El 3 de diciembre ppdo., Google, lanzó publicamente su nuevo servicio de DNS. Tal como podrán observarlo en el blog de la firma. En este artículo, analizaremos, primero en qué consiste este servicio, segundo lo que puede ser interesante para el usuario, para finalizar hablando de otras alternativas, muy en boga en Internet.
Introducción : ¿Qué es un DNS?
De todo comienzo, y para quienes no lo conocen, y para quienes terminan de informarse (como yo, por ejemplo), digamos lo que es un DNS.
Un DNS es un server que tiene por objetivo «resolver» nombres, es decir, «traducir» una dirección IP a nombre de dominio, cuando el usuario lo coloca en su barra de navegación.
El protocolo DNS es una parte importante de la infraestructura de la web, sirviendo como una "guía telefónica" en Internet. Cada vez que usted visita un sitio Web, su equipo realiza una consulta DNS. Las páginas complejas a menudo requieren consultas DNS múltiples antes de que ellos completen la carga. Como consiguiente, el usuario medio de Internet realiza cientos de consultas de DNS cada día, lo que al provocar una sobrecarga, puede hacer mas lenta su navegación en la web.
Resumiendo, entonces, DNS (Domaim Name System), es un servidor que convierte una dirección del tipo « www.gustavopimentel.com.ar » en una dirección IP del tipo "xxx.xxx.xxx.xxx", sin esta forma de matriculación, las computadoras jamas podrían conectarse con sitio web alguno, o entre ellas incluso.
Los Servidores DNS de los Internet Server Provider (ISP)
Toda esta gama de servicios, como el que ofrece Google, tiene un antecedente, un anuncio que fuera realizado por Comcast en el que anunciaba el inicio del despliegue de resolvedores de nombre DNS para sus clientes. Lo interesante de este anuncio que no escapó a los conocedores del tema, es que puso en marcha una técnica que ya es muy utilizada por ISP (Internet Server Providers) ya estaban utilizando, aunque ninguno la reconoce. Vamos a ver si yo la comprendí bien, trataré de ir explicando lo que entendí.
Porque, esta comunicacion generó gran cantidad de debates, por ejemplo en Slashdot, en DSLreports y en la lista de correo NNsquad. Pero, el problema es que estos debates son demasiado técnicos, las mas de las veces no cuentan con demasiada publicidad, sin contar que se mezclan diferentes temas que terminan por apartarse de la nuda cuestión.
Toda persona que contrata un servicio Internet utiliza los resolvedores DNS de su proveedor de servicios (o ISP) y conoce las direcciones IP de su proveedor a traves de protocolos como DHCP. Y según el nivel de conocimientos del usuario, hasta hay programas que se ofrecen y que se ocupan de la conexión y la configuración. Con lo que quiero decir que el usuario no sabe lo que se esta ejecutando detrás de la instalación. El simplemente esta feliz, pues esta conectado a la red.
Por el momento, y eso puede llegar a cambiar, la mayor parte de proveedores internet, permiten a los usuarios elegir otros resolvedores, se dice que en el futuro podría cambiar a traves del bloqueo del puerto 53.
La mayor parte de los usuarios desconocen lo que es un DNS, y jamas se animarían a cambiarlo, lo que hace que involuntariamente se sometan a las reglas de sus proveedores de servicios internet.
Esta cautividad de los usuarios, hace que para un proveedor internet sea muy tentador el violar la neutralidad de la red sirviéndose de sus resolvedores para ir llevando todo el tráfico hacia sus servers. Instalando publicidad, por ejemplo. Muchos aducen que es para bien de los usuarios cuando, en realidad, y lo que no dicen, es que existen intermediarios que le proponen «monetizar» la audiencia del sitio web que ha sido localizado de esta manera.
Justamente, implementan un resolvedor de nombres DNS que siempre esta cargado cuando recibe un código NXDOMAIN (No Such Domain, el nombre no existe) y reemplazarlo por el código NOERROR y de agregarle una dirección IP que es escuchada por un server HTTP que sirve a la vez de publicidad.
Conviene destacar que Comcast no es el único proveedor internet que realiza esas prácticas, en EEUU estan RoadRunner que ya lo viene haciendo desde mucho antes, en Francia esta SFR que se sospecha hace lo mismo. Y digo "sospecha" porque, como pueden imaginar, un proveedor internet, ¡jamas les confesará una práctica parecida!.
