Instalación y administración de servicios de …...Instalación y administración de servicios de...
Transcript of Instalación y administración de servicios de …...Instalación y administración de servicios de...
TEMA 3 SERVICIOS DE RED E INTERNET
Instalación y
administración de
servicios de nombres de
dominio
Raquel Castellanos Crespo
Instalación y administración de servicios de nombres de dominio
2011
2
INDICE
• Introducción a los servicios de nombres de dominio.
• Sistemas de nombres planos y jerárquicos.
• Historia del DNS.
• Componentes del servicio de nombres de dominio:
– Espacios de nombres de dominio (name space)
– Bases de datos DNS (registro de recursos).
– Servidores de nombres (servidores DNS).
– Clientes DNS (resolutores – “resolvers”)
– Protocolo DNS.
• Espacio de nombres de dominio:
– Nombres de dominio.
– Dominio raíz. Dominios y subdominios.
– Nombres relativos y absolutos. FQDN.
– Uso de dominios.
– Administración de nombres de dominio en Internet:
• Delegación. Dominio raíz. ICANN.
• Dominios TLD y Operadores de registro.
• Registros de dominios en Internet. Agentes registradores.
• Servidores de nombres de dominio (DNS):
– Zonas. Autoridad. Registro de recursos (RR).
– Tipos de servidores de nombres DNS.
• Servidor maestro o primario.
• Servidor esclavo o secundario.
• Servidor caché.
• Servidor reenviador (forwarding)
Instalación y administración de servicios de nombres de dominio
2011
3
• Servidor solo autorizado.
– Software comercial de servidores de nombres de dominio.
– Servidores raíz.
• Clientes DNS (Resolutores – “resolvers” de nombres)
• Proceso de resolución de un nombre de dominio.
– Consultas recursivas.
– Consultas iterativas.
– Caché y TTL.
– Recursividad y caché.
• Resolución inversa:
– Mapeo de direcciones y dominio arpa.
– Zonas de resolución inversa. Proceso de resolución.
– Delegación y resolución inversa.
• Registros de recursos DNS:
– Formato general.
– Tipos de registros: SOA, NS, A, AAAA, A6, CNAME, MX, SRV, PTR.
– Delegación y Glue Record.
• Transferencias de Zona:
– Tipos de transferencias de zona: Completa e Incremental.
– Proceso de transferencias de zona.
• DNS Dinámico (DDNS o Dynamic DNS):
– Actualizaciones manuales.
– Actualizaciones dinámicas.
– DNS dinámico en Internet.
Instalación y administración de servicios de nombres de dominio
2011
4
• Protocolo DNS
• Seguridad DNS
– Vulnerabilidades, amenazas y ataques.
– Mecanismos de seguridad.
Instalación y administración de servicios de nombres de dominio
2011
5
Introducción a los servicios de nombres de dominio.
Domain Name System o DNS (sistema de nombres de dominio) es un sistema de
nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a
Internet o a una red privada. Este sistema asocia información variada con nombres de
dominios asignado a cada uno de los participantes. Su función más importante, es
traducir (resolver) nombres inteligibles para los humanos en identificadores binarios
asociados con los equipos conectados a la red, esto con el propósito de poder localizar y
direccionar estos equipos mundialmente.
El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio en redes como Internet. Aunque como base
de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los
usos más comunes son la asignación de nombres de dominio a direcciones IP y la
localización de los servidores de correo electrónico de cada dominio.
La asignación de nombres a direcciones IP es ciertamente la función más conocida de
los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de prox.mx es
200.64.128.4, la mayoría de la gente llega a este equipo especificando ftp.prox.mx y no
la dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La
dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el
nombre.
Sistemas de nombres planos y jerárquicos.
Jerarquía DNS
El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los
nodos del árbol se utilizan como etiquetas de los medios. Un nombre de dominio
completo de un objeto consiste en la concatenación de todas las etiquetas de un camino.
Las etiquetas son cadenas alfanuméricas (con '-' como único símbolo permitido), deben
contar con al menos un carácter y un máximo de 63 caracteres de longitud, y deberá
comenzar con una letra (y no con '-'). Preferencia nombre de la sintaxis "). Las etiquetas
Instalación y administración de servicios de nombres de dominio
2011
6
individuales están separadas por puntos. Un nombre de dominio termina con un punto
(aunque este último punto generalmente se omite, ya que es puramente formal). Un
FQDN correcto (también llamado Fully Qualified Domain Name), es por ejemplo este:
www.example.com. (Incluyendo el punto al final)
Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de
255 caracteres.
Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el
extremo derecho de un nombre de dominio separa la etiqueta de la raíz de la jerarquía
(en inglés, root). Este primer nivel es también conocido como dominio de nivel superior
(TLD).
Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un
archivo de zona, ubicado en uno o más servidores de nombres.
Historia del DNS
En noviembre de 1983 Paul Mockapetris lanzó la idea inicial del DNS, el sistema de
dominios que conocemos actualmente, mediante los documentos RFC 882 (Domain
names: Concepts and facilities) y RFC 883 (Domain names: Implementation
specification), que permitía humanizar las direcciones IP de las comdoras.
El DNS (domain name system) hace mucho más fácil para las personas el recordar un
sitio por su nombre y asociarlo mentalmente a su contenido. Por ejemplo: warianos.org
es mas fácil de recordar que los números de la dirección IP: 66.35.76.43. Números que,
además, pueden cambiar en el transcurso del tiempo: En cambio el sitio siempre se
denominará igual.
En los inicios de internet, cuando los nodos eran pocos, bastaba un archivo llamado
host.txt en cada nodo, que especificada la ubicación de las comdoras interconectadas,
para saber como conectarse. Cuando la complejidad de la red creció el uso de DNS fue
prácticamente inevitable, ya que con un procedimiento bastante sencillo solucionaba el
acceso a distintos servidores.
Cuando alguien intentaba acceder a una página y escribía la dirección en un navegador
éste consultaba inmediatamente a un DNS resolver, quien le indicaba cual era la IP del
sitio buscado. Todo lo cual era transparente para el usuario.
Para la época de implementación del DNS Internet era muy joven aun, se había iniciado
concretamente poco mas de una década antes con la aparición de ARPANET en 1972 y
la definición de los protocolos TCP/IP en 1973/74.
Los dominios .com (por commercial) recién fueron definidos hacia octubre de 1984,
dentro del grupo de los siete gTLD (generic top level domain) iniciales, propuestos
mediante el documento RFC 920 que suscribieron Jon Postel y J. Reynolds. Y el primer
dominio registrado fue, el 15 de marzo de1985. Aunque Symbolics no era exactamente
una empresa comercial sino un emprendimiento del MIT. Y luego siguió ligada al
Instalación y administración de servicios de nombres de dominio
2011
7
desarrollo de la red.
Y ese año, 1985, Internet finalizó con sólo seis dominios .com registrados. Los seis
primeros registrados: 15/03/85, 24/04/85], 24/05/85 think.com, 11/07/85 mcc.com,
30/09/85 dec.com y 07/11/85 northrop.com. Y en los siguientes dos años el número
apenas llegaba a 100.
Y si bien los primeros .com registrados estaban ligados a compañias de tecnología
informática, algunas de nuestras mas conocidas empresas se tomaron algun tiempo en
entrar en internet, por ejemplo, recien fue registrado en 1987 y] en 1991.
Inicialmente la administración de los dominios recayó en el SRI-NIC- Network
Information Center (Palo Alto, CA)), conocido simplemente como NIC, mediante
contrato que se mantuvo hasta 1991. Después de esa fecha se contrató a GSI, quien
subcontrató a NSI contando con un presupuesto de 4 millones de dólares para mantener
el sistema, aportados por el gobierno federal de USA.
Así fue que hasta 1995 todos los gastos derivados del funcionamiento de internet fueron
soportados por el gobierno estadounidense; y por consiguiente, hasta ese año bastaba
con completar una solicitud para que a cualquier persona se le otorgara gratuitamente un
dominio .com o con cualquier otro gTLD.
Es entonces cuando Network Solutions, absorbida por una empresa Fortune que
acostumbraba obtener grandes contratos con el gobierno y sus dependencias (ejército,
CIA, etc.), inicia una renegociación sobre el manejo de. Las presiones ejercidas por
SAIC consiguen una revisión del contrato, y así fue como la NSF, que habia asumido la
responsabilidad del mantenimiento de InterNIC al quitarse los objetivos militares de la
red, autoriza a Network Solutions a cobrar un cargo de U$S 50 por año por cada
dominio registrado, estando obligado quien registraba un dominio nuevo a contratar por
un mínimo de dos años.
Componentes del servicio de nombres de dominio:
Para la operación práctica del sistema DNS se utilizan tres componentes principales:
Los Clientes DNS: Un programa cliente DNS que se ejecuta en la computadora
del usuario y que genera peticiones DNS de resolución de nombres a un servidor
DNS (Por ejemplo: ¿Qué dirección IP corresponde a nombre.dominio?);
Los Servidores DNS: Que contestan las peticiones de los clientes. Los
servidores recursivos tienen la capacidad de reenviar la petición a otro servidor
si no disponen de la dirección solicitada.
Y las Zonas de autoridad, porciones del espacio de nombres de dominio que
almacenan los datos. Cada zona de autoridad abarca al menos un dominio y
posiblemente sus subdominios, si estos últimos no son delegados a otras zonas
de autoridad.
Instalación y administración de servicios de nombres de dominio
2011
8
ESPACIO DE NOMBRE
La estructura del sistema DNS se basa en una estructura de arbórea en donde se definen
los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior); esta
estructura está conectada a un nodo raíz representado por un punto.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una longitud
máxima de 63 caracteres.
Por lo tanto, todos los nombres de dominio conforman una estructura arbórea inversa en
donde cada nodo está separado del siguiente nodo por un punto (".").
El extremo de la bifurcación se denomina host, y corresponde a un equipo o entidad en
la red. El nombre del ordenador que se provee debe ser único en el dominio respectivo,
o de ser necesario, en el sub-dominio. Por ejemplo, el dominio del servidor Web por lo
general lleva el nombre www.
La palabra "dominio" corresponde formalmente al sufijo de un nombre de dominio, es
decir, la recopilación de las etiquetas de nodo de la estructura arbórea, con excepción
del ordenador.
TIPOS DE REGISTROS (base de datos)
Un DNS es una base de datos distribuida que contiene registros que se conocen
como RR (Registros de Recursos), relacionados con nombres de dominio. La siguiente
información sólo es útil para las personas responsables de la administración de un
dominio, dado que el funcionamiento de los servidores de nombre de dominio es
completamente transparente para los usuarios.
Ya que el sistema de memoria caché permite que el sistema DNS sea distribuido, los
registros para cada dominio tienen una duración de vida que se conoce
como TTL (Tiempo de vida). Esto permite que los servidores intermediarios conozcan
la fecha de caducidad de la información y por lo tanto que sepan si es necesario
verificarla o no.
Por lo general, un registro de DNS contiene la siguiente información:
Instalación y administración de servicios de nombres de dominio
2011
9
Nombre de dominio (FQDN) TTL Tipo Clase RData
es.kioskea.net 3600 A IN 163.5.255.85
Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe
terminar con un punto. En caso de que falte el punto, el nombre de dominio es
relativo, es decir, el nombre de dominio principal incluirá un sufijo en el dominio
introducido;
Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro. El
tipo de recurso puede ser uno de los siguientes:
A: este es un tipo de base que hace coincidir el nombre canónico con la
dirección IP. Además, pueden existir varios registros A relacionados con
diferentes equipos de la red (servidores).
CNAME:Permite definir un alias para el nombre canónico. Es particularmente
útil para suministrar nombres alternativos relacionados con diferentes servicios
en el mismo equipo.
HINFO: éste es un campo solamente descriptivo que permite la descripción en
particular del hardware del ordenador (CPU) y del sistema operativo (OS).
Generalmente se recomienda no completarlo para evitar suministrar
información que pueda ser útil a piratas informáticos.
MX :es el servidor de correo electrónico. Cuando un usuario envía un correo
electrónico a una dirección (user@domain), el servidor de correo saliente
interroga al servidor de nombre de dominio con autoridad sobre el dominio para
obtener el registro MX
NS: es el servidor de nombres de dominio con autoridad sobre el dominio.
PTR: es un puntero hacia otra parte del espacio de nombres del dominios.
SOA (Inicio de autoridad): el campo SOA permite la descripción del servidor
de nombre de dominio con autoridad en la zona, así como la dirección de correo
electrónico del contacto técnico (en donde el carácter "@" es reemplazado por
un punto).
Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo tanto, éste
es el sistema que utilizaremos en nuestro caso), o CH (para el sistema caótico);
RDATA: estos son los datos relacionados con el registro. Aquí se encuentra la
información esperada según el tipo de registro:
A: la dirección IP de 32 bits:
CNAME: el nombre de dominio;
MX: la prioridad de 16 bits, seguida del nombre del ordenador;
NS: el nombre del ordenador; PTR: el nombre de dominio
PTR: el nombre de dominio;
SOA: varios campos.
Instalación y administración de servicios de nombres de dominio
2011
10
SERVIDORES DE NOMBRES DE DOMINIOS
Los equipos llamados servidores de nombres de dominio permiten establecer la relación
entre los nombres de dominio y las direcciones IP de los equipos de una red.
Cada dominio cuenta con un servidor de nombre de dominio, llamado servidor de
nombre de dominio principal, así como también un servidor de nombre de dominio
secundario, que puede encargarse del servidor de nombre de dominio principal en caso
de falta de disponibilidad.
Cada servidor de nombre de dominio está especificado en el servidor de nombre de
dominio en el nivel superior inmediato, lo que significa que la autoridad sobre los
dominios puede delegarse implícitamente. El sistema de nombre es una arquitectura
distribuida, en donde cada entidad es responsable de la administración de su nombre de
dominio. Por lo tanto, no existe organización alguna que sea responsable de la
administración de todos los nombres de dominio.
Los servidores relacionados con los dominios de nivel superior (TLD) se llaman
"servidores de dominio de nivel superior". Son 13, están distribuidos por todo el
mundo y sus nombres van desde "a.root-servers.net" hasta "m.root-servers.net".
El servidor de nombre de dominio define una zona, es decir, una recopilación de
dominios sobre la cual tiene autoridad. Si bien el sistema de nombres de dominio es
transparente para el usuario, se deben tener en cuenta los siguientes puntos:
Cada equipo debe configurarse con la dirección de un equipo que sea capaz de
transformar cualquier nombre en una dirección IP. Este equipo se llama Servidor de
nombres de dominio. No se alarme: cuando se conecta a Internet, el proveedor de
servicios automáticamente modificará los parámetros de su red para hacer que estos
servidores de nombres de dominio estén disponibles.
También debe definirse la dirección IP de un segundo Servidor de nombres de
dominio (Servidor de nombres de dominio secundario): el servidor de nombres de
dominio secundario puede encargarse del servidor de nombres de dominio principal
en caso de fallas en el sistema. RESOLUCION DEL NOMBRE DE DOMINIO
El mecanismo que consiste en encontrar la dirección IP relacionada al nombre de un
ordenador se conoce como "resolución del nombre de dominio". La aplicación que
permite realizar esta operación (por lo general, integrada en el sistema operativo se
llama "resolución".
Cuando una aplicación desea conectarse con un host conocido a través de su nombre de
dominio (por ejemplo, "es.kioskea.net"), ésta interroga al servidor de nombre de
dominio definido en la configuración de su red. De hecho, todos los equipos conectados
a la red tienen en su configuración las direcciones IP de ambos servidores de nombre de
dominio del proveedor de servicios.
Entonces se envía una solicitud al primer servidor de nombre de dominio (llamado el
"servidor de nombre de dominio principal"). Si este servidor de nombre de dominio
tiene el registro en su caché, lo envía a la aplicación; de lo contrario, interroga a un
servidor de nivel superior (en nuestro caso un servidor relacionado con el TLD ".net").
Instalación y administración de servicios de nombres de dominio
2011
11
El servidor de nombre de nivel superior envía una lista de servidores de nombres de
dominio con autoridad sobre el dominio (en este caso, las direcciones IP de los
servidores de nombres de dominio principal y secundario para cómofunciona.net).
Entonces el servidor de nombres de dominio principal con autoridad sobre el dominio
será interrogado y devolverá el registro correspondiente al dominio del servidor (en
nuestro caso www).
CLIENTES DNS (RESOLVER)
El DNS es un servidor con clientes un poco especiales. En general no existe un cliente
propiamente tal, sino que múltiples clientes, ya que la traducción de nombre a IP se
presenta en general como una función de biblioteca.
La mayoría de los sistemas operativos ofrecen múltiples formas de hacer esa traducción,
con archivos de hosts, servicios de red local y DNS. Este documento se centra en el
DNS, pero la existencia de otros servicios a veces causa problemas.
La operación del resolver comienza cuando recibe un nombre y debe traducirlo. Existen
dos tipos de nombres en Internet: los nombres totalmente calificados (
anakena.dcc.uchile.cl) y los nombres parciales ( anakena). Es ilegal usar nombres
intermedios (como anakena.dcc) porque si existiera el dominio de primer nivel .dcc ese
nombre sería ambiguo.
Para comenzar, el resolver debe conocer uno o más servidores de nombres a quienes
enviarles la consulta. Esta información se configura en cada máquina, colocando la
dirección IP del servidor (por supuesto, no es posible usar el nombre en este lugar). La
traducción completa se le pide al servidor local.
Para resolver una consulta, un servidor de nombres debe conocer a lo menos a los
servidores raíz. De ese modo, si nunca ha oído hablar de ninguno de los dominios del
nombre, puede preguntarle a un servidor raíz. Por lo menos, el servidor raíz tiene que
conocer la lista de servidores del dominio de primer nivel del nombre (o sabe que no
existe). Si sabe más que eso (por ejemplo, si es secundario del dominio de primer nivel)
responde lo más posible. Las respuestas son de dos tipos: una lista de servidores de
nombres que saben más que él (servidores del dominio o del sub-dominio) o una lista de
direcciones IP que corresponden a la máquina buscada.
Además de los primarios y secundarios, los otros servidores pueden responder consultas
sobre un dominio si ellos preguntaron hace poco y almacenaron la respuesta. Esta
respuesta queda en un cache, y se marca como sin autoridad y se acompaña de la lista de
servidores que saben más que él. El resolver elige si la acepta o no.
Instalación y administración de servicios de nombres de dominio
2011
12
PROTOCOLO DNS
El DNS usa el concepto de espacio de nombres distribuido. Los nombres simbólicos se
agrupan en zonas de autoridad, o más comúnmente, zonas. En cada una de estas zonas,
uno o más hosts tienen la tarea de mantener una base de datos de nombres simbólicos y
direcciones IP y de suministrar la función de servidor para los clientes que deseen
traducir nombres simbólicos a direcciones IP. Estos servidores de nombres locales se
interