Skip to main content

La ICANN realizó una importante donación de infraestructura al DNS-OARC en respaldo de un estudio sobre alto riesgo de colisión de cadenas de caracteres

El Centro de Investigación y Análisis de Operaciones del DNS (DNS-OARC) fue creado hace casi una década al reconocerse que la posición clave del DNS en la arquitectura de Internet hace que el DNS enfrente un riesgo significativo de ser tanto el objetivo como el medio de diversos tipos de uso indebido. Sin embargo, el DNS-OARC se inspiró en la visión de que la cooperación, junto con la recolección, la puesta en común y el análisis de datos entre operadores y  comunidades de investigadores podrían servir como protección contra dicho uso indebido, además de posibilitar un mayor entendimiento del DNS y las operaciones en Internet.

Desde la fundación del OARC en el 2004, estas cuestiones se han tornado más críticas,  y la organización pasó de ser un proyecto dentro del ISC a ser una organización independiente, neutral, y sin ánimo de lucro, con más de 70 miembros y personal con dedicación exclusiva. Su misión consiste en mejorar la seguridad, la estabilidad y el entendimiento de la infraestructura del DNS en Internet. 

Además de llevar a cabo talleres dos veces al año, administrar varias herramientas en pos del beneficio público y fomentar plataformas de cooperación interactiva entre miembros, el OARC opera una serie de iniciativas de recolección de datos a gran escala, en las cuales se recaban datos de la infraestructura de sus miembros. Una de estas iniciativas, que comenzó en el 2004 en cooperación con la Asociación Cooperativa para el Análisis de Datos en Internet (CAIDA), con fondos de la NSF, se denomina “Un día en la vida de Internet” (DITL). Mediante esta iniciativa, se recaban conjuntos de datos detallados de consultas del DNS a los operadores del DNS a nivel raíz y nivel superior durante un período de 48 horas al menos una vez al año. La idea es contar con un archivo de datos de referencia que se pueda comparar año tras año; también se han recabado datos durante puntos de cambio significativos en el DNS global, como la delegación del IPv6 y la firma de las DNSSEC  en la raíz. En la última década, el OARC ha compilado un conjunto de datos de más de 40TB  de consultas  DITL.

La disponibilidad de datos operativos sin procesar es un componente clave de las capacidades y de la contribución del OARC. Gran parte de los principios de ingeniería subyacentes y modos de falla del tráfico en Internet son poco entendidos, y es importante tener presente que no todas las amenazas a las operaciones seguras y confiables en Internet son maliciosas. Los estudios realizados por las entidades asociadas al OARC, como la CAIDA, demuestran que una cantidad significativa de tráfico no deseado en el DNS y de problemas operativos son causados por la configuración errónea de aplicaciones del DNS, o bien dependen del mismo. La única manera de mejorar esta situación es aplicar un método científico al estudio de estas cuestiones a gran escala.

La ICANN se comprometió a respaldar al OARC desde que pasó a ser miembro de dicha entidad en el 2008, y ha trabajado junto al OARC en carácter de entidad que opera la raíz L, proporcionando datos del DNS, apoyo a varios eventos conjuntos, e infraestructura de servicio; recientemente, ha proporcionado un integrante de la Junta Directiva.

Durante el 2012, el SSAC (Comité Asesor de Seguridad y Estabilidad) de la ICANN ha notado un nuevo obstáculo potencial en el camino hacia la implementación de los nuevos TLD por parte de la ICANN. Se identificó el riesgo de que algunos de los TLD propuestos ya estuvieran presentes en el tan difundido espacio de uso interno de las empresas; sumado a ello, se emitieron certificados de SSL pensados únicamente para este uso interno a estas organizaciones. Ello podría conllevar un riesgo de colisiones entre el uso interno y válido de estos TLD, y el uso potencialmente malicioso de dichos certificados en la Internet global.

Evidentemente, este es un problema que puede llegar a ser importante, suscitándose una tensión entre los intereses de los operadores de nuevos TLD que desean ver sus nuevos dominios implementados a la brevedad posible, y ciertos riesgos reales de actividad indebida, o  simplemente consecuencias no deseadas, lo cual, en ambos casos, podría tener un impacto global.

Al determinar las políticas de cómo proceder en estas situaciones, es importante contar con datos en los cuales basar estas políticas. En vista de los plazos de implementación acotados, recabar datos nuevos desde cero habría sido un trabajo significativo y que habría insumido mucho tiempo. Afortunadamente, se detectó con rapidez que el conjunto de datos DITL del OARC podría  contener la evidencia necesaria para ayudar a determinar si las preocupaciones del SSAC eran reales en la práctica y, de ser así, determinar el alcance de su gravedad. El registro de consultas a la raíz y a los servidores de TLD contiene no solo cadenas de caracteres de dominios de alto nivel válidas, sino también cadenas de caracteres “filtradas”, pensadas únicamente para uso interno, pero que se han fugado al espacio más amplio de Internet a causa de varios errores de configuración. Es exactamente esta clase de consecuencias no deseadas lo que puede  ocasionar las inquietudes plasmadas en el estudio; con lo cual, los datos recabados sirven como muestra de lo que podría extraviarse o ser aprovechado.

Si bien se reconoció que el conjunto de datos DITL del OARC es sumamente relevante para esta necesidad en particular, es importante entender que se trata de solamente una vista del DNS, la cual de ninguna manera es una vista completa o definitiva. Por ejemplo, incluye solamente algunas de las consultas a ciertos operadores de la raíz durante  un breve periodo de tiempo y, por el contrario, no incluye consultas a múltiples operadores de TLD o proveedores de servicios de Internet que brindan servicios de resolución del DNS a sus abonados. Probablemente sea imposible obtener una vista completa del DNS mediante técnicas de registro de tráfico; con lo cual, no debe pasarse por alto el valor de adoptar una multiplicidad de enfoques diversos.

Una vez detectado el problema, y el conjunto de datos que podrían aportar la solución, la ICANN contrató a Interisle y a sus subcontratistas, RTFM, para que llevaran a cabo el análisis. En el corto plazo, se inició esta labor tomando prestada la capacidad informática de la CAIDA en el OARC para confeccionar el informe inicial.

Mientras tanto, sin embargo, era necesario abordar una serie de requerimientos para efectuar  un mayor análisis de los datos:

  • Los datos del DNS presentados al OARC por parte de jurisdicciones de todo el mundo son potencialmente sensibles, y el OARC los custodia en confianza y bajo estrictas condiciones de confidencialidad. Esto permite que se presenten datos por parte de una comunidad mucho más amplia de lo posible. Sin embargo, estas condiciones impiden copiar los datos del archivo del OARC sistemas de terceros.
  • Si bien los sistemas que alojan la creciente cantidad de datos del OARC han sido actualizados con frecuencia a lo largo de los años, gran parte de su infraestructura de soporte, la cual comprende recursos informáticos para que  miembros e investigadores efectúen el análisis de datos in-situ, no había sido actualizada desde que se recibiera el fondo inicial de la NSF hace una década, y realmente necesitaba una actualización.
  • Muchos operadores de nuevos TLD quisieron pasar a ser miembros del OARC para poder colaborar con su misión y llevar a cabo su propio análisis de los conjuntos de datos DITL que se encuentran en el OARC, independientemente del trabajo patrocinado por la ICANN previamente llevado a cabo por Interisle/RTFM.
  • Todo esto sucedió en el contexto de los plazos tan acotados para la implementación de los nuevos TLD, y los plazos para que la ICANN efectúe su análisis y formule sus comentarios.

Afortunadamente, como resultado del nuevo plan de desarrollo con el cual la Junta Directiva del OARC se comprometiera a comienzos del 2013, ya se encontraba en curso una mejora importante de hardware y software; para cuando se detectó el requerimiento del estudio de las colisiones de cadenas de caracteres, el nuevo ingeniero de sistemas del OARC, William Sotomayor, estaba listo para implementar los nuevos recursos informáticos necesarios.

Fue así que el OARC pudo rápidamente recibir, y poner en funcionamiento, la importante donación de 4 servidores Dell r820 por parte de la ICANN, además de otros servidores similares donados por los miembros del OARC interesados en este tema. Estos son equipos de muy alta especificación, con procesadores de 64 núcleos  y memoria RAM de al menos 48Gb. Estos equipos hacen que la capacidad analítica del  OARC quede firmemente actualizada, y serán sumamente valiosos no solo para los estudios sobre colisiones actualmente en curso, sino también en lo que respecta a las necesidades generales de miembros e investigadores del OARC durante varios años.

Si bien el OARC ha estado en el campo de los “Grandes Datos” durante gran parte de su existencia, el valor de la recopilación de datos a gran escala fue definido y reconocido recientemente. Gracias a este importante aporte, y a las demás donaciones de equipos y espacio que aún están pendientes, el OARC espera participar en la revolución innovadora de la computación en la nube y de los grandes datos.

La capacidad del OARC de proveer soluciones a un problema que no fuera previsto al momento de su fundación  pone de manifiesto el valor de la recopilación neutral de datos del DNS con fines generales en el marco más amplio de la “Ciencia de Internet”.

Agradecimientos

El OARC desea agradecer la generosidad de la ICANN, plasmada en la donación de estos equipos, y espera continuar trabajando con la ICANN, y el resto de sus miembros, socios, e integrantes de la comunidad de investigadores para seguir atendiendo a esta necesidad.

Lograr que esto suceda rápidamente fue posible gracias a la ayuda y el compromiso de una serie de actores a los cuales el OARC les expresa su agradecimiento. El OARC desea agradecer especialmente a Terry Manderson, el nuevo Director de las Operaciones del DNS en la ICANN, y a su equipo, por la compra de estos servidores; a la CAIDA, por facilitar capacidades informáticas que hicieron posible que, mientras tanto,  Interisle/RTFM pudiera avanzar con su tarea; y al equipo de operaciones del ISC, el proveedor de servicio de alojamiento del OARC, por sus esfuerzos expeditivos para lograr que nuestros servidores estuvieran en funcionamiento.

Keith Mitchell

Presidente, DNS-OARC

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."