DNS-CARACTERÍSTICAS Y PROPIEDADES

Ms. Ing. Jairo E. Márquez D.1

Internet es un sistema complejo de redes, configurado a nivel global que conectacientos de millones de equipos diferentes, permitiendo el intercambio deinformación y la interacción entre ellos. Para lograr la conexión entre distintospaíses se utilizan cables de fibra óptica, la mayoría en el fondo del mar. En losnodos principales se encuentran los servidores DNS.

“Inicialmente, el DNS nació de la necesidad de recordar fácilmente los nombres detodos los servidores conectados a Internet. Domain Name System o DNS (enespañol: sistema de nombres de dominio) es un sistema de nomenclaturajerárquica para computadoras, servicios o cualquier recurso conectado a Internet oa una red privada2. Este sistema asocia información variada con nombres de

1 Este trabajo es una recopilación de trabajos relacionados al tema sobre DNS, el cual está sujeto a lasnormas GNU Copyleft.

2 Es una red que usa el espacio de direcciones IP especificadas en el documento RFC 1918. A los terminalespuede asignársele direcciones de este espacio de direcciones cuando se requiera que ellas debancomunicarse con otras terminales dentro de la red interna (una que no sea parte de Internet) pero no conInternet directamente.

Las redes privadas son bastante comunes en esquemas de redes de área local (LAN) de oficina, pues muchascompañías no tienen la necesidad de una dirección IP global para cada estación de trabajo, impresora ydemás dispositivos con los que la compañía cuente. Otra razón para el uso de direcciones de IP privadas esla escasez de direcciones IP públicas que pueden ser registradas. IPv6 se creó justamente para combatir estaescasez, pero aún no ha sido adoptado en forma definitiva. Hay plazo hasta el 2020 de su implementacióntotal. (NA)

Tomado de red privada. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/Red_privada

dominios asignado a cada uno de los participantes. Su función más importante, estraducir (resolver) nombres inteligibles para las personas en identificadoresbinarios asociados con los equipos conectados a la red, esto con el propósito depoder localizar y direccionar estos equipos mundialmente.

El servidor DNS utiliza una base de datos distribuida y jerárquica que almacenainformación asociada a nombres de dominio3 en redes como Internet. Aunquecomo base de datos el DNS es capaz de asociar diferentes tipos de información acada nombre, los usos más comunes son la asignación de nombres de dominio adirecciones IP y la localización de los servidores de correo electrónico de cadadominio.

Direcciones de internet privadas

Nombre rango de direcciones IPnúmero de

IPsdescripción de la

clasemayor bloque

de CIDR4

bloque de 24bits

10.0.0.0 –10.255.255.255

16.777.216 clase A simple 10.0.0.0/8

bloque de 20bits

172.16.0.0 –172.31.255.255

1.048.57616 clases Bcontinuas

172.16.0.0/12

bloque de 16bits

192.168.0.0 –192.168.255.255

65.536256 clases Ccontinuas

192.168.0.0/16

bloque de 16bits

169.254.0.0 –169.254.255.255

65.536 clase B simple 169.254.0.0/16

3 Un dominio de Internet es una red de identificación asociada a un grupo de dispositivos o equiposconectados a la red Internet.

4 Classless Inter-Domain Routing (enrutamiento entre dominios sin clases) representa la última mejora en elmodo de interpretar las direcciones IP. Su introducción permitió una mayor flexibilidad al dividir rangos dedirecciones IP en redes separadas. De esta manera permitió un uso más eficiente de las cada vez másescasas direcciones IPv4, y un mayor uso de la jerarquía de direcciones (agregación de prefijos de red),disminuyendo la sobrecarga de los enrutadores principales de Internet para realizar el encaminamiento.CIDR. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/CIDR

La asignación de nombres a direcciones IP es ciertamente la función másconocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP deprox.mx es 200.64.128.4, la mayoría de la gente llega a este equipo especificandoftp.prox.mx y no la dirección IP. Además de ser más fácil de recordar, el nombrees más fiable. La dirección numérica podría cambiar por muchas razones, sin quetenga que cambiar el nombre.” 5

Dominios de nivel superior6

Existen dos categorías de TLD (Dominios de Nivel Superior):

Los dominios que se conocen como "genéricos", llamados gTLD (TLDgenérico). Los gTLD son nombres de dominio de nivel superior genéricos queofrecen una clasificación de acuerdo con el sector de la actividad. Entoncescada gTLD tiene sus propias reglas de acceso:

gTLD historial: .arpa relacionado con equipos pertenecientes a la red original; .com inicialmente relacionado con empresas con fines comerciales.

Sin embargo, este TLD se convirtió en el "TLD predeterminado" yhasta personas reales pueden adquirir dominios con esta extensión.

.edu relacionado con las organizaciones educativas; .gov relacionado con las organizaciones gubernamentales; .int relacionado con las organizaciones internacionales; .edu relacionado con las organizaciones militares; .net inicialmente relacionado con las organizaciones que administran

redes. Con el transcurso de los años este TLD se ha convertido en unTLD común, y hasta personas reales pueden adquirir dominios conesta extensión.

.org está normalmente relacionado con organizaciones sin fines delucro.

nuevos gTLD presentado en noviembre de 2000 por ICANN: .aero relacionado con la industria aeronáutica; .biz (negocios) relacionado con empresas comerciales; .museum relacionada con los museos; .name relacionada con el nombre de personas reales o imaginarias; .info relacionado con organizaciones que manejan información;

5 Domain Name System. Consultado el 26 de septiembre de 2013.http://es.wikipedia.org/wiki/Domain_Name_System

6 DNS (Sistema de nombre de dominio). Consultado el 27 de septiembre de 2013.http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

.coop relacionado con cooperativas; .pro relacionado con profesiones liberales.

gTLD especial: .arpa relacionado con las infraestructuras para la administración de

redes. El arpa gTLD también sirve para la resolución inversa deequipos en red y permite hallar el nombre relacionado con unadirección IP.

Los dominios que se conocen como "nacionales", se llaman ccTLD (código depaís TLD). El ccTLD está relacionado con los diferentes países y sus nombresrefieren a las abreviaturas del nombre del país definidas en la norma ISO 3166.La tabla a continuación resume la lista de ccTLD.

Código País Código País

AC Islas Ascensión AM Armenia

AD Andorra AN Antillas Neerlandesas

AEEmiratos Árabes

UnidosAO Angola

AF Afganistán AQ Antártida

AG Antigua y Barbuda AR Argentina

AI Anguila AS Samoa Americana

AL Albania AT Austria

AU Australia BI Burundi

AW Aruba BJ Benin

AZ Azerbaiyán BM Bermudas

BABosnia y

HerzegovinaBN Brunei

BB Barbados BO Bolivia

BD Bangladesh BR Brasil

BE Bélgica BS Bahamas

BF Burkina Faso BT Bhután

BG Bulgaria BV Isla Bouvet

BH Bahrein BW Botswana

BY Bielorrusia CK Islas Cook

BZ Belice CL Chile

CA Canadá CM Camerún

CC Islas Cocos CN China

CD

República

Democrática del

Congo

CO Colombia

CCMRepública

CentroafricanaCOM

Organización

comercial

CG Congo CR Costa Rica

CH Suiza CU Cuba

CI Costa de Marfil CV Cabo Verde

CX Islas Christmas EG Egipto

CY Chipre EH Sahara Occidental

CZ República Checa ER Eritrea

DE Alemania ES España

DJ Djibouti ET Etiopía

DK Dinamarca EU Europa

DM Dominica FI Finlandia

DORepública

DominicanaFJ Fiji

DZ Argelia FKIslas Falkland

(Malvinas)

EC Ecuador FM Micronesia

EDU

Organización con

enlaces

relacionados con la

educación

FO Islas Feroe

EE Estonia FR Francia

FXFrancia (Territorio

EEEE europeo)GU Guam (USA)

GA Gabón GW Guinea Bissau

GB Gran Bretaña GY Guyana

GD Granada HK Hong Kong

GE Georgia HMIslas Heard y

McDonald

GF Guayana Francesa HN Honduras

GG Guernsey HR Croacia

GH Ghana HT Haití

GI Gibraltar HU Hungría

GL Groenlandia ID Indonesia

GM Gambia IE Irlanda

GN Guinea IL Israel

GOVOrganización

gubernamentalIM Isla de Man

GP Guadalupe IN India

GQ Guinea Ecuatorial IOTerritorio Británico del

Océano Índico

GR Grecia IQ Iraq

GS Georgia del Sur IR Irán

GT Guatemala IS Islandia

IT Italia LR Liberia

JM Jamaica LS Lesotho

JO Jordania LT Lituania

JP Japón LU Luxemburgo

KE Kenya LV Letonia

KG Kirguistán LY Libia

KH Camboya MA Marruecos

KI Kiribati MC Mónaco

KM Comoras MD Moldova

KN Saint Kitts y Nevis MG Madagascar

KP Corea del Norte MH Islas Marshall

KR Corea del Sur MK Macedonia

KW Kuwait ML Malí

KY Islas Caimán MIL Organización militar

KZ Kazajstán MM Myanmar

LA Laos MN Mongolia

LB Líbano MO Macao

LC Santa Lucía MPIslas Marianas del

Norte

LI Liechtenstein MQ Martinica

LK Sri Lanka MR Mauritania

MS Montserrat NT Zona Neutral

MU Isla Mauricio NU Isla Niue

MV Maldivas NZ Nueva Zelanda

MW Malawi OM Omán

MX México ORGOrganización no

específica

MY Malasia PA Panamá

MZ Mozambique PE Perú

NA Namibia PF Polinesia Francesa

NC Nueva Caledonia PG Papua Nueva Guinea

NE Níger PH Filipinas

NET

Organización con

enlaces

relacionados con

Internet

PK Pakistán

NF Isla Norfolk PL Polonia

NG Nigeria PMSan Pedro y

Miquelón

NI Nicaragua PN Isla Pitcairn

NL Países Bajos PR Puerto Rico (USA)

NO Noruega PS Territorios Palestinos

PT Portugal QA Qatar

PY Paraguay RE Reunión

PW Palau RO Rumania

RUFederación de

RusiaSJ

Islas Svalbard y Jan

Mayen

RW Rwanda SK República Eslovaca

SA Arabia Saudita SL Sierra Leona

SB Islas Solomón SM San Marino

SC Seychelles SN Senegal

SD Sudán SO Somalia

SE Suecia SR Suriname

SG Singapur STSanto Tomé y

Príncipe

SH Santa Elena SU Unión Soviética

SI Eslovenia SV El Salvador

SY Siria TFTerritorios Australes

Franceses

SZ Swazilandia TG Togo

TCIslas Turcas y

CaicosTH Tailandia

TD Chad TJ Tayikistán

TK Tokelau UK Reino Unido

TM Turkmenistán UM

Islas Periféricas

Menores de los

Estados Unidos

TN Túnez US Estados Unidos

TO Tonga UY Uruguay

TP Timor Oriental UZ Uzbekistán

TR Turquía VA Ciudad del Vaticano

TT Trinidad y Tobago VCSan Vicente y las

Granadinas

TV Tuvalu VE Venezuela

TW Taiwán VGIslas Vírgenes

Británicas

TZ Tanzania VIIslas Vírgenes de los

Estados Unidos

UA Ucrania VN Vietnam

UG Uganda VU Vanuatu

WF Islas Wallis y Futuna YT Mayotte

WS Samoa Occidental YU Yugoslavia

YE Yemen ZA Sudáfrica

ZM Zambia ZW Zimbabwe

ZR Zaire

Servidores DNS

Los servidores DNS son parte de la cadena que queda formada cuando se haceuna petición mediante el navegador de cualquier página web. Estos servidores soncomputadoras que en sus discos duros almacenan enormes bases de datos.

