[lacnog] Quad9 --> Servidor DNS
Gael Hernandez
gael.hernandez en asitic.net
Mar Nov 21 16:25:24 BRST 2017
Saludos y disculpas por el retraso, tuve problemas con el envío del correo.
Gracias por enviar las mediciones! Son muy útiles y las examinaremos en
detalle.
Nuestro objetivo a medio plazo es activar instancias de Quad9 en todos los
nodos de PCH en la region, por lo que esperamos que las latencias mejoren
con el tiempo.
En relación a algunos comentarios individuales:
- Luis, necesitamos enviar servidores a Brasil pero resulta complicado
importarlos, así que cualquier colaboración en ese sentido es bienvenida
(obrigado!)
- Alejandro, tenemos nodos en Buenos Aires, Cordoba y Neuquén, y estamos
activando el servicio progresivamente.
- Jordi, todavía no tenemos presencia en Madrid pero esta planeado para el
primer trimestre de 2018.
- Roberto, en cuanto a tu cuestión sobre el dominio reconocido por malware,
la realidad es que “creemos” lo que los proveedores de inteligencia nos
entregan como amenazas. Algunos sitios quizá no se hayan incluido porque no
superan un umbral de confianza y tener demasiados “false positives” podría
provocar que los usuarios abandonen la plataforma. Intentamos mantener un
equilibrio que entendemos es delicado.
- Arturo, al respecto de EDNS Client-Subnet, esta es la posición de Quad9:
"EDNS ECS is a touchy subject, because it does leak some portion of IP
address data to remote authoritative servers. Most end users do not know
this is happening, nor do they understand the implications, and the
implications are subtle. The complexity of the interpretation of this
privacy concept makes it a difficult technical topic to address. ECS could
be considered “acceptable” by some, but “not acceptable” by others, and
since we are a service that has “security” as a primary goal, we opted for
the most conservative approach and therefore 9.9.9.9 does not include ECS
data. We will have the 9.9.9.11 and 9.9.9.12 options which supply ECS and
implement the blocklist. We hope to have our egress IP addresses sorted out
more clearly in the coming weeks so that queries emanate from more local IP
addresses to end users, thereby making CDNs more able to provide the
correct content endpoint answers in their DNS replies.”
Viene a decir que 9.9.9.9 no incluye ECS, que hay una variante 9.9.9.11 que
si incluye ECS y el block list resolviendo parte del problema, y que
estamos trabajando en soluciones alternativas para permitir que las CDNs
puedan mapear sus respuestas DNS correctamente.
Saludos,
Gael
On Vie Nov 17 12:58:57 BRST 2017 Arturo Servin <arturo.servin en
gmail.com <lacnog%40lacnic.net?Subject=Re%3A%20%5Blacnog%5D%20Quad9%20--%3E%20Servidor%20DNS&In-Reply-To=%3CCALo9H1ZZ%2BHWhYVdMV4rGWvuHawZsoLQsEFeLrqmJHqpdtOku6w%40mail.gmail.com%3E>>
wrote:
Gael
Alguna razon para no soportar EDNS en el seguro?
- Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
- Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet
La falta de EDNS creo que va a afectar a que el usuario vaya a ver
contenido de baja calidad (mapeado a un punto de egreso no óptimo a si se
usara EDNS) cuando este se sirva con una CDN.
Saludos,
as
On Fri, 17 Nov 2017 at 12:37 Gaël Hernández <gael en pch.net
<https://mail.lacnic.net/mailman/listinfo/lacnog>> wrote:
>* Hola!
*>>* Después de un año en modo piloto, ayer se anunció el lanzamiento del
*>* servicio! PCH es uno de los socios del proyecto Quad9, además de IBM y GCA.
*>* Quad9 tiene su propia personalidad jurídica sin ánimo de lucro, y en PCH
*>* estamos orgullosos de proporcionar apoyo operacional.
