
﻿WEBVTT
Kind: captions
Language: es

00:00:00.000 --> 00:00:04.000
Bienvenidos a un nuevo episodio de Don Tomás, el podcast en el que

00:00:04.000 --> 00:00:08.000
hablamos de descentralización del Internet que todos queremos y de

00:00:08.000 --> 00:00:14.000
muchísimas más cosas que la verdad que son muy interesantes.

00:00:14.000 --> 00:00:23.000
Mi nombre es Álex Barredo, puedes llamarme aquí siempre don Alejandro, y conmigo está Ramón Medrano, alias don Ramón.

00:00:23.000 --> 00:00:24.000
¿Qué tal estás?

00:00:24.000 --> 00:00:25.000
Muy bien, muy bien, gracias.

00:00:25.000 --> 00:00:27.000
Aquí grabando de

00:00:27.000 --> 00:00:32.000
Cuéntame, ¿qué nos vas a explicar en este episodio?

00:00:32.000 --> 00:00:33.000
Porque tengo muchas ganas, la verdad.

00:00:33.000 --> 00:00:37.000
A ver, bueno, vamos a ir hablando, comentando los dos de, en el episodio

00:00:37.000 --> 00:00:41.000
pasado hablamos de BGP, digamos que sería la cómo se centraliza la el

00:00:41.000 --> 00:00:45.000
direccionamiento y el enrutado, y hoy vamos a hablar de algo que es muy

00:00:45.000 --> 00:00:51.000
conocido por todos, que es el DNS, es el servicio de nombres de dominio

00:00:51.000 --> 00:00:54.000
Bueno, conocido en el sentido de que nos suena el nombre.

00:00:55.000 --> 00:00:56.000
Luego ya, ¿cómo funciona?

00:00:57.000 --> 00:01:01.000
Los que hacemos sistemas y tal siempre decimos una cosa que es que no es el

00:01:01.000 --> 00:01:05.000
DNS, puede que sea el DNS, es siempre el DNS lo que falla cuando cuando

00:01:05.000 --> 00:01:09.000
hay algún algún tema.

00:01:10.000 --> 00:01:17.000
DNS es claramente un protocolo de aplicación, la red funciona sin DNS, sin ningún problema, es protocolo para los humanos, digamos, ¿no?

00:01:17.000 --> 00:01:23.000
Entonces, hay gente que lo confunde porque en el sentido de que es esencial, nadie se va a poner a utilizar la web

00:01:24.000 --> 00:01:25.000
Numerito a numerito.

00:01:25.000 --> 00:01:27.000
No quiero decir a a a pelo, ¿no?

00:01:27.000 --> 00:01:35.000
O sea, con los direcciones IP DNS habilita muchas funcionalidades encima de lo que sería la capa de red para aplicaciones que utilicen, ¿no?

00:01:35.000 --> 00:01:39.000
Por ejemplo, tienes temas como el DNS dinámico, el DNS Multicast, historias de estas Sí.

00:01:41.000 --> 00:01:47.000
Que al y algunas de las configuraciones, incluso, de la capa de red, se distribuyen por DNS en alguno de los casos.

00:01:47.000 --> 00:01:51.000
Has comentado una cosa que me interesa muchísimo, que es todas las

00:01:51.000 --> 00:01:55.000
funciones, digamos, no sé si decir, dinámicas o extra, o que no son las

00:01:55.000 --> 00:01:59.000
que solemos pensar cuando hablamos de DNS, porque por ponerlo de una forma

00:01:59.000 --> 00:02:03.000
resumida y que sirva de básico para aquellos que, pues, no estéis mucho

00:02:03.000 --> 00:02:07.000
en este mundillo y que vamos a adentrarnos de una forma mucho más

00:02:07.000 --> 00:02:11.000
técnica en unos minutos, DNS es un sistema de parejas de sinónimos, es

00:02:11.000 --> 00:02:21.000
decir, Pepito punto com igual a esta dirección IP.

00:02:21.000 --> 00:02:29.000
Bien, IP cuatro tradicionalmente, o en el futuro IP seis, y muchas más cosas, pero en principio es, como decíamos, un sistema mnemotécnico, ¿no?

00:02:29.000 --> 00:02:36.000
Una que creo que una vez me lo explicaron así, es como, mira, tu ordenador sabe que esto es para acceder a esto, es como un acceso directo.

00:02:36.000 --> 00:02:39.000
Bueno, antes de DNS, DNS es un sistema dinámico, en el sentido de que las

00:02:39.000 --> 00:02:42.000
es una base de datos distribuida, es un key value store que se llama, o

00:02:42.000 --> 00:02:47.000
sea, tú tienes una clave y obtienes un valor y ya está.

00:02:47.000 --> 00:02:54.000
Es un sistema dinámico porque depende de dónde lo consultes, quién lo escriba y tal, puedes tener distintas respuestas para la misma clave.

00:02:54.000 --> 00:02:56.000
Es un sistema distribuido, como hemos visto, antes de DNS, simplemente es

00:02:56.000 --> 00:02:58.000
una base de datos descentralizada, bueno semi descentralizada, se

00:02:58.000 --> 00:03:02.000
utilizaban ficheros.

00:03:02.000 --> 00:03:05.000
Había un fichero host para cuando la RAID era más pequeña, en el que

00:03:05.000 --> 00:03:08.000
hacía lo mismo, es un key value store, tenías una columna que eran todas

00:03:08.000 --> 00:03:11.000
las claves y un value que eran todas las direcciones IP, porque además

00:03:11.000 --> 00:03:14.000
eran estatus ¿Y se lo

00:03:14.000 --> 00:03:17.000
iban copiando por ahí en un disquete en las universidades o qué?

00:03:17.000 --> 00:03:20.000
Al principio sí, luego por FTP y tal, hasta que bueno, la cosa claro ya no

00:03:20.000 --> 00:03:23.000
escalaba porque no solo la base de datos era bastante grande, sino que

00:03:23.000 --> 00:03:26.000
además las mutaciones que necesitaba no las no escalaban, entonces se

00:03:26.000 --> 00:03:29.000
inventó el sistema este de DNS, pero en esencia es eso, es yo quiero

00:03:29.000 --> 00:03:33.000
tener texto que me dé una serie de de valores.

00:03:33.000 --> 00:03:39.000
Pueden ser originalmente y el más consultado es el registro de de direcciones IP, pero hay muchos más.

00:03:39.000 --> 00:03:43.000
DNS, por ejemplo, es un componente fundamental en la lucha contra el spam, en el email.

00:03:43.000 --> 00:03:49.000
Hay una serie de registros criptográficos que que se, según, bueno, los veremos ahora, que se almacenan en DNS.

00:03:49.000 --> 00:03:52.000
Entonces, bueno, efectivamente, es un protocolo de la capa de aplicación,

00:03:52.000 --> 00:03:56.000
pero digamos que es un protocolo de la capa baja de aplicación, vamos a decirlo así.

00:03:56.000 --> 00:04:00.000
Porque muchas otras aplicaciones sin DNS no podrían no podrían funcionar.

00:04:00.000 --> 00:04:04.000
Entonces, ya no es, digamos que ya no es opcional, como como antes.

00:04:04.000 --> 00:04:08.000
Una cosa que para que no se me olvide es a ver si después de las

00:04:08.000 --> 00:04:12.000
explicaciones técnicas podemos adentrarnos un poco en el tema de quién

00:04:12.000 --> 00:04:17.000
decide, quién gestiona lo que son los dominios de mayor nivel, ¿no?

00:04:17.000 --> 00:04:24.000
Estos TLDs, estos top level domains, que ahora son tan variados y que hay tantos, y cómo se gestiona esto.

00:04:24.000 --> 00:04:29.000
Si no nos da tiempo, pues ya quizás en otro episodio, porque ese también

00:04:29.000 --> 00:04:34.000
es el primer punto de la descentralización de estas DMS, es decir, Pepito

00:04:34.000 --> 00:04:39.000
punto com es técnicamente un subdominio de COM.

00:04:39.000 --> 00:04:44.000
Sí, va, creo que vamos a entrar en este melón, porque es interesante para entender cómo funciona el DNS.

00:04:44.000 --> 00:04:51.000
O sea, DNS, como tú has dicho, es un sistema distribuido o semidistribuido, y ahí es donde voy, porque es un sistema jerárquico, ¿vale?

00:04:51.000 --> 00:04:54.000
Los dominios, todos sabemos que los dominios son, yo que sé, Google punto

00:04:54.000 --> 00:04:57.000
com, Mix punto Io, todos cada vez que tienes un punto tienes una serie de

00:04:57.000 --> 00:05:01.000
de estás describiendo la jerarquía en un área, ¿no?

00:05:02.000 --> 00:05:09.000
Entonces, el tope de la jerarquía serían los dominios traiz, vamos a decirlo así, o los dominios top level domain, que serían lo que llaman PLD.

00:05:10.000 --> 00:05:14.000
Hay dos tipos de dominio, los PLD clásicos, que serían los geográficos,

00:05:14.000 --> 00:05:19.000
que es punto es, punto u k, punto comta, y luego tiene los dominios genéricos.