Traten de averiguar cuál es la política que su proveedor internet tiene en materia de DNS, y verán que es casi imposible que les brinden una información clara y transparente.
Existe una manera de saberlo, pero hay que pagar primero pues hay que estar abonado al proveedor probando luego con un cliente DNS como dig si este a: www.gustavopimentel.com.ar, exhibe otra cosa que « status : NXDOMAIN » es que su proveedor internet le esta mintiendo.
Veamos ahora que efectos negativos tiene todo esto:
La re escritura esta concebida exclusivamente para un navegador web. Otros protocolos, como clientes http no web, recuperarán las direcciones que no les servirá para nada, o en el peor de los casos, los desviaran.
Este ocultamiento de información, o mentira si se quiere mejor, atenta contra toda medida de seguridad DNS.
Toda aplicación que intente saber si una entrada esta presente en el DNS (como las black list) o simplemente programas de detección de links rotos, no pueden funcionar correctamente.
Y, hay problemas mucho mas graves, como el de la imposibilidad para un titular de dominio que pierde el control sobre el mismo, porque el resolvedor podría llegar a determinar que este dominio existe mientras que todavía no ha sido creado.
Ante maniobras como estas, que afectan sensiblemente la velocidad y exactitud de la navegación, algunos forums (no muy serios por cierto) han ido promocionando alternativas, como OpenDNS.
OpenDNS
OpenDNS se autodefine como: el principal proveedor de seguridad libertad y servicios de infraestructura que hacen a Internet más seguro a traves de la filtración de contenido de Web integrada, anti-phishing y DNS. Los servicios de OpenDNS permiten a los consumidores y administradores de red asegurarlas de amenazas en línea, reducir gastos y hacer cumplir políticas de uso de Internet. OpenDNS está siendo usado hoy por millones de usuarios y organizaciones alrededor del mundo.
Con lo cual tampoco salen del pantano, al menos hay una sensación de seguridad, hasta que ocurre una enorme falla "de seguridad" afectando los DNS (ejemplo el ataque contra Eircom).
Y, si utilizamos el mencionado programa dig verán que OpenDNS también miente.
La publicidad que hace OpenDNS se basa en diferentes argumentos, la mayor parte engañosos. El mas corriente es la velocidad. Un argumento que verán en varios forums y blogs, todos ellos realizados por gente que solo repite lo que la publicidad les dice, pues jamaś se han tomado el tiempo de hacerlo por ellos mismos. Un argumento muy de marketing por el cual « A es mas rápido que B », un argumento que solo se impone a fuerza de repetición. Yo hice la prueba, y les puedo asegurr que OpenDNS es mucho mas lento que el DNS de mi proveedor internet, Orange.fr .
Por otro lado, OpenDNS, afirma proteger al usuario de la pornografía y spywares mintiendo en la respuesta, aún cuando el dominio existe.
Y al final, lo que OpenDNS no nos dice, se escuda detrás de la gratituidad, pues ¡debe haber un modelo de negocio! ¿no?, el negocio consiste en veder la información que recaba sobre sus usuarios. No olvidemos que un resolvedor DNS recibe una inapreciable cantidad de informaciones sobre lo que hacen y buscan sus clientes, y yo sé de lo que estoy hablando gracias a sistemas como DNSmezzo.
Entonces, para el usuario común, como yo, salvo que encuentren que el DNS de su proveedor internet no funciona con la velocidad que debería, que se sienta que realmente no hay otra opción, francamente ¡OpenDNS no vale la pena!.
Google Public DNS
La pregunta a hacerse es: ¿Qué es lo que nos ofrece Google que sea mas que lo que ofrece nuestro proveedor internet o un servicio como OpenDNS?Google nos promete: velocidad, seguridad y validez, lo que se traduce como:
- Google promete brindar resultados exactos
- Google permete no bloquear o ejercer un filtro de nuestras búsquedas
- Google promete no redigirir las peticiones hacia dominios inexistentes
"Creemos que una infraestructura DNS más rápida podría mejorar considerablemente la experiencia en la navegación de todos los usuarios de la web. Para realzar la velocidad DNS, pero mejorar también la seguridad y la validez de resultados, Google Public DNS, intenta diferentes acercamientos con quienes compartimos en la comunidad web a traves de nuestra documentación"
Instalación de esos servers
Para instalar los serves DNS Google, en GNU/Linux, bsta con editar el archivo /etc/resolv.conf e insertar:$ gksudo gedit /etc/resolv.conf # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 8.8.8.8 nameserver 8.8.4.4
¿Qué fué lo que impulsó a Google a ofrecer este servicio?