Tienen registrada la relación que existe entre cada nombre de dominio y sudirección IP correspondiente.

Para la operación práctica del sistema DNS se utilizan tres componentesprincipales:7

Los Clientes fase 1: Un programa cliente DNS que se ejecuta en lacomputadora del usuario y que genera peticiones DNS de resolución denombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde anombre.dominio?);

Los Servidores DNS: Que contestan las peticiones de los clientes. Losservidores recursivos tienen la capacidad de reenviar la petición a otro servidorsi no disponen de la dirección solicitada.

La Zonas de autoridad, porciones del espacio de nombres raros de dominioque almacenan los datos. Cada zona de autoridad abarca al menos un dominioy posiblemente sus subdominios, si estos últimos no son delegados a otraszonas de autoridad

Los sitios de internet se identifican mediante nombres, como son Google.com,Yahoo.es, linkelin.com, etc. lo que los hace más fácil de recordar y de escribir,estos nombres es lo que se conoce como nombres de dominio.

Las computadoras identifican los sitios web y se conectan a ellos utilizando elformato numérico, algo parecido a la numeración telefónica, pero más complejo ycon más recursos, es lo que se conoce como las direcciones IP. Ahí es dondeentran en acción los servidores DNS, ellos son como enormes y complejas guíastelefónicas, que a petición del usuario traducen o convierten los nombres dedominio que le solicite, en las direcciones IP que les corresponden.

Son equipos que almacenan la relación que existe entre cada nombre de dominioy su dirección IP correspondiente (numérica) en internet.

7 Domain Name System.

El grafico base fue creado por Nicolas Rapp con datos de Geo-tel.com. Gráfico dela red existente de cables de fibra óptica en el fondo del océano, que hacenposible la conexión a internet entre los distintos países. También se muestra elporcentaje de acceso a internet de cada área geográfica y la ubicación de losprincipales servidores DNS.

Empleo de los servidores DNS en internet

1- Resolución de nombres: Convertir un nombre de host en la dirección IPque le corresponde.

2- Resolución inversa de direcciones: Es el mecanismo inverso al anterior,de una dirección IP obtener el nombre de host correspondiente.

3- Resolución de servidores de correo: Dado un nombre de dominio (porejemplo gmail.com), obtener el servidor a través del cual debe realizarse laentrega del correo electrónico.

Los servidores DNS también guardan una serie de datos de cada dominio,conocidos como DNS Record, incluyen información del propietario, fecha decreación, vencimiento, etc.

Tipos de servidores DNS8

Primarios o maestros: Guardan los datos de un espacio de nombres en susficheros.

Secundarios o esclavos: Obtienen los datos de los servidores primarios através de una transferencia de zona.

Locales o caché: Funcionan con el mismo software, pero no contienen labase de datos para la resolución de nombres. Cuando se les realiza unaconsulta, estos a su vez consultan a los servidores DNS correspondientes,almacenando la respuesta en su base de datos para agilizar la repetición deestas peticiones en el futuro continuo o libre.

Tipos de registros DNS9

A = Address – (Dirección) Este registro se usa para traducir nombres deservidores de alojamiento a direcciones IPv4.

AAAA = Address – (Dirección) Este registro se usa en IPv6 para traducirnombres de hosts a direcciones IPv6.

CNAME = Canonical Name – (Nombre Canónico) Se usa para crear nombresde servidores de alojamiento adicionales, o alias, para los servidores dealojamiento de un dominio. Es usado cuando se están corriendo múltiplesservicios (como ftp y servidor web) en un servidor con una sola dirección ip.Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. ywww.ejemplo.com.). esto también es usado cuando corres múltiples servidoreshttp, con diferente nombre, sobre el mismo host. Se escribe primero el alias yluego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2

8 Domain Name System.9 Ibídem.

NS = Name Server – (Servidor de Nombres) Define la asociación que existeentre un nombre de dominio y los servidores de nombres que almacenan lainformación de dicho dominio. Cada dominio se puede asociar a una cantidadcualquiera de servidores de nombres.

MX (registro)10 = Mail Exchange – (Registro de Intercambio de Correo) Asociaun nombre de dominio a una lista de servidores de intercambio de correo paraese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o másservicios de correo.

PTR = Pointer – (Indicador) También conocido como 'registro inverso', funcionaa la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa enel archivo de configuración del Dns reversiva.

SOA = Start of authority – (Autoridad de la zona) Proporciona informaciónsobre el servidor DNS primario de la zona.

HINFO = Host INFOrmation – (Información del sistema informático)Descripción del host, permite que la gente conozca el tipo de máquina ysistema operativo al que corresponde un dominio.

TXT = TeXT - (Información textual) Permite a los dominios identificarse demodos arbitrarios.

LOC = LOCalización - Permite indicar las coordenadas del dominio.

WKS - Generalización del registro MX para indicar los servicios que ofrece eldominio. Obsoleto en favor de SRV.

10 Un registro MX (Mail eXchange record, "registro de intercambio de correo") es un tipo de registro, unrecurso DNS que especifica cómo debe ser encaminado un correo electrónico en internet. Los registros MXapuntan a los servidores a los cuales envían un correo electrónico, y a cuál de ellos debería ser enviado enprimer lugar, por prioridad.

Cuando un mensaje de correo electrónico es enviado, el remitente (el agente de transferencia de correo -MTA Mail Transfer Agent) hace una petición al DNS solicitando el registro MX para los nombres de dominiode destino. El nombre de dominio es la parte de la dirección de correo que va a continuación de la "@". Estaconsulta devuelve una lista de nombres de dominios de servidores de intercambio de correo que aceptancorreo entrante para dicho dominio, junto con un número de preferencia. Entonces el agente emisor (oremitente) intenta establecer una conexión SMTP (Simple Mail Transfer Protocol - Protocolo Simple deTransferencia de Correo) hacia uno de estos servidores, comenzando con el que tiene el número depreferencia más pequeño, y enviando el mensaje al primer servidor con el cual puede establecer unaconexión. Si no hay registros MX disponibles, una segunda petición es solicitada al registro A (A Record) deldominio en su lugar.

Tomado de MX (Registro). Consultado el 26 de septiembre de 2013.http://es.wikipedia.org/wiki/MX_(registro)

SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio, protocolo,dominio completo, prioridad del servicio, peso, puerto y el equipo completo.Esta es la sintaxis correspondiente:

Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-Completo

SPF11 = Sender Policy Framework - Ayuda a combatir el Spam. En esteregistro se especifica cual o cuales hosts están autorizados a enviar correodesde el dominio dado. El servidor que recibe, consulta el SPF para compararla IP desde la cual le llega con los datos de este registro.

ANY = Toda la información de todos los tipos que existan.

Mecanismos de extensión de DNS

Los mecanismos de extensión para DNS (EDNS) es una especificación para laampliación del tamaño de varios parámetros del sistema de nombres de dominio(DNS), el que tenía restricciones de tamaño que la comunidad de ingeniería deInternet considera demasiado limitada para aumentar la funcionalidad delprotocolo. El primer conjunto de extensiones se publicó en 1999 por la InternetEngineering Task Force como RFC 2671, también conocido como EDNS0.12

Dado que no se podían añadir nuevos parámetros en la cabecera del DNS, ladiferenciación del nuevo formato del protocolo se logró con la opción de registrosde pseudo-recursos, los registros de recursos OPT. Estos son registros de controlque no aparecen en los archivos de zona. Los elementos del sistema DNSinsertan estos registros opcionales en las comunicaciones entre compañeros paraavisar que están utilizando EDNS. Esto proporciona un mecanismo transparente ycompatible con implementaciones antiguas, ya que los clientes más antiguos sinEDNS simplemente ignorarán el nuevo tipo de registro. Los participantes DNS sólodeben enviar las solicitudes extendidas (EDNS) a los servidores DNS si están

11 SPF (Convenio de Remitentes, del inglés Sender Policy Framework) es una protección contra lafalsificación de direcciones en el envío de correo electrónico. Cnet news (25 de mayo de 2004). «Antispamframework scores Microsoft endorsement». Consultado el 31 de mayo de 2012.

Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTPautorizados para el transporte de los mensajes.

Este convenio puede significar el fin de abusos como el spam y otros males del correo electrónico.

12 P.Vixie (Agosto 1999). The Internet Society (ed.): RFC 2671, Extension Mechanisms for DNS (EDNS0) (eninglés). Consultado el 6 de mayo de 2012.

preparados para manejar las respuestas EDNS; y los servidores DNS sólo debenutilizar EDNS en las respuestas a las solicitudes que contienen registros con OPT.

El pseudo-registro OPT proporciona espacio para hasta 16 opciones adicionalesy extiende el espacio para los códigos de respuesta. El tamaño total del paqueteUDP y el número de versión (en la actualidad 0) figuran en el registro OPT. Uncampo de datos de longitud variable permite que se pueda incluir más informaciónen las futuras versiones del protocolo. El protocolo original de DNS proporcionabados tipos de etiquetas, que se definen por los dos primeros bits de los paquetesDNS:13

00 (etiqueta estándar) 11 (etiqueta comprimido)

EDNS introduce el tipo de etiqueta 01 como etiqueta ampliada. Los 6 bits menoresdel primer byte pueden ser utilizados para definir hasta 63 etiquetas extendidosnuevos.

Un ejemplo de un pseudo-registro OPT, como muestra la herramienta de utilidadDomain Information Groper (DIG):

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags: do; udp: 4096

El resultado "EDNS: Versión: 0" indica la conformidad plena con EDNS014 Elresultado "flags: do" indica "DNSSEC OK"15

EDNS es esencial para la implementación de Extensiones de seguridad DNS(DNSSEC).16

13 RFC 1035, Nombres de dominio - Implementación y especificación, P. Mockapetris (noviembre de 1987).

14 Grupo de Trabajo de Red de la IETF, Agosto de 1999, RFC 2671: Mecanismos de extensión para DNS(EDNS0), página 3, Plena conformidad con esta especificación se indica con la versión "0".

15 Red Grupo de Trabajo de la IETF, Diciembre de 2001, RFC 3225: Apoyo a la resolución de indicación deDNSSEC, página 3, El mecanismo elegido para la notificación expresa de la capacidad del cliente para aceptar(si no entender) RR de seguridad DNSSEC es utilizando el bit más significativo del campo Z en la cabecera delOPT EDNS0 en la consulta. Este bit se conoce como el bit "DNSSEC OK" (DO).

16 Las Extensiones de seguridad para el Sistema de Nombres de Dominio ( del inglés Domain Name SystemSecurity Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force(IETF) para asegurar cierto tipo de información proporcionada por el sistema de nombre de dominio (DNS)que se usa en el protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que proporcionana los clientes DNS (o resolvers) la autenticación del origen de datos DNS, la negación autenticada de laexistencia e integridad de datos, pero no disponibilidad o confidencialidad.

“Cabe agregar, que existen ciertos problemas al utilizar el EDNS en cuanto a loscortafuegos, ya que algunos de éstos suponen una longitud máxima de mensajede DNS de 512 bytes y bloquean paquetes DNS que sean más largos.

La introducción de EDNS hizo posible un nuevo tipo de ataque de denegación deservicio, llamado amplificación de DNS, ya que EDNS facilita paquetes derespuesta muy grandes en comparación con los paquetes de peticiónrelativamente pequeñas.

El grupo de trabajo IETF de Extensiones DNS (dnsext) está trabajando en unrefinamiento de EDNS0, llamado rfc2671bis.”17

“Las vulnerabilidades detectadas en el DNS, juntocon los avances tecnológicos, han reducido engran medida el tiempo que necesita un atacantepara forzar cualquier paso del proceso debúsqueda del DNS y, por lo tanto, tomar el controlde una sesión para, por ejemplo, dirigir al usuario asus propios sitios fraudulentos con el objeto deobtener los datos de su cuenta y contraseña. Laúnica solución a largo plazo para estavulnerabilidad es la implementación integral de unprotocolo de seguridad denominado Extensionesde seguridad del DNS, o DNSSEC.Cabe enfatizar, que DNSSEC es una tecnología

que se ha desarrollado, entre otras cosas, para brindar protección contra ataquesmediante la firma digital de los datos a fin de tener la seguridad de que sonválidos. Sin embargo, para eliminar esta vulnerabilidad de Internet, esta tecnologíase debe implementar en cada uno de los pasos del proceso de búsqueda, desdela zona raíz hasta el nombre de dominio final (por ejemplo, www.icann.org).

La firma de la raíz (implementar la DNSSEC en la zona raíz) es un paso necesariode este proceso general. Es importante destacar que no cifra los datos. Tan solocertifica la validez de la dirección del sitio que se visita. La firma de la raíz también

DNSSEC trabaja firmando digitalmente estos registros para la búsqueda de DNS mediante criptografía declave pública. El registro DNSKEY correcto se autentica a través de una cadena de confianza, que comienzaen un conjunto de claves públicas de la zona raíz del DNS, que es la tercera parte de confianza.

Fuente. Domain Name System Security Extensions. Consultado el 28 de septiembre de 2013.http://es.wikipedia.org/wiki/DNSSEC

17 Mecanismos de extension de DNS. Consultado el 28 de septiembre de 2013.http://es.wikipedia.org/wiki/Mecanismos_de_extension_de_DNS

simplifica la implementación en las capas inferiores del DNS y, en consecuencia,acelerará la implementación general de la tecnología DNSSEC.”18

Espacio de nombre19

La estructura del sistema DNS se basa en una estructura de arbórea en donde sedefinen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior);esta estructura está conectada a un nodo raíz representado por un punto.

Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con unalongitud máxima de 63 caracteres. Por lo tanto, todos los nombres de dominioconforman una estructura arbórea inversa en donde cada nodo está separado delsiguiente nodo por un punto (".").

El extremo de la bifurcación se denomina host, y corresponde a un equipo oentidad en la red. El nombre del ordenador que se provee debe ser único en eldominio respectivo, o de ser necesario, en el sub-dominio. Por ejemplo, el dominiodel servidor Web por lo general lleva el nombre www.

La palabra "dominio" corresponde formalmente al sufijo de un nombre dedominio, es decir, la recopilación de las etiquetas de nodo de la estructuraarbórea, con excepción del ordenador.

El nombre absoluto está relacionado con todas las etiquetas de nodo de unaestructura arbórea, separadas por puntos y que termina con un punto final que sedenomina la dirección FQDN (Nombre de Dominio totalmente calificado). Laprofundidad máxima de una estructura arbórea es 127 niveles y la longitudmáxima para un nombre FQDN es 255 caracteres. La dirección FQDN permite

18 Tomado de DNSSEC – ¿Qué es y por qué es importante? Consultado el 28 de septiembre de 2013.http://www.icann.org/es/about/learning/factsheets/dnssec-qaa-09oct08-es.htm19 DNS (Sistema de nombre de dominio).

ubicar de manera única un equipo en la red de redes. Por lo tanto,es.kioskea.net. es una dirección FQDN.

DNS rebinding

DNS rebinding es un ataque informático basado en DNS donde el atacanteaprovecha una vulnerabilidad para transformar el equipo en un proxy de red.20

Para esto utiliza código embebido en páginas web aprovechándose de la políticadel mismo origen de los navegadores.

Normalmente las peticiones del código incorporado en las páginas web(Javascript, Java, Flash.) están limitadas al sitio web desde el que se hanoriginado, lo que se conoce como "política del mismo origen". DNS rebindingpuede mejorar la habilidad de malware basado en javascript para penetrar enredes privadas trastornando la política del mismo origen. Usando DNS rebindingun atacante puede sortear firewalls, navegar en intranets corporativas, mostrardocumentos sensibles y comprometer máquinas internas sin parchear.21

Cómo funciona el DNS rebinding22

El atacante registra un dominio el cual delega a un servidor DNS que él controla.El servidor está configurado para responder con un parámetro TTL muy corto, quepreviene que la respuesta sea cacheada.

La primera respuesta contiene la dirección IP del servidor con el código malicioso.Las consiguientes respuestas contienen direcciones IP de redes privadas falsas(RFC 1918) presumiblemente detrás de un firewall que es la meta del atacante.

Dado que las dos son respuestas DNS completamente válidas, autorizan al scriptel acceso a hosts dentro de la red privada. Devolviendo múltiples direcciones IP, elservidor DNS habilita al script para escanear la red local o realizar actividadesmaliciosas.

Las siguientes técnicas pueden ser utilizadas para prevenir ataques de DNSrebinding:

DNS pinning - fijando una dirección IP al valor recibido en la primerarespuesta DNS. Esta técnica puede bloquear algunos usos legítimos de DNSdinámico23.

20 Jackson, Collin; et al. (2009). Protecting Browsers from DNS Rebinding Attacks. ACM Transactions on theWeb (TWEB) 3 (1).21 Ibid.22 DNS rebinding. Consultado el 27 de septiembre de 2013. http://es.wikipedia.org/wiki/DNS_rebinding

Bloqueando la resolución de nombres externos en direcciones internas en losservidores de nombres locales de la organización.

Los servidores pueden rechazar peticiones HTTP con una cabecera de Hostirreconocible.

Con el tiempo, los fabricantes han tomado medidas para proteger del problema.

Flash player Firefox. Protección adicional con el plugin NoScript, desde la versión 2.0rc5.

DNS cache poisoning24

DNS cache poisoning / DNS Poisoning / Pharming es una situación creada demanera maliciosa o no deseada que provee datos de un Servidor de Nombres deDominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasardebido a diseño inapropiado de software, falta de configuración de nombres deservidores y escenarios maliciosamente diseñados que explotan la arquitecturatradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS harecibido aquellos datos no autentificados y los almacena temporalmente parafuturos incrementos de desempeño, es considerado envenenado, extendiendo elefecto de la situación a los clientes del servidor.

Ataques de Envenenamiento de Caché25

Normalmente, una computadora conectada a Internet utiliza un servidor DNSproporcionado por el proveedor de servicios de Internet (ISP). Este DNSgeneralmente atiende solamente a los propios clientes del ISP y contiene unapequeña cantidad de información sobre DNS almacenada temporalmente porusuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) deun solo servidor DNS de un ISP puede afectar a los usuarios atendidos

23 Es un sistema que permite la actualización en tiempo real de la información sobre nombres de dominiosituada en un servidor de nombres. El uso más común que se le da es permitir la asignación de un nombrede dominio de Internet a un ordenador con dirección IP variable (dinámica). Esto permite conectarse con lamáquina en cuestión sin necesidad de tener que rastrear las direcciones IP.

El DNS dinámico hace posible, siendo de uso frecuente gracias a lo descrito, utilizar software de servidor enuna computadora con dirección IP dinámica, como la suelen facilitar muchos proveedores de Internet paraparticulares (por ejemplo para alojar un sitio web en el ordenador de nuestra casa, sin necesidad decontratar un hosting de terceros).

Otro uso útil que posibilita el DNS dinámico es poder acceder al ordenador en cuestión por medio delescritorio remoto. Este servicio es ofrecido, incluso de forma gratuita, por No-IP, CDmon y FreeDNS.

Tomado de DNS Dinámico. Consultado el 26 septiembre.http://es.wikipedia.org/wiki/DNS_din%C3%A1mico24 DNS cache poisoning. Consultado el 26 septiembre. http://es.wikipedia.org/wiki/DNS_cache_poisoning25 Ibid.

directamente por el servidor comprometido o indirectamente por los servidoresdependientes del servidor.

Para realizar un ataque de envenenamiento de caché, el atacante explota unavulnerabilidad en el software de DNS que puede hacer que éste acepteinformación incorrecta. Si el servidor no valido correctamente las respuestas DNSpara asegurarse de que ellas provienen de una fuente autoritativa, el servidorpuede terminar almacenando localmente información incorrecta y enviándola a losusuarios para que hagan la misma petición.

Esta técnica puede ser usada para reemplazar arbitrariamente contenido de unaserie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacanteenvenena las entradas DNS de direcciones IP para un sitio web objetivo,reemplazándolas con la dirección IP de un servidor que él controla. Luego, elatacante crea entradas falsas para archivos en el servidor que él controla connombres que coinciden con los archivos del servidor objetivo. Estos archivospueden contener contenido malicioso, como un virus o un gusano. Un usuariocuya computadora ha referenciado al servidor DNS envenenado puede serengañado al creer que el contenido proviene del servidor objetivo y sin saberlodescarga contenido malicioso.

Como parte del proyecto Golden Shield, China, de forma regular hace uso deenvenenamiento de DNS para redes o sitios específicos que violan las políticasbajo las cuales el proyecto opera.

Variantes

En las siguientes variantes, las entradas del servidor ns.wikipedia.org pueden serenvenenadas y redirigidas al servidor de nombres del atacante en la direcciónw.x.y.z. Estos ataques asumen que el servidor para wikipedia.org esns.wikipedia.org.

Para conseguir éxito en el ataque, el atacante debe forzar que el servidor DNSobjetivo haga una petición hacia un dominio controlado por uno de los servidoresde nombres del atacante.

Redirección al servidor de nombres del dominio objetivo

La primera variante del envenenamiento de caché de DNS involucra redirigir elnombre del servidor del atacante del dominio hacia el servidor de nombres deldominio objetivo, luego se asigna a dicho servidor de nombres una dirección IPespecificada por el atacante.Petición del servidor DNS: cuáles son los registros de direcciones parasubdominio.ejemplo.com?

subdominio.ejemplo.com. IN A

Respuesta del atacante:

Answer:

(no response)

Authority section:

example.com. 3600 IN NS ns.wikipedia.org

Additional section:

ns.wikipedia.org. IN A w.x.y.z

Un servidor vulnerable puede almacenar en caché el registro A adicional (ladirección IP) para ns.wikipedia.org, permitiendo al atacante resolver consultaspara todo el dominio wikipedia.org.

Redirigir el registro DNS a otro dominio objetivo

La segunda variante de envenenamiento de caché DNS involucra redirigir elservidor de nombres de otro dominio hacia otro dominio no relacionado a lapetición original de una dirección IP especificada por el atacante.Petición del servidor DNS: cuáles son los registros de dirección parasubdominio.ejemplo.com?

subdominio.ejemplo.com. IN A

Respuesta del atacante:

Answer:

(no response)

Authority section:

wikipedia.org. 3600 IN NS ns.ejemplo.com.

Additional section:

ns.ejemplo.com. IN A w.x.y.z

Un servidor vulnerable puede almacenar la información de autoridad norelacionada de los registros de servidor de nombres de wikipedia.org, permitiendoal atacante resolver consultas para todo el dominio wikipedia.org.

Prevención y mitigación

Muchos ataques de envenenamiento de caché puede ser prevenidos simplementepor servidores DNS siendo menos confiables que la información pasada por ellopor otros servidores DNS, e ignorando cualquier registro DNS retornado y que nosea directamente relevante a la consulta. Por ejemplo, versiones recientes deBIND ahora contienen código que evalúa estos casos. Como se mencionóanteriormente, la selección aleatoria del puerto origen de consultas DNS,combinadas con el uso de números aleatorios criptográficamente seguros paraelegir el puerto y el número identificador de 16 bits puede reducir grandemente laprobabilidad de ataques de carrera DNS exitosos.

DNSSEC (extensiones de nombres de dominio de seguridad del sistema) implementa la firmadigital de los datos de DNS (Domain Name System), que son vulnerables a los ataques. Los DNSson vulnerables a una serie de amenazas y ataques, como el man-in-the-middle y envenenamientode la caché. Estas amenazas utilizar información falsa para redirigir a los usuarios a sitiosengañosos de Internet. Los registros DNSSEC introducen una firma digital en el DNS dedatos, verifica la fuente y confirma su autenticidad, mientras que se mueven dentro deinternet. Esto significa que cuando un usuario introduce una dirección con DNSSEC habilitado, larespuesta recibida, es decir, el sitio en el que se redirige, tiene su autoridad verificado laautenticidad. Figura tomada de. http://www.papaki.gr/en/dnssec-records.htm%20

Una versión segura de DNS, DNSSEC, utiliza firmas criptográficas electrónicasvalidadas con un certificado digital confiable para determinar la autenticidad de losdatos. DNSSEC puede contener ataques de envenenamiento de caché, perohasta 2008 aún no estaba difundido ampliamente.

Este tipo de ataque puede ser mitigado también por las capas de transporte oaplicación para conseguir validación extremo a extremo (end-to-end validation)una vez que una conexión es establecida en extremo. Un ejemplo común de estoes el uso de Seguridad de Capa de Transporte y firmas digitales. Por ejemplo,usando la versión segura de HTTP, HTTPS, los usuarios pueden verificar si elcertificado digital es válido y pertenece al dueño esperado de un sitio web. Demanera similar, el programa de inicio de sesión remoto SSH verifica certificadosdigitales en los extremos (si los conoce) antes de proseguir con una sesión. Paraaplicaciones que descargan actualizaciones automáticamente, la aplicación puedealojar una copia local del certificado digital de los datos y validar el certificadoalmacenado en la actualización de software contra el certificado alojado.

Domain Name System Security Extensions26

Profundizando más sobre este sistema, las Extensiones de seguridad para elSistema de Nombres de Dominio ( del inglés Domain Name System SecurityExtensions, o DNSSEC) es un conjunto de especificaciones de la InternetEngineering Task Force (IETF) para asegurar cierto tipo de informaciónproporcionada por el sistema de nombre de dominio (DNS) que se usa en elprotocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS queproporcionan a los clientes DNS (o resolvers) la autenticación del origen de datosDNS, la negación autenticada de la existencia e integridad de datos, pero nodisponibilidad o confidencialidad.

DNSSEC trabaja firmando digitalmente estos registros para la búsqueda de DNSmediante criptografía de clave pública. El registro DNSKEY correcto se autentica através de una cadena de confianza, que comienza en un conjunto de clavespúblicas de la zona raíz del DNS, que es la tercera parte de confianza.

Registros

El DNS se implementa mediante el uso de varios registros de recursos. Paraimplementar DNSSEC, varios de los nuevos tipos de registro DNS se han creadoo adaptado para su uso con DNSSEC:

RRSIG DNSKEY

26 Domain Name System Security Extensions. Consultado el 26 septiembre.http://es.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

DS NSEC NSEC3 NSEC3PARAM

Cuando se usa DNSSEC, cada respuesta a una búsqueda de DNS contendrá unregistro RRSIG DNS además del tipo de registro que se solicitó. El registro RRSIGes una firma digital de la respuesta de DNS registro de recursos conjunto. La firmadigital puede ser verificada localizando la clave pública correcta se encuentra enun registro DNSKEY. El registro DS se utiliza en la autenticación de DNSKEYs enel procedimiento de búsqueda usando la cadena de confianza. Los registrosNSEC y NSEC3 se utilizan para una resistencia fuerte contra la suplantación deidentidad.

DNSSEC fue diseñado para ser extensible y para que cuando se descubranataques contra los algoritmos existentes, nuevos pueden ser introducidos en unaforma compatible con versiones anteriores. A julio de 2009, se definieron lossiguientes algoritmos de seguridad que son utilizados con mayor frecuencia:27

DNSSEC fue diseñado para ser extensible y para que cuando se descubranataques contra los algoritmos existentes, nuevos pueden ser introducidos en unaforma compatible con versiones anteriores. En la siguiente tabla se citan losalgoritmos de seguridad que son utilizados con mayor frecuencia:

Campo del Algoritmo Algoritmo Fuente

0 Reservado

RFC 4034

1 RSA/MD5

3 DSA/SHA-1

5 RSA/SHA-1

27 «Domain Name System Security (DNSSEC) Algorithm Numbers». IANA (12 de julio de 2010). Consultado el17 de julio de 2010.

7RSASHA1-NSEC3-SHA1

RFC 5155

8 RSA/SHA-256

RFC 5702

10 RSA/SHA-512

12 GOST R 34.10-2001 RFC 5933

Nota: Se debe tener precaución con los servidores DNS que usamos: Esrecomendado regularmente verificar que los servidores DNS que se usan paraconexión de red, son los que se han configurado.

Existe malware en internet capaz de modificar la configuración de red y lograr queinocentemente se esté usando servidores DNS diferentes, el objetivo es llevarnosa sitios web diseñados específicamente para prácticas fraudulentas.

Si en algún momento se infesta el equipo con un virus informático, después deeliminarlo con el programa antivirus, verifique inmediatamente los servidores DNSasignados.

Use el archivo batch citado en este trabajo y úselo regularmente.

Tipos de registros28

Un DNS es una base de datos distribuida que contiene registros que se conocencomo RR (Registros de Recursos), relacionados con nombres de dominio. Lasiguiente información sólo es útil para las personas responsables de laadministración de un dominio, dado que el funcionamiento de los servidores denombre de dominio es completamente transparente para los usuarios.El sistema de memoria caché permite que el sistema DNS sea distribuido, losregistros para cada dominio tienen una duración de vida que se conoce como TTL(Tiempo de vida). Esto permite que los servidores intermediarios conozcan lafecha de caducidad de la información y por lo tanto que sepan si es necesarioverificarla o no.

28 DNS (Sistema de nombre de dominio). Consultado el 27 de septiembre de 2013.http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

Recapitulando la temática tratada al inicio de este documento, por lo general, unregistro de DNS contiene la siguiente información:

Nombre de dominio (FQDN) TTL Tipo Clase RData

es.kioskea.net 3600 A IN 163.5.255.85

Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, esdecir, debe terminar con un punto. En caso de que falte el punto, el nombre dedominio es relativo, es decir, el nombre de dominio principal incluirá un sufijo enel dominio introducido;

Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro.El tipo de recurso puede ser uno de los siguientes:

A: este es un tipo de base que hace coincidir el nombre canónico con ladirección IP. Además, pueden existir varios registros A relacionados condiferentes equipos de la red (servidores).

CNAME (Nombre Canónico): Permite definir un alias para el nombrecanónico. Es particularmente útil para suministrar nombres alternativosrelacionados con diferentes servicios en el mismo equipo.

HINFO: éste es un campo solamente descriptivo que permite la descripciónen particular del hardware del ordenador (CPU) y del sistema operativo(OS). Generalmente se recomienda no completarlo para evitar suministrarinformación que pueda ser útil a piratas informáticos.

MX (Mail eXchange): es el servidor de correo electrónico. Cuando unusuario envía un correo electrónico a una dirección (user@domain), elservidor de correo saliente interroga al servidor de nombre de dominio conautoridad sobre el dominio para obtener el registro MX. Pueden existirvarios registros MX por dominio, para así suministrar una repetición encaso de fallas en el servidor principal de correo electrónico. De este modo,el registro MX permite definir una prioridad con un valor entre 0 y 65,535:es.kioskea.net. IN MX 10 mail.commentcamarche.net.

NS: es el servidor de nombres de dominio con autoridad sobre el dominio.

PTR: es un puntero hacia otra parte del espacio de nombres del dominio.

SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite ladescripción del servidor de nombre de dominio con autoridad en la zona,

así como la dirección de correo electrónico del contacto técnico (en dondeel carácter "@" es reemplazado por un punto).

Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lotanto, éste es el sistema que utilizaremos en nuestro caso), o CH (para elsistema caótico);

RDATA: estos son los datos relacionados con el registro. Aquí se encuentra lainformación esperada según el tipo de registro:

A: la dirección IP de 32 bits: CNAME: el nombre de dominio; MX: la prioridad de 16 bits, seguida del nombre del ordenador; NS: el nombre del ordenador; PTR: el nombre de dominio PTR: el nombre de dominio; SOA: varios campos.

DNS conexión a un sitio de internet

Primer ejemplo, conexión directa:

Consiste básicamente lo que hacemos normalmente, se escribe en el navegadorla dirección de una página web, por ejemplo: http://www.mamma.com

Si en otras ocasiones se ha entrado a esta página, en la cache del equipo o la delservidor del que depende nuestra conexión, tenemos registrada la dirección IP quele corresponde, por lo que la conexión será directa sin intermediarios.

Segundo ejemplo, solicitud a un servidor DNS:29

Se digita la dirección http://www.pagina.com/poco-comun/, que es una páginapoco conocida, con escaso tráfico y que queda en un país remoto,automáticamente nuestro servidor hace la petición al servidor DNS que tieneconfigurada nuestra conexión.Si ese servidor DNS no posee en su base de datos el nombre de dominio de esapágina (nombre de dominio es el dato que está antes de la primera barra, seria eneste caso www.pagina.com), hará la petición a otro servidor DNS y asísucesivamente y devolverá al final la dirección IP solicitada con la demora lógicaque eso significa.

Conocer los servidores DNS

Los servidores DNS asignados a su conexión actualmente, fueron asignados alcrear dicha conexión por el proveedor de acceso a internet, su uso es opcional, sepueden cambiar en cualquier momento por otros que considere más eficientes.

Hay varias formas de conocer cuáles son los establecidos en este momento.

Hay una aplicación en HTA que usa el navegador Internet Explorer que muestraen pantalla los servidores DNS asignados actualmente a la conexión de red denuestro equipo. Así:

Conocer los servidores DNS usando la consola de CMD

- Ejecutar (WINDOWS+R), cmd, y pegar:

CMD /k ipconfig /all|FINDSTR /C:"Servidores DNS"

29 Ibid.

- También puede usar el comando NSLOOKUP, para eso abrir la consola deCMD, y digitarlo:

La primera línea de la respuesta es el nombre del servidor asignado y la segundasu dirección IP.

- Conocer los servidores DNS usando una aplicación o archivo batch

Al ejecutarlo la aplicación creará un archivo de textollamado: ServidoresDNS.txt, en su interior verá la dirección IPcorrespondiente a los dos servidores DNS usados por el equipo. Guarde elscript para utilizarlo regularmente y así comprobar que su configuración dered no ha sido afectada.

:: (c) Servidores DNS -2013:: Seguridad en redes.:: Guardar con extensión cmd

@echo offWMIC /Output:ServidoresDNS.txt Path Win32_NetworkAdapterConfigurationWhere IPEnabled=TRUE Get DNSServerSearchOrder /format:LIST

msg * Hecho, lee el archivo: ServidoresDNS.txt

- Conocer los servidores DNS manualmente en tu conexión de red

Los servidores DNS aparecen en las propiedades del protocolo TCP/IP dela conexión con la cual se conectas a internet. Para ver dicha opciónrealizar los siguientes pasos:

• En el Panel de control abrir Centro de redes• En el panel de la izquierda escoger: Cambiar configuración del adaptador.• Dar un clic derecho en la red con la cual se conectas a internet y en elmenú escoger: Propiedades• Seleccionar: Protocolo de internet versión 4 TCP/IPv4• Usar el botón PropiedadesVerá la dirección IP de los dos servidores, el primario y el secundario.

Rendimiento y eficiencia de los servidores DNS

Algunas veces las conexiones entre los servidores están caídas o saturadas por eltráfico, por lo que el navegador quede esperando la conexión, y que trasdeterminado tiempo aparezca el mensaje que la página web solicitada no estádisponible.

Esto se debe a que el DNS al estar basado en UDP (protocolo de transporte, nogarantiza la recepción de la información enviada), tanto las consultas como lasrespuestas pueden "perderse" (por ejemplo, a causa de congestionamiento enalgún enlace de la red).

Como podrá deducir no todos los mensajes que ofrece el navegador son ciertos,simplemente se deben a errores en las conexiones y a servidores DNSineficientes.

Investigaciones sugieren que actualmente un 60% de los usuarios de internet, encaso de cambiar sus servidores DNS por otros más eficientes, incrementarían elrendimiento de su conexión en un 40%.30

Configuración manual de los servidores DNS

Para cambiar de forma manual sus servidores DNS siga los siguientes pasos:

Ante todo tenga precaución de anotar las direcciones de servidor actual y laconfiguración.

• En el Panel de control abrir el "Centro de redes", en el panel de laizquierda escoger: "Cambiar configuración del adaptador".

30 Ibídem.

• Dar un clic encima de la conexión que usa para conectarse a internety escoger "Propiedades".

• Seleccionar "Protocolo Internet versión 4 (TCP/IPv4)", clic en elbotón "Propiedades".

• Allí marcar la casilla "Usar las siguientes direcciones de servidorDNS". Digite: 8.8.8.8 en el primer campo y 8.8.4.4 en el segundo.

• Presione Aceptar en todas las ventanas para guardar los cambios.

Ahora las peticiones se harán a los servidores DNS de Google, por lo que elrendimiento de la conexión mejorará considerablemente. De una forma similarpuede configurar y usar cualquier otro servidor DNS. ¡Que es la tareíta entreotras que deben hacer!

Direcciones de los servidores DNS más rápidos y eficientes de internet31

Los servidores asignados a nuestra conexión de forma predeterminada,Generalmente no son los más eficientes. Se pueden sustituir por esa y pormuchas otras razones, como son:

31 Tomado de http://norfipc.com/redes/como-configurar-optimizar-servidores-dns-windows.html

Hacer la navegación más rápida. Usar servicios que ofrecen compañías queposeen una red buena de comunicación, puede mejorar hasta un 40% la velocidada la que navegamos en la red. Se conocen por las mediciones y el monitoreo detráfico que realizan constantemente otros servicios especializados. Los que seindican en este trabajo son públicos o gratuitos.

Hacer la navegación más segura. Se puede escoger servicios prestigiosos deseguridad que filtran e impiden que se carguen páginas de sitios catalogadoscomo peligros porque tienen o están cargados de virus o malware que impidenque se carguen páginas de sitios con contenido solo para adultos. Esta opción esmuy útil si nuestra conexión de internet la usan menores de edad.

Proteger la privacidad. Burlar la censura, o sea el acceso a determinados sitios opaíses e impedir que quede registrado el historial de nuestra navegación web.

Errores de resolución. Acceder a dominios y sitios no registrados correctamente,por lo que ocasionalmente se recibe mensajes de error al estilo de: "el sitio web noestá disponible", sabiendo que funciona perfectamente.

Con base en lo anterior, existen servicios gratis que permiten mejorar la calidad dela navegación en internet, funcionando como puntos intermedios de resolución denombres de dominio y que al mismo tiempo filtran las direcciones IP que estáncatalogadas como peligrosas o indeseables. Lo cual permite impedir que los niñospuedan entrar a páginas de contenido pornográfico, sexo, violencia u otrocontenido no adecuado.

Todo usuario al estar conectado a la red usa servidores DNS, que son servicios alos que su navegador en segundo plano consulta la dirección IP de las páginasque se solicita.

¿Cuándo utiliza Windows los servidores DNS?32

Windows se rige por una configuración estándar para manejar y administrar laspeticiones enviadas y las respuestas recibidas de los servidores DNS.La optimización de estos dos factores, DNS-Windows representará un incrementoen el rendimiento de la navegación web en general.

En Windows al iniciarse el servicio Cliente DNS (Dnscache) la correspondenciaentre nombre de dominio/dirección IP que existen en el archivo hosts es cargadaen la cache, a esta se agregan los recursos obtenidos en las respuestas deconsultas DNS anteriores y se mantienen durante un periodo determinado.Al introducir una dirección URL en el navegador web Windows tiene registrado quehacer, donde buscar y con qué prioridad.

Optimizar estos pasos mejorará considerablemente el rendimiento de lanavegación web.

El objetivo y la razón de existir de los servidores DNS, es la de resolver losnombres de host o nombres de dominio y entregar la dirección IP que lescorresponde al equipo. Pero estos servidores no son los únicos involucrados enesta tarea, Windows de forma predeterminada tiene el orden de los factoresinvolucrados y la prioridad de cada uno, es la siguiente:

LocalPriority = 499, prioridad predeterminada (Cache de nombres local)HostPriority = 500, prioridad predeterminada (El archivo hosts)DnsPriority = 2000, prioridad predeterminada (Servidores DNS)NetbtPriority = 2001, prioridad predeterminada (Resolución de nombres NetBT yWINS)

32 Ibidem

Es posible optimizar estos valores lo que traerá consigo más rapidez en la cargade las páginas web y mayor rendimiento en general en la navegación en la red. Enel siguiente ajuste se mantiene el mismo orden, pero se eleva considerablementela prioridad de la petición al servidor DNS configurado en la conexión, la diferenciade algunos milisegundos parece insignificante pero representa un incremento en elrendimiento general bastante significativo.

Para eso es necesario ajustar los valores correspondientes en la siguiente clavedel registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ServiceProviderLocalPriority= DWORD, 4 (Cache de nombres local)HostsPriority= DWORD, 5 (El archivo hosts)DnsPriority= DWORD, 6 (Servidores DNS)NetbtPriority= DWORD, 7 (Resolución de nombres NetBT y WINS)

El ajuste anterior es posible hacerlo manualmente, pero si no se tiene la suficienteexperiencia y conocimiento, es recomendado descargar una clave y agregarla alregistro.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ServiceProvider]"DnsPriority"=dword:00000006"HostsPriority"=dword:00000005"LocalPriority"=dword:00000004"NetbtPriority"=dword:00000007

Guardar con extensión .reg

Nota: los espacios deben respetarse si quieren que funcione.

Configurar el tiempo que almacena Windows en cache las entradas DNS33

Windows almacena en cache las entradas de host DNS un tiempo determinado,antiguamente este intervalo era de 24 horas pero en muchos casos esto esdemasiado tiempo. Durante este período, algunas entradas de host dejan defuncionar debido al cambio de la dirección IP del servidor remoto que se resolvióinicialmente.

33 Ibid.

En la actualidad el valor es de 24 minutos solamente, es decir pasado ese tiemposi se hace la petición de la misma dirección web al navegador, Windowsnuevamente efectúa la petición al servidor DNS.

Es posible cambiar ese valor e incrementar o disminuir el tiempo que permanezcala resolución de host en cache, modificando la clave del registro que lo establece.El beneficio que proporcionaría el incremento del valor, es solo a usuarios quenaveguen de forma bastante activa en la red y que accedan a varios sitiosalternativamente. En ese caso se lograría un incremento efectivo en el rendimientode la navegación web, al no tener que estar consultando regularmente losservidores DNS.

