Evitemos a terceirização da nossa infraestrutura crítica  

04/05/2022

Por Santiago Aggio

Nossa proposta procura incentivar pequenos e médios ISP (Provedores de Serviços da Internet) da região a implementarem servidores DNS (Domain Name System) recursivos e autoritativos em sua própria infraestrutura e evitar assim a operação do serviço mediante um terceiro, utilizando servidores recursivos públicos. A terceirização do serviço nos leva a ter menos controle e capacidade de resolução de problemas e de aplicação das políticas próprias de resolução.

O fato de contar com servidores DNS recursivos e autoritativos próprios permite reforçar nossa infraestrutura crítica e, por sua vez, possibilita a medição de diferentes parâmetros do serviço, entre estes a quantidade de consultas que são recebidas: tipos de consultas, quantas delas são sobre o IPv6, etc. Resumindo, habilita o ISP a contar com todos os parâmetros que conformam a estatística do DNS.

Um aspecto primordial é que a infraestrutura requerida para contar com servidores DNS próprios não precisa de um grande investimento: são necessários dois servidores autoritativos (zonas diretas registradas e inversas delegadas), dois servidores recursivos (acessíveis para os endereços IP próprios dos nossos usuários ou clientes) e um servidor para firmar as zonas (DNSSEC).

Métricas e medições.  A instalação de servidores recursivos e autoritativos próprios permite obter informação em tempo real, aproveitando o canal de estatística e contadores disponíveis nos pacotes Bind e Unbound para obter mais informação. Além do mais os programas Prometheus + Grafana proveem uma visão da métrica do serviço em tempo real.

A informação gerada por estas ferramentas completa as medições e as detecções obtidas a partir da análise dos pacotes, fluxos IP e logs (gráfico de exemplo)

Convidamos os pequenos e médios ISP a implementarem seus próprios servidores de DNS recursivos e autoritativos.