00:05:19.000 --> 00:05:22.000
Los dominios genéricos son los que sería punto org, punto com.

00:05:22.000 --> 00:05:25.000
Originalmente estos dominios, los teleds genéricos, había unos pocos,

00:05:25.000 --> 00:05:28.000
pero ahora se han expandido muchísimo, ahora tienes punto app, punto

00:05:28.000 --> 00:05:32.000
social, punto no sé qué, tienes un montón de ellos.

00:05:32.000 --> 00:05:38.000
¿Cómo funciona esta serie de decisiones de cómo se habilitan?

00:05:38.000 --> 00:05:41.000
Porque sí que hay un proceso que se creó hace unos años, ¿no?

00:05:41.000 --> 00:05:44.000
De que se pueden crear nuevas versiones, ¿no?

00:05:44.000 --> 00:05:49.000
Está el punto Madrid, hay tantas cosas, la verdad, que es es es una locura.

00:05:49.000 --> 00:05:51.000
Hay una organización centralizada en los Estados Unidos, es la parte que

00:05:51.000 --> 00:05:53.000
le da la semidescentralización a DMS, que es la que se encarga de definir

00:05:53.000 --> 00:05:56.000
los top level domates.

00:05:56.000 --> 00:05:59.000
Tienen unos servidores raíz, unos servidores root, DNS, que son los que en

00:05:59.000 --> 00:06:02.000
el último caso tú consultas para empezar a ir atravesando ahora cuando

00:06:02.000 --> 00:06:05.000
veremos la resolución, la jerarquía, pero ellos son los que definen

00:06:05.000 --> 00:06:09.000
cuáles son los top level domains que hay.

00:06:09.000 --> 00:06:12.000
Tienen un proceso, bueno, la ICAN es la organización que hace esto, que

00:06:12.000 --> 00:06:15.000
significa, a ver si lo traduzco al español bien, la corporación de

00:06:15.000 --> 00:06:20.000
Internet para la asignación de nombres y números, ¿vale?

00:06:20.000 --> 00:06:29.000
Entonces, esta el ICAN lo que hace es gestiona los dominios de nivel superior y luego gestiona también los bloques de direcciones IP.

00:06:29.000 --> 00:06:32.000
Claro, los los bloques de direcciones IP los va asignando.

00:06:32.000 --> 00:06:41.000
Hay un proceso que se llama el new tl d o new generity tl d o algo así, entonces, se mandan una propuesta de yo quiero el dominio punto caca.

00:06:41.000 --> 00:06:45.000
Entonces, igual te dicen que no porque, pues, bueno, es feo, yo qué sé, o igual lo aprueban.

00:06:45.000 --> 00:06:52.000
Y luego tienes que, para tú ser el propietario de eso, pues tienes que pagar, digamos, unas cuotas o unos fees o lo que fuese.

00:06:52.000 --> 00:06:55.000
Entonces, dependiendo de lo que sea, son más caros o más baratas.

00:06:55.000 --> 00:06:56.000
Y luego tú ya decides Reventerlo.

00:06:57.000 --> 00:06:58.000
¿Cómo lo distribuyes?

00:06:58.000 --> 00:07:04.000
Es decir, si cuesta más, cuesta menos, si está más abierto, menos abierto, si te lo quedas para ti.

00:07:04.000 --> 00:07:09.000
Por ejemplo, un dominio que también es muy popular ahora es el punto app.

00:07:09.000 --> 00:07:12.000
Otro que ha causado un poco de polémica es el punto zip, porque, claro,

00:07:12.000 --> 00:07:15.000
ahora decían, no, es que va a empezar a romper cosas porque elementos de

00:07:15.000 --> 00:07:18.000
software se van a pensar que eso es un fichero y van a intentar tratarlo

00:07:18.000 --> 00:07:24.000
como un fichero más que como una URL, ¿no?

00:07:24.000 --> 00:07:31.000
Sí, ahora mismo hay, la última vez que yo lo miré había, de este tipo de dominios genéricos, hay más de mil quinientos ya.

00:07:31.000 --> 00:07:33.000
Es una Hay muchos, y

00:07:33.000 --> 00:07:39.000
al final lo que te permiten hacer es, en muchos casos, hay dominios que son muy populares ahora, por ejemplo, el punto PEAI o el punto OYO.

00:07:40.000 --> 00:07:43.000
Entonces, hay países pequeños que viven de vender dominios de su de su

00:07:43.000 --> 00:07:46.000
localización, y luego hay otros que, pues, sirven muchos casos para hacer

00:07:46.000 --> 00:07:50.000
nombres, digamos, de marcas y

00:07:50.000 --> 00:07:56.000
Pues, bueno, esto, tú cuando no eres el propietario de un TLCD, puedes revenderlo como Registrart o puedes utilizarlo para ti.

00:07:56.000 --> 00:08:01.000
Hacer tú, digamos, que solo lo revendes a ti, entonces, la la jerarquía que la defines tú y es para ti sola, yo qué sé.

00:08:01.000 --> 00:08:04.000
Hubo polémica con el dominio punto Amazon, me parece, hace unos años

00:08:04.000 --> 00:08:05.000
Claro.

00:08:05.000 --> 00:08:10.000
Lo compró la empresa Amazon y parece ser que Brasil lo quería, pues, para las cosas del Amazon.

00:08:10.000 --> 00:08:14.000
Y al final eso no me no recuerdo en qué quedó, me acuerdo de comentar la noticia, pero es muy chulo, es muy chulo.

00:08:14.000 --> 00:08:16.000
Por ejemplo, en Google tenéis Google.

00:08:16.000 --> 00:08:21.000
Entonces, el blog de Google es blog punto Google, que es increíble, o sea, es súper chulo.

00:08:22.000 --> 00:08:26.000
Pero claro, si a lo mejor yo voy un navegador antiguo o a un ordenador

00:08:26.000 --> 00:08:30.000
antiguo, y y le pongo esa dirección, no está programado para que todo lo

00:08:30.000 --> 00:08:34.000
que le ponga en la barra de direcciones o todas las peticiones que haga

00:08:34.000 --> 00:08:38.000
las interprete como dominios, porque seguro que tiene como una serie de

00:08:38.000 --> 00:08:43.000
dominios específicos que en esa época estaban escritos en el software a mano, ¿no?

00:08:43.000 --> 00:08:48.000
Es decir, una especie de regex de, bueno, si esto acaba en punto com, esto es un dominio.

00:08:48.000 --> 00:08:49.000
Vamos para adelante, ¿no?

00:08:49.000 --> 00:08:55.000
Sí, muchas veces lo que haces, te pones una barra al final para forzar esto es una URL y te y te va.

00:08:55.000 --> 00:09:00.000
Eso pasa, por ejemplo, si utilizas dominios el Ethereum, tiene un sistema de dominios, lo creo

00:09:01.000 --> 00:09:02.000
El punto es DHC.

00:09:02.000 --> 00:09:05.000
Sí, eso es un sistema de dominios que es completamente descentralizado y

00:09:05.000 --> 00:09:08.000
en vez de resolverlo con los la jerarquía clásica de de DNS, envían

00:09:08.000 --> 00:09:12.000
peticiones a la a la a la red de de ethereum.

00:09:12.000 --> 00:09:15.000
Tú tienes que forzarlo para que el Resuelve vaya para allá.

00:09:15.000 --> 00:09:18.000
Entonces, muchas veces le pones la barra y ya y ya Y

00:09:18.000 --> 00:09:19.000
ya lo entiende, ¿no?

00:09:19.000 --> 00:09:23.000
Sí, porque si no, claro, muchos navegadores han adoptado esta doctrina de,

00:09:23.000 --> 00:09:27.000
si pongo algo en la barra que no reconozco, es una búsqueda, y te voy al

00:09:27.000 --> 00:09:31.000
botón de búsqueda predeterminado que tengas a buscar esto, pero bueno.

00:09:31.000 --> 00:09:35.000
En fin, sigamos con el tema de DNS, cuéntame más cositas, a ver, porque

00:09:35.000 --> 00:09:39.000
tengo muchas dudas y según me las vayas contando, seguramente te dé la matraca.

00:09:39.000 --> 00:09:41.000
A ver, luego habíamos dicho que era jerárquico, y ahí es donde empieza

00:09:41.000 --> 00:09:43.000
la descentralización, o sea, la clave del DNS, una vez te te apartas del

00:09:43.000 --> 00:09:45.000
ICAN y tienes la los, digamos, los top level domains y los servidores

00:09:45.000 --> 00:09:50.000
root, que sería la el axioma, ¿no?

00:09:50.000 --> 00:09:52.000
Estos son públicos, son fijos, ¿no?

00:09:52.000 --> 00:09:57.000
Entonces, cuando tú quieres resolver una petición, si no tienes la diez

00:09:57.000 --> 00:10:02.000
cacheada o no sabes cuál es el los top level domains es la raíz y luego

00:10:02.000 --> 00:10:07.000
tienes, si miramos el punto com, tienes muchísimos dominios punto com,

00:10:07.000 --> 00:10:13.000
hay millones de dominios punto com.

00:10:13.000 --> 00:10:17.000
Cada uno de los dominios punto com es lo que se llama una zona, una zona del DNS.

