIP Completo, implementada sob o Zope 3. Por outro lado há um conjunto de ferramentas na Python para trabalhar com DNS (unbound, principalmente) e DNSSEC .

O projeto envolvendo o pessoal de engenharia de software está em desenvolvimento. Será divulgado, para que possa ser implementado por redes de terceiros (item 9), exigência da TeleSA, que tem fornecido sitemático apoio à Infraestrutura da Internet de seus parceiros e disponibilizou sua equipe de desenvolvimento, para o desenho da proposta.

Considerações sobre a implementação

Além dos servidores recursivos, o Apache (2.2), também está envolvido. Em etapas, a implementação, supondo que o dominio a ser bloqueado é o exemplo.com.br. Suponha, ainda, a topologia de servidores de DNS conforme descrita aqui e o dominio para redirecionamento é o pegasus.sec3.br, já com DNSSEC. Embora os exemplos abaixo estejam aplicados a um único domínio a ser censurado, eles podem ser extendidos para mais de um domínio. Automatizadas ou não, as etapas estão descritas para serem feitas manualmente.

Etapa 1 (Bind): Criar a zona de redirecionamento para os dominios censurados, no master.

Estamos, nesse caso, seguindo a proposta em [1] com pequenas modificações. Para isto, criamos uma zona denominada censurado, simplesmente assim:


$TTL 1w
@ IN SOA sn01.pegasus.sec3.br. suporte.pegasus.sec3.br. (
     2008070308 ; Versao
     3600       ; refresh (1 hora)
     1800       ; retry (30 minutos)
     604800     ; expire (7 dias)
     1800 )     ; default TTL (30 minutos)

     IN NS sn01.pegasus.sec3.br.
     IN NS sn02.pegasus.sec3.br.
     IN NS sn03.pegasus.sec3.br.
     IN NS sn04.pegasus.sec3.br.
     IN NS sn05.pegasus.sec3.br.
     IN NS sn06.pegasus.sec3.br.
     IN A 192.168.1.1
www IN CNAME censurado.

Etapa 2 (Bind): Criar a referência à zonas do domínio de redirecionamento e para o exemplo.com.br, no master.

Para facilitar o manuseio futuro, manual ou não, adicionamos no named.conf:


. . .
include “/algum_caminho_de_diretorio/includes/censurado.inc”;
. . .

Como estamos falando do master, geralmente escondido, não há necessidade de usar “view”. Em seguida, construimos o censurado.inc, com as referêncas às zonas censurado, exemplo.com.br e, todas os domínios que desejamos censurar, assim:


zone “censurado” {
  type master;
  file “diretorio_da_zona/censurado.zone”;
};
zone “exemplo.com.br” {
  type master;
  file “diretorio_da_zona/censurado.zone”;
};

Qualquer domínio a ser censurado será referenciado como o exemplo.com.br, isto é, sempre apontando para a zona censurado.zone.

Etapa 3 (Bind): Criar a referência à zonas do domínio de redirecionamento e para o exemplo.com.br, nos secundários.

Considere que a resposta ao domínio exemplo.com.br é somente para IPs da rede. Assim, sua implementação nos Binds secundários, deverá ser feita sob um “view” recursivo, exclusivo para tais IPs, no named.conf. A seguir construa as referências no include censurado.inc, para os respectivos primáros.


zone “censurado” {
  type slave;
  file “diretorio_da_zona/censurado.zone”;
  masters {
    IP_do_primario;
  };
};
zone “exemplo.com.br” {
  type slave;
  file “zonas/censurado.zone”;
  masters {
    IP_do_primario;
  };
};

Etapa 4 (Unbound): Garantir que os recursivos façam o redirecionameto do domínio.

No Unbound, a solução é mais simples. Basta acrescentar as linhas seguintes, ao unbound.conf, onde as duas últimas devem ser repetidas para cada domínio censurado:

local-zone: “censurado” redirect
local-data: “censurardo A IP_do_servidor_Apache”

local-zone: “exemplo.com.br” redirect
local-data: “exemplo.com.br A IP_do_servidor_Apache”

O Unbound irá redirecionar tanto o exemplo.com.br como o http://www.exemplo.com.br para o Servidor Apache.

