es

La importancia del servidor de raíz "L" en el mundo DNS

11 de septiembre de 2015

Terry Manderson, Sr. Director, Security and Network Engineering

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

David Soltero (left) and Terry Manderson (right)

Actualmente, muchas personas se centran en el importante trabajo relacionado con la transición de la custodia de las funciones de la IANA, algo que está totalmente justificado. No obstante, vamos a desviarnos del camino por un momento para hacer un breve viaje al emocionante mundo de la tecnología de Internet. Así pues, ¿por qué no prepara café, se sienta cómodamente en su sofá y reflexiona conmigo sobre algunas de las infraestructuras subyacentes que siguen haciendo que Internet funcione? ¿Está preparado? ¡Estupendo!

Entender el servidor de raíz "L"

Oímos infinidad de informaciones sobre lo que llega a la zona raíz. Los procesos, las dudas, los éxitos... Y, sin embargo, en ocasiones no prestamos atención al hecho de que la zona raíz está servida por un conjunto de servidores. Obviamente, estoy siendo bastante superficial al decir "un conjunto de servidores". Es más, el número de ubicaciones que sirven a la zona raíz es bastante asombroso. Si visita la página www.root-servers.org, descubrirá que, aunque hay 13 servidores raíz, existen en realidad más de 480 ubicaciones de servidores raíz. Las 12 organizaciones que operan los 13 servidores raíz están muy comprometidas con lo que hacen, y la ICANN, como una de esas 12 entidades, se toma muy en serio sus obligaciones a la hora de operar el servidor de "raíz L".

Espero que, de vez en cuando, dedicara cierto tiempo a descubrir información sobre esta red increíble. Es posible que haya visto alguna que otra presentación sobre el trabajo de expansión del servidor de raíz "L", que haya leído una entrada de blog anterior al respecto o que haya oído sobre redes cercanas a su ciudad que alojan una instancia del servidor de raíz "L". Puede que hasta su empresa aloje uno. Y, si no es así, quizás su empresa está interesada en formar parte de la comunidad y alojar un servidor de raíz "L" en su red. En ese caso, la solución está solo a un clic.

Mantener el funcionamiento del servidor de raíz "L": estabilidad y flexibilidad

La ICANN ha estado varios años realizando la expansión del servidor de raíz "L", y lo hace sabiendo que, al agregar más instancias de la infraestructura del servidor de raíz "L" en todo el mundo, se mejora la estabilidad y la flexibilidad de Internet, algo que reporta beneficios a todas las personas. Teniendo esto en cuenta, hemos llevado nuestro trabajo a otras dos dimensiones de la estabilidad y flexibilidad global de Internet: el incremento de la solidez del servidor de raíz "L" y la mitigación de los ataques de denegación de servicio distribuido (DDoS) y de día cero potencialmente dirigidos al servidor de "raíz L".

Con esto en mente, permítame que le plantee una hipótesis: ¿qué ocurriría si el servidor de raíz "L" fuera objeto de un ataque de denegación de servicio masivo? Imaginemos que el tráfico es 50 veces superior al monto global actual de tráfico de DNS del servidor raíz. Por supuesto, no nos gustaría dejar de servir al DNS del servidor de raíz "L", ni querríamos ver ese impacto en el tráfico de ninguno de los otros 12 servidores raíz.

Ahora, pensemos en una situación todavía peor. Imaginemos que, durante este ataque de denegación de servicio, un "hacker" inteligente descubre una falla en el software de DNS o, incluso, una vulnerabilidad en el sistema operativo.

Esta posibilidad nos supone una gran preocupación. Por ello, estamos tomando medidas de manera activa para asegurarnos de que nunca suceda algo igual y para que, en caso de que así ocurra, estemos preparados.

Con este objetivo, el enfoque que estamos siguiendo para que el servidor de raíz "L" sea lo más flexible posible tiene varios aspectos. Hace unos días, la ICANN implementó un clúster del servidor de raíz "L" en Praga (alojado amablemente por CZ.NIC, http://www.nic.cz). Este clúster incluye dos funciones clave que están diseñadas para protegerlo frente al peor escenario posible descrito anteriormente:

  1. El clúster puede procesar un exceso de carga 700 veces superior a lo que podemos observar en toda la red del servidor de raíz "L". Para que se haga una idea de lo que supone esa capacidad, puede visitar la página hedgehog.dns.icann.org, donde se muestra públicamente el volumen de tráfico de DNS que observamos.
  2. Este clúster está creado usando dos códigos base de DNS diferentes de alto desempeño. "Knot" de CZ.NIC (http://www.nic.cz) y "NSD" de NLNetLabs (http://www.nlnetlabs.nl). Los servidores dentro del clúster están diseñados con dos sistemas operativos completamente diferentes. Este enfoque heterogéneo significa que estaremos preparados para cualquier problema en el futuro con un proveedor.

Nuestro plan es implementar al menos dos más de estas instalaciones de alto desempeño, y Asia será la próxima región en la que se llevará a cabo la implementación.

Nos gustaría ampliar nuestro profundo agradecimiento a los amigos de CZ.NIC por diferentes motivos. En primer lugar, por colaborar con nosotros en 2009 en nuestro primer ejemplo de servidor de raíz "L" alojado externamente y por dar prioridad a las necesidades de la comunidad de Internet. El tiempo y el esfuerzo dedicados al alojamiento de nuestra infraestructura dicen mucho de su compromiso con el DNS global. En segundo lugar, CZ.NIC se ha esforzado para producir otro código base del servidor DNS de gran calidad que nos permite llevar los ideales de heterogeneidad al servidor de raíz "L". Muchas gracias a Ondrej Filip y a su fabuloso equipo.

