Punto 6 – Servidores de nombres de dominio

Juan Luis Cano

Un servidor DNS es un equipo al que se le ha agregado éste servicio y se han configurado las resoluciones de nombres. Las zonas están autorizadas en estos (o no, según su tipo), y tienen delegaciones sobre unas zonas creadas en los mismos.

Las zonas DNS se configuran para resolver los nombres de dominio que sean necesarios, puede haber varias zonas de búsquedas directas e inversas y hay varios tipos de zonas.

Cuando una zona que hospeda un servidor DNS es una zona principal, el servidor DNS es la fuente principal de información sobre esta zona y almacena la copia maestra de los datos de la zona en un archivo local.

Cuando una zona que hospeda un servidor DNS es una zona secundaria, dicho servidor DNS es una fuente secundaria de información sobre esta zona.

La zona secundaria se debe obtener de otro equipo servidor DNS remoto que también hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto que suministra la información actualizada de la zona a este servidor.

Puesto que una zona secundaria no es más que una copia de la zona principal hospedada en otro servidor.

Un servidor DNS sólo es una fuente de información sobre los servidores de nombres autoritativos para esta zona.

La zona de este servidor se debe obtener de otro equipo servidor DNS que hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto para copiar la información del servidor de nombres autoritativo sobre la zona.

Se puede usar las zonas de rutas internas para:

Mantener la información de la zona delegada actualizada.

Mejorar la resolución de nombres.

Simplificar la administración de DNS.

Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de una zona y suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuación:

MNAME Nombre de dominio del servidor DNS constituido como servidor primario para la zona.

RNAME Nombre de dominio que indica la dirección de correo de la persona responsable de la zona.

SERIAL Número entero de 32 bits correspondiente a la copia original de la zona. Este valor se y incrementa con cada actualización, se conserva en las transferencias de zona, y puede ser utilizado como verificación.

REFRESH Número de 32 bits representando el intervalo de tiempo antes que la zona deba ser actualizada.

RETRY Número de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una petición de actualización ha fallado.

EXPIRE Número de 32 bits que especifica el límite máximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad".

MINIMUM Número entero de 32 bits señalando el valor mínimo del parámetro TTL que debe ser utilizado para cualquier exploración de la zona.

Los registros de recursos (RR) más comunes para agregar son:

Host (A) para asignar un nombre de dominio DNS a una dirección IP que utiliza un equipo.

Alias (CNAME) para asignar un nombre de dominio DNS con alias a otro nombre canónico o principal.

Agente de intercambio de correo (MX) para asignar un nombre de dominio DNS al nombre de un equipo que intercambia o reenvía el correo.

Puntero (PTR) para asignar un nombre de dominio DNS inverso basado en la dirección IP de un equipo que señala al nombre de dominio DNS directo de ese equipo.

Ubicación de servicios (SRV) para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo específico de servicio.

Los servidores DNS tienen múltiples funciones según su uso, y un mismo servidor puede tener varias funcionalidades. Algunos de estos servidores son:

Servidor maestro o primario Guardan los datos de un espacio de nombres en sus ficheros.

Servidor esclavo o secundario Obtienen los datos de los servidores primarios a través de una transferencia de zona.

Servidor caché Cuando se les realiza una consulta, estos a su vez consultan a los servidores secundarios, almacenando la respuesta en su base de datos para agilizar la repetición de estas peticiones en el futuro continuo o libre. Guarda un tiempo las consultas, ese tiempo es TTL.

Servidor reenviador (forwarding) Un servidor DNS de una red se designa como reenviador haciendo que los demás servidores DNS de la red le reenvíen las consultas que no pueden resolver localmente. Al utilizar un reenviador, se puede administrar la resolución de los nombres fuera de la red, como nombres en Internet, y mejorar la eficacia de la resolución de nombres para los equipos de la red.

Servidor solo autorizado Los servidores DNS especificados mediante este procedimiento se agregan a las direcciones IP de los servidores presentes en el registro de recursos del servidor de nombres (NS) existente de la zona. Normalmente, sólo tiene que ejecutar este procedimiento en la zona principal al agregar servidores DNS para que actúen como servidores secundarios y también para especificar que se reconozcan estos servidores como autorizados cuando se responda a consultas de los datos de la zona.

