Experiencias en la autogestion de ccTLD

EXPERIENCIAS EN LA AUTOGESTIÓN DE UN CCTLD

[email protected]

Quién soy?

● DNSAdmin de la plataforma de NIC.VE

● Colaborador en proyectos de software libre y código abierto en .ve

● Un trekkie y un entusiasta de la ciencia y la tecnología

En definitiva....

De qué hablaré?

● Nombres de dominios y en especial de código territorial o de país.

● Gestión de Infraestructura crítica (una guía de supervivencia).

● Hitos importantes en el desarrollo del sistema actual de nombres de dominio (DNSSEC e IPv6).

Qué es un nombre de dominio?

● Utilizado identificar recursos en la red a través de servicios como web, email y etc.

● Por lo general el formato es:

● Letras, números y guión medio (-).● Hasta 255 caracteres en el nombre de dominio.

Pequeños nombres de dominio

t.co

Grandes nombres de dominio!

buintierradefrutashermosasrosasbuenosvinosairepuroyverdescampos.com

Nombres de Dominios Internacionalizados (IDN's)

● Incorporan conjuntos de caracteres no ASCII (chino, árabe y etc).

● El 70% de los usuarios de internet de todo el mundo no son de habla inglesa.

● En la práctica estos dominios son convertidos a una forma basada en ASCII (IDNA).

● Cuidadosamente explicado en los RFC's 3490, 3491 y 3492.

PINGÜINO.ORG.VE

Sistema de Nombres de Dominio

● Es el piedra angular y una de las piezas clave en el funcionamiento de Internet.

● Sistema distribuído y búsqueda jerárquica.

● Traducir nombres de dominio en direcciones Ipv4 o Ipv6 y viceversa.

● Diferentes empresas o instituciones pueden administrar una porción del árbol.

● Cuidadosamente explicado en los RFC's 1034, 1035.

Jerarquía del DNS

www.campus-party.com.ec.

Zona RaizTLDSTLDZona DelegadaSubdominio parasitio Web

Indicativo de País(.ec, .ve, .br)

Tercer Nivel www.itu.int

RAÍZ

Nivel Superior(.com, net, org, gov)

Nivel Superior.int

Segundo Nivelamazon.com

Segundo Nivelitu.int

Segundo Nivel.net

www.amazon.com Tercer Nivelmendez.net.ve

Cuarto Niveleduardo.mendez.net.ve

Jerarquía del DNS

● Cada etiqueta u hoja puede llevar un máximo de 63 caracteres y puede haber hasta 127 niveles.

● Los Dominios de Nivel Superior (TLD's) se dividen en:

● Dominios genéricos o gTLD's (.com, .net y etc)

● Dominio de Código Territorio o ccTLD's (.ve, .ec y etc)

● Dominios Patrocinados o sTLD's (.aero, .museum y etc)

● Dominios Regionales o rTLD's (.eu y .asia)

● La Corporación para la Asignación de Números y Direcciones de Internet (ICANN), junto con Verisign y la Oficina de Comercio de US gestionan la raíz.

Indicativo de País(.ec, .ve, .br)

Tercer Nivel www.itu.int

RAÍZ

Nivel Superior(.com, net, org, gov)

Nivel Superior.int

Segundo Nivelamazon.com

Segundo Nivelitu.int

Segundo Nivel.net

www.amazon.com Tercer Nivelmendez.net.ve

Cuarto Niveleduardo.mendez.net.ve

Qué es un ccTLD?(Country Code Top Level Domain)

● Es un TLD que se utiliza en DNS para identificar al país o territorio, . (ej.: ve y ec).

● Existen al menos 243 ccTLD's y las dos letras que designan al país se obtienen del ISO 3166.

● El RFC 1591 explica bajo qué criterios se hace la delegación del TLD.

Cómo es su naturaleza?

● Las normas y políticas para registrar varían de un país a otro.

● En algunos casos el gobierno del país ejerce autoridad oficial (ej.: CONATEL en .ve).

● En otros hay un vículo entre el gobierno y el operador del ccTLD (ej.: NIC.BR ).

