¿QUÉ SON LAS DNS Y

PARA QUÉ SIRVEN?

• Cuando se traslada una página web de proveedor, una de las cosas que nos suelen
pedir es que cambiemos las DNS del dominio, cosa que para la mayoría de los
usuarios suena a chino, pero ¿que son las DNS?
 QUE SON:

• Las DNS son las siglas que forman la denominación Domain Name System o Sistema
de Nombres de Dominio y además de apuntar los dominios al servidor
correspondiente, nos servirá para traducir la dirección real, que es una relación
numérica denominada IP, en el nombre del dominio.
 PARA QUÉ SIRVEN

• Pues bien, los DNS sirven para indicarle al usuario que teclea un dominio a que
servidor debe ir a recoger la página web que desea consultar.
• Efectivamente las páginas web realmente están hospedadas bajo una dirección IP,
por ejemplo; www.digival.es realmente responde a la IP 85.112.29.231 pero este
sistema es capaz de convertir estos números en el nombre de
dominio www.digival.es.
• Recordar las IP de cada página web sería una trabajo demasiado duro, por eso se
creó el sistema de nombres de dominio, para permitir crear términos y
denominaciones más fáciles de recordar.
 COMO FUNCIONAN
• Que mejor que explicarlo con un ejemplo práctico, y con acciones que realizamos todos los
días.
• Siguiendo con el ejemplo de la misma página web, supongamos que un usuario desea acceder
a ella, para lo cual, teclea en su navegador nuestro dominio www.digival.es.
• Al pulsar la tecla enter, el navegador consultará con el servidor DNS cuál es la dirección IP de
nuestro dominio, y a su vez casará la información entre la IP y el nombre de dominio, por
último entregará al navegador la IP 85.112.29.231 que podrá devolver nuestra página web a
nuestro usuario.
• Para evitar realizar constantes consultas al servidor DNS, el navegador guardará esta
información de forma temporal, de manera que se pueda servir la web sin realizar esa consulta
previa. Por eso en muchas ocasiones nos piden que actualicemos la consulta con la tecla F5,
para que el dominio vaya a la dirección IP más actual.
 SISTEMAS DE NOMBRES DE DOMINIO:
DNS
• Es un sistema de nomenclatura jerárquico descentralizado para dispositivos
conectados a redes IP como Internet o una red privada. Este sistema asocia
información variada con nombre de dominio asignado a cada uno de los
participantes. Su función más importante es "traducir" nombres inteligibles para
las personas en identificadores binarios asociados con los equipos conectados a
la red, esto con el propósito de poder localizar y direccionar estos equipos
mundialmente
• El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio en redes como Internet. Aunque como
base de datos el DNS es capaz de asociar diferentes tipos de información a cada
nombre, los usos más comunes son la asignación de nombres de dominio a
direcciones IP y la localización de los servidores de correo electrónico de cada
dominio.

• La asignación de nombres a direcciones IP es ciertamente la función más conocida de

los protocolos DNS. Por ejemplo, si la dirección IP del sitio Google es 216.58.210.163,
la mayoría de la gente llega a este equipo especificando www.google.com y no la
dirección IP. Además de ser más fácil de recordar, el nombre es más fiable.
EJEMPLO BÁSICO
 HISTORIA

• Principalmente, el DNS nació de la necesidad de recordar fácilmente los nombres de

todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International)
alojaba un archivo llamado HOSTS que contenía todos los nombres de dominio
conocidos.
• De no existir los servidores DNS los usuarios tendrían que escribir la dirección IP del
sitio web en lugar de escribir la URL de este lo cual generaría confusiones y la
navegación en internet se tornaría muy complicada para los usuarios.
• La siguiente evolución de DNS vino cuando se definieron cambios dinámicos en RFC
2136. Esto permitió que los administradores de los servidores pudieran hacer
cambios en los registros de mejor forma.
 COMPONENTES
• Para la operación práctica del sistema DNS se utilizan tres componentes principales:

• Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la computadora del usuario y
que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué
dirección IP corresponde a nombre.dominio?)
• Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos
tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección
solicitada.
• Las Zonas de autoridad: Es una parte del espacio de nombre de dominios sobre la que es
responsable un servidor DNS, que puede tener autoridad sobre varias zonas. (Por ejemplo:
subdominio.wikipedia.ORG, subdominio.COM, etc.)
 PARTES DE UN DNS

• Un nombre de dominio usualmente consiste en dos o más partes (técnicamente

«etiquetas»), separadas por puntos cuando se las escribe en forma de texto. Por
ejemplo, www.ejemplo.com o es.wikipedia.org
1. A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (en inglés
top level domain).
2. Cada etiqueta a la izquierda especifica una subdivisión o subdominio. Nótese que
"subdominio" expresa dependencia relativa, no dependencia absoluta. En teoría, esta
subdivisión puede tener hasta 127 niveles, y cada etiqueta puede contener hasta 63
caracteres, pero restringidos a que la longitud total del nombre del dominio no exceda
los 255 caracteres, aunque en la práctica los dominios son casi siempre mucho más
cortos.
3. Finalmente, la parte más a la izquierda del dominio suele expresar el nombre de la
máquina (en inglés hostname).
4. El resto del nombre de dominio simplemente especifica la manera de crear una ruta
lógica a la información requerida. Por ejemplo, el dominio es.wikipedia.org tendría el
nombre de la máquina "es", aunque en este caso no se refiere a una máquina física en
particular.
• El DNS consiste en un conjunto jerárquico de servidores DNS.
• Cada dominio o subdominio tiene una o más zonas de autoridad que publican la
información acerca del dominio y los nombres de servicios de cualquier dominio
incluido. La jerarquía de las zonas de autoridad coincide con la jerarquía de los
dominios. Al inicio de esa jerarquía se encuentra los servidores raíz: los servidores
que responden cuando se busca resolver un dominio de primer y segundo nivel.
 DNS EN EL MUNDO REAL

• Los usuarios generalmente no se comunican directamente con el servidor DNS: la

resolución de nombres se hace de forma transparente por las aplicaciones del cliente
(por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan Internet).
• Al realizar una petición que requiere una búsqueda de DNS, la petición se envía al
servidor DNS local del sistema operativo. El sistema operativo, antes de establecer alguna
comunicación, comprueba si la respuesta se encuentra en la memoria caché.
• En el caso de que no se encuentre, la petición se enviará a uno o más servidores DNS, el
usuario puede utilizar los servidores propios de su ISP, puede usar un servicio gratuito de
resolución de dominios o contratar un servicio avanzado de pago que por lo general son
servicios contratados por empresas por su rapidez y la seguridad que estos ofrecen.
• La mayoría de usuarios domésticos utilizan como servidor DNS el proporcionado por
el proveedor de servicios de Internet salvo quienes personalizan sus equipos o
enrutadores para servidores públicos determinados. La dirección de estos servidores
puede ser configurada de forma manual o automática mediante DHCP (IP dinámica).
En otros casos, los administradores de red tienen configurados sus propios servidores
DNS.
 JERARQUÍA DNS
1. El espacio de nombres de dominio tiene una estructura arborescente.
2. Las hojas y los nodos del árbol se utilizan como etiquetas de los medios. Un nombre de
dominio completo de un objeto consiste en la concatenación de todas las etiquetas de un
camino. Las etiquetas son cadenas alfanuméricas (con '-' como único símbolo permitido),
deben contar con al menos un carácter y un máximo de 63 caracteres de longitud, y deberá
comenzar con una letra (y no con '-’).
3. Las etiquetas individuales están separadas por puntos. Un nombre de dominio termina con un
punto .
4. Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de 255
caracteres.
5. Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el extremo
derecho de un nombre de dominio separa la etiqueta raíz de la jerarquía. Este primer nivel es
también conocido como dominio de nivel superior.
6. Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un
archivo de zona, ubicado en uno o más servidores de nombres.
ÁRBOL DNS
 TIPOS DE SERVIDORES DNS

• Estos son los tipos de servidores de acuerdo a su función:

• Primarios o maestros: guardan los datos de un espacio de nombres en sus ficheros.
• Secundarios o esclavos: obtienen los datos de los servidores primarios a través de
una transferencia de zona.
• Locales o caché: funcionan con el mismo software, pero no contienen la base de
datos para la resolución de nombres. Cuando se les realiza una consulta, estos a su
vez consultan a los servidores DNS correspondientes, almacenando la respuesta en
su base de datos para agilizar la repetición de estas peticiones en el futuro continuo
o libre.
 TIPOS DE RESOLUCIÓN DE NOMBRES DE
DOMINIO

• DNS Rotativo
Un servicio de DNS autoritativo proporciona un mecanismo de actualización que los
desarrolladores utilizan para administrar sus nombres DNS públicos. De esta forma, responde
las consultas DNS mediante la conversión de los nombres de dominio en direcciones IP para que
los equipos puedan comunicarse entre ellos.
• DNS Recurrente:
Los clientes normalmente no realizan consultas directamente a los servicios de DNS autoritativo.
En su lugar, generalmente se conectan con otro tipo de servicio de DNS conocido como
solucionador o un servicio de DNS recurrente. Un servicio de DNS recurrente funciona como el
conserje de un hotel: si bien no es dueño de los registros DNS, funciona como un intermediario
que obtiene la información del DNS por usted.
• En la práctica, la consulta de un host a un DNS local es recursiva, mientras que las
consultas que realiza el DNS local son iterativas. Además, las consultas iterativas sólo se
realizan en caso de que el servidor DNS local no posea los datos correspondientes en
caché.
• En resumen, el proceso de resolución normal se lleva a cabo de la siguiente manera:
1. El servidor DNS local recibe una consulta recursiva desde el resolver del host cliente.
2. El DNS local realiza las consultas iterativas a los servidores correspondientes.
3. El servidor DNS local entrega la resolución al host que solicitó la información.
4. El resolver del host cliente entrega la respuesta a la aplicación correspondiente.
 TEMAS DE SEGURIDAD
• Originalmente, las preocupaciones de seguridad no fueron consideraciones importantes para el diseño
en el software DNS o de cualquier otro software para despliegue en la Internet temprana, ya que la red
no estaba abierta a la participación del público general. Sin embargo, la expansión de Internet en el
sector comercial en los 90s cambió los requisitos de las medidas de seguridad para proteger la
integridad de los datos y la autenticación de los usuarios.
• Muchos temas de vulnerabilidades fueron descubiertos y explotados por usuarios maliciosos. Uno de
esos temas es el envenenamiento de caché DNS, en la cual los datos son distribuidos a los resolvedores
de caché bajo el pretexto de ser un servidor de autoridad de origen, contaminando así el
almacenamiento de datos con información potencialmente falsa y largos tiempos de expiración.
• Las respuestas DNS tradicionalmente no estaban firmadas criptográficamente, permitiendo muchas
posibilidades de ataque.
• Algunos nombres de dominio pueden ser usados para conseguir efectos de engaño. Por ejemplo,
paypal.com y paypa1.com son nombres diferentes, pero puede que los usuarios no puedan distinguir
la diferencia dependiendo del tipo de letra que estén usando. En muchos tipos de letras la letra l y el
numeral 1 se ven muy similares o hasta idénticos.
 BIND

• Es el servidor de DNS más comúnmente usado en Internet, especialmente en

sistemas Unix, en los cuales es un Estándar de facto.
 HISTORIA

• BIND fue diseñado originalmente a principios de los años 80 del siglo XX por cuatro
estudiantes de grado de la Universidad de California "Berkeley".
• A mediados de la década de los años 80, el desarrollo del BIND quedó a cargo de
empleados de DEC (Digital Equipment Corporation). Uno de estos empleados era Paul
Vixie (Paul Vixie), quien continuó trabajando en BIND, luego de desvincularse de DEC.
• BIND ha sido un componente esencial de la infraestructura de Internet, y los fundadores de
ISC Paul Vixie, Malamud Carl, y Adams Rick tenían muy claro que el apoyo continuo de
BIND y la mejora debe ser gestionada y financiada por una entidad independiente.
 VERSIONES

• Como otras herramientas que estuvieron presentes desde los primeros días
de Internet, BIND 4 y BIND 8 han tenido un gran número de vulnerabilidades de
seguridad a lo largo del tiempo.
• En cambio, BIND 9 fue concebida para superar las dificultades arquitectónicas en las
versiones anteriores, para auditar el código en las primeras versiones de BIND y
también para incorporar DNSSEC (DNS Security Extensions).
• BIND 9 tiene un historial mejor en cuanto al tema de la seguridad.
 BIND 9

• El desarrollo de BIND 9 fue realizado con el auspicio conjunto del área comercial y
militar. La mayoría de las funcionalidades de BIND 9 fueron impulsadas por
proveedores de UNIX, quienes querían asegurar que BIND se mantuviera
competente con la oferta de Microsoft en el sector de soluciones DNS.
• BIND 9 incluye entre otras características importantes: TSIG, notificación DNS,
nsupdate, IPv6, rndc flush, vistas, procesamiento en paralelo y una arquitectura
mejorada en cuanto a portabilidad. Es comúnmente usado en sistemas GNU/Linux.
 CARACTERÍSTICAS AVANZADAS DE BIND
• La mayoría de las implementaciones BIND solamente utilizan named para
proporcionar servicios de resolución de nombres o para actuar como una autoridad
para un dominio particular o sub-dominio.
• Sin embargo, la versión 9 de BIND tiene un número de características avanzadas que
permiten un servicio DNS más seguro y avanzado.