Comenzemos recordando que Google es una empresa, Google no es filántropo, que no utiliza Bind9 o cualquier otro programa open source. El código de su server DNS es propietario, y Google no prevee publicarlo.
Si bien Google promete "velocidad", y yo quiero creerle, pero lo que me hace temer es que, dado que se ha lanzado en el Cloud Computing con su propio sistema operativo dedicado a esta taréa (Chrome OS), termine por favorizar a sus propios servicios.
Otra cosa que me provoca un poco de "dudas", es que al guardar todas las peticiones que un usuario haga a su resolvedor DNS, Google termine por informarse mucho sobre las preferencias de cada usuario, lo que le permitiría de última apuntar con mas exactitud en las pautas publicitarias.
¡Y si!, es el dinero lo que esta detrás de todo argumento, como les decía antes, Google no es una empresa dedicada a la filantropía, si una empresa de esta magnitud publica un nuevo servicio, ¿debe ser por algo? ¿no?. Con un servicio como este, aseguraría sus ingresos por las publicidades y su hegemonía en el futuro Cloud Computing.
¿Qué podría incitarnos a adoptar los DNS de Google?
Las dos razones que yo veo, al menos las que se me ocurren mientras escribo este artículo, son dos:
1. Detectar que mi proveedor Internet, me miente, que esté comprendido en la primera parte de este artículo. En consecuencia, ante mis peticiones este recibiendo respuestas que son erróneas, o, que ante las mismas, vea que van cambiando.
2. La otra posibilidad es la de encontrarme con que la velocidad de respuesta de mis DNS no es satisfactoria, para ello me serviría del ya mencionado programa dig que me permitiría obtener una medición de la velocidad de un DNS.
Otras opciones
Si el lector tiene ganas de experimentar, existe una solución, ella consiste en instalar un resolvedor DNS en local, ya sea en la propia máquina o en la red.
¡Si! ¡se puede!, y es mas simple de lo que parece.Pero antes de saltar a instalarlo leer toda esta parte, al menos, porque todo en la vida tiene sus contras, y esto no es una excepción.
Ya sea en Debian o en Ubuntu, con un simple:
apt-get install unbound/etc/resolv.conf127.0.0.1La máquina local, o bien cambiar los parámetros DHCP siempre que sea posible.
Unbound es mas seguro que BIND y esta menos cargado en lo que hace a funciones. Ello no quita que utilicemos BIND si deseamos.
Veamos ahora, lo negativo
Puede llegar a ser inquietante la idea de un resolver DNS en cada máquina o en cada pequeña red, según el caso; pues no deja de ser una carga suplementaria que se le va a imponer a los servers de la raiz asi como a los dominios de primer nivel.
La gran interrogante es si podrán soportar, ante la ausencia de compartición en los grandes cachés de los resolvedores de DNS de los proveedores Internet, estos servidores de la raiz podran soportar la carga.
Quizas esta sea la razón que haga aconsejable no instalar el propio resolver DNS, salvo que existan buenas razones.
Conclusión
Si tengo que decidir sobre utilizar un resolver DNS diferente al que me proporciona mi proveedor internet, lo que me impulsaría a cambiarlo sería una merma en la velocidad, o problemas de seguridad repetidos. Mas, bajo ningún concepto buscaría alternativas como OpenDNS, por gratis que ellas sean .
Como, francamente, no estoy muy convencido que la instalación de un propio resolver DNS, sea lo mas conveniente para mi sistema, es a evaluar.
Ahora, si estuviera realmente necesitado de utilizar un DNS que no sea el de mi ISP, entonces buscaría una competencia a OpenDNS, tales como Comodo, Scrubit o Neustar/Advantage , por supuesto que soy consciente que utilizan los mismos métodos que el primero, lo que me convertiría en un «engañado consciente» pero al menos no contribuiría al monopolio de OpenDNS.
La aparición del servicio Google DNS tampoco me tienta demasiado, por las razones ya expuestas, pero tampoco por ello deja de ser menos interesante a tomar, ¡siempre que no haya otra alternativa!.