La clave del registro que establece el valor que se comenta es la siguiente:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings

Es necesario agregar un Nuevo valor DWORD de nombre: DnsCacheTimeout yestablece el Valor decimal del tiempo necesario en segundos. Ejemplos:

• Para configurar el tiempo de espera a 10 minutos, utiliza un valor de 600segundos.• Para configurar el tiempo de espera a 24 horas, utiliza un valor de 86400segundos.

Reiniciar el equipo posteriormente.

Como vaciar la cache de resolución DNS almacenada en Windows

En caso de sitios que utilicen una dirección IP dinámica, por lo que no puedan seraccedidos después de un corto intervalo de tiempo, es necesario en ese casoliberar el cache, lo que se puede realizar utilizando el comando IPCONFIG.Se hace de la siguiente forma.

Introducir en la consola de cmd: ipconfig /flushdns y Enter. Recibirá el siguientemensaje:

Puede hacerlo también de otra forma, para eso copie y pegue la siguiente línea decódigo en el cuadro de Inicio y Enter:

cmd.exe /k ipconfig /flushdns

Es posible crear un acceso directo con el código anterior, en caso que se vaya autilizar frecuentemente. Se conoce que en ocasiones cuando la cache está muyrecargada, liberarla usando /flushdns puede acelerar la navegación.

Como ver la cache almacenada actualmente en Windows

Para ver la cache almacenada actualmente por Windows copie y pegue en cmd:

ipconfig /displaydns

O digite en Inicio y presione Enter:

cmd.exe /k ipconfig /displaydns

Este comando puede ser útil en ocasiones para conocer o verificar la dirección IPalmacenada de los sitios habituales a los que se accede. Es posible también usaruna línea de código, que permita guardar en un archivo de texto el contenido de lacache para verlo de forma más detenida, para eso copie y pegue en el cuadro deInicio la siguiente línea y oprima Enter:

cmd.exe /c ipconfig /displaydns>%userprofile%\Desktop\cache.txt

Se creará en el escritorio un documento de texto de nombre "cache.txt" que entreotros datos mostrará:

El Nombre de registro (la dirección web), el Periodo de vida cuyo valorpredeterminado es de 1440 segundos como se explicó anteriormente y registro(host) que contiene la dirección IP del host.

Si por alguna razón necesita detener el servicio de Dnscache puede hacerloutilizando cualquiera de los siguientes comandos:

sc stop Dnscachenet stop dnscache

DNS en Linux

Para el caso de Linux o Unix, se procede a listar dentro delarchivo /etc/resolv.conf del siguiente modo:

$ vi /etc/resolv.conf

nameserver 80.58.0.33

nameserver 80.58.32.97

No es necesario reiniciar la red para que los cambios surtan efecto. Simplementese tiene que hacer ping a un dominio para ver si el funcionamiento de resoluciónde nombres es correcto:

$ ping google.com

PING google.com (74.125.53.100) 56(84) bytes of data.

64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=1 ttl=46time=541 ms

64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=2 ttl=46time=263 ms

Nota: Para instalar un servidor DNS más completo, se puede utilizar el paquetebind9. Para ello, se hace con apt-get desde la consola de root:

// Instalación del servidor DNS bind# apt-get install bind9

De esta forma se instalan los programas necesarios para disponer de un completoservidor DNS con bind. Tan solo será necesario configurarlo y ponerlo en marcha.Para ello, el servidor DNS bind admite tres modos de funcionamiento:

Servidor DNS maestro Servidor DNS esclavo Servidor caché DNS

Servidor DNS maestro

En este modo de funcionamiento, el servidor se comporta como un auténticoservidor DNS para nuestra red local. Atenderá directamente a las peticiones deresolución de direcciones pertenecientes a la red local y reenviará a servidoresDNS externos las peticiones del resto de direcciones de Internet.Servidor DNS esclavo

Un servidor esclavo actuará como un servidor espejo de un servidor DNS maestro.Permanecerá sincronizado con el maestro. Se utilizan para repartir las peticionesentre varios servidores aunque las modificaciones solo se realicen en el maestro.En redes locales salvo por razones de disponibilidad, es raro que exista lanecesidad de tener dos servidores DNS ya que con uno será suficiente.

Servidor caché DNS34

En este modo de funcionamiento, el servidor se comporta como si fuera unauténtico servidor DNS para nuestra red local aunque realmente no sea unservidor DNS propiamente dicho. Cuando recibe una petición de DNS por parte deun cliente de nuestra red, la trasladará a un DNS maestro que puede estar ennuestra red o fuera, almacenará en una memoria caché la respuesta y a la vez lacomunicará a quien hizo la petición. Si un segundo cliente vuelve a realizar lamisma petición, como nuestro servidor tiene la respuesta almacenada en sumemoria caché, responderá inmediatamente sin tener que cursar la petición aningún servidor DNS de Internet.

Disponer de un servidor caché DNS en nuestra red local aumenta la velocidad dela conexión a Internet pues cuando navegamos por diferentes lugares,continuamente se están realizando peticiones DNS. Si nuestro caché DNSalmacena la gran mayoría de peticiones que se realizan desde la red local, las

34 Servidor DNS bind9. Consultado el 28 de septiembre de 2013.http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m2/servidor_dns_bind9.html

respuestas de los clientes se satisfarán prácticamente de forma instantáneaproporcionando al usuario una sensación de velocidad en la conexión.

Es un modo de funcionamiento de sencilla configuración ya que prácticamente loúnico que hay que configurar son las direcciones IP de un DNS primario y de unDNS secundario, equivalente a lo que se hace con windows. Muchos routersADSL ofrecen ya este servicio de caché, tan solo hay que activarlo y configuraruna o dos IPs de servidores DNS en Internet. En los PC de nuestra red localpodríamos poner como DNS primario la IP de nuestro router y como DNSsecundario una IP de un DNS de Internet.

Archivos de configuracion del DNS

El archivo de configuración del DNS es el archivo /etc/bind/named.conf, peroeste hace referencia a otros cuantos archivos como por ejemplo:

Archivo named.conf: Archivo principal de configuración Archivo named.conf.options: Opciones genéricas Archivo named.conf.local: Especificación particular de este servidor DNS Archivo db.127:Especificación dirección de retorno Archivo db.root: DNSs de nivel superior Otros archivos: db.0, db.255, db.empty, db.local, rndc.conf, rndc.key,

zones.rfc1918

Configuración como caché DNS

Por defecto, al instalar el paquete bind está preconfigurado como servidor cachéDNS. Tan solo será necesario editar el archivo /etc/bind/named.conf.options y enla sección forwarders añadir las IPs de dos servidores DNS donde redirigir laspeticiones DNS:

// Configuración como caché DNS// Añadir IP de los DNS de nuestro proveedor en /etc/bind/named.conf.optionsoptions {forwarders {80.58.0.33; 80.58.32.97;};

};

Configuración DNS maestro

Por razones de acceso y organización se desea asignar un nombre a todos losequipos de la red, se instala un servidor DNS privado con un dominio ficticio, porejemplo 'misitio.com'. Todos los PC de la red pertenecerán a dicho dominioficticio que funcionará solo en esta red interna, no en Internet. En tal caso el

nombre completo de los PC terminará con 'misitio.com', por ejemplo:aula1pc5.misitio.com. Lo ideal en una situación así es disponer de un servidorDNS que sea maestro del dominio, es decir, maestro del dominio interno'misitio.com'.

El servidor DNS maestro para nuestro dominio ficticio interno 'misitio.com' serácapaz de resolver peticiones internas de nombres de este dominio, tanto de formadirecta como de forma inversa, es decir, si recibe una consulta acerca de quién esaula1pc5.misitio.com deberá devolver su IP, por ejemplo 192.168.0.107. Si laconsulta es una consulta DNS inversa acerca de quién es 192.168.0.107, deberáresponder aula1pc1.misitio.com. Por ello se debe añadir en el archivo/etc/bind/named.conf.local la especificación de maestro para el dominio y para laresolución inversa, por ejemplo:

// Añadir en /etc/bind/named.conf.local// Archivo para búsquedas directaszone "misitio.com" {type master;file "/etc/bind/misitio.db";};

// Archivo para búsquedas inversaszone "0.168.192.in-addr.arpa" {type master;file "/etc/bind/192.rev";};

Es claro que es necesario crear los archivos misitio.db y 192.rev que especificaránla asociación entre nombres y direcciones IP de nuestra red en un sentido y enotro respectivamente.

Archivo de zona de búsqueda directa

Supongamos que en nuestra red local tenemos un aula llamada aula5 con 12 PCcon IP que van desde la 192.168.0.101 hasta 112 y cuyos nombres van desdeaula5pc1 hasta aula5pc10, luego un servidor web (pc11) y un servidor de correoelectrónico que además es servidor DNS (pc12). El archivo de configuración DNSde nuestro dominio podría ser así:

// Archivo /etc/bind/misitio.db;; BIND data file for misitio.com;@ IN SOA misitio.com. root. misitio.com. (

1 ; Serial604800 ; Refresh86400 ; Retry2419200 ; Expire604800 ) ; Default TTLIN NS dns.misitio.com.IN MX 10 mail.misitio.com.

aula5pc1 IN A 192.168.0.101aula5pc2 IN A 192.168.0.102aula5pc3 IN A 192.168.0.103aula5pc4 IN A 192.168.0.104aula5pc5 IN A 192.168.0.105aula5pc6 IN A 192.168.0.106aula5pc7 IN A 192.168.0.107aula5pc8 IN A 192.168.0.108aula5pc9 IN A 192.168.0.109aula5pc10 IN A 192.168.0.110www IN A 192.168.0.111dns IN A 192.168.0.112mail IN A 192.168.0.112

Las primeras líneas son unos parámetros relacionados con la actualización delDNS (número de serie y periodos de actuación). Las dos siguientes líneas indicanquién es el servidor primario (NS = Name Server) y quien procesa el correoelectrónico del dominio (MX = Mail eXchange). Las siguientes líneas especificanlas IP de los distintos PC componentes del dominio (A = Address).

Si se olvida algún punto y coma, dará errores y no funcionará correctamente. Pararevisar los archivos se dispone de los comandos named-checkconf y named-checkzone que analizan que esté correcta la sintaxis de los mismos.

Archivo de zona de búsqueda inversa

Para poder realizar consultas inversas (de IP a nombre) será necesario crear elsiguiente archivo:

// Archivo /etc/bind/192.rev;; BIND reverse data file for 192.168.0.0;@ IN SOA misitio.com. root. misitio.com. (1 ; Serial

604800 ; Refresh86400 ; Retry2419200 ; Expire604800 ) ; Default TTL

IN NS dns.v

101 IN PTR aula5pc1.misitio.com.102 IN PTR aula5pc2.misitio.com.103 IN PTR aula5pc3.misitio.com.104 IN PTR aula5pc4.misitio.com.105 IN PTR aula5pc5.misitio.com.106 IN PTR aula5pc6.misitio.com.107 IN PTR aula5pc7.misitio.com.108 IN PTR aula5pc8.misitio.com.109 IN PTR aula5pc9.misitio.com.110 IN PTR aula5pc10.misitio.com.111 IN PTR www.misitio.com.112 IN PTR dns.misitio.com.112 IN PTR mail.misitio.com.

Una vez configurado nuestro servidor DNS, se debe indicar a nuestro servidorLinux que el servidor DNS es él mismo, lo cual se especifica en el archivo/etc/resolv.conf.

// Indicamos que nosotros mismos somos servidores DNS

// y por defecto buscamos en nuestro dominio

// Editar /etc/resolv.conf del servidor DNSnameserver 127.0.0.1search misitio.com

En el resto de PC de la red, indicaremos que el servidor DNS es 192.168.0.112

// En el resto de PC de la red indicamos quién es el DNS// Editar /etc/resolv.conf del resto de PCs de la rednameserver 192.168.0.112

Tan solo faltará poner en marcha el servidor de nombres ejecutando en el servidorel script de inicio correspondiente:

// Arranque del servidor DNS# /etc/init.d/bind9 restart

Mediante el comando host, el comando dig o el comando nslookup hacer algunaconsulta de prueba.

Configuración DNS esclavo

Si deseamos configurar nuestro servidor DNS para que actúe como esclavo de unservidor DNS maestro, la configuración es mucho más sencilla que en el casoanterior ya que únicamente será necesario indicar en el DNS esclavo quién es elservidor DNS maestro, y en el DNS maestro, la IP del DNS esclavo.

Ejemplo, supongamos que el nombre del DNS maestro es dns.misitio.com (IP192.168.0.112) y que el nombre del DNS esclavo es dns2.ieslapaloma.com. En elarchivo 'misitio.db' de zona de búsqueda directa añadiremos la línea del segundoDNS justo debajo de donde está la del primero:

// Añadir línea en /etc/bind/ misitio.db del maestro....IN NS dns.misitio.com.IN NS dns2.misitio.com. // Nueva línea....

De esta forma se indicará que existen más servidores DNS para dicha zona. Lomismo se hace en el archivo '192.rev' de la zona inversa:

// Añadir línea en /etc/bind/192.rev del maestro....IN NS dns.misitio.com.IN NS dns2.misitio.com. // Nueva línea....

En el archivo /etc/bind/named.conf.local del servidor DNS esclavo debemos indicarque se trata de un servidor esclavo y también debemos indicar quién es elmaestro:

// Añadir en /etc/bind/named.conf.local del esclavozone " misitio.com" {type slave;file "/etc/bind/ misitio.db";masters { 192.168.0.112; };};

zone "0.168.192.in-addr.arpa" {type slave;file "/etc/bind/192.rev";masters { 192.168.0.112; };};

En el archivo /etc/bind/named.conf.local del servidor DNS maestro podemosutilizar also-notify para mantener los DNS sincronizados. Con also-notify pasamoslos cambios de zonas en el maestro al esclavo:

// Archivo /etc/bind/named.conf.local del maestrozone " misitio.com." {type master;file "/etc/bind/ misitio.db";also-notify {ip_del_esclavo;}};

zone "0.168.192.in-addr.arpa" {type master;file "/etc/bind/192.rev";also-notify {ip_del_esclavo;}};

De esta forma dispondremos en la red de un servidor DNS esclavo que podrásatisfacer las peticiones DNS al igual que lo haría el maestro. Es interesante si elnúmero de peticiones es muy elevado y se requiere distribuir la carga entre los dosservidores, o si deseamos disponer de servicio DNS de alta disponibilidad deforma que aunque el servidor maestro deje de funcionar, el servidor esclavo podráseguir ofreciendo el servicio.

Cada vez que se haga un cambio en los archivos /etc/bind/misitio.db y/etc/bind/192.rev del maestro, debemos acordarnos de actualizar el parámetroserial (incrementar en una unidad) para que los DNS dependientes del maestrosepan que ha cambiado y actualicen su información para mantenersesincronizados.

Arranque y parada manual del servidor DNS

El servidor DNS, al igual que todos los servicios en Debian, dispone de un scriptde arranque y parada en la carpeta /etc/init.d.

// Arranque del servidor DNSsudo /etc/init.d/bind9 start// Parada del servidor DNSsudo /etc/init.d/bind9 stop

// Reinicio del servidor DNSsudo /etc/init.d/bind9 restart

Arranque automático del servidor DNS al iniciar el sistema:

Para un arranque automático del servicio al iniciar el servidor, se crean los enlacessimbólicos correspondientes tal y como se indica en el apartado Trucos >Arranque automático de servicios al iniciar el sistema.

CAMBIAR LOS SERVIDORES DNS

De forma predeterminada nuestro ISP nos asigna los servidores DNS que usaránuestra conexión, pero es opcional cambiarlos por otros más eficientes. Noobstante, en algunos casos pueden resultar más apropiados, dependiendo denuestra ubicación geográfica.

Servidores DNS más eficientes para la conexión de red

Existen algunos servicios y aplicaciones para buscar y probar servidores DNSalternos. Permiten medir el tiempo de respuesta y saber el rendimiento de losservidores DNS cuya dirección IP se introduzcan manualmente o las que seencuentren en su base de datos.

Namebench

Esta aplicación está disponible gratis en el repositorio Google Code, la cual midelos tiempos de respuesta de cada DNS que muestra en una base de datos, loscompara con los nuestros y sugiere la mejor opción que podemos adoptar.Se puede descargar gratis, solo asegúrese que la versión es según su sistemaoperativo, Windows, Linux o MaxOS e instálelo.https://code.google.com/p/namebench/. Instale la aplicación, córrala y espere unmomento, luego arrojará la respuesta en la cual le aparecerá la mejor opción deconfiguración de esta manera:

Namehelp

Namehelp es otra opción, es una aplicación disponible gratis en Aqualab paraencontrar los mejores DNS para nuestra conexión. Después de descargarla einstalarla es necesario configurar nuestra conexión de red para usar como servidorDNS la dirección: 127.0.0.1. De esta forma la aplicación hace de intermediarioentre nuestro equipo y la red. Acceda al panel de control usando ladirección http://localhost:53533/ (guarde el vínculo en los marcadores).

Entonces vaya probando los servidores que la aplicación sugiere, hagacomparaciones hasta que se decida que servidor DNS usar. Namehelp puedeaumentar la velocidad de las peticiones hasta 10 veces.http://www.northwestern.edu/projects/151-namehelp

Propagación de la dirección IP en los servidores DNS

Al cambiar los archivos de un sitio web de un hosting o compañía de alojamiento auno diferente, si se mantiene el nombre de dominio o sea la dirección URLoriginal, esto no traerá ninguna consecuencia dañina en su posicionamiento web,ya que todos los links seguirán apuntando al mismo sitio.

El trauma consiste en la demora necesaria para actualizarse los servidores DNS,con la nueva dirección IP. Es lo que se llama como Propagación, puede demorarentre 24 y 72 horas.

En internet existen 13 servidores DNS raíz, de ellos se conectan y dependen todoslos restantes servidores locales.

¿Cómo saber cuándo es actualizada la dirección IP en los servidores DNS?

Para estar al tanto de la propagación de los nuevos datos en los servidores DNS,se puede usar dos métodos, uno manual muy efectivo que se explicará acontinuación y el otro es usar el servicio en la red de Whatsmydns.Para hacerlo manualmente es necesario hacer la petición al servidor DNS deGoogle y después hacerlo al servidor DNS de la compañía de hosting que se va autilizar. Cuando coincidan las dos direcciones, significará que ya se ha propagadocorrectamente.

En el siguiente ejemplo hipotético, se utiliza el dominio norfipc.com para conocer siya se ha propagado a los DNS, la nueva dirección del sitio que es la209.190.61.44, para eso primero se hace la petición a los DNS de Google ydespués a los que corresponden a la compañía. El resultado en este ejemplo,indica que Google y los otros DNS, aún están enviando los visitantes a la direcciónIP 209.190.61.21, que es la anterior.

NSLOOKUPserver 8.8.8.8sitio.com209.190.61.21

server ns1.byethost36.orgsitio.com209.190.61.44Para el caso de tener una configuración predeterminada con el DNS de google,arroja la siguiente data:

Verificar en Whatsmydns el estado de la propagación de una dirección IP.Whatsmydns es un servicio fácil de usar, que da una perspectiva visual de lapropagación de una dirección IP en los principales servidores de internet.Para usarlo acceder a: http://www.whatsmydns.net/ y digite el nombre de dominio.

A continuación se cargará una tabla y un mapa mostrando en ellos la dirección IPque corresponde al nombre de dominio usado.

Nota: Pruebe esta aplicación con la URL de cinco metabuscadores.

Esta es la interfaz, en la que se digita el dominio, que en este caso particular elmetabuscador ixquick.

Otras herramientas en la red alternas a la anterior son:

• DNS traversal Checker: http://dns.squish.net/• Network-tools.com• www.internic.net:

Acelerar la propagación de la dirección IP en los servidores DNS

Los especialistas aconsejan antes de mover un sitio a otra dirección IP, disminuirel valor de los TTL con la herramienta Edit DNS Zones, disponible en Cpanel, enel caso que el servicio de hosting permita esta opción.

TTL (Time-To-Live) es el tiempo expresado en segundos, que será guardado encache el registro DNS en el cliente. Sustituya el valor predeterminado que puedeser 86400 (24 horas) o aun superior, por 500 (5 minutos).

¿Cómo acceder a un sitio web antes de completarse la propagación DNS?

Inserte al final del archivo hosts la siguiente línea:190.45.45.34 www.sitio.com

Sustituya:

• 190.45.45.34 = La dirección IP de los servidores DNS del sitio

• www.sitio.com = El nombre de dominio del sitio

El archivo hosts se encuentra en la siguiente ruta:

C:\Windows\System32\drivers\etc

LISTA DE DIRECCIONES IP DE LOS SERVIDORES DNS PÚBLICOS MÁSEFICIENTES Y SEGUROS.35

Servidores públicos DNS de Google

Es el servicio DNS más popular actualmente. Usauna vasta red de servidores distribuidos geográficamente en todo el mundo.

Desde Diciembre del 2009 en que comenzó a funcionar el servicio de losservidores públicos DNS de Google, han contribuido a que internet sea másrápido. Google presta dicho servicio de forma gratuita, a nivel mundial, en la queactualmente sirven más de 70 peticiones diarias, de ese mismo servicio se valenproductos de Google como el navegador Google Chrome, lo que permite que seael más rápido disponible en la red.

Dirección IP de los servidores DNS de Google

La disponibilidad del servicio es prácticamente el 100%. Usar las siguientesdirecciones IP:

Para el protocolo IPv4 (actual)➔ Servidor primario: 8.8.8.8➔ Servidor secundario: 8.8.4.4

Para el protocolo IPv6 (nuevo protocolo)

➔ Servidor primario: 2001:4860:4860::8888➔ Servidor secundario: 2001:4860:4860::8844

Puede utilizar cualquiera de los números como su servidor DNS primario osecundario. También puede especificar ambos números y configurar las

35 Direcciones de los servidores DNS más rápidos y eficientes de internet. Consultado el 28 de septiembre de2013. http://norfipc.com/redes/direcciones-servidores-dns-mas-rapidos-eficientes-internet.html

direcciones DNS públicas de google para conexiones IPv4 o IPv6, o ambascosas.36

Más información en Google: https://developers.google.com/speed/public-dns/docs/using?hl=es&csw=1

https://developers.google.com/speed/public-dns/

Servicio de OpenDNS

Servicio tradicional muy confiable, de gran autoridad. Adicional a la velocidad,tiene un filtro de phishing y un corrector ortográfico. Brinda la opción de instalardos servicios adicionales gratuitos en la PC: "OpenDNS Home" y "OpenDNSFamilyShield", que revisan todas las peticiones hechas por el navegador y nosofrece estadísticas y protección contra sitios fraudulentos. Además está incluido elControl parental para la protección a menores.

Descarga: http://www.opendns.com/home-solutions/parental-controls/

Hay que tener en cuenta que aunque este y otros servicios que se listan,proporcionan protección contra contenido indeseado y peligroso, todas laspeticiones que se hacen en el navegador no llegan al servidor DNS. Algunas deestas peticiones usan la cache que guarda Windows para hacer la navegaciónmás rápida.

Al instalar en la PC algunos de los servicios de OpenDNS, se tiene una protecciónmás efectiva.

208.67.222.222208.67.220.220

36 NA.

Más información: http://www.opendns.com/

Norton ConnectSafe

Maneja "Norton ConnectSafe" un servicio que opera desde la nube ofreciendosoluciones de seguridad y filtrado en sus servidores DNS. Quienes se conectan através de estos servidores, prácticamente pueden navegar a salvo en la red.El servicio es gratis para el uso personal ya sea desde la PC, Laptop, perotambién desde el teléfono celular o tableta.

Ofrece tres tipos de servicios, para usarlos de acuerdo a la necesidad y propósito.

1- Seguridad. Bloqueo de sitios catalogados como malware, páginas que sededican al phishing y sitios web fraudulentos. Para eso use las siguientesdirecciones IP:Servidor DNS primario = 198.153.192.40Servidor DNS secundario = 198.153.194.40

2- Seguridad y pornografía. Adicionalmente a las funciones anteriores, se puedebloquear sitios web de contenido de adultos.198.153.192.50198.153.194.50

3- Seguridad, pornografía y contenido no apto para la familia. Adicionalmentea las funciones anteriores, se puede usar un filtro aún más restrictivo, bloqueandolas peticiones a páginas web catalogadas como "no aptas" para "ver en familia".

Se bloquea el contenido que trata sobre los abortos, alcohol, crímenes, cultos,drogas, odio, orientación sexual, suicidio y violencia.

198.153.192.60198.153.194.60

Más información: https://dns.norton.com/dnsweb/

Comodo Secure DNS

Comodo es otra empresa de seguridad informática que ofrece un servicio deservidores DNS con protección contra el malware y la publicidad.

8.26.56.26156.154.70.22

Más información: http://www.comodo.com/secure-dns/

Servidores DNS de Level 3 y Verizon

Level 3 Communications es una compañía de comunicaciones con una graninfraestructura de redes de fibra óptica y cables submarinos en todo el mundo.Provee a la mayoría de los ISP en los Estados Unidos el acceso a los principalesnodos de internet. Level 3 y Verizon (gtei.net) operan un conjunto de servidoresDNS que están entre los más rápidos de internet. Se pueden usar cualquiera delos siguientes seis servidores DNS:4.2.2.14.2.2.24.2.2.34.2.2.44.2.2.54.2.2.6

Se dice que los siguientes servidores automáticamente redireccionan a losservidores DNS más cercanos operados por Level 3:

209.244.0.3209.244.0.4

Consultar http://www.level3.com/en/

OpenNIC

Es un proyecto alternativo al ICANN (Internet Corporation for Assigned Names andNumbers), que es el organismo que administra los números IP y los TLD demanera oficial. OpenNIC es mantenida y administrada por usuarios sin dependerde ningún país.

Ofrecen otros dominios como son: .dyn, .free, .ing, etc. Posee una serie deservidores DNS libres, que no guardan los registros de las consultas que realizanlos usuarios (se borran a las 24 horas).

Para probar o usar el servicio acceder a la siguiente a la URL citada en la que seindica automáticamente las direcciones IP del servidor más cercano, como semuestra en la imagen: http://www.opennicproject.org/Pueden buscar una aplicación que permite configurar la DNS directamente.http://sourceforge.net/projects/opennicwizard/files/

DNSResolvers.com

Servidores públicos, gratuitos y seguros sin ningún tipo de filtrado ni limitación.

205.210.42.20564.68.200.200

http://dnsresolvers.com/

Dyn Internet Guide

Dyn ofrece servidores DNS gratuitos con resultados de su funcionamiento muybuenos. Los tiempos de respuesta están entre los mejores, de acuerdo a losbenchmarks realizados. Ofrece otros servicios adicionales.

Permite crear dominios para poderlos usar en una PC local que utilice unadirección dinámica o sea que cambia regularmente su dirección.

Los servidores DNS son los siguientes:216.146.35.35216.146.36.36

Para probar si están configurados correctamente cargar la siguientepágina: http://dyn.com/

SmartViper (Servidores DNS públicos)

208.76.50.50208.76.51.51

Más información: http://www.markosweb.com/free-dns/

Public-Root (Servidores públicos raíz)

Otra opción es establecer como servidor DNS uno de los 13 servidores raíz deinternet.Para eso acceder a la página donde se puede conocer la localización y

comprobar el estatus de cada servidor. Solo escoger el servidor más cercanogeográficamente: http://public-root.com/root-server-check/index.htm

Los usuarios más cercanos a Latinoamérica son los siguientes:

Chicago, Illinois, USA = 199.5.157.131Des Moines, Iowa, USA = 208.71.35.137Chimbote, Peru = 200.37.61.62

Los de España:Paris, France = 46.244.10.70London, UK = 80.252.121.2

Otros servicios DNS

puntCAT

Servidores DNS localizados en Barcelona, España.109.69.8.51

http://www.servidordenoms.cat/

Securly

Filtrado 2.0 de contenido especialmente creado para escuelas. No bloqueatotalmente los sitios, pero filtra de forma inteligente páginas con contenido

inadecuado en los buscadores, las redes sociales, YouTube, etc.Permite a los maestros o padres crear y administrar las reglas.Es un servicio de pago. http://www.securly.com/

Censurfridns.dk

Servidor DNS independiente sin censura localizado en Dinamarca. Mantenido poruna persona que está totalmente en contra del filtrado de contenido en los DNS.No se guarda información privada alguna del acceso.

Esta es la interfaz del portal, que como se notará al contrario de las citadasanteriormente es prácticamente inexistente pero el servicio es bueno.

89.233.43.7189.104.194.142

Consultar: http://www.censurfridns.dk/

Nota: Debemos cambiar los servidores DNS si no podemos navegarcorrectamente, o si el computador tarda mucho en cargar páginas nuevas. Estasson otras páginas alternativas a las ya citadas.

Arrakis 212.59.199.2 212.59.199.6

Arsys 217.76.128.4 217.76.129.4

Comunitel 212.145.4.97 212.145.4.98

Opendns 208.67.222.222 208.67.220.220

Euskatel 212.55.8.132 212.55.8.133 212.142.144.66 212.142.144.98

Jazztel 87.216.1.65 87.216.1.66

Metrored 80.251.75.5 80.251.75.6

Ono 62.42.230.24 62.42.63.52 62.81.29.254

Ya.com 62.151.2.8

Orange 62.36.225.150 62.37.228.20

Superbanda 212.4.96.22 212.4.96.21

Telefónica (Argentina) 200.51.254.254 200.51.254.251

Movistar (España) 80.58.0.33 80.58.61.250 80.58.61.254 194.179.1.100 194.179.1.101 194.224.52.36 (Terra) 194.224.52.37 (Terra) 195.235.113.3 (Terra) 195.235.96.90 (Terra) 217.76.128.4

Telefónica (Perú) 200.48.225.130

Tiscali (mismas DNS queTelefónica/Terra)

194.224.52.36 194.224.52.37

Uni2 195.130.224.18 195.130.225.129

62.151.4.21

Nota: Existen 13 servidores DNS raíz, guardan la información de los servidorespara cada una de las zonas de más alto nivel y constituyen el centro de la red. Seidentifican con las siete primeras letras del alfabeto, varios de ellos se encuentradivididos físicamente y dispersos geográficamente (anycast), con el propósito deincrementar el rendimiento. Solo están representados en el mapa algunos de los123 servidores DNS funcionando a nivel mundial.

En el siguiente mapa se representan todos los servidores raíz, incluyendo losservidores distribuidos, que usan anycast.

Mapa con los servidores raíz de internet

Tabla con datos de los servidores DNS raíz de internet

Los datos son de: Wikipedia y root-servers.org/

Principales servidores DNS de internet

Como se ha notado reiteradas veces, existen 13 servidores DNS en internet queson conocidos como los servidores raíz, guardan la información de los servidorespara cada una de las zonas de más alto nivel y constituyen el centro de la red.

Se identifican con las siete primeras letras del alfabeto, varios de ellos seencuentra divididos físicamente y dispersos geográficamente, técnica conocidacomo "anycast", con el propósito de incrementar el rendimiento y la seguridad.

Para acceder a la página de información y chequeo de los 13 servidores raíz deinternet es: http://public-root.com/

Mapa de cables submarinos de internet

Consultar el sitio http://telegeography.com/, en la que puede encontrarse una seriede mapas interactivos referidos a las comunicaciones, siendo posible aumentar ydesplazarse por cualquiera sección como si se tratara de Google Maps.

Dos de ellos son muy interesantes, Submarine Cable Map (Mapa de cablessubmarinos de internet) y el mapa de comunicaciones de Latino América.

Los mapas tienen insertados otros gráficos, infografías e información relacionadacon la actividad de los cables.

Los mapas es posible comprarlos físicamente con todos los datos incluidos, peropor una enorme suma de dinero. No obstante la navegación es gratis.

Usar el siguiente vínculo para cargar los mapas:

http://latin-america-map-2012.telegeography.com/

Taller.

1. Realizar un estudio breve sobre los algoritmos de encriptaciónque emplea DNSSEC.

2. Probar todas y cada una de las herramientas citadas para lagestión y/o administración del DNS (desde la página 26 enadelante), que incluye probar los scripts dados para la gestióndel DNS.

3. Para el caso de Linux, realizar las mismas pruebas deconfiguración de DNS, básico.

4. Realizar el análisis respectivo de cada herramienta de softwarey adjuntar las respectivas pruebas de ello (pros y contras, etc).

5. Estudiar para la evaluación.