00:10:17.000 --> 00:10:21.000
Entonces, tú compras un dominio, tú quieres comprar, por ejemplo, Don

00:10:21.000 --> 00:10:25.000
Ramón punto com, sería un gran nombre para vino barato, y lo que haces

00:10:25.000 --> 00:10:29.000
es, al comprar el dominio, tú te registras en el registrar, que es el

00:10:29.000 --> 00:10:34.000
propietario del del double del domain punto com, y ellos establecen unos registros.

00:10:34.000 --> 00:10:38.000
Entonces, le dicen, cuando alguien venga a resolver el dominio don Ramón

00:10:38.000 --> 00:10:42.000
punto com, lo que les voy a responder es que esto es una zona que tiene

00:10:42.000 --> 00:10:46.000
que resolver otro servidor DNS aparte, es lo que se llama los Glue Records.

00:10:46.000 --> 00:10:49.000
Entonces, eso es lo que hace es, digamos que mantiene todo pegado, entonces

00:10:49.000 --> 00:10:52.000
lo que lo que ocurre que cuando yo voy a punto com y le digo quiero que me

00:10:52.000 --> 00:10:55.000
digas cuál es la zona donde está definido don Ramón punto com, te va a

00:10:55.000 --> 00:10:58.000
dar otros servidores que son los que ya tienen los autorizativos se llama,

00:10:58.000 --> 00:11:04.000
autorizados, ¿no?

00:11:04.000 --> 00:11:08.000
Son los que son el el el source of truth para esa zona.

00:11:08.000 --> 00:11:10.000
Lo que ellos te respondan es la verdad, ¿no?

00:11:10.000 --> 00:11:12.000
Luego puede haber muchos cachés y muchas cosas, pero si tú no tienes

00:11:12.000 --> 00:11:14.000
ningún caché por el medio de de la resolución que se ha hecho, al final

00:11:14.000 --> 00:11:16.000
tienes que ir a los dominios autorizativo, esa palabra no existe, pero

00:11:16.000 --> 00:11:21.000
vamos a usarla.

00:11:21.000 --> 00:11:25.000
Y entonces lo que puede pasar es que tengas que repetir esto varias veces, ¿vale?

00:11:25.000 --> 00:11:34.000
Porque tú puedes tener un dominio que sea www punto don Ramón punto com, y que el www sea otra zona que tienes definida aparte, ¿no?

00:11:34.000 --> 00:11:37.000
Y y puedes concatenar tantos como tú

00:11:37.000 --> 00:11:42.000
Al final, lo del w w w es una herencia que seguimos arrastrando, porque ya

00:11:42.000 --> 00:11:47.000
cada vez se usan menos, pero, claro, normalmente era el subdominio donde

00:11:47.000 --> 00:11:52.000
estaba disponible la web de esa cosa.

00:11:52.000 --> 00:11:58.000
Porque, claro, luego estaban los correos, luego estaban los FTPs, cada uno en sus diferentes subdominio.

00:11:58.000 --> 00:12:01.000
Pero bueno, ahí tenemos que seguir y yo cada vez que registro un dominio

00:12:01.000 --> 00:12:04.000
tengo que volver a hacer lo mismo, es decir, el tres subes dobles redirige

00:12:04.000 --> 00:12:07.000
al dominio principal, porque realmente no lo quiero utilizar, lo quiero

00:12:07.000 --> 00:12:12.000
tener un poco ahí oculto que no vale para nada.

00:12:12.000 --> 00:12:14.000
Bueno, es que ha cambiado un poco la semántica.

00:12:14.000 --> 00:12:21.000
Originalmente, el don Ramón punto com definía una zona, un dominio, por eso se llama un dominio, porque y luego vas vas a tener muchas cosas dentro.

00:12:21.000 --> 00:12:25.000
El w w w, o sea, uno de los componentes, uno de los servicios, pero luego podías tener miles de cosas.

00:12:25.000 --> 00:12:29.000
Ahora se utiliza más el dominio como una especie de marca, más que el una

00:12:29.000 --> 00:12:34.000
colección de todos los servicios que hay en una en una parte de la subred, ¿no?

00:12:34.000 --> 00:12:41.000
Lo que decías de la redirección, creo que es un setway fantástico para entrar en los qué cosas podemos almacenar en DNS.

00:12:41.000 --> 00:12:49.000
La resolución al final funciona como eso, tú tienes que ir navegando un árbol hasta que llegas al servidor que tiene el registro en sí.

00:12:49.000 --> 00:12:52.000
Y, claro, los registros, todos conocemos el registro A de address, que es

00:12:52.000 --> 00:12:55.000
simplemente, pues, para don Ramón punto com, la dirección es ciento

00:12:55.000 --> 00:12:58.000
noventa y cuatro doscientos veinticinco, ta, pero hay muchas más cosas

00:12:58.000 --> 00:13:02.000
que se pueden almacenar en el DNS que son muy importantes.

00:13:02.000 --> 00:13:09.000
Tienes la versión a y cuatro a a a, que es simplemente la la dirección IPv seis.

00:13:09.000 --> 00:13:14.000
Anda, mira, lo he pronunciado sin mayor historia, pero nunca lo sabía.

00:13:14.000 --> 00:13:17.000
Yo veía cuando, pues eso, los doscientos mil dominios que tenemos todos

00:13:17.000 --> 00:13:20.000
comprados y que no usamos, o que hemos tenido en el pasado, etcétera, y

00:13:20.000 --> 00:13:23.000
cuando nos estás editando ves el a y los tipos que ahora encontrarás, y

00:13:23.000 --> 00:13:27.000
el y yo no sabía que era esa.

00:13:27.000 --> 00:13:31.000
Pensaba que era como de más importancia, digo, este es el ese es el principal.

00:13:32.000 --> 00:13:34.000
No, son cuatro Aes porque la dirección de IPB four es de treinta y dos

00:13:34.000 --> 00:13:36.000
bits, la dirección de IPB six es de ciento veintiocho, son cuatro veces

00:13:36.000 --> 00:13:38.000
treinta y dos, y entonces no se les ocurrió más que decir, bueno, pues

00:13:38.000 --> 00:13:43.000
vamos a poner cuatro Aes.

00:13:44.000 --> 00:13:47.000
Esto ha dado mucha polémica a está bien diseñado o no, es decir,

00:13:47.000 --> 00:13:50.000
debería ser las direcciones IP phone y IPs v six iguales y estar dentro

00:13:50.000 --> 00:13:54.000
del dominio A, o sí o no.

00:13:54.000 --> 00:13:58.000
Yo creo que esta ayuda porque siempre puedes priorizar, ¿no?

00:13:58.000 --> 00:14:01.000
Si quieres priorizar el tráfico IPB six en tu red o para redes, por

00:14:01.000 --> 00:14:04.000
ejemplo, que tengan solo IPD six, creo que que es el caso ya, puedes hacer

00:14:04.000 --> 00:14:07.000
una solicitud al dominio a a cuatro Aes, incluso puedes hacer NAT

00:14:07.000 --> 00:14:11.000
utilizando esos esos registros.

00:14:12.000 --> 00:14:16.000
Luego ahí suelo ver yo también, obviamente, los MX, los CNAMES, los o los

00:14:16.000 --> 00:14:20.000
NAMES en general, los TXT, yo creo que son, y quizás lo más interesantes.

00:14:20.000 --> 00:14:23.000
Cuéntame cuál es que el siguiente que dirías tú.

00:14:23.000 --> 00:14:27.000
A ver, lo que dijiste, el MX y el TXT, y el el CNAME son registros que

00:14:27.000 --> 00:14:31.000
utilizan mucho para dos cosas, el DMX es, dame los servidores que pueden

00:14:31.000 --> 00:14:36.000
recibir email, los servidores SNTP para un dominio.

00:14:36.000 --> 00:14:38.000
Entonces, yo qué sé, si tienes Gmail punto com, no manda, tú no te

00:14:38.000 --> 00:14:40.000
conectas al servidor de correo Gmail punto com, tú lo que haces es el el

00:14:40.000 --> 00:14:42.000
agente de de usuario va a decir, bueno, esto es una dirección de Gmail

00:14:42.000 --> 00:14:44.000
punto com, conecta al DNS y le dice, dame, buscas el registro MX que te

00:14:44.000 --> 00:14:46.000
dice cuáles son las máquinas concretas que son las que se encargan del

00:14:46.000 --> 00:14:53.000
correo de ese dominio.

00:14:53.000 --> 00:14:56.000
Sí, que entiendo yo que es de mail exchanges, ¿no?

00:14:56.000 --> 00:14:57.000
De intercambio de correos.

00:14:57.000 --> 00:15:04.000
Imagino que, en el futuro, si seguimos con esta temática, quizás, en el futuro veamos un social punto, ¿no?

00:15:04.000 --> 00:15:06.000
Un un un tipo, ¿no?

00:15:06.000 --> 00:15:09.000
A los MX o de intercambio social, un SX.

00:15:09.000 --> 00:15:20.000
Sea donde se resuelve un servidor, un x, llamémoslo x, con las funciones que haya para para las interacciones que hagamos en el futuro.