● Muchos explotan el recurso de forma libre y sin restricciones.

Manual sobre redes basadas en el Protocolo Internet (IP) y asuntos conexos UIT

Privados

Universidades: .BZ, .CO, .DO, .GT, .MX y .PY

Sociedad Civil: .HN, .PE y .SV

Empresas: .EC y .PR

Públicos

Universidades: .CL, .NI y .PA

Independientes: .CR y .CU.

Dependiente: .AR, .BO, .SR y .VE

Mezcla: .UY

Otros: .FK

Mezclas

Público/Privado: .BR

Naturaleza de los ccTLD's en la región

Datos suministrados por el proyecto LatinoamerICANN http://www.latinoamericann.org/

Países con alguna legislación en relación a nombres de dominio

● Venezuela / Gaceta Nro. 6.015 del 28/12/2010 (.ve)

● Colombia (.co)

● Brasil (.br)

● Bolivia (.bo)

● Argentina (.ar)

● Cuba (.cu)


Responsabilidades en la administración?

● Garantizar que el administrador del ccTLD cumpla con los objetivos de política pública.

● Los ccTLD's son de interés público debido al crecimiento de internet y las posibilidades en relación al comercio electrónico y desarrollo de la sociedad de la información y conocimento libre.

“Un analfabeto será aquel que no sepa dónde ir a buscar la información que requiere en un

momento dado para resolver una problemática concreta...” Alvin Toffler

● La forma más importante de propiedad es intangible (super-simbólica).

● La nueva economía es inmaterial y el comercio electrónico es una de sus encarnaciones.

● El nombre de dominio se convierte en un activo/recurso cada vez más importante y valioso.

Crecimientos en registros dominios

● 215 G dominios distribuidos entre todos los dominios de nivel superior (TLD's).

● Un incremento de 5.2 G dominios en el segundo trimestre o un 2.5% en relación al primer trimestre del 2011.

● Los registros crecieron en en más de 16.9 G dominios o 8.6% de crecimiento en relación al 2010.

Una mirada a los ccTLD's

● Los registros bajo el código de país/territorio (ccTLD) alcanzaron los 84.6 G dominios en el segundo trimestre del 2011.

● Incremento en 2.9 G dominios lo que representa un 3.6% en relación al primer trimestre del 2011.

● 6.6 G (aprox) dominios o 8.4% en relación al año 2010.

Datos en la región?

ccTLDNúmero de dominios al término de

Agosto

% de Crecimiento(último mes)

Crecimiento en nombres de dominio

Número de dominios x

100 mil habitantes

Costo

.ar 2.669.931 2.16 56.567 6.491 $ 0

.br 2.624.628 3.03 77.299 1.331 ?

.mx 507.747 1.17 5.865 1.605 ?

.cl 347.980 2.82 9.539 2.012 $ 18 (2 años)

.ve 199.058 0.64 1.259 674.80 $ 17 (1 UT)

.ec 28.674 2.02 569 205 $ 35


.COM = 8$ (aprox)

La isla de Tuvalu (.tv)

● La economía basada en agricultura de subsistencia.

● En el año 2000 el país recibió una renta por 50G$ durante 12 años.

● Recibe 1G$ cada 3 meses y posee el 20% de la empresa que gestiona el .tv

La isla de Tokelau (.tk)

● El gobierno y BV Dot TK acordaron la explotación del ccTLD.

● Es la economía más pequeña del mundo con un poder adquisitivo de 1K$ al año por hab.

● El .tk tiene un importante impacto social en la isla y contribuye con su independencia económica.

El mercado secundario de nombres de dominio

● Rick Schwartz es conocido como El Rey de los Dominios (Domain King)

● Fué de la primeras persona en monetizar dominios.

● Es el dueño del dominio porno.com que genera cerca de 1G$ al año.

● men.com fué vendido por 1.3G$ y candy.com por 3G$ más regalías

● Actualmente es el organizador del aquelarre de domainers más importante: T.R.A.F.F.I.C

● Hay al menos 3 formas de obtener beneficios: revendiendo, alquilando y aparcando (parking).

