Guía completa sobre DNS: conceptos, componentes y funcionamiento


1. Definiciones

1.1. Dominio

Un dominio es una región, ámbito, agrupamiento o zona definida de objetos de dominio que está conformada por controladores de dominio, computadores, usuarios, unidades organizativas y grupos.

1.2. Árbol

Un árbol ocurre cuando un dominio raíz, o primer dominio, a su vez tiene subdominios o dominios hijos. Cada dominio o subdominio tiene su propio controlador de dominio.

1.3. Bosque

Un bosque es cuando existen varios árboles de dominios.

1.4. Controlador de dominio

Un controlador de dominio es aquel equipo que se encarga de controlar los objetos de dominio.

1.5. Objetos de dominio

Se dice de los elementos que conforman un dominio y que son: controladores de dominio, computadores, usuarios, grupos y unidades organizativas.

1.6. Unidad organizativa

Una unidad organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía de dominio, computadores, usuarios, grupos y unidades organizativas.

1.7. Esquema

En Active Directory Domain Services se utiliza la palabra esquema para referirse a la estructura de la base de datos.

1.8. Sitio

Un sitio es un grupo de ordenadores que se encuentran relacionados de una forma lógica.

2. Componentes y funcionamiento

El DNS (Domain Name System) es un sistema jerárquico de nombres de dominio que traduce nombres de dominio legibles por humanos a direcciones IP numéricas que utilizan los dispositivos para comunicarse entre sí.

2.1. Espacio de nombres de dominio

Conjunto de nombres que se pueden utilizar para identificar máquinas o servicios de una red.

2.2. Base de datos DNS

Base de datos distribuida y redundante que almacena información sobre los nombres de dominio.

2.3. Servidores de nombres DNS (Name Servers)

Programas que guardan parte de la base de datos DNS (zonas) y que responden a preguntas sobre la información almacenada. Permanecen a la escucha por el puerto 53 (TCP y UDP). Los servidores de nombres también se comunican entre sí.

2.4. Clientes DNS (Resolvers)

Programas que realizan preguntas a los servidores de nombres y procesan las respuestas para ofrecerle la información a los usuarios y/o a las aplicaciones que los invocan.

2.5. Protocolo DNS

Conjunto de normas y reglas en base a las cuales “dialogan” los clientes y los servidores DNS.

3. Registros de dominios. Agentes registradores

Registrar un dominio consiste en reservar el nombre durante un tiempo para poder crear subdominios y asociar el nombre y los subdominios con direcciones IP o con la información que se considere oportuna.

4. Zonas

Los servidores de nombres mantienen información de una parte del espacio de nombres de dominio que se conoce como zona. Cuando un servidor de nombres contiene una zona se dice que es autorizado (authoritative) para esa zona. Las zonas se almacenan en ficheros de texto o en base de datos dependiendo del tipo de servidor usado y de cómo se configure.

Cuando un servidor DNS es autorizado para una zona es responsable de los nombres de dominio de la misma. La organización que administra el servidor de nombres y la zona puede decidir si delega o no alguno de sus subdominios.

5. Servidor solo autorizado

El término “authoritative only” se usa para describir un servidor que:

  • Es autorizado para una o varias zonas como maestro y/o esclavo.
  • No responde a preguntas que no sean relativas a sus zonas, es decir, no pregunta a otros servidores DNS. Esto implica que no tiene activada la recursividad, no es reenviador y no actúa como caché.

6. Servidores raíz (Root Servers)

Existen en internet un conjunto de servidores DNS autorizados para el dominio raíz, conocidos como servidores raíz. Contienen por lo tanto el fichero de la zona “.” que almacena cuáles son los servidores DNS autorizados para cada uno de los dominios TLD.

Los servidores raíz están bajo la responsabilidad de la ICANN pero son operados por un consorcio de organizaciones. El RSSAC (Root Servers Systems Advisory Committe) proporciona asesoramiento en su administración. Existen 13 servidores raíz y cada uno de ellos tiene múltiples copias distribuidas por todo el mundo.

