Tema 3 – Servicio DNS

Punto 6 – Servidores de nombres de dominio

Juan Luis Cano

Un servidor DNS es un equipo al que se le ha agregado éste servicio y se han configurado las resoluciones de nombres. Las zonas están autorizadas en estos (o no, según su tipo), y tienen delegaciones sobre unas zonas creadas en los mismos.

Servidores DNS

Las zonas DNS se configuran para resolver los nombres de dominio que sean necesarios, puede haber varias zonas de búsquedas directas e inversas y hay varios tipos de zonas.

Zonas DNS

Cuando una zona que hospeda un servidor DNS es una zona principal, el servidor DNS es la fuente principal de información sobre esta zona y almacena la copia maestra de los datos de la zona en un archivo local.

Zona Principal

Cuando una zona que hospeda un servidor DNS es una zona secundaria, dicho servidor DNS es una fuente secundaria de información sobre esta zona.

La zona secundaria se debe obtener de otro equipo servidor DNS remoto que también hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto que suministra la información actualizada de la zona a este servidor.

Puesto que una zona secundaria no es más que una copia de la zona principal hospedada en otro servidor.

Zona Secundaria

Un servidor DNS sólo es una fuente de información sobre los servidores de nombres autoritativos para esta zona.

La zona de este servidor se debe obtener de otro equipo servidor DNS que hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto para copiar la información del servidor de nombres autoritativo sobre la zona.

Zonas de rutas internas

Se puede usar las zonas de rutas internas para: Mantener la información de la zona delegada actualizada. Mejorar la resolución de nombres. Simplificar la administración de DNS.

Beneficios de una zona de rutas internas

Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de una zona y suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuación:

Autoridad de una zona

MNAME    Nombre de dominio del servidor DNS constituido como servidor primario para la zona.

RNAME    Nombre de dominio que indica la dirección de correo de la persona responsable de la zona.

SERIAL  Número entero de 32 bits correspondiente a la copia original de la zona. Este valor se y incrementa con cada actualización, se conserva en las transferencias de zona, y puede ser utilizado como verificación.

REFRESH  Número de 32 bits representando el intervalo de tiempo antes que la zona deba ser actualizada.

RETRY  Número de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una petición de actualización ha fallado.

EXPIRE  Número de 32 bits que especifica el límite máximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad".

MINIMUM  Número entero de 32 bits señalando el valor mínimo del parámetro TTL que debe ser utilizado para cualquier exploración de la zona.

Datos de la zona

Los registros de recursos (RR) más comunes para agregar son:

Host (A) para asignar un nombre de dominio DNS a una dirección IP que utiliza un equipo.

Alias (CNAME) para asignar un nombre de dominio DNS con alias a otro nombre canónico o principal.

Agente de intercambio de correo (MX) para asignar un nombre de dominio DNS al nombre de un equipo que intercambia o reenvía el correo.

Puntero (PTR) para asignar un nombre de dominio DNS inverso basado en la dirección IP de un equipo que señala al nombre de dominio DNS directo de ese equipo.

Ubicación de servicios (SRV) para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo específico de servicio.

Registros de recursos

Los servidores DNS tienen múltiples funciones según su uso, y un mismo servidor puede tener varias funcionalidades. Algunos de estos servidores son:

Tipos de servidores DNS

Servidor maestro o primario Guardan los datos de un espacio de nombres en sus ficheros.

Servidor esclavo o secundario Obtienen los datos de los servidores primarios a través de una transferencia de zona.

Servidor caché Cuando se les realiza una consulta, estos a su vez consultan a los servidores secundarios, almacenando la respuesta en su base de datos para agilizar la repetición de estas peticiones en el futuro continuo o libre. Guarda un tiempo las consultas, ese tiempo es TTL.

Servidor reenviador (forwarding) Un servidor DNS de una red se designa como reenviador haciendo que los demás servidores DNS de la red le reenvíen las consultas que no pueden resolver localmente. Al utilizar un reenviador, se puede administrar la resolución de los nombres fuera de la red, como nombres en Internet, y mejorar la eficacia de la resolución de nombres para los equipos de la red.

Tipos de servidores (I)

Servidor solo autorizado Los servidores DNS especificados mediante este procedimiento se agregan a las direcciones IP de los servidores presentes en el registro de recursos del servidor de nombres (NS) existente de la zona. Normalmente, sólo tiene que ejecutar este procedimiento en la zona principal al agregar servidores DNS para que actúen como servidores secundarios y también para especificar que se reconozcan estos servidores como autorizados cuando se responda a consultas de los datos de la zona.

Servidor DNS Stub Estos servidores DNS tienen zonas de rutas internas, que son copias de una zona que contienen sólo los registros de recursos necesarios para el establecimiento del Sistema de Nombres de Dominio autoritario para esa zona. Es utilizado para relacionar las zonas entre varios servidores DNS, de forma que si un servidor necesita las zonas de otro servidor distinto, el servidor DNS stub se ocupa de relacionar la zona de un servidor A con un servidor B.

Tipos de servidores (II)

Servidor Stealth Es un servidor de nombres que no aparece en ningún registro NS públicamente visible para el dominio. Es decir, es un servidor oculto que protege a los demás servidores DNS. El servidor stealth puede definirse a grandes rasgos como tener las siguientes características: La organización necesita un DNS público para permitir el

acceso, como por ejemplo los servicios públicos web, correo, ftp, etc.

La organización no quiere que el mundo vea cualquiera de sus hosts internos, para no comprometer al servicio.

Servidor de agujero negro (Blackhole) Es un servidor DNS que devuelve una respuesta de "dirección inexistente" al realizar una consulta inversa para las direcciones de uso privado.

Tipos de servidores (III)

Ejemplo de DNS Stealth

El servicio DNS tiene mucho software que se utiliza para esta función, y aunque el más popular es BIND, existen otros como:

◦ Microsoft DNS◦ Dnsmasq◦ Simple DNS Plus◦ Knot DNS◦ Nominum Authoritative Name Server (ANS)◦ Posadis◦ Cisco Network Registrar◦ Dual DHCP DNS Server◦ Domain Name Relay Daemon (dnrd)

Software comercial de DNS

Un servidor raíz (root server en inglés) es el servidor de nombre de dominio que sabe dónde están los servidores de nombres autoritarios para cada una de las zonas de más alto nivel en Internet.

Los servidores de nombres raíz son una parte fundamental de la Internet, ya que son el primer paso en la traducción de (resolver) los nombres de host legibles por humanos en direcciones IP que se utilizan en la comunicación entre los hosts de Internet.

Servidores raíz

Existen 13 servidores raíz de DNS en el mundo, y están distribuidos de la siguiente manera:

Distribución de los Servidores Raíz (I)

Letra Dirección IPv4 Dirección IPv6Nombre antiguo

OperadorUbicación

sitios (global/local)

Software

A 198.41.0.42001:503:ba3e::2:30

ns.internic.net Verisigndistribuido (anycast)6/0

BIND

B

192.228.79.201 (desde Enero 2004; originalmente era 128.9.0.107)4

2001:478:65::53 (no en la zona raíz todavía)

ns1.isi.edu USC-ISI

Marina Del Rey, California, U.S.0/1

BIND

C 192.33.4.122001:500:2::c (no en la zona raíz todavía)

c.psi.netCogent Communications

distribuido (anycast)6/0

BIND

D 128.8.10.90 2001:500:2d::d terp.umd.eduUniversidad de Maryland

College Park, Maryland, U.S.1/0

BIND

E 192.203.230.10 N/D ns.nasa.gov NASAMountain View, California, U.S.1/0

BIND

Distribución de los Servidores Raíz (II)

Letra Dirección IPv4 Dirección IPv6Nombre antiguo

OperadorUbicación

sitios (global/local)

Software

F 192.5.5.241 2001:500:2f::f ns.isc.orgInternet Systems Consortium

distribuido (anycast)2/47

BIND 9

G 192.112.36.4 N/D ns.nic.ddn.mil

Defense Information Systems Agency

distribuido (anycast)6/0

BIND

H 128.63.2.532001:500:1::803f:235

aos.arl.army.milU.S. Army Research Lab

Aberdeen Proving Ground, Maryland, U.S.2/0

NSD

I 192.36.148.17 2001:7fe::53 nic.nordu.netNetnod (antes Autonomica)

distribuido (anycast)38

BIND

Distribución de los Servidores Raíz (III)

LetraDirección

IPv4Dirección

IPv6Nombre antiguo

OperadorUbicación

sitios (global/local) Software

J192.58.128.30 (originalmente 198.41.0.10)

2001:503:c27::2:30

Verisigndistribuido (anycast)63/7

BIND

K 193.0.14.129 2001:7fd::1 RIPE NCCdistribuido (anycast)5/13

NSD

L199.7.83.42 (originalmente 198.32.64.12)7

2001:500:3::42

ICANNdistribuido (anycast)103/0

NSD

M 202.12.27.33 2001:dc3::35 Proyecto WIDEdistribuido (anycast)5/1

BIND

Punto 6 – Servidores DNS