Parking, venta y alquiler (cómo?)

http://www.sedo.com

Parking, venta y alquiler (cómo?)

http://www.namedrive.es

Ejemplo de dominio aparcado

Domain Hacks

● Consiste en el uso no convencional de las reglas de creación de dominios par tener nombres más cortos y atractivos (afinidad fonética).

● http://bit.ly es un acortador de url's que usa el TLD de Libia.

● http://goo.gl es otro acortador de url's de Google bajo el TLD de Groenlandia.

● http://cr.yp.to es un domain hack del TLD del Reino de Tonga que sirve como blog de Daniel Bernstein.

DNSS.EC

En las entrañas de un TLD

● Registro (registry): Es quien mantiene los datos y se ocupa de publicar la zona

● Registrador (registrar): Es una organización que sirve de intermediaria entre el registrante y el registro (revendedor).

● Registrante (registrant): Puede ser una organización o una persona que registra un nombre de dominio.

En las entrañas de un ccTLD o un TLD

● Los registros tienen métodos automatizados para el mantenimiento de los datos del DNS (OpenReg, FRED y CoCCA).

● Implementan mecanismos para la comunicación entre el registro y el registrador a través del Protocolo de Aprovisionamiento Extensible (EPP), RFC 4930.

● Reciben y validan los datos para su posterior publicación y mantenimiento (DNS, WHOIS o Web)

● Cualquiera puede implementarse su registro/registry en su nivel y delegar la autoridad de sus zonas hijas sobre otros servidores de nombre (Ej.: nerd.ec).

Esquema de funcionamiento de un TLD

En las entrañas de un ccTLD o un TLD

● Debido a la criticidad e importancia del DNS estos sistemas deben estar altamente disponibles.

● La alta disponibilidad del DNS se consigue a través de la distribución de la mayor cantidad posible de réplicas.

● Los criterios para la selección y operación de un servidor de nombres secundario se encuenran en el RFC 2182.

● El intercambio de réplicas es una práctica común entre operadores de TLD's.

● Para la implementación de un servidor autoritativo las opciones más comunes son: Bind, NSD y djbdns.

BIND

● Es el más añejo de los servidores de nombre.

● Desarrollado por ISC (isc.org) y cuenta con una amplísima comunidad de desarrolladores.

● Está liberado para una licencia de código abierto tipo BSD.

● Están disponibles binarios para la mayoría de arquitecturas y sistemas operativos ( empaquetado para varios sabores de GNU/linux )

NSD

● Desarrollado por el NLnet Labs, laboratorio del .nl (Amsterdam)

● Es código abierto y tiene una licencia tipo BSD.

● Solo puede funcionar como servidor de nombres autoritativo haciéndolo más eficiente y menos suceptible a errores.

● El root server K (k.root-servers.net) lo usa desde el 2003 y también ha sido implementado en .cl

Experiencia de operación e implementación (Guía de Supervivencia)

● Software Libre y Código abierto antes que cualquier otra cosa.

● Desarrollar y fomentar el hábito de documentación (dokuwiki, trac y redmine)

● La virtualización no es un capricho sino una cuestión de eficacia, sanidad mental y confort en la adminstración de sistemas (xen y kvm + libvirt).

● Centralización de log's (rsyslog + octopussy)

● Centralización de configuraciones (puppet y cfengine)

● Centralización de autenticación (openLDAP)

● Manten monitoreo constante (nagios, smokePing y DSC)

Código Abierto y Software Libre

!=

Historia romática espacial en donde destaca la moral y ética de los Cabelleros Jedi en contra del

imperio de los Sith.

Historia de ciencia ficción, exploración y aventura espacial que pone en relieve

algunos fenómenos físicos.

Código Abierto y Software Libre

● Saca provecho de las ventajas de compartir el código pero no le produce escozor la convivencia con Software privativo (drivers).

● Hay definidas al menos 10 premisas y una de ellas establece que los usuarios comerciales no pueden ser excluidos.