00:15:20.000 --> 00:15:22.000
Podría estar chulo la verdad.

00:15:22.000 --> 00:15:25.000
Sí, eso se utiliza ahora mismo en los registros TXT y el protocolo, el AT

00:15:25.000 --> 00:15:28.000
Proto, que ha hablado hace unos capítulos anteriores, utiliza el registro

00:15:28.000 --> 00:15:32.000
TXT para establecer una clave, ¿no?

00:15:32.000 --> 00:15:39.000
Entonces, el registro TXT es el registro text, que es el registro Manolo, pon lo que te dé la gana aquí, que da lo mismo.

00:15:39.000 --> 00:15:41.000
Es un registro sin tipo de forma, es decir, simplemente tiene líneas de

00:15:41.000 --> 00:15:43.000
texto, y hay muchas aplicaciones que están utilizando eso y las tienen

00:15:43.000 --> 00:15:47.000
que interpretar.

00:15:48.000 --> 00:15:52.000
Hablábamos de IT Proto, tú cuando vas a Blue Sky quieres quiero cambiar

00:15:52.000 --> 00:15:56.000
mi handle y que tenga una URL para validar que el propietario de la URL

00:15:56.000 --> 00:16:00.000
eres tú, te dan una un blog con una firma digital que tú tienes que

00:16:00.000 --> 00:16:04.000
poner en tu dominio un registro TXT, que es el subrayado AT AT, me parece.

00:16:04.000 --> 00:16:07.000
Ah, yo lo hice en su día y y lo dejas ahí y ya está.

00:16:07.000 --> 00:16:13.000
Entonces, lo que pasa es que, claro, el Blue Sky, de vez en cuando, yo en los logos del DNS veo que de vez en cuando valida que eso sigue siendo

00:16:14.000 --> 00:16:15.000
vigente, ¿no?

00:16:15.000 --> 00:16:21.000
Entonces, bueno, simplemente es una firma digital, ellos te dan una una

00:16:21.000 --> 00:16:27.000
firma con clave pública, tú la pones y ellos verifican que es un un,

00:16:27.000 --> 00:16:33.000
digamos, ejemplo, mira, yo estoy mirando en mi servidor de DNS y yo tengo

00:16:33.000 --> 00:16:40.000
cosas como el un registro TXT que se utiliza para el el spam.

00:16:40.000 --> 00:16:43.000
Entonces, en el control de spam de email hay un sistema que se llama Dmark,

00:16:43.000 --> 00:16:46.000
que lo que haces es firmar digitalmente tu dominio para probar que no es

00:16:46.000 --> 00:16:49.000
un dominio de de spam.

00:16:49.000 --> 00:16:52.000
Entonces, el registro TXT tienes que poner una clave de autenticación para

00:16:52.000 --> 00:16:55.000
que cuando tú envíes email, o sea, esto es muy útil, por ejemplo, si

00:16:55.000 --> 00:16:58.000
envías email en bulk, tienes un servicio, yo creo que mailchint y mandas

00:16:58.000 --> 00:17:01.000
miles de millones de emails

00:17:01.000 --> 00:17:02.000
Eso es.

00:17:02.000 --> 00:17:06.000
Al estar autentificado, no te lo catalogan, por ejemplo, como spam.

00:17:06.000 --> 00:17:09.000
Por ejemplo, yo tengo aquí la clave, o sea, es una clave de firma, y luego

00:17:09.000 --> 00:17:12.000
tienes un segundo dominio, un perdón, un segundo registro, que lo que

00:17:12.000 --> 00:17:17.000
incorpora es dónde está tu política de SPF, ¿vale?

00:17:17.000 --> 00:17:22.000
Que es una política, pues, ¿qué pasa si, no sé, te dice, pues, una serie de propiedades para control de spam, no?

00:17:22.000 --> 00:17:25.000
Para que, digamos, el el servidor que lo recibe va a consultar tu dominio,

00:17:25.000 --> 00:17:28.000
ver si tienes una política que te diga, por ejemplo, si es un mensaje que

00:17:28.000 --> 00:17:31.000
va sin firmar, pues lo tienes que tirar o lo tienes que aceptar o lo

00:17:31.000 --> 00:17:34.000
tienes que devolver, esta serie de cosas.

00:17:34.000 --> 00:17:37.000
Entonces, digamos que configuras tu dominio para que los receptores de

00:17:37.000 --> 00:17:41.000
email provenientes de tu dominio sepan qué tienen que hacer y que es auténtico.

00:17:42.000 --> 00:17:45.000
Ahora ya están poniéndose más en serio con esto, ¿no?

00:17:45.000 --> 00:17:50.000
Pero tradicionalmente ha sido algo un poco más, venga, viva la vida, ¿no?

00:17:50.000 --> 00:17:53.000
Puedes enviarme un email diciendo que eres Barredo punto es, aunque venga

00:17:53.000 --> 00:17:56.000
de una máquina que no aparece en ningún momento identificada en estos

00:17:56.000 --> 00:18:00.000
registros, ¿no?

00:18:00.000 --> 00:18:04.000
Luego hay más dominios que son específicos para configurar cosas, por

00:18:04.000 --> 00:18:08.000
ejemplo, tienes los dominios pointer, los ptr sirven para hacer la

00:18:08.000 --> 00:18:13.000
resolución contraria, y esto se usa también en email.

00:18:13.000 --> 00:18:17.000
Es decir, hay una forma de establecer como nombre de dominio una dirección

00:18:17.000 --> 00:18:21.000
IP que se pone al revés, es decir, si tú tienes la dirección IP diez

00:18:21.000 --> 00:18:25.000
punto once punto doce punto trece, lo vas a resolver al revés.

00:18:25.000 --> 00:18:29.000
Entonces, pones el dominio trece punto doce punto once punto diez punto

00:18:29.000 --> 00:18:33.000
arpa, arpa no sé qué sé cuánto, y entonces eso debería haber un

00:18:33.000 --> 00:18:38.000
dominio pointer que resuelva a la máquina, o sea, que que que case.

00:18:38.000 --> 00:18:39.000
¿Y eso para qué se suele utilizar?

00:18:40.000 --> 00:18:44.000
Se suele utilizar para que la no haya high jacking de las de las direcciones de DNS.

00:18:44.000 --> 00:18:48.000
Entonces, si yo tengo un servidor de email, por ejemplo, que está en una dirección IT Sí.

00:18:48.000 --> 00:18:50.000
Y tiene asociado un dominio, ¿vale?

00:18:50.000 --> 00:18:57.000
Va a haber una serie de políticas que hablábamos y tal, pero yo puedo, si tengo acceso al servidor de DNS de ese dominio, porque, ¿sabes?

00:18:57.000 --> 00:19:00.000
Accedo y lo quiero hacer, y quiero poner un servidor de email que genere

00:19:00.000 --> 00:19:03.000
spam bajo ese nombre, si yo cambio el registro mx, automáticamente yo soy

00:19:03.000 --> 00:19:06.000
el propietario de ese email.

00:19:06.000 --> 00:19:12.000
Entonces, el registro pointer lo que te hace es, cuando eso se valida, eso va a seguir apuntando con el nombre anterior.

00:19:12.000 --> 00:19:13.000
O sea,

00:19:13.000 --> 00:19:18.000
es como una segunda capa de seguridad o de copia, de respaldo.

00:19:18.000 --> 00:19:22.000
Es como hacer la la el el reverso de la de la resolución.

00:19:22.000 --> 00:19:27.000
Es como tú traduces de nombre a dirección IP, pero tú puedes traducir de dirección IP a nombre de nuestros dominios.

00:19:27.000 --> 00:19:28.000
Vale.

00:19:28.000 --> 00:19:32.000
Hay otros registros que valen puramente para seguridad, por ejemplo,

00:19:32.000 --> 00:19:36.000
tienes, si usáis hay unos dominios que son los que tienen las claves de

00:19:36.000 --> 00:19:41.000
host de la máquina que está detrás de ese de ese nombre.

00:19:41.000 --> 00:19:44.000
Entonces, te permite validar o te permite publicar cuáles son las claves

00:19:44.000 --> 00:19:47.000
de host para una máquina que vas a hacer y el es el cliente puede

00:19:47.000 --> 00:19:51.000
validarlas a priori antes de conectar a la máquina.

00:19:51.000 --> 00:19:56.000
Entonces, si hay un spoofing, por ejemplo, de la máquina, lo que va a hacer es que esas claves ya no validan.

00:19:56.000 --> 00:19:58.000
Entonces, si quieres tener acceso para la máquina, vas a tener que tener

00:19:58.000 --> 00:20:00.000
acceso a tienes que tener ganar acceso a la máquina para, yo qué sé,

00:20:00.000 --> 00:20:02.000
cambiarla o poner unas claves para hacer un my thank, lo que quieras, pero

00:20:02.000 --> 00:20:07.000
también al DNS.

00:20:07.000 --> 00:20:10.000
Entonces, si están separados, digamos que es más difícil porque tienes que tener acceso a dos A

00:20:10.000 --> 00:20:11.000
dos cosas.

00:20:11.000 --> 00:20:15.000
Es decir, lo que está en la máquina es lo que me suele aparecer cuando yo

00:20:15.000 --> 00:20:20.000
hago SCH y me dice por primera vez el finger printes, tal, ¿quieres conectarte?

00:20:21.000 --> 00:20:26.000
Y luego, aparte en DNS también se puede poner, eso yo no lo sabía, lo voy a mirar porque eso es muy importante.

00:20:26.000 --> 00:20:33.000
Eso se eso se puede poner, hay que instruir al cliente que los mide y a que te avise, ¿no?

00:20:33.000 --> 00:20:34.000
Pero sí que sí que se puede poner.

00:20:34.000 --> 00:20:39.000
Y luego hay otro otros dominios relativos con seguridad que son los de DNS SEC.

00:20:39.000 --> 00:20:44.000
Hemos visto que esto es una cosa, DNS es una cosa jerárquica, ¿vale?

00:20:44.000 --> 00:20:45.000
Pero está todo en texto plano.

00:20:45.000 --> 00:20:49.000
Tú conectas a un resolver con un paquete UDP, si la transferencia UDP

00:20:49.000 --> 00:20:53.000
falla por lo que sea o es un un nombre muy largo, puedes hacerlo con con

00:20:53.000 --> 00:20:57.000
TCP, pero no está autenticado, nada.

00:20:57.000 --> 00:21:05.000
Si tú tienes un servidor de un resolver, que esto lo hacen algunos algunos ISPs, lo que lo puedes responder lo que tú quieras.

00:21:05.000 --> 00:21:10.000
O sea, si yo tengo un un resolver, digo, bueno, yo quiero resolver el nombre Github punto com.

00:21:10.000 --> 00:21:13.000
Entonces, yo que sé, mi SP de turno dice, pues, yo quiero que no puedas

00:21:13.000 --> 00:21:16.000
acceder a Github punto com porque quiero poner un intermediario aquí para

00:21:16.000 --> 00:21:20.000
ofrecerte una oferta antes de entrar ahí.

00:21:20.000 --> 00:21:21.000
Yo qué sé, ¿vale?

00:21:21.000 --> 00:21:28.000
Simplemente interceptas la petición a que que yo voy a hacer y nada, apuntas la al resolver el dominio.

00:21:28.000 --> 00:21:29.000
A la máquina que tú quieras.

00:21:29.000 --> 00:21:33.000
Digamos que en esa subred, ese dominio Github punto com, o esa zona Github

00:21:33.000 --> 00:21:37.000
dentro del dominio com, que creo que ya voy cogiendo un poco la la jerga,

00:21:37.000 --> 00:21:41.000
está en esta otra máquina, que al final esto es algo que es muy común a

00:21:41.000 --> 00:21:45.000
nivel empresarial, ¿vale?

00:21:45.000 --> 00:21:49.000
Pues, por ejemplo, para las intranets o para bloquear incluso determinados

00:21:49.000 --> 00:21:53.000
dominios, anulas o dejas vacío esa zona y ya nadie puede estar toda la al

00:21:53.000 --> 00:21:57.000
día en la oficina viendo YouTube.

00:21:57.000 --> 00:22:01.000
Como, por ejemplo, pues, como decías tú, para ataques, etcétera, y

00:22:01.000 --> 00:22:05.000
también muchas personas lo he visto que modifican su fichero interno,

00:22:05.000 --> 00:22:09.000
hosts, en su ordenador para darse un poco de productividad, ¿no?

00:22:09.000 --> 00:22:16.000
Es decir, bueno, mira, me van a crear YouTube, Twitter, Facebook, Instagram, y así no me distraigo a lo largo de los días, ¿no?

00:22:16.000 --> 00:22:23.000
Claro, entonces, el DNS SEC, al final, lo que es es una forma de firmar digitalmente la procedencia de las resoluciones.

00:22:24.000 --> 00:22:32.000
Esto suena bastante chungo, pero lo que pasa es lo siguiente, cuando tú tienes un resolver le puedes instruir que valide el DNS, el DNS SEC, perdón.

00:22:32.000 --> 00:22:40.000
El DNS SEC, para que nos hagamos una idea, se lanzó hace como veinte años y como el uno por ciento de las resoluciones autentican con DNS.

00:22:40.000 --> 00:22:43.000
O sea, que es minoritario, pero, bueno, es una solución que está bien,

00:22:43.000 --> 00:22:46.000
tiene algunos problemas de seguridad, como la puedes hacer un ataque de

00:22:46.000 --> 00:22:49.000
amplificación y tal, pero bueno, en principio, la solución lo que vamos

00:22:49.000 --> 00:22:52.000
a hacer es firmar digitalmente la respuesta con una clave pública que el

00:22:52.000 --> 00:22:55.000
resolver puede decir, vamos a ver, la clave pública para este dominio yo

00:22:55.000 --> 00:22:58.000
sé cuál es, la respuesta me viene firmada, entonces yo sé que esa

00:22:58.000 --> 00:23:04.000
respuesta viene de la zona original.

00:23:04.000 --> 00:23:10.000
Porque tú resuelves con tu resolver, normalmente es el que te da el IST, pero podría ser tu propia máquina, puede ser la que lo haga.

00:23:10.000 --> 00:23:13.000
Entonces, lo que va a hacer es eso, va a hacer una resolución recursiva y

00:23:13.000 --> 00:23:16.000
luego lo que va a hacer es decir, vale, pues, ahora ya tengo la respuesta

00:23:16.000 --> 00:23:19.000
a la consulta, está firmada digitalmente, la clave pública está

00:23:19.000 --> 00:23:24.000
pública, entonces, yo puedo verificar la autenticidad de esa de esa información.

00:23:24.000 --> 00:23:25.000
¿Qué qué ocurre?

00:23:25.000 --> 00:23:29.000
Si el ISP quiere cambiar la respuesta, no va a tener la clave privada para firmarla.

00:23:29.000 --> 00:23:35.000
Entonces, va a haber una una un fallo de verificación del DNS, te van a dar una respuesta que no autentica.

00:23:36.000 --> 00:23:41.000
Me encanta porque son como diferentes capas y diferentes niveles de intentar, más o menos, hacer lo mismo.

00:23:41.000 --> 00:23:47.000
Es decir, tenemos el SSL, que hay como también como un acuerdo, más o menos, ¿no?

00:23:47.000 --> 00:23:49.000
Este servidor es quien dice ser.

00:23:49.000 --> 00:23:52.000
Luego está este DNS SEC a nivel de las DNS.

00:23:53.000 --> 00:23:57.000
Comentabas lo mismo también en los BGP, en el anterior episodio, ¿no?

00:23:57.000 --> 00:24:01.000
Que había una forma de certificar que no, que estás siendo tú.

00:24:01.000 --> 00:24:06.000
De tal forma que si alguien quisiera secuestrar o hacerse con un dominio

00:24:06.000 --> 00:24:11.000
muy específico, aunque sea de forma camuflada o subrepticia, pues le sea

00:24:11.000 --> 00:24:17.000
completamente difícil o, al menos, más difícil de lo que debería ser, ¿no?

00:24:17.000 --> 00:24:19.000
Pues, al final, estamos todos más protegidos.

00:24:19.000 --> 00:24:23.000
Imagínate que mañana iCloud punto com alguien lo secuestra, viene un ISP

00:24:23.000 --> 00:24:27.000
o un país o un hacker en una WiFi, etcétera, y hay diferentes capas para

00:24:27.000 --> 00:24:31.000
que la capa de aplicaciones, ¿no?

00:24:31.000 --> 00:24:36.000
Sea capaz de discernir si realmente está ocurriendo algo raro y empezar a mostrar errores.

00:24:36.000 --> 00:24:39.000
Sí, o sea, esto sería la autenticidad, ¿no?

00:24:39.000 --> 00:24:43.000
La otro problema que tiene DNS es la privacidad.

00:24:43.000 --> 00:24:46.000
Es decir, si yo puedo cambiar mis resolvers y no utilizar, por ejemplo, yo,

00:24:46.000 --> 00:24:49.000
suponte que tengo Vodafone en casa, y en vez de utilizar los DNS que me

00:24:49.000 --> 00:24:52.000
dan, los resuelves que me dan por defecto, digo, yo voy a utilizar

00:24:52.000 --> 00:24:55.000
CloudFlare, porque me da la gana, ¿no?

00:24:55.000 --> 00:25:01.000
Entonces, CloudFlare, tú mandas un paquete UDP al uno uno uno uno y eso va en plano.

00:25:01.000 --> 00:25:06.000
Entonces, Telefónica puede decir, fantástico, coge, intercepta el el paquete UDP

00:25:06.000 --> 00:25:10.000
Lo redirige a su servidor DNS y te devuelve la respuesta que ellos le dé la gana.

00:25:10.000 --> 00:25:13.000
Primero, eso podría fallar el la validación de DNS sex si si no lo están

00:25:13.000 --> 00:25:16.000
firmando o si tú la has la la quieres solicitar, Pero lo que puede pasar

00:25:16.000 --> 00:25:19.000
también es que, aunque te den la respuesta auténtica y no hagan ningún

00:25:19.000 --> 00:25:22.000
tipo de intersección del tráfico, es decir, los dejan correr hasta hasta

00:25:22.000 --> 00:25:25.000
Cloudflare o Google o el Resuelve que tú quieras, lo que pueden hacer

00:25:25.000 --> 00:25:28.000
simplemente es inspeccionar el paquete, el datagrama y tomar nota de los

00:25:28.000 --> 00:25:35.000
servidores, las nombres que tú estás resolviendo.

00:25:36.000 --> 00:25:39.000
Entonces, es un histórico maravilloso de todas las las soluciones que tú estás haciendo.

00:25:40.000 --> 00:25:43.000
Sí, y es uno de los vías de, digamos, de pérdida de privacidad o de

00:25:43.000 --> 00:25:46.000
control de privacidad, mejor dicho, que no se suelen tener en cuenta, y

00:25:46.000 --> 00:25:49.000
que estamos viendo que la mayoría de las grandes operadoras del mundo,

00:25:49.000 --> 00:25:52.000
esto lo están monetizando de una forma mayor o menor, con fines

00:25:52.000 --> 00:25:55.000
publicitarios, con fines pronunciantes, con fines de estadísticos,

00:25:55.000 --> 00:25:58.000
etcétera, y con mayor o menor colaboración de el estado o los estados

00:25:58.000 --> 00:26:05.000
donde donde trabajan, ¿no?

00:26:05.000 --> 00:26:12.000
A ver, es un ataque, por ejemplo, hay ciertos estados que han bloqueado signal, Telegram, aplicaciones así utilizando mecanismos de DNS.

00:26:13.000 --> 00:26:17.000
Bueno, pues utilizando una encriptación de tráfico entre el cliente y el resolver.

00:26:17.000 --> 00:26:20.000
Hay tres protocolos tradicionales, el primero, el más antiguo es DNS

00:26:20.000 --> 00:26:23.000
CripT, se usa poco ya, y luego tiene los dos más modernos, es DNS sobre

00:26:23.000 --> 00:26:27.000
TLC y DNS sobre HTTPS.

00:26:27.000 --> 00:26:34.000
DNS sobre TLC, nada, abre una accesion TLC con el resolver y utiliza TCP para hacer las resoluciones.

00:26:34.000 --> 00:26:37.000
DNS sobre HTTPS tiene una ventaja similar en el concepto, tiene una ventaja

00:26:37.000 --> 00:26:40.000
es que al utilizar HTTPS el tráfico parece que son peticiones well, es

00:26:40.000 --> 00:26:43.000
decir, el DNS sobre tlS se conecta al puerto ochocientos cincuenta y tres,

00:26:43.000 --> 00:26:46.000
y se sabe que es una, no vas a poder inspeccionar, a lo mejor, pues, se

00:26:46.000 --> 00:26:49.000
sabe que es una resolución de tráfico de de del libro, porque por el

00:26:49.000 --> 00:26:55.000
puerto, por el tráfico, todo.

00:26:55.000 --> 00:26:58.000
Con órdenes y sobre HTTPS, en principio, a ver, al final lo puedes cazar

00:26:58.000 --> 00:27:01.000
porque hay cosas como el server main indicator de de TLC y demás, pero,

00:27:01.000 --> 00:27:05.000
bueno, en principio es simplemente una petición web a un servidor, ¿no?

00:27:05.000 --> 00:27:07.000
Entonces, es más mucho más difícil de interceptar.

00:27:07.000 --> 00:27:10.000
En principio, claro, no sabes si estás pidiendo una gen JPG, si estás

00:27:10.000 --> 00:27:13.000
pidiendo una web, un HTML, si estás pidiendo recursos, etcétera, o si

00:27:13.000 --> 00:27:16.000
estás haciendo realmente una petición de ese listado de registros del

00:27:16.000 --> 00:27:19.000
dominio, claro.

00:27:19.000 --> 00:27:22.000
Luego tienes otra cosa que hemos hablado que es interesante, es que DNS se

00:27:22.000 --> 00:27:25.000
está convirtiendo en una piedra, digamos, central de la seguridad de la

00:27:25.000 --> 00:27:30.000
red Internet, especialmente de las aplicaciones de la web.

00:27:30.000 --> 00:27:33.000
Por ejemplo, al utilizar TLC hay un mecanismo que rompe toda la privacidad,

00:27:33.000 --> 00:27:36.000
o sea, no puedes interceptar lo que es la el tráfico de sesión, pero hay

00:27:36.000 --> 00:27:39.000
una cosa que se llama el server main indicator, es cuando tú te conectas

00:27:39.000 --> 00:27:43.000
a un servidor que tiene TLC, eso va en plano.

00:27:43.000 --> 00:27:46.000
Es decir, si tú tienes un servidor que sirve muchos dominios, tú tienes

00:27:46.000 --> 00:27:49.000
que decirle quiero conectarme a este servidor, quiero empezar una

00:27:49.000 --> 00:27:54.000
negociación TLC, y este es el el nombre de de servicio al que quiero conectarme.

00:27:54.000 --> 00:27:55.000
Vale.

00:27:55.000 --> 00:27:56.000
Eso va en plano.

00:27:56.000 --> 00:28:06.000
Entonces, esto es, por ejemplo, cómo discriminas si el tráfico es DNS o PHTTPS, es si tienes un nombre común, DNS punto CloudFlare punto com, ¿no?

00:28:06.000 --> 00:28:08.000
O sea, ya sabes lo que vas a hacer.

00:28:08.000 --> 00:28:12.000
Hay otro registro en en DNS, que se llama el registro HTTPS, en un alarde

00:28:12.000 --> 00:28:16.000
de originalidad, creo que se rompieron la cabeza para encontrar el nombre,

00:28:16.000 --> 00:28:20.000
que contiene claves públicas del de los servidores web para poder hacer

00:28:20.000 --> 00:28:24.000
dos cosas, que es primero, abrir las sesiones TLC más rápido, es decir,

00:28:24.000 --> 00:28:28.000
reduces un round trip la negociación, y segundo, basado en este en este,

00:28:28.000 --> 00:28:32.000
si tú tienes para tu dominio este registro bien configurado, puedes

00:28:32.000 --> 00:28:37.000
encriptar el server nameing, el SNI, el server naming indication.

00:28:38.000 --> 00:28:42.000
Entonces, la la la comunicación ahí es completamente encriptada, ¿vale?

00:28:42.000 --> 00:28:47.000
Es decir, tú abres una conexión con el servidor, empiezas a hacer una negociación TLC, establece las claves y ya está.

00:28:47.000 --> 00:28:53.000
No hay un link de, pues, me estoy conectando a, yo qué sé, a BART punto Google punto com.

00:28:53.000 --> 00:29:00.000
Es muy típico en servicios de estos grandes que tienes los front ends que sirven todos los dominios, si quieres Gmail Bart, el Calendar, lo que sea.

00:29:00.000 --> 00:29:02.000
Con la encarnación actual Sí.

00:29:02.000 --> 00:29:04.000
Tú sabes que alguien se está conectando al al, yo que sé, al DN al al al

00:29:04.000 --> 00:29:06.000
cloud de Google, no sabes que el tráfico SEO no lo vas a saber porque

00:29:06.000 --> 00:29:10.000
está con TLC, ¿vale?

00:29:10.000 --> 00:29:16.000
Pero sí sabes el el el servicio, digamos, al que se conectando, sí, el el dominio lo indica, ¿no?

00:29:16.000 --> 00:29:23.000
Entonces, TLC permite implementar el el encripted client hello que se llama en base a otro de estos registros.

00:29:24.000 --> 00:29:27.000
Estoy viendo que, bueno, esto del SNI o el SNI encrippado, el ESNI, y todo

00:29:27.000 --> 00:29:30.000
lo como y el el el nuevo nombre o la nueva adaptación o la nueva versión

00:29:30.000 --> 00:29:35.000
actual, el eco, CEHO

00:29:36.000 --> 00:29:37.000
Encriptid clience el auto.

00:29:37.000 --> 00:29:41.000
Que lo acaba de implementar Firefox, por ejemplo, hace poco.

00:29:41.000 --> 00:29:45.000
Entonces, es una cosa relativamente reciente y, bueno, más capas y más

00:29:45.000 --> 00:29:49.000
intentos de, pues, asegurarnos de que realmente estamos comunicándonos

00:29:49.000 --> 00:29:54.000
con con con el servidor que realmente queremos.

00:29:55.000 --> 00:29:58.000
Sí, o sea, vale para eso, para autentificar que el servidor que tú te vas

00:29:58.000 --> 00:30:01.000
a conectar es el que tiene que ser, no no hay un hoja jacking del

00:30:01.000 --> 00:30:06.000
servidor, y luego segundo, la comunicación entre tú y el servidor sea privada.

00:30:06.000 --> 00:30:11.000
Y eso incluye no solo lo que es el el, digamos, los datos que tú estás transmitiendo en las gestiones que estás haciendo Ajá.

00:30:11.000 --> 00:30:16.000
Pero también la privacidad de que tú te estás conectando a un servicio y nadie tiene tiempo que saber qué servicio es.

00:30:16.000 --> 00:30:19.000
Estas partes directamente ciertos gobiernos un poco más autocráticos o

00:30:19.000 --> 00:30:22.000
ISPs bajo órdenes o o por lo que sea, lo bloquean y hacen nada, todo este

00:30:22.000 --> 00:30:25.000
tipo de protección.

00:30:25.000 --> 00:30:29.000
Esto siempre, si detecto que alguien está utilizando SNIS o ECHs o cosas

00:30:29.000 --> 00:30:34.000
así, fuera, esto no va, ni para arriba ni para abajo ni para bien ni para mal.

00:30:34.000 --> 00:30:40.000
Y es una forma de, oye, pues como no puedo saber a dónde estás apuntando, corto todo, intercepto todo para nadie.

00:30:40.000 --> 00:30:42.000
Bueno, no te tienes que ir a hacer algo tan complicado.

00:30:42.000 --> 00:30:46.000
Hay industrias que están muy reguladas, por ejemplo, la industria financiera y demás.

00:30:46.000 --> 00:30:51.000
Las propias empresas tienen que, por ejemplo, ser capaces de ver lo están haciendo los empleados y demás, ¿no?

00:30:51.000 --> 00:30:52.000
Por ciertas regulaciones.

00:30:52.000 --> 00:30:55.000
Cuando salió TLC uno punto tres, mejoraba bastante la negociación del de

00:30:55.000 --> 00:30:58.000
estos asuntos y, precisamente, las industrias financieras se quejaron de

00:30:58.000 --> 00:31:03.000
que no podían poner, ¿sabes?

00:31:03.000 --> 00:31:06.000
Middle boxes que inspeccionaran el contenido del tráfico, y era no porque

00:31:06.000 --> 00:31:09.000
sean maquinarias del mal, sino porque la regulación les obliga a hacer

00:31:09.000 --> 00:31:12.000
este tipo de cosas.

00:31:13.000 --> 00:31:16.000
Entonces, hay siempre un balance de qué es lo que qué es lo que puedes hacer.

00:31:16.000 --> 00:31:17.000
Eso sí es cierto.

00:31:18.000 --> 00:31:23.000
Bueno, imagino que habrá otras formas de hacerlo en local o de tener un registro desde la otra parte del software, ¿no?

00:31:23.000 --> 00:31:27.000
Desde el cliente que se está utilizando para acceder a eso, pero al final

00:31:27.000 --> 00:31:31.000
sí que es cierto que es todo todo mucho más complicado, y yo creo que es

00:31:31.000 --> 00:31:35.000
el motivo de que existan tantas capas y tantos elementos y tantas

00:31:35.000 --> 00:31:39.000
verificaciones que realmente están haciendo lo mismo, es decir,

00:31:39.000 --> 00:31:43.000
asegurarnos de que realmente la comunicación es entre las dos máquinas

00:31:43.000 --> 00:31:47.000
que dicen serlo y de una forma que solo puedan entender realmente lo que

00:31:47.000 --> 00:31:51.000
se están diciendo ambas máquinas, el destino y el origen, y no las que

00:31:51.000 --> 00:31:55.000
reenvían los mensajes.

00:31:56.000 --> 00:31:59.000
A ver, es que luego, al final, otra de las cosas que que está todo

00:31:59.000 --> 00:32:02.000
interrelacionado, o sea, en DNS, estamos hablando de DNS, de TLC, y hay

00:32:02.000 --> 00:32:05.000
que hablar también de la sistema de clave de infraestructura de clave

00:32:05.000 --> 00:32:08.000
pública, el PIB que hay.

00:32:08.000 --> 00:32:11.000
Entonces, estas tres cosas no se pueden hablar, digamos, en abstracto o por

00:32:11.000 --> 00:32:14.000
separado, Porque, por ejemplo, lo que acabas de comentar, otra cosa que se

00:32:14.000 --> 00:32:17.000
hizo hace muchos años y que se sigue haciendo es lo que llaman lo del

00:32:17.000 --> 00:32:20.000
Root Kit, que es te instalan un certificado raíz en el navegador que

00:32:20.000 --> 00:32:25.000
tiene confianza total, y a partir de ahí ya da igual, ¿sabes?

00:32:25.000 --> 00:32:27.000
Porque puedes tener todo el tema de ESNI, DNSEC, todas estas historias, si

00:32:27.000 --> 00:32:29.000
tienes un certificado de confianza para una entidad gubernamental,

00:32:29.000 --> 00:32:33.000
empresarial, lo que sea.

00:32:33.000 --> 00:32:41.000
No sé qué marca lo hizo hace unos cuantos años, Lenovo o Sony o algo así, instalaron un certificado suyo de a nivel de confianza total.

00:32:41.000 --> 00:32:44.000
Entonces, claro, cualquier registro que venga firmado con ese o con

00:32:44.000 --> 00:32:47.000
herederos de ese certificado, pasa todas las checks, le dices, sí, sí

00:32:47.000 --> 00:32:51.000
DNS, TLC, todo, perfecto, o sea, ¿no?

00:32:51.000 --> 00:32:54.000
Tu máquina lo da todo por validado porque se ha confiado.

00:32:55.000 --> 00:32:58.000
Es que al final esto de los certificados root en los navegadores y cómo se

00:32:58.000 --> 00:33:01.000
deciden, yo creo que también podría dar para otro episodio toda esa

00:33:01.000 --> 00:33:04.000
negociación y qué viene instalado, y quién lo decide y quién no lo

00:33:04.000 --> 00:33:09.000
decide, y si los puedes quitar o no los puedes quitar.

00:33:09.000 --> 00:33:10.000
Porque hay bastantes jaleos.

00:33:10.000 --> 00:33:14.000
Al final, tú un navegador te da errores o te deja entrar a determinadas

00:33:14.000 --> 00:33:18.000
webs y a determinados dominios, etcétera, depende del propio navegador,

00:33:18.000 --> 00:33:24.000
más que, digamos, es decir, no es tan agnóstico como parece.

00:33:24.000 --> 00:33:29.000
Hay mucha confianza depositada en que, por ejemplo, pues Mozilla haya

00:33:29.000 --> 00:33:34.000
dicho, oye, esto que te viene aquí preinstalado, estos son guays y son aceptables.

00:33:34.000 --> 00:33:37.000
Bueno, hay todo un proceso alrededor de la validación de todas estas cosas.

00:33:37.000 --> 00:33:40.000
Por ejemplo, las claves de, si vamos otra vez al DNS, el DNS SEC al final

00:33:40.000 --> 00:33:43.000
tiene unas claves raíz, es decir, el el top level domain, tú cuando lo

00:33:43.000 --> 00:33:46.000
registras dices, yo quiero habilitar de NSEC, y te dicen, vale, yo yo que

00:33:46.000 --> 00:33:49.000
te he registrado el dominio, voy a delegar la zona en ti y, además, te la

00:33:49.000 --> 00:33:55.000
voy a firmar digitalmente.

00:33:55.000 --> 00:34:01.000
Tú pagas y te firman y te autentican que eres tú, luego tú puedes crear subzonas y más y vas firmando una de esas de otra.

00:34:01.000 --> 00:34:02.000
¿Cuál es el problema?

00:34:03.000 --> 00:34:05.000
Final, hay una clave raíz, un conjunto de claves raíz.

00:34:05.000 --> 00:34:11.000
Por ejemplo, hace poco que se quieren rotar, llevan unos cuantos años más mismas claves privadas, vamos a generar otras nuevas, ¿no?

00:34:11.000 --> 00:34:12.000
Para que vayan rotando de vez en cuando.

00:34:12.000 --> 00:34:14.000
Ese fue un chea show de la de dios, o sea, lo tuvieron que hacer un

00:34:14.000 --> 00:34:16.000
rollback, tuvieron que volver a hacerlo, hubo una ceremonia, digamos, para

00:34:16.000 --> 00:34:20.000
hacerlo, tal, se rompieron no sé cuántas historias.

00:34:20.000 --> 00:34:26.000
Entonces, claro, son protocolos que están muy osificados que se llaman, que la gente asume muchas cosas de cómo funcionan y cómo no.

00:34:26.000 --> 00:34:28.000
Y lo que venías diciendo antes, por ejemplo, los nuevos dominios de top

00:34:28.000 --> 00:34:30.000
level, que ya no funcionaban en ciertos navegadores y demás, el

00:34:30.000 --> 00:34:32.000
evolucionar y mantener estos protocolos requiere del acuerdo de muchas de

00:34:32.000 --> 00:34:34.000
muchas partes, los navegadores, los desarrollos de aplicación, sistemas

00:34:34.000 --> 00:34:40.000
operativos, el ICAN.

00:34:40.000 --> 00:34:47.000
Es todo un un mecanismo y una serie de consorcios, de consorcios, de consorcios bastante complicados.

00:34:47.000 --> 00:34:51.000
¿Queda algo más de dentro de este campo de las DNS que sea así superinteresante?

00:34:52.000 --> 00:34:58.000
Creo que una cosa de las que tendremos que hablar de las DNS en cuanto a la descentralización Ajá.

00:34:58.000 --> 00:35:01.000
Es cómo conseguir descentralización completa.

00:35:01.000 --> 00:35:04.000
Ahora mismo, ves que dependemos siempre de una entidad central, bueno, es

00:35:04.000 --> 00:35:07.000
una entidad no gubernamental que está en representar mucha gente y

00:35:07.000 --> 00:35:10.000
demás, entonces, no es algo que sea inherentemente algo que haya que

00:35:10.000 --> 00:35:13.000
desconfiar, el I can tiene un montón de gentes.

00:35:13.000 --> 00:35:16.000
Pero, bueno, a fin de cuentas, sí que es un punto único de fallo, ¿no?

00:35:16.000 --> 00:35:19.000
En el sentido de que el si los servidores raíz desaparecen, si la ICAN,

00:35:19.000 --> 00:35:22.000
pues, lo que sea, no funciona bien, no tal, son entidades que además

00:35:22.000 --> 00:35:26.000
están siempre generalmente en Estados Unidos, ¿no?

00:35:27.000 --> 00:35:30.000
Que no depende ni de la ONU ni de otro consorcio tal.

00:35:30.000 --> 00:35:33.000
Ahora mismo, en tendencia, eso no se puede hacer, no hay acuerdo, digamos,

00:35:33.000 --> 00:35:36.000
para descentralizarlo, se intentó sacar el IKAN afuera de, digamos,

00:35:36.000 --> 00:35:40.000
hacerle una organización internacional y tal.

00:35:40.000 --> 00:35:43.000
Parece que no hubo una gran cantidad de progreso.

00:35:43.000 --> 00:35:45.000
Y luego hubo otras propuestas desde el punto de vista técnico que fueron,

00:35:45.000 --> 00:35:47.000
por ejemplo, los dominios de Ethernet, que se llaman los and stopable

00:35:47.000 --> 00:35:51.000
domains, en un alarde de branding.

00:35:51.000 --> 00:35:52.000
Cuéntame eso.

00:35:52.000 --> 00:35:55.000
Básicamente es, en lugar de tener una organización centralizada, lo que

00:35:55.000 --> 00:35:58.000
tienes es una aplicación en la red de Ethereum, que es la organización

00:35:58.000 --> 00:36:03.000
descentralizada que asigna todos estos nombres.

00:36:03.000 --> 00:36:06.000
Entonces, tú para registrar un dominio tienes que pagar un fee de estos de

00:36:06.000 --> 00:36:09.000
de gas o de lo que pasa es una comisión en en términos de Ethereum y te

00:36:09.000 --> 00:36:12.000
registran en un en uno de los bloques Blockchain y demás, y a partir de

00:36:12.000 --> 00:36:15.000
ahí lo tienes.

00:36:15.000 --> 00:36:17.000
Ningún navegador sabe resolverlos de forma nativa.

00:36:17.000 --> 00:36:19.000
Entonces, es un problema.

00:36:19.000 --> 00:36:21.000
Si usas next DNS, por ejemplo, que es una aplicación que es en TBNS y que

00:36:21.000 --> 00:36:23.000
está muy bien, tiene para bloquear cosas, privacidad, tal, ese resolver

00:36:23.000 --> 00:36:27.000
sí que los resuelve.

00:36:27.000 --> 00:36:32.000
Entonces, tú puedes escribir un nombre de dominio de Ethereum y que lo resuelve, como si fuera un dominio normal.

00:36:32.000 --> 00:36:35.000
Sí, está bastante guay, y eso es una de las partes de las cadenas de

00:36:35.000 --> 00:36:38.000
bloques que yo creo que realmente tiene un futuro y y es algo interesante,

00:36:38.000 --> 00:36:43.000
y me parecería que ya es hora de que los navegadores lo soporten, ¿no?

00:36:43.000 --> 00:36:46.000
No solo porque es guay, es decir, tener un dominio punto x, por ejemplo, o

00:36:46.000 --> 00:36:49.000
sea, es que es superchulo el punto ETH, etcétera, pero yo creo que añade

00:36:49.000 --> 00:36:52.000
esa descentralización definitiva y realmente está ahí de forma

00:36:52.000 --> 00:36:55.000
pública, que al final es una cadena de bloques, se va actualizando, se va

00:36:55.000 --> 00:37:02.000
manteniendo, etcétera.

00:37:03.000 --> 00:37:07.000
No me acaba de gustar el caso de que haya emisor, pero es que realmente

00:37:07.000 --> 00:37:11.000
creo que ahí es donde está el fin de la descentralización, es decir,

00:37:11.000 --> 00:37:15.000
tiene que haber una parte, en este caso, el punto com o el punto x, que

00:37:15.000 --> 00:37:19.000
decíamos aquí, o el punto ETH, de esto es un stop popul domain que dices

00:37:19.000 --> 00:37:23.000
tú, en el que nos tenemos que poner de acuerdo de alguna forma, porque si

00:37:23.000 --> 00:37:29.000
no, pues yo diría no, pues el Alex punto x es realmente cualquier cosa.

00:37:29.000 --> 00:37:35.000
A ver, tú puedes tener tu propio resolver, tu propia, simplemente dices, ¿esto es un servidor raíz para mí?

00:37:35.000 --> 00:37:37.000
A partir de ahí, gestionas.

00:37:37.000 --> 00:37:41.000
Hay muchas empresas que para implementar la intranet, por ejemplo, hacen ese ese truco, ¿no?

00:37:41.000 --> 00:37:45.000
Yo creo que es el punto final de la descentralización, es una capa que

00:37:45.000 --> 00:37:49.000
creo que no sé si ni siquiera tendría sentido descentralizar, porque,

00:37:49.000 --> 00:37:53.000
entonces, entraríamos en un poco algo más caótico, pero, bueno.

00:37:53.000 --> 00:37:54.000
A ver,

00:37:54.000 --> 00:38:00.000
descentralización total nunca puedes tener, porque en el último de los casos tienes que tener un acuerdo en el protocolo en sí.

00:38:00.000 --> 00:38:04.000
Tienes que tener un acuerdo en el formato, en cómo se resuelve, en cómo funciona, tal No,

00:38:04.000 --> 00:38:12.000
y que al final tu máquina tiene que tener una dirección IP específica que no la puede asumir que la tiene cualquier otra máquina, ¿no?

00:38:12.000 --> 00:38:19.000
Claro, por ejemplo, ese tipo de de resoluciones tiene que caber, porque si no es una puerta al spam y al high jacking.

00:38:19.000 --> 00:38:24.000
Es decir, si cualquiera puede poner, pues yo voy a poner mi dominio, que apunte tu dirección para que el tráfico me venga para

00:38:24.000 --> 00:38:25.000
mí y

00:38:25.000 --> 00:38:27.000
ya hago yo lo que meta.

00:38:27.000 --> 00:38:28.000
Eso es.

00:38:28.000 --> 00:38:31.000
Como un sistema de matrículas, es decir, o un registro civil, que tu DNI,

00:38:31.000 --> 00:38:34.000
tu nombre es tal, tal, tal y tal, porque si no, pues cada uno nos

00:38:34.000 --> 00:38:37.000
diseñaríamos nuestros DNIs y las matrículas de nuestros coches en

00:38:37.000 --> 00:38:40.000
nuestra casa y cada uno de su forma y cada uno de ese estilo, y sería

00:38:40.000 --> 00:38:44.000
todo algo algo confuso.

00:38:44.000 --> 00:38:48.000
Es decir, en ese sentido ya hemos tocado hueso con la descentralización.

00:38:49.000 --> 00:38:52.000
Bueno, yo he aprendido bastantes cosas, no solo lo del cuádruple A este,

00:38:52.000 --> 00:38:55.000
sino en general todo lo del eco y todas las las las grandes mejoras y un

00:38:55.000 --> 00:38:59.000
montón de funcionalidades.

00:39:00.000 --> 00:39:01.000
Muchas gracias, Ramón.

00:39:01.000 --> 00:39:02.000
A ti por la conversación.

00:39:02.000 --> 00:39:05.000
Eres una fuente de sabiduría para estas cosas.

00:39:05.000 --> 00:39:08.000
Bueno, bueno, aquí estaba yo consultando el bar, que me estaba contando cosas.

00:39:08.000 --> 00:39:14.000
Sí, porque los los, acordarse de todos los registros que había vendido, y además, muchos más de los que no hemos contado, Es complicado.

00:39:14.000 --> 00:39:17.000
De nuevo, suscribíos si no estáis suscritos, si estáis escuchando este

00:39:17.000 --> 00:39:20.000
podcast por primera vez, si ya lo conocéis, etcétera, y os apetece dejar

00:39:20.000 --> 00:39:23.000
una reseña, un comentario, una estrellita, una valoración en la

00:39:23.000 --> 00:39:26.000
plataforma donde lo estáis escuchando perfecto, y como siempre,

00:39:26.000 --> 00:39:29.000
comentarlo a otras personas, amigos, conocidos, etcétera, vecinos que le

00:39:29.000 --> 00:39:37.000
pueda interesar este tipo de episodios.

00:39:37.000 --> 00:39:38.000
Muchísimas gracias, don Ramón.

00:39:38.000 --> 00:39:39.000
Don Alejandro.

00:39:40.000 --> 00:39:45.000
Y a los oyentes, nos vemos en el próximo episodio de Don Tomás.