*>>* Están todos bienvenidos a usarlo y a compartir sus experiencias y dudas
*>* con nosotros. Y no duden en contactarme si tienen interés en alojar uno de
*>* nuestros equipos en alguno de los puntos neutros de la region!
*>>* Un saludo,
*>* Gaël
*>>* Sent from my iPhone
*>>* > On 17 Nov 2017, at 01:57, Carlos M. Martinez <carlosm3011 en
gmail.com <https://mail.lacnic.net/mailman/listinfo/lacnog>>
*>* wrote:
*>* >
*>* > Hola Esteban,
*>* >
*>* > La mejor info que encontré está en el propio sitio del proyecto:
*>* https://www.quad9.net/ <https://www.quad9.net/>
*>* >
*>* > Si lo van a probar, creo que vale la pena tener en cuenta esta parte:
*>* >
*>* >
*>* > ———
*>* > Is there a service that Quad9 offers that does not have the blocklist or
*>* other security?
*>* >
*>* > The primary IP address for Quad9 is 9.9.9.9, which includes the
*>* blocklist, DNSSEC, and other security features. However, there are
*>* alternate IP addresses that the service operates which do not have these
*>* security features. These might be useful for testing validation, or to
*>* determine if there are false positives in the Quad9 system.
*>* >
*>* > Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
*>* >
*>* > Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet
*>* >
*>* > Note: Use only one of these two addresses. Some networking software may
*>* include terminology such as “Secondary DNS Server” in configuration
*>* windows; this can be left blank. Putting both 9.9.9.9 and 9.9.9.10 into
*>* “primary” and “secondary” fields may result in unsecure results in rare
*>* circumstances.
*>* > ———
*>* >
*>* > s2
*>* >
*>* > Carlos
*>* >
*>* >> On 17 Nov 2017, at 8:37, Esteban Carisimo wrote:
*>* >>
*>* >> Estimados,
*>* >>
*>* >> Hoy se lanzó el 9.9.9.9 como servidor DNS, ¿alguien escucho algo más de
*>* este servicio?. Acá les paso la info que leí
*>* >>
*>* >> https://www.cyberscoop.com/quad9-dns-service-global-cyber-alliance/
<https://www.cyberscoop.com/quad9-dns-service-global-cyber-alliance/>
*>* >>
*>* >> Saludos
*>* >>
*>* >> --
*>* >> Esteban Carisimo
*>* >> Temporarily Visiting Graduate Student at CAIDA
*>* >> PhD student at CoNexDat (UBA-CONICET)
*>* >> http://cnet.fi.uba.ar/esteban_carisimo/en
<http://cnet.fi.uba.ar/esteban_carisimo/en>
*>* >>
*>* >> _______________________________________________
*>* >> LACNOG mailing list
*>* >> LACNOG en lacnic.net <https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* >> https://mail.lacnic.net/mailman/listinfo/lacnog
<https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* >> Cancelar suscripcion:
https://mail.lacnic.net/mailman/options/lacnog
<https://mail.lacnic.net/mailman/options/lacnog>
*>* > _______________________________________________
*>* > LACNOG mailing list
*>* > LACNOG en lacnic.net <https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* > https://mail.lacnic.net/mailman/listinfo/lacnog
<https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* > Cancelar suscripcion:
https://mail.lacnic.net/mailman/options/lacnog
<https://mail.lacnic.net/mailman/options/lacnog>
*>>>* _______________________________________________
*>* LACNOG mailing list
*>* LACNOG en lacnic.net <https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* https://mail.lacnic.net/mailman/listinfo/lacnog
<https://mail.lacnic.net/mailman/listinfo/lacnog>
*>* Cancelar suscripcion:
https://mail.lacnic.net/mailman/options/lacnog
<https://mail.lacnic.net/mailman/options/lacnog>
*>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20171121/7e1e55dd/attachment.html>
Más información sobre la lista de distribución LACNOG