●La compartición de código expresado como un valor humano fundamental.

●Se construye todo un sistema de ética y moral en relación a la producción y distribución de Software.

●4 libertades materializadas en el sistema de licenciamiento GNU/GPL (Compartir, Modificar, Ejecutar y Distribuir Modificaciones).

Ambos movimientos convergen en el principio de Linus:Dada una cantidad suficiente de miradas sobre el código,

todos los errores saltan a la vista.

El DNS es inseguro

● No se utilizan mecanismos de verificación.

● Es posible adivinar el campo ID del paquete (16 bit's) y el puerto UDP asociado con una pregunta.

● Este análisis de vulnerabilidades se encuentra en el RFC 3833.

Cómo funciona el mecanismo de resolución de nombres?

nerd.ec ?

Servidor Recursivo

Usuario

nerd.ec ?

dns1.nic.ec

(157.100.1.44)

Root Server(f.root-servers.net)

192.5.5.241

nerd.ec ? dns1.nic.ec(157.100.1.44)

ns1.nerd.ec

(192.168.1.20)

nerd

.ec ?

19

2.1

68

.1.2

4192.168.1.24

ns1.nerd.ec(192.168.1.20)

Cómo funciona el mecanismo de resolución de nombres?

nerd.ec ?

Servidor Recursivo

Usuario

nerd.ec ?

dns1.nic.ec

(157.100.1.44)


192.5.5.241


ns1.nerd.ec

(192.168.1.20)

192.168.2.10dns.

vader.

net

(192.1

68.2

.3)

Denegación de Servicio

Extensiones de seguridad del DNS (DNSSEC)

● Autenticación e integridad de los datos incluyendo verificación de no existencia.

● Se agrega criptografía asimética a todo el proceso de resolución de nombres.

● Fué necesario tocar el protocolo de DNS.

Extensiones de seguridad del DNS (DNSSEC)

● DNSSEC agrega 4 nuevos tipos de registro (RRTYPES):

● RRSIG: Almacena las firmas digitales de los registros.

● DNSKEY: Llave pública utilizada para verificar cada RRSIG.

● DS: Provee delegación segura de autoridad.

● NSEC/NSEC3: Permite dar respuestas autentificadas acerca de la no existencia. (Firma el NXDOMAIN)

● También se agregan dos nuevos bit's en el header

● CD: Indica que no se realiza chequeo (deshabilitado).

● AD: Indica que la respuesta esta autenticada.

● Los detalles pueden encontrarse en los RFC's 4033, 4034 y 4035

Cómo funciona el mecanismo de resolución de nombres con DNSSEC?

nerd.ec ?

Servidor Recursivo

Usuario

nerd.ec ?

dns1.nic.ec

(157.100.1.44)


192.5.5.241


ns1.nerd.ec

(192.168.1.20)

nerd

.ec ?

19

2.1

68

.1.2

4192.168.1.24

ns1.nerd.ec(192.168.1.20)

Estado de implementación de DNSSEC en la región

DNSSEC no es PKI

● No existen políticas acerca del manejo de las llaves y firmas.

● No existen autoridades de certifiación (CA), ni autoridades de registro (RA).

● No existen listas de revocación de certificados.

IPv6 y DNS

2001:660:3006:1::1:1

IPv6 y DNS

● Se añade un nuevo tipo de registro:● AAAA (Equivalente al registro A):

Ejemplo: ● ns3.nic.fr IN A 192.134.0.49

IN AAAA 2001:660:3006:1::1

● PTR (Resolución Inversa):Ejemplo:

$ORIGIN 1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa.

1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0 PTR ns3.nic.fr.

● Definido en el RFC 3596

● 6 de los 13 root servers tienen soporte de Ipv6 (A, F, H, I, K & M)

Las restricciones fuerzan la creatividad:Trabaja con recursos limitados y te verás forzado a

contar con restricciones tempranas y más intensamente. Y eso es bueno. La restricciones

conducen a innovaciones.

Experiencias en la autogestion de ccTLD

Documents

Transcript of Experiencias en la autogestion de ccTLD