7. Transferencias de zona

Los servidores DNS que declaran zonas esclavas o secundarias obtienen los archivos de zona de otros servidores DNS autorizados para esas zonas. A este proceso se le denomina transferencia de zona.

7.1. Transferencia de zona completa (AXFR)

El servidor maestro le envía al servidor esclavo todos los datos de la zona.

7.2. Transferencia de zona incremental (IXFR)

Esta forma de transferencia hace que el servidor maestro le envía al servidor esclavo solo los datos que han cambiado desde la última transferencia de zona.

El proceso de transferencia se puede iniciar de 2 maneras:

  • El servidor esclavo pregunta al servidor maestro para comprobar si hay cambios en los archivos de zona. Lo hace cuando inicia por primera vez y cada cierto tiempo de forma periódica. Donde le solicita el SOA y lo compara si es superior entonces envía una petición AXFR o IXFR.
  • El servidor maestro notifica con un mensaje de notificación (NOTIFY) al servidor esclavo indicando que se han producido cambios en los archivos de zona. Donde el servidor esclavo realiza todo el proceso anterior.

8. Seguridad DNS

  • Servidores DNS:
    1. Ataque contra el propio servidor.
    2. Modificación de los archivos de zona por una mala configuración de seguridad.
    3. Ataques de denegación de servicio (DoS).
  • Consultas de clientes DNS a otros servidores DNS:
    1. Envenenamiento de la caché del cliente DNS suplantando al servidor DNS remoto.
  • Consultas de servidores DNS a otros servidores DNS:
    1. Envenenamiento de la caché del servidor DNS suplantando al servidor DNS remoto.
  • Transferencia de zona:
    1. Suplantación del servidor maestro.
  • Actualizaciones dinámicas a servidores DNS:
    1. Suplantación de la fuente externa que envía las actualizaciones al servidor DNS.

Definiciones de dominios

  • FQDN (Fully Qualified Domain Name): Nos indica el nombre completo de una dirección IP, comenzando por el nodo y acabando con la raíz. Ejemplo: 1.100.168.192.in-addr.arpa
  • Dominio absoluto: Finaliza el FQDN con un punto, el cual es el nodo raíz. Ejemplo: www.google.com.
  • Nombre de dominio: Cada nodo del árbol se llama dominio y recibe una etiqueta.
  • Nombre de dominio de un nodo: Se crea mediante la concatenación de todas las etiquetas comenzando por dicho nodo y terminando en el nodo raíz.

Dominios

TLD (Top-Level Domain)

Son los dominios de primer nivel o raíz, no pueden ser comprados por los usuarios. Se dividen en 3 grandes grupos:

  • Infraestructura: Utilizando para obtener el FQDN, es el dominio.
  • gTLD (Generic Top-Level Domain): Son dominios genéricos de primer nivel, son los llamados globales o internacionales.
    • (uTLD) No patrocinados y gestionados por el ICANN:
      • Alquilables por todo el mundo sin restricciones: .com, .net, .org, .info
      • Alquilables cumpliendo unas restricciones: .biz, .name, .pro, .int, .edu, .mil, .gov
    • (sTLD) Están promovidos o patrocinados por diferentes instituciones o fundaciones independientes o pagando unos 50.000 dólares. Existen limitaciones a la hora de contratar estos dominios: .aero, .coop, .museum, .travel, .edu, .jobs, .pro, .tel
      • mTLD: Son los patrocinados para móviles, como .mobi
      • iTLD: Patrocinados para una lengua, como .cat
  • ccTLD (Country Code Top-Level Domain): Son dominios geográficos de primer nivel y regulados por la norma ISO 3166-1 alpha2 creada por IANA.
    • .eu, .ic, .ea, .ps, .va, .d, .cn, .uk, .nl, .ar, .it, .us, .br, .ch, .es, .fr, .mx, .fm, .tv

SLD (Second Level Domain)

Cuando se crean un segundo nivel genérico como: .com, .es

Subdominios

Son dominios de tercer nivel, que son alquilados por empresas, como: .cocacola.com.uk

Dominios IDN (Internationalized Domain Names)

Son conversiones de lenguas no latinas en ASCII.

