Debido al revuelo que ha causado en la prensa especializada el descubrimiento de anomalías en el funcionamiento de servidores DNS ubicados en China, NIC Chile informa:
El día Miércoles 24 de Marzo del 2010, gracias a información provista por Ingenieros del proveedor de Internet "VTR", Mauricio Vergara, Administrador DNS de .CL en NIC Chile, comunicó a través de una lista de correos de operadores manejada por DNS-OARC, una extraña anomalía que involucraba una aparente alteración de datos en las respuestas DNS de uno de los servidores del root server "I" ubicado en China que afectaba a dominios tales como Facebook.com, Twitter.com y Youtube.com.
1.- ¿El problema detectado continúa?
Por lo que nos hemos enterado a través de Autonomica/Netnod (Organización sueca, operadores del root-server "I"), ellos habrían apagado la conexión de su nodo ubicado en China, y no hemos vuelto a detectar el comportamiento anómalo.
2.- ¿Saben ustedes cuales ISPs fueron afectados?
En su momento sólo pudimos detectar que se vieron afectados en Chile los ISP VTR y Telmex.
Al tratar de ver si este era un problema específico que afectaba a Chile, pudimos comprobar que en un servidor que NIC Chile opera en California, se producía la misma anomalía.
3.- ¿Qué explicaría que alguien hiciera anuncios de un root server desde China hacia el resto del mundo?
Las consultas a los root servers se hacen a cualquiera de los 13 servidores raíz ubicados en todo el mundo; estos servidores se identifican por una letra, desde la "A" hasta la "M". El servidor raiz "I", como casi todo el resto de los root servers, es en realidad un conjunto de más de 40 servidores ubicados en distintas ciudades de todos los continentes (a esto se le denomina una nube anycast). Da la casualidad que en esta ocasión, un servidor que estaba ubicado en Beijing, parecía estar "más cercano" (en término de rutas de Internet) que otros servidores del root server "I" (por ejemplo, los de Estados Unidos o de Europa). Más información al respecto la podría entregar Autonomica/Netnod.
4.- ¿Creen ustedes que esto es accidental?
El llegar a una ruta china desde un país como Chile, es algo que puede suceder dentro de la operación normal de Internet. De hecho, Internet funciona de esa manera y busca siempre un camino que considere "cercano", y dependiendo de la configuración de las conexiones entre proveedores de Internet, China puede aparecer más cercano que otros países geográficamente próximos.
Aunque no podemos estar 100% seguros, esta situación podría ser una consecuencia no deseada de la aplicación de filtros y alteraciones de contenido del DNS, que aparentemente se hacen en China.
5.- ¿Cuándo se dieron cuenta del problema?
El Miércoles 24 de Marzo cerca de las 10:00 AM CLST, cuando Pablo Jimenez (Ingeniero de servicios IP y Monitoreo de VTR) se comunicó con Mauricio Vergara Ereche, Administrador DNS de .CL en NIC Chile, para preguntarnos si veíamos este comportamiento anómalo. Nos comentó que ellos, ya llevaban al menos un par de días con el problema.
Hay que destacar que en VTR fueron los primeros que detectaron este suceso y se acercaron a nosotros para ver cómo podrían ellos contactar a gente del Root-Server "I", o si habíamos visto algo similar.
A partir de eso empezamos a investigar y detectamos que el problema probablemente provenía del servidor del Root Server "I" ubicado en China. En seguida Mauricio Vergara se contactó directamente con Autonomica/Netnod y les explicamos lo que habíamos detectado. Luego, Pablo Jimenez también los contactó a ellos. Casi paralelamente, nosotros comunicamos esta anomalía a una lista de correo de coordinación para DNS alojada por DNS-OARC, agrupación de la cual NIC Chile es miembro. DNS-OARC tiene como objetivo principal ser un centro de investigación para el análisis y la operación del mundo DNS y generalmente está al tanto de eventos como éste
6.- ¿En NIC Chile tuvieron problemas con Facebook, Youtube y Twitter?
Al hacer las consultas a nivel de DNS se podía ver que el comportamiento anómalo no ocurría siempre, pero se detectaron algunas respuesta que se veían extrañas y parecían "adulteradas" en el camino. Eso era claramente un error.
7.- ¿Estos problemas se pueden atribuir al cortafuegos chino?
No tenemos una certeza completa en este punto, pero es probable.
8.- ¿A quién fue dirigido el e-mail de Mauricio Vergara?
Tal como se indicó anteriormente, el e-mail fue dirigido a una lista de correos administrada por DNS-OARC.
9.- ¿Es preocupante lo que pasó?
Si esta fuera una situación que persistiera en el tiempo, sería indudablemente muy preocupante. Alterar datos y modificar o filtrar contenidos en el DNS afecta el funcionamiento normal y correcto de Internet.
Afortunadamente este comportamiento anormal no ha continuado.
10.- ¿Se puede evitar o estamos a expensas de servidores extranjeros?
Hoy en día se trabaja en implementar a nivel global (NIC Chile incluido) una extensión de seguridad para el protocolo DNS, conocida como DNSSEC, la cual ayuda a autenticar el origen de las respuestas DNS empleando algoritmos criptográficos para poder asegurar que el contenido y origen de una respuesta sea de quién corresponde.
Para mayor información en DNSSEC:
NIC Chile
Santiago, 29 de marzo de 2010.
|
Si ya posee cuenta en el nuevo sistema: |
