DNS de Caché

Objetivo general

Proveer a los miembros de la Red CEDIA de un sistema de DNS de caché estable e interno a nuestra red.

Objetivos específicos

  • Proveer de un servicio de DNS de caché tanto por IPv4 como por IPv6
  • Proveer de un servicio de DNS de caché con soporte para DNSSEC
  • Implementar un servicio de detección y bloqueo de acceso a sitios conteniendo malware
  • Realizar la resolución de nombres desde IPs del CEDIA con la finalidad de poder redirigir las respuestas a CDN o servidores cercanos a la red CEDIA
  • Aprovechar el uso de la red avanzada

Descripción del servicio

El servicio consta de dos servidores trabajando en dual stack:

  • DNSCACHE1:
    • IPv4 201.159.221.68
    • IPv6 2800:68:0:bebe::4
  • DNSCACHE2:
    • IPv4 201.159.221.11
    • IPv6 2800:68:0:2b::2

Las consultas pueden ser realizadas solamente desde redes de instituciones miembro del CEDIA.

Ambos servidores están configurados de idéntica forma. Excepto los datos cacheados en RAM que variarán dependiendo de las preguntas que les realicen a cada uno.

Servidor de DNS utilizado

unbound con bloomfilter, rpm compilado in-house

Configuración del DNS

Adicional a los parámetros generales se configuraron los siguientes parámetros:

  • bloom-filter
  • use-caps-for-id
  • DNSSEC
  • prefetch

Bloqueos implementados

Bloqueo de malware

Al momento se está bloqueando el malware obtenido de listas de dominios maliciosos como:

  • https://mirror.cedia.org.ec/malwaredomains/justdomains, 
  • http://booterblacklist.com/
  • abuse.ch

Esta lista se actualiza una vez al día.

Otros bloqueos posibles

Como servicio adicional se ha agregado un bloqueo al servicios de ads:

  • https://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=1