Zonas

La parte de la base de datos de nombres de dominio alojada en el servidor DNS recibe el nombre de zona, esta puede ser gestionada por más de un servidor. La estructura jerárquica DNS se basa en una relación cliente/servidor.

Toda zona debe tener, al menos, 2 servidores autoritativos: el primario, que contiene los ficheros que forman la base de datos de la zona, y el secundario que obtiene estos ficheros del primero. Solo existe una zona primaria, que está supervisada por el servidor primario. Puede haber tantas zonas secundarias como servidores.

Transferencia de zona es la operación mediante la cual un servidor primario transfiere el contenido del archivo de la base de datos de zona DNS a un servidor secundario, esta se produce cuando:

  • Iniciamos el servicio DNS en el servidor secundario.
  • Caduca el tiempo de actualización.
  • Se guardan los cambios de la base de datos de la zona principal.

Delegación es la operación que permite traspasar el modelo jerárquico DNS a su propietario.

Clasificación de servidores de nombres

  • Servidores autoritativos: Son los encargados de almacenar la información completa de la zona. Debe haber al menos 1 por zona. Existen 2 tipos:
    1. Servidor primario: Es el servidor que mantiene los datos originales de una zona completa. Permite configurar las zonas.
    2. Servidor secundario: Copia los datos de la zona mediante un proceso de replicación denominado transferencia de zona.
  • Servidores no autoritativos: Son aquellos que no almacenan los datos de una zona completa. 2 tipos:
    1. Reenviador (Forwarder): Cuando existen varios servidores DNS en una intranet, se pueden configurar para que realicen todas sus peticiones al reenviador y que este se encargue de transmitirlas hacia los servidores DNS de internet.
    2. Caché (Hint): Almacena durante un periodo de tiempo los resultados de las consultas enviadas por él mismo a otros servidores, así si vuelve a recibir la misma petición la devolverá desde su caché sin tener que realizar el proceso de consulta completo.

Consultas

  • Consultas recursivas: Cuando se realiza la consulta a un servidor este debe responder con la información de su base de datos local. Si no la tiene, debe enviar nuevas peticiones a otros servidores. El cliente solo envía una petición y recibe la información o un mensaje de error.
  • Consultas iterativas: Cuando se realiza la consulta el servidor devuelve una respuesta, esta puede ser la IP correspondiente al nombre de dominio o el nombre de otro servidor que tiene la información o que está más cerca de ella, en este caso el cliente vuelve a lanzar otra petición a este nuevo servidor, este proceso se repite hasta encontrar el servidor adecuado.

Clientes DNS (Resolvers)

Son programas que hacen de interfaz entre las aplicaciones de usuario y el DNS. Se localiza en la misma máquina que la aplicación que requiere sus servicios pero puede consultar otros equipos. Elimina retrasos en la red y alivia la sobrecarga de consultas sobre los servidores de nombres.

Resolución de nombres

  • Resolución directa: Toma como entrada un nombre de dominio y determina su correspondiente dirección IP.
  • Resolución inversa: A partir de una dirección IP se establece el nombre de dominio asociado.

Actualizaciones dinámicas (DDNS)

El protocolo DDNS establece la forma de actualizar en tiempo real la base de datos gestionada por un servidor de nombres.

  • Acceso desde internet: Cada vez es más frecuente que los ISP asignen a sus usuarios una IP pública dinámica, para solucionar esto DDNS permite la utilización de un nombre de dominio propio a clientes con direcciones IP dinámicas.
  • Acceso desde un servidor DNS local: En una red local donde se añaden equipos nuevos o se modifica su nombre es necesario actualizar la información que administra el servidor DNS de la zona local. Una vez que el cliente DHCP ha recibido la configuración IP del servidor DHCP este último remite una petición de actualización al servidor DDNS que contiene la dirección IP asignada.

DNS seguro (DNSSEC)

Es un conjunto de extensiones de seguridad para DNS. Estas aplicaciones garantizan al cliente DNS una comunicación segura con el servidor DNS. Queda certificada la autenticidad y la integridad de la comunicación.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *