Red.es tiene encomendada la Autoridad de Asignación de los dominios de nivel superior geográfico “.es” (en adelante ccTLD, del inglés “country code Top Level Domain”), así como las extensiones de segundo nivel “.com.es”, “.nom.es”, “.edu.es”, “.gob.es” y “.org.es”.
El acrónimo DNS viene de “Domain Name System”, uno de los protocolos más usados en internet y en cualquier red IP en general. Una de sus funciones principales consiste en proporcionar direcciones IP correspondientes a nombres DNS (por ejemplo, cuando un usuario teclea en su navegador web: https://www.dominios.es, se produce una consulta DNS invisible para hallar la dirección IP correspondiente, y este proceso de resolución DNS es necesario porque la comunicación siempre se realiza con direcciones IP).
En esta página puedes informarte sobre:
1) INTRODUCCIÓN
¿Cómo es la arquitectura y el funcionamiento del protocolo DNS?
El DNS público es jerárquico y distribuido. Los servidores DNS de cada dominio tienen información detallada de su propio dominio e información de los servidores de nombres NS (Name Servers) autoritativos de los dominios “hijo”. A esta lista de NS asociados a los dominios “hijo” también se le denomina “delegaciones”. A continuación, una representación simplificada del árbol DNS de internet:
Los usuarios, en general, tienen configurados dos servidores DNS: uno primario y otro secundario. Este último solamente se va a utilizar en caso de que el primario no funcione o no sea alcanzable. A este tipo de servidores DNS se les denomina “resolvers”. Dan respuestas “no autoritativas” y guardan información en caché, durante el tiempo de vida marcado por el TTL (Time To Live) o acorde a políticas definidas. Si la respuesta para una consulta recibida del cliente no está en caché, realizan un proceso de iteración, consultando en primer lugar a los servidores root, después a los servidores de segundo nivel que han obtenido en la primera consulta, y así sucesivamente bajando por el árbol DNS hasta conseguir la respuesta buscada, proporcionada por un servidor DNS autoritativo del dominio consultado. Una vez obtenida la respuesta, la guardan en caché un tiempo determinado y le contestan al cliente.
Existen varias implementaciones de software para servidores DNS. Las más comunes en entornos de TLD son: BIND, KNOT o NSD.
¿Por qué es tan importante el DNS como servicio esencial?
Dado que prácticamente todos los accesos a aplicaciones informáticas se realizan a través de nombre DNS, el servicio DNS resulta crítico. Por ejemplo, a pesar de que un sitio web se encuentre plenamente operativo, en el caso de que la resolución DNS no funcione, el sitio web será inalcanzable por los usuarios.
El dominio “.” (root) es el más crítico de todos. Si fallaran todos los servidores autoritativos de dicho dominio, una vez que se agotara el tiempo de caché, ningún “resolver” podría obtener las delegaciones a NS de dominios de segundo nivel. Un fallo en todos los servidores DNS de un dominio de segundo nivel (por ejemplo, el “.es”) podría afectar a todos los dominios “hijos” del “.es”, y así sucesivamente (cuanto más arriba se esté en la jerarquía, el posible impacto será mayor).
La normativa europea NIS2 (Network and Information Security) cataloga el servicio DNS ofrecido por los TLD como un servicio esencial de internet, y establece una serie de requerimientos de obligado cumplimiento y otros de cumplimiento recomendado (Directive - 2022/2555 - EN - EUR-Lex (europa.eu)).
Conceptos técnicos asociados al protocolo DNS
Archivo PDF
76 KB
2) ANYCAST
¿Cómo es la arquitectura Anycast de Red.es?
Con el fin de dar robustez, seguridad y confiabilidad al entorno DNS del ccTLD “.es”, se despliegan 4 NS (Name Servers) que se corresponden a su vez con las delegaciones definidas en el dominio root según https://www.iana.org/domains/root/db/es, y que son los servidores autoritativos del dominio “.es”.
A su vez, cada uno de estos NS está compuesto por varios nodos que, de forma invisible a los clientes, dan servicio (desde internet sólo se observa una IPv4 y otra IPv6 para cada uno de los NS, pero realmente por detrás puede haber varios servidores atendiendo consultas DNS).
En el caso de “a.nic.es” existe un balanceador de tráfico que reparte las peticiones sobre dos servidores. Actualmente el NS “a.nic.es” está prestando servicio en modo Unicast. Red.es está trabajando para que en un futuro este NS dé servicio en formato Anycast, aumentando aún más si cabe la resiliencia y alta disponibilidad de la infraestructura DNS del Registro
Los otros tres NS son direcciones IP anycast publicadas a internet por tres proveedores de servicio DNS anycast distintos. Cada una de esas direcciones IP se publica desde diferentes zonas del mundo, teniendo varios nodos en cada una de las regiones. El total de nodos, sumando los tres proveedores, supera los 120, cubriendo todos los continentes.
Este tipo de arquitectura conlleva principalmente tres ventajas:
- Alto grado de resiliencia ante fallos de algunos nodos.
- Mejores tiempos de respuesta (el tráfico llega a los nodos más cercanos en términos de routing BGP).
- Protección ante ataques de denegación de servicio (DoS), ya que tener el servicio tan distribuido hace que sea muy difícil atacarlo en su totalidad.
Referente a las medidas de protección ante ataques DoS, cada uno de los proveedores externos posee sus mecanismos de protección, tales como divergencia de tráfico hacia Scrubbing Centers donde se pueda limpiar el tráfico, y configuraciones de “ratelimit” en los propios servidores DNS. En el caso de los nodos ubicados en Red.es, se tienen contratados mecanismos AntiDoS con los operadores de internet, se implementan “ratelimits” en los propios servidores DNS, y el SOC puede detectar anomalías de tráfico con la información recopilada en las sondas de red.
A continuación, un par de diagramas de dos de los proveedores anycast que nos pueden dar una idea de la cobertura global del servicio DNS:
https://www.pch.net/services/anycast
DENIC Anycast Nodes
El software usado en los servidores propios de Red.es es BIND. Los proveedores anycast disponen de nodos por lo menos en BIND y KNOT. Por lo tanto, se tiene diversificación de software para dar el servicio DNS.
3) DNSSEC
Beneficios
DNSSEC aporta:
- autenticación del origen de datos
- integridad de los datos
- prueba de no existencia de datos
Los dos primeros puntos se consiguen con los registros tipo RRSIG, que son firmas generadas con la clave ZSK (Zone Signing Key). El tercer punto se consigue con los registros tipo NSEC o NSEC3.
A su vez, existe otra clave denominada KSK (Key Signing Key) que firma a la clave ZSK. Para establecer la cadena de confianza, se genera un “hash” de la KSK, llamado DS (Delegation Signer) que se publica en el dominio “padre”. En este caso, es la zona root gestionada por IANA.
Proceso de firma
Se usa un sistema de rotación de claves (también llamado rollover):
- Clave ZSK. Se rota de forma más frecuente, debido a que los algoritmos de cifrado suelen ser menos fuertes, permitiendo mayor rendimiento en el firmado. El registro es autónomo en esta operación.
- Clave KSK. Se utilizan algoritmos de encriptación más fuertes y por lo tanto, el periodo de rotación puede ser más alto (2 años). Requiere la publicación del nuevo registro DS en IANA y posteriormente el borrado del antiguo.
El firmado DNSSEC se realiza con el software OpenDNSSEC, que a su vez está enlazado con un hardware criptográfico de alto rendimiento (HSM) donde se almacenan las claves y se generan las firmas RRSIG.
OpenDNSSEC se encarga de controlar el tiempo de vida de las firmas generadas para los distintos grupos de RR, y generar las nuevas firmas (RRSIG) antes de que expiren las antiguas. Un registro RRSIG tiene un tiempo de validez determinado. Por ejemplo, usando la herramienta “dig” podemos realizar una consulta de tipo NS para el dominio “.es” al DNS recursivo de Google (8.8.8.8). En la consulta le añadimos la opción “+dnssec” para que nos devuelva también el registro RRSIG. En este registro, además de la firma, se incluyen las fechas de validez y el identificador de clave con la cual se ha generado la firma:
¿Cómo se valida el DNSSEC?
En el caso de que un dominio esté firmado, los DNS Resolvers pueden validar las firmas gracias a la cadena de confianza. Los dominios “padre” poseen un registro DS del dominio “hijo” firmado con la clave DNSSEC del dominio “padre”. Así hasta llegar a los root, en quien todos confían (trust anchor). En la anterior ilustración se puede observar el flag “ad” (Authentic Data), que significa que el resolver ha validado correctamente la cadena de confianza.
Existen otras herramientas gráficas como “dnsviz” que pueden ayudar a comprobar el estado de salud y coherencia de diversos parámetros de un determinado dominio de una forma sencilla (por ejemplo: https://dnsviz.net/d/es/dnssec/ para validar el dominio “.es”).
4) CONFIGURACIÓN SERVICIO DNSSEC
Para saber más sobre DNSSEC consulta los siguientes documentos:
• DNSSEC FAQ
• Instrucción mediante la que se regula la implantación del Servicio de Protocolo de Seguridad DNSSEC en nombres de dominio “.es”
• Declaración de Políticas y Procedimientos para DNSSEC en la zona ES
Guía Informativa DNS
Archivo PDF
277 KB
5) IPV6
Las siglas IP corresponden a Internet Protocol, en español, Protocolo de Internet. Este protocolo lo componen una serie de mecanismos que emplean los dispositivos (ordenadores, teléfonos móviles, routers, etc.) para comunicarse dentro de la Red.
IPv6 corresponde a la versión 6 del Protocolo de Internet, y es el sucesor del IPv4. Se trata de un protocolo bastante mejorado y con ventajas sustanciales sobre IPv4.Para saber más sobre IPv6, consulta el manual de preguntas frecuentes y el resto de enlaces de interés:
Preguntas frecuentes IPv6
Archivo PDF
98 KB
Enlaces de interés:
IPv6: Enabling the Information Society [ENG]
Action Plan for the deployment of Internet Protocol version 6 (IPv6) in Europe [ENG]
Guía para el Despliegue de IPv6 (Red Iris)
Taking the Lead on IPv6 [ENG]
IPv6 Forum [ENG]
Looking glass (Red Iris) [ENG]
Internet Society [ENG]
Comprueba tu conectividad
6 Deploy [ENG]