Servidor DNS Stub Estos servidores DNS tienen zonas de rutas internas, que son copias de una zona que contienen sólo los registros de recursos necesarios para el establecimiento del Sistema de Nombres de Dominio autoritario para esa zona. Es utilizado para relacionar las zonas entre varios servidores DNS, de forma que si un servidor necesita las zonas de otro servidor distinto, el servidor DNS stub se ocupa de relacionar la zona de un servidor A con un servidor B.

Servidor Stealth Es un servidor de nombres que no

aparece en ningún registro NS públicamente visible para el dominio. Es decir, es un servidor oculto que protege a los demás servidores DNS. El servidor stealth puede definirse a grandes rasgos como tener las siguientes características:

La organización necesita un DNS público para permitir el acceso, como por ejemplo los servicios públicos web, correo, ftp, etc.

La organización no quiere que el mundo vea cualquiera de sus hosts internos, para no comprometer al servicio.

Servidor de agujero negro (Blackhole) Es un servidor DNS que devuelve una respuesta de "dirección inexistente" al realizar una consulta inversa para las direcciones de uso privado.

El servicio DNS tiene mucho software que se utiliza para esta función, y aunque el más popular es BIND, existen otros como: ◦ Microsoft DNS

◦ Dnsmasq

◦ Simple DNS Plus

◦ Knot DNS

◦ Nominum Authoritative Name Server (ANS)

◦ Posadis

◦ Cisco Network Registrar

◦ Dual DHCP DNS Server

◦ Domain Name Relay Daemon (dnrd)

Un servidor raíz (root server en inglés) es el servidor de nombre de dominio que sabe dónde están los servidores de nombres autoritarios para cada una de las zonas de más alto nivel en Internet.

Los servidores de nombres raíz son una parte fundamental de la Internet, ya que son el primer paso en la traducción de (resolver) los nombres de host legibles por humanos en direcciones IP que se utilizan en la comunicación entre los hosts de Internet.

Existen 13 servidores raíz de DNS en el mundo, y están distribuidos de la siguiente manera:

Letra Dirección IPv4 Dirección IPv6 Nombre

antiguo Operador

Ubicación

sitios

(global/local)

Software

A 198.41.0.4 2001:503:ba3e::

2:30 ns.internic.net Verisign

distribuido

(anycast)

6/0

BIND

B

192.228.79.201

(desde Enero 2004;

originalmente era

128.9.0.107)4

2001:478:65::53

(no en la zona

raíz todavía)

ns1.isi.edu USC-ISI

Marina Del Rey,

California, U.S.

0/1

BIND

C 192.33.4.12

2001:500:2::c

(no en la zona

raíz todavía)

c.psi.net Cogent

Communications

distribuido

(anycast)

6/0

BIND

D 128.8.10.90 2001:500:2d::d terp.umd.edu Universidad de

Maryland

College Park,

Maryland, U.S.

1/0

BIND

E 192.203.230.10 N/D ns.nasa.gov NASA

Mountain View,

California, U.S.

1/0

BIND

Letra Dirección IPv4 Dirección IPv6 Nombre

antiguo Operador

Ubicación

sitios

(global/local)

Software

F 192.5.5.241 2001:500:2f::f ns.isc.org Internet Systems

Consortium

distribuido

(anycast)

2/47

BIND 9

G 192.112.36.4 N/D ns.nic.ddn.mil

Defense

Information

Systems Agency

distribuido

(anycast)

6/0

BIND

H 128.63.2.53 2001:500:1::803f:

235 aos.arl.army.mil

U.S. Army

Research Lab

Aberdeen Proving

Ground, Maryland,

U.S.

2/0

NSD

I 192.36.148.17 2001:7fe::53 nic.nordu.net Netnod (antes

Autonomica)

distribuido

(anycast)

38

BIND

Letra Dirección IPv4 Dirección IPv6 Nombre

antiguo Operador

Ubicación

sitios (global/local) Software

J 192.58.128.30

(originalmente

198.41.0.10)

2001:503:c27::2

:30 Verisign

distribuido (anycast)

63/7 BIND

K 193.0.14.129 2001:7fd::1 RIPE NCC distribuido (anycast)

5/13 NSD

L 199.7.83.42

(originalmente

198.32.64.12)7

2001:500:3::42 ICANN distribuido (anycast)

103/0 NSD

M 202.12.27.33 2001:dc3::35 Proyecto WIDE distribuido (anycast)

5/1 BIND