David Soltero (left) and Terry Manderson (right)

Actualmente, muchas personas se centran en el importante trabajo relacionado con la transición de la custodia de las funciones de la IANA, algo que está totalmente justificado. No obstante, vamos a desviarnos del camino por un momento para hacer un breve viaje al emocionante mundo de la tecnología de Internet. Así pues, ¿por qué no prepara café, se sienta cómodamente en su sofá y reflexiona conmigo sobre algunas de las infraestructuras subyacentes que siguen haciendo que Internet funcione? ¿Está preparado? ¡Estupendo!

Entender el servidor de raíz "L"

Oímos infinidad de informaciones sobre lo que llega a la zona raíz. Los procesos, las dudas, los éxitos... Y, sin embargo, en ocasiones no prestamos atención al hecho de que la zona raíz está servida por un conjunto de servidores. Obviamente, estoy siendo bastante superficial al decir "un conjunto de servidores". Es más, el número de ubicaciones que sirven a la zona raíz es bastante asombroso. Si visita la página www.root-servers.org, descubrirá que, aunque hay 13 servidores raíz, existen en realidad más de 480 ubicaciones de servidores raíz. Las 12 organizaciones que operan los 13 servidores raíz están muy comprometidas con lo que hacen, y la ICANN, como una de esas 12 entidades, se toma muy en serio sus obligaciones a la hora de operar el servidor de "raíz L".

Espero que, de vez en cuando, dedicara cierto tiempo a descubrir información sobre esta red increíble. Es posible que haya visto alguna que otra presentación sobre el trabajo de expansión del servidor de raíz "L", que haya leído una entrada de blog anterior al respecto o que haya oído sobre redes cercanas a su ciudad que alojan una instancia del servidor de raíz "L". Puede que hasta su empresa aloje uno. Y, si no es así, quizás su empresa está interesada en formar parte de la comunidad y alojar un servidor de raíz "L" en su red. En ese caso, la solución está solo a un clic.

Mantener el funcionamiento del servidor de raíz "L": estabilidad y flexibilidad

La ICANN ha estado varios años realizando la expansión del servidor de raíz "L", y lo hace sabiendo que, al agregar más instancias de la infraestructura del servidor de raíz "L" en todo el mundo, se mejora la estabilidad y la flexibilidad de Internet, algo que reporta beneficios a todas las personas. Teniendo esto en cuenta, hemos llevado nuestro trabajo a otras dos dimensiones de la estabilidad y flexibilidad global de Internet: el incremento de la solidez del servidor de raíz "L" y la mitigación de los ataques de denegación de servicio distribuido (DDoS) y de día cero potencialmente dirigidos al servidor de "raíz L".

Con esto en mente, permítame que le plantee una hipótesis: ¿qué ocurriría si el servidor de raíz "L" fuera objeto de un ataque de denegación de servicio masivo? Imaginemos que el tráfico es 50 veces superior al monto global actual de tráfico de DNS del servidor raíz. Por supuesto, no nos gustaría dejar de servir al DNS del servidor de raíz "L", ni querríamos ver ese impacto en el tráfico de ninguno de los otros 12 servidores raíz.

Ahora, pensemos en una situación todavía peor. Imaginemos que, durante este ataque de denegación de servicio, un "hacker" inteligente descubre una falla en el software de DNS o, incluso, una vulnerabilidad en el sistema operativo.

Esta posibilidad nos supone una gran preocupación. Por ello, estamos tomando medidas de manera activa para asegurarnos de que nunca suceda algo igual y para que, en caso de que así ocurra, estemos preparados.

Con este objetivo, el enfoque que estamos siguiendo para que el servidor de raíz "L" sea lo más flexible posible tiene varios aspectos. Hace unos días, la ICANN implementó un clúster del servidor de raíz "L" en Praga (alojado amablemente por CZ.NIC, http://www.nic.cz). Este clúster incluye dos funciones clave que están diseñadas para protegerlo frente al peor escenario posible descrito anteriormente:

  1. El clúster puede procesar un exceso de carga 700 veces superior a lo que podemos observar en toda la red del servidor de raíz "L". Para que se haga una idea de lo que supone esa capacidad, puede visitar la página hedgehog.dns.icann.org, donde se muestra públicamente el volumen de tráfico de DNS que observamos.
  2. Este clúster está creado usando dos códigos base de DNS diferentes de alto desempeño. "Knot" de CZ.NIC (http://www.nic.cz) y "NSD" de NLNetLabs (http://www.nlnetlabs.nl). Los servidores dentro del clúster están diseñados con dos sistemas operativos completamente diferentes. Este enfoque heterogéneo significa que estaremos preparados para cualquier problema en el futuro con un proveedor.

Nuestro plan es implementar al menos dos más de estas instalaciones de alto desempeño, y Asia será la próxima región en la que se llevará a cabo la implementación.

Nos gustaría ampliar nuestro profundo agradecimiento a los amigos de CZ.NIC por diferentes motivos. En primer lugar, por colaborar con nosotros en 2009 en nuestro primer ejemplo de servidor de raíz "L" alojado externamente y por dar prioridad a las necesidades de la comunidad de Internet. El tiempo y el esfuerzo dedicados al alojamiento de nuestra infraestructura dicen mucho de su compromiso con el DNS global. En segundo lugar, CZ.NIC se ha esforzado para producir otro código base del servidor DNS de gran calidad que nos permite llevar los ideales de heterogeneidad al servidor de raíz "L". Muchas gracias a Ondrej Filip y a su fabuloso equipo.

Sr. Director, Security and Network Engineering

Terry Manderson