[lacnog] Fwd: [dns-operations] Name Collision IPv6 Research Study - Public Comment

[Hugo Salgado]

Hola Fernando, respuestas entre líneas:

On 10:08 04/11, Fernando Gont wrote:
> On 30/10/2025 16:43, Hugo Salgado wrote:
> > Hola a todos.
> > Cuando aparece un nuevo TLD en la raíz del DNS, hay una etapa especial
> > para evitar que aquellos nombres que eventualmente pudieran haberse
> > estado usando en redes "privadas" tengan un aviso. Se le llama
> > "interrupción controlada", donde el nuevo TLD debe responder en modo
> > "wildcard" con una IP especial por algunos meses, para así dar una
> > oportunidad a los administradores de esas redes para que cambien de
> > nombres, antes que el TLD sea usado realmente con nombres de verdad.
> 
> Me perdi aca.
> 
> Lo que entiendo es que el argumento es que hay gente que uriliza en redes
> privadas dominios que no se encuentran registrados (ejemplo:
> vm.gransitiomaradoniano.com). Y el "problema" es que cuando esos dominios se
> registran, se genera un "problema" (?). Entonces, para advertir se require
> que los TLDS nuevos mapeen a [ip especial] por un tiempo.
> 

No, el problema original es la gente que usa *TLDs* que no existen! Por
ejemplo si en mi red privada uso como localdomain ".maradona" y creo
toda mi estructura debajo de eso, luego cuando se lance la próxima
ronda de gTLDs y alguien registre efectivamente ".maradona",
potencialmente va a duplicar tus nombres internos!


> 
> Si es asi, no me queda muy claro el problema, ni la solucion:
> 
> * Si estas utilizando un dominio no registrado, dentro de una red local
> (para una "intranet", digamos), entonces el rpoblema es que cuando el
> domninio se registre, no vas a poder acceder al contenido externao/real, ya
> que estas mapeando ese dominio a otras IPs (las tuyas internas).
> 

Esto es cierto, eso también puede ocurrir.


> 
> * Si realmente hiciste esto, entonces:
> 
>   * Asumo que sabias lo que hacias, y las consecuencias.
> 
>   * El problema lo van a tener tus propios usuarios, ya que no van a
>     poder acceder al contenido externo. (justicia poetica)
> 
> 
> * Por otro lado, no entiendo en que ayudaria eso de "mapear el dominio a una
> direccion especial". Ya que si usas un dominio no registrado para tu red
> interna, seguramente estes haciendo split-horizon DNS, en cuyo caso te
> importa poco "a donde mapea el dominio realmente".
> 
> Me perdi de algo?
> 

La solución de la interrupción controlada es que el nuevo gTLD que
inscriba .maradona, durante 3 meses debe responder a *cualquier cosa*
bajo .maradona con la IPv4 127.0.53.53. De esa forma, si algunas de tus
queries se escapa a la internet pública, el usuario verá un error porque
normalmente nadie escucha en esa IP local. Y el admin ante ese error
podrá buscar en chatgpt y entender qué pasó.

Claro, si tus usuarios usan tu resolver interno que tiene configurado
correctamente tu .maradona interno, ellos no tendrán problema. Pero
si el resolver interno está como "forwarder" y primero busca en la
internet pública, antes de pasar al nombre privado, cuando se active
el nuevo gTLD van a empezar a dar errores, intentando conectarse a la
127.0.53.53. Entiendo que se trabajó con fabricantes de software para
que el propio OS respondiera con algo amable en esa IP, pero eso no
se si funcionó.


Ojo que esto puede tener otras consecuencias bastante más graves.
En la ronda pasada hubo un caso con WPAD. Hay algunos browsers como
Firefox y Chrome que al partir preguntaban por "wpad" + localdomain,
y si resolvía, se conectaban para bajar un archivo de configuración
*para usarlo como proxy*! El problema es que algunos equipos DLink
tenían como default "domain.name". ¿Qué pasó entonces cuando se lanzó
el nuevo gTLD ".name"? Pues claro, un hacker inscribió "domain.name",
puso el nombre "wpad" en su zona, y publicó un proxy que comenzó a
interceptar TODO el tráfico http de medio internet. Hay estudios
bien detallados de todo lo que pasó, y la solución dentro de esos
browsers... entre ellas dar un error grave en caso de que la IPv4
obtenida sea una 127.0.53.53.

Saludos,

Hugo