Etapa 5 (Apache): Preparando servidor Apache para o receber o redirecionamento.

A configuração, também é bastante simples, dependendo da implementação do Apache. No meu caso, o Apache possui VirtualHost e um domínio principal. Então, dentro do VirtualHost do domínio principal, coloquei:

Redirect permanent / http://www.pegasus.sec3.br/

Finalmente, no arquivo httpd.conf, ou equivalente, inseri a seguinte indicação para o domínio censurado:


ServerAdmin email_do_administrador
DocumentRoot “/data/wwwroot/www.pegasus.sec3.br”
ServerName http://www.pegasus.sec3.br
ServerAlias http://www.censurado http://www.pegasus.sec3.br
ServerAlias censurado http://www.pegasus.sec3.br
AddType application/x-httpd-php .php
ErrorLog …
CustomLog …

Comentários adicionais sobre a implementação

  • Consider-se a configuração do bind supondo-o um servidor recursivo ou, recursivo e autoritativo. Nesse caso, o recursivo é um view acessível somente à rede interna.
  • Os comentários da Introdução e o item que a seguem mostram que há muitas outras aplicações além das restrições impostas pela Justiça. Criatividade, inovaçao e sugestões podem melhorar as propostas.
  • Para quem usa servidores de DNS com IPs não públicos, certos cuidados não são necessários, tornando mais simples, ainda, a implementação.
  • Há diversas formas de redirecioamento no Apache. Um bom começo pode ser visto em [2] e nos manuais do Apache, em particular sobre o mod_rewrite, em [3].

Referências

[1] Simpson, J. M., Blocking domain names with bind.
[2]
yolinux.com, Apache Web Server Configuration for Web Site Redirection.
[3] Apache 2.2, Módulo mod_rewrite.

Soluções simples para melhorar a Internet

Algumas coisas básicas, me incomodam como administrador de sistemas associados à Internet. E nada posso fazer, pois depende de atitudes de terceiros. A maior parte delas, depende dos RIRs ou do nosso NIR. Abaixo, algumas sugestões que, na medida do possível e por sugestões de colaboradores, serão incrementadas. Nenhuma delas agride o espírito da Internet.

  1. O reverso deve ser obrigatório. Quem não tiver o reverso deve ser punido.
  2. O Registro.br deve permitir a renúncia de blocos IPs, pelos ID Técnicos. Essa facilidade é pré-requisito para a proposta do item anterior. Atualmente, os responsáveis técnicos por blocos de IPs de terceiros, não conseguem se livrar deles, a partir do momento que não são mais responsáveis.
  3. O DNSSEC deve ser obrigatório para todos as DPNs. Quem não fizer isso, deverá ser punido. Quem não atualizar as chaves na época do vencimento, também será punido. O Registro.br deveria indicar nos avisos em que houver quebra de respostas no DNSSEC, QUAIS os servidores de DNS envolvidos, assim como ele fazia quando não havia respostas de servidores de DNS. Esse problema não é grave para quem possui, somente dois servidores de DNS, mas é complicado para quem possui o máximo permitido (5). Se a identificação do servidor específico de DNS não for possível, por alguma razão, então que informe aos administradores que eles devem cuidar dessa questão, monitorando cada um deles. O estado do domínio com DNSSEC implementado, também poderia aparecer por lá, o que nos ajudaria bastante.
  4. ASN deve ser liberado, livremente. Para quem provar que tem uma rede. As restrições somente para a liberação de blocos IPv4. Blocos IPv6 deveriam ser liberados para os ASs, mesmo sem IPv4. Isso anteciparia as implementações de IPv6. Muitos ASs com IPv6 estimulariam os fornecedores a implementar tal funcionalidade, já que o mercado estaria disponível. Por outro lado, o LACNIC deveria rever os preços relativos ao IPv6, que pretende cobrar no futuro.
  5. Instalação de uma base do IRR espelhada na RADB. De graça e com suporte a IPv6! E o Nic.br (ou LACNIC) pode criar, à semelhança do RIPE NCC, orientações de uso, inclusive das ferramentas disponíveis (IRRTools, p. ex.).
  6. Propostas para o tratamento das punições. Sempre haverá avisos, antecedendo a punição. As punições, após os avisos, não devem ser brandas. Os critérios de punição deveriam considerar a reincidência. Quem possui um ID Técnico, pressupõe-se que seja um administrador, conhecedor dos fundamentos da Internet. Os avisos e punições, podem se estender aos outros IDs.

Internet Routing Register (IRR)

Introdução

Alguns de meus amigos que trabalham com infraestrutura da Internet e administradores de redes, em particular, usam com uma certa frequência, o CIDR-Report. Pessoalmente, mantenho-o, permanentemente, no meu desktop. O CIDR-Report gerou um equívoco para estes amigos e para mim, também. O problema é que quando se pesquisava o CIDR-Report para qualquer ASN que tenha sido destinado pelo Nic.br (após a transferência das funções pelo LACNIC), aparecia a mensagem no cabeçalho “–No AS Description–“. Todos diziam que faltava o registro do AS no RADB, a principal base de dados do Internet Routing Register (IRR). E eu, repetia isso para outros. Então, passei a procurar uma maneira de registrar os ASs que administro no RADB. O primeiro impasse, nesta tentativa, foi o fato do registro no RADB custar US$495.00/ano. Uma pergunta do !3runo, na GTER, sobre o ALTDB, deu a pista para o registro do AS no RADB, em bases que eram espelhadas. Minhas tentativas de registro no ALTDB foram de pura frustação. Mas, mesmo percebendo que muitos já tinham registrado no ALTDB acabei usando os serviços do pessoal da Infraestrutura.IP. Em menos de um dia, os ASs estavam na RADB. Sem a anualidade! Recentemente (agosto/2009) a Pegasus implementou a primeira base de dados IRR no Brasil: http://irr.redepegasus.net.br.

Logo fui no CIDR-Report e percebi que, o No AS description, continuava lá. Esperei alguns dias e nada. Logo percebi que não era a inexistência no RADB que gerava a mensagem. Então fiz o que deveria ter feito desde o início: entender o IRR. A conclusão foi de que é uma peça muito importante para a consistência de rotas publicadas pelos ASs, em particular, para detetar o MOAS (acrônimo de Multiple Origin Autonomous Systems), automaticamente. Os conflitos de MOAS acontecem pelo simples problema de que um AS pode “injetar” qualquer prefixo, por configuração correta, incorreta ou maliciosamente*. A história do No AS description deixarei para o final.

O que é o IRR e para que serve?

Existem inúmeras definições na literatura que pesquisei. Uma delas diz que IRR é um conjunto de bases de dados que permitem ao BGP, documentar suas rotas e políticas de roteamento, com o objetivo de dar consistência às configurações de um roteador. Dizia ainda que o BGP fazia isto “conversando” em uma linguagem chamada RPSL. É a linguagem comum dos whois, jwhois, etc. E a mesma que motivou a construção de uma autômata de pilha em artigo que pode ser visto aqui.

Nada de errado com a definição acima. Mas não era muito precisa. Cheguei então, à página oficial do IRR, em [5]. Há várias informações importantes, incluindo as bases de dados ligadas ao RADB. A relação das bases de dados é quase uma piada, mostrando que alguma coisa não estava sendo levada a sério. A última vez que estive por lá foi no mes de março/2009.

Mais á frente, percebi que muitos RIRs possuem ofertas de bases de IRR, espelhadas no RADB, para os usuários de sua região, mas não vi nada em relação ao LACNIC, exceto propostas, inclusive do Nic.br. Aqui, uma notícia do LACNIC a respeito. O APINIC [6] tem o APIRR e é capitaneado pelo Japão, também com um serviço IRR para seus usuários, como pode ser visto em [3].

Europa (RIPE) e Japão (membro do RIPE), levaram a sério o IRR. E, principalmente no Japão, estão os trabalhos mais consistentes sobre IRR. Em um dos trabalhos que li, [7], uma definição completa sobre o que é, e para que serve o IRR reproduzo, no original: “The Internet Routing Registry (IRR) … is a large distributed repository of information, containing the routing policies of many of the networks that compose the Internet. The IRR was born about ten years ago with the main purpose to promote stability, consistency, and security of the global Internet routing. It consists of several registries that are maintained on a voluntary basis. The routing policies are expressed in the Routing Policy Specification Language (RPSL) … The IRR can be used by operators to look up peering agreements, to study optimal policies, and to (possibly automatically) configure routers.”

Logo a seguir, o trabalho ressalta: “There is a wide discussion about the current role of the IRR … Some people consider it outdated and almost useless. Others have put in evidence its importance to understand the Internet routing and that it contains unique and significant information. Anyway, it is undeniable that the IRR keeps on being fed by many operators, that useful tools have been developed to deal with the IRR (see, e.g., IRRToolSet [3]), …”.

Queria chegar, na citação acima, no IRRToolSet. Acabei implementando a IRRToolSet em FreeBSD e tem realmente algumas ferramentas interessantes. Por exemplo a peval, com a qual descobri que um punhado de gente boa publica blocos /24. Aos montões! Outra que seria interessante, é a prtraceroute, que inclui o ASN e a política de roteamento, em cada etapa do traceroute. Sobre a instalação do IRRToolSet, veja aqui. Há uma lista pouco movimentada, mas interessante, que pode ser assinada aqui.

A história do –No AS Description–, no CIDR-Report

Eu não percebi, de imediato, que a mensagem, tecnicamente incômoda, do CIDR-Report somente ocorria para os ASs distribuídos pelo Nic.br, a partir da mudança do LACNIC, em meados de 2007. Escrevi ao LACNIC a respeito do problema e a resposta que obtive não foi muito clara e resolvi escrever para o Geoff Huston, responsável pelo CIDR-Report. Ele me respondeu de pronto, dizendo que o problema estava relacionado com o jwhois, que o LACNIC não estava autorizando a consulta em suas bases de whois. Três ou quatro mensagens se seguiram para o LACNIC, sendo que na penúltima, finalmente, percebi que o problema eram somente os atuais ASs liberados pelo Nic.br. Por fim, o LACNIC em uma das respostas informou que o problema do proxy seria resolvido nos primeiros 4 meses de 2010, já que o CIDR-Report não era tão importante assim, para os administradores de sistemas.

Mais recentemente, ando desconfiado que outros além do CIDR-Report estão com o mesmo problema. Por exemplo, o Google Analytics. A grande maioria dos acessos de rede (93%), são registrados como comite gestor da internet no brasil.

Últimas notícias sobre IRRToolSet

Há cerca de dois ou três dias atrás (a partir de hoje, 15/05/2009) tem havido um debate interessante sobre as ferramentas do IRRToolSet. Em particular, val a pena ver aqui, a descrição que Nick Hilliard, faz sobre cada uma delas. Para frente e para trás, na sequência dessa mensagem o debate é interessante.

* Usar a base do IRR para detetar conflitos de MOAS, não é a única técnica disponível. Há uma corrente recomendando o bgp.in.addr.arpa.. Esse grupo, provavelmente está preocupado com a falta de confiabilidade das informações armazenadas na RADB. Como elas são atualizadas pelos próprios responsáveis pelos ASs, observa-se um certo descuido. Entretanto, nota-se que o pessoal que faz peering ou pretende fazer, está cuidando de forma correta das suas informações lá armazenadas.

Referências


[1] Siganos G., Faloutsos, M., Analazing BGP policies: methodology and tool, INFOCOM 2004. Twenty-third AnnualJoint Conference of the IEEE Computer and Communications Societies, Vol. 3 (2004), pp. 1640-1651 vol.3.
[2] Alaettinoglu C. et alii, Routing Policy Specification Language (RPSL), The Internet Society, RFC2622, 1999.
[3] JPNIC IRR (JPIRR) Operation Policies and User Guideline, Japan Network Information Center, IRR-Planning Team, July 2003.
[4] Nagahashi, K., Esaki, H. & Murai, J., An integrity check for the conflit Origin AS Prefixes in the inter-domain routing, IEICE Trans. Commun., Vol. E86-B, no. 2, February 2003.
[5] Internet Routing Register
[6] APIRR resource guide
[7] Battista, G. di, Refice, T., Rimondini, M., How to Extract BGP Peering Information from the Internet Routing Registry

Últimas atualizações:
29/04/2009 09:00

DNS: Um exemplo de topologia

DNS, ninguém tem dúvida representa para a Internet, o mesmo que o ar para o ser humano. Embora esse fato seja reconhecido, as preocupações com os servidores de DNS são relegadas a um último plano. Eis alguns exemplos do que se vê por ai, inclusive em provedores de médio e grande porte:

  1. Usam dois servidores de DNS (o mínimo exigido), em uma mesma máquina.
  2. Usam dois servidores de DNS, na mesma rede.
  3. Não se preocupam com o TTL das zonas.
  4. Ignoram a importância do reverso, achando que o reverso reproduz uma transparência indesejável, o que é uma falácia.
  5. Não estão preocupados com o DNSSEC. Qualquer dia desses, o Registro.br irá dar um prazo para implementar o DNSSEC (espera-se).

Seria bom pensar a respeito dos itens acima. O Itinera, desde seu inicio segue a seguinte topologia em seus servidores de DNS:

Antes da primeira versão do Itinera, a topologia acima existia e mantida manualmente. Nas primeiras versões do Itinera, não se usava o conceito de base de dados. Agora, com o Itinera ad futurum as bases de dados são usadas para cada grupo de servidores. A topologia acima, com ou sem base de dados pode, sem muito trabalho, existir com manutenção manual, trazendo grandes vantagens, em particular sob o ponto de vista da segurança. Mesmo que se venha a usar o DNSSEC, o qual exigirá um esforço de manutenção mais sistemática nos servidores (há ferramentas disponíveis para tratar o DNSSEC manualmente.

Eis algumas características importantes, que permitem implementações de variações do modelo acima:

  • É usado o BIND nos autoritativos e Unbound nos recursivos. Para ambos, há uma preocupação, firme, em manter atualizado com a última versão.
  • Todos servidores autoritativos estão rodando em FreeBSD. Nem todos os recursivos estão sob FreeBSD.
  • Os servidores primários (P) são em número de dois, para permitir redundância. São atualizados via rsync.
  • Os servidores primários são escondidos, aos quais, somente os servidores do tipo master (M) possuem acesso. Além das restrições naturais do BIND, são impostas regras de “firewall” locais e nos “gateways”. Isso torna o conjunto seguro? Provavelmente, não. Mas torna-o menos vulnerável.
  • Todos os servidores estão em redes distintas e remotamente localizados, exceto os recursivos (R), distribuídos a critério dos donos das redes que usam o Itinera.
  • Os servidores M, embora redundantes, não estão disponíveis. Somente um cuida dos servidores autoritativos (A).
  • Não há base de dados local ativa, em nenhum servidor (PE, M, A ou R). Há replicação da base de dados, mantendo uma simples cópia atualizada diante de qualquer alteração.
  • Todo o tráfego na direção das bases de dados e suas cópias, usa openSSL.
  • A cada duas horas, se houve alteração em algum dos servidores um backup é automaticamente acionado, sobre o servidor que sofreu a alteração, exceto nos A e R.
  • Todos os servidores são monitorados, para efeito de verificação em suas atividades.
  • Não há estatísticas de tráfego e/ou utilização geral do servidor. Está na pauta para incluir. Periodicamente, é feito manualmente, usando as ferramentas do BIND e outras disponíveis.
  • Embora testado, não foi implementado o procedimento automático de gerenciamento do DNSSEC. Entretanto, toda a estrutura dos PEs foram alteradas para facilitar a implementação do DNSSEC. Em outro artigo, falarei sobre o DNSSEC, especificamente.
  • Todos os servidores estão com NTP. Três deles integrados aos servidores do Nic.br. O restante são clientes destes três e servem como clientes para máquinas das redes locais.
%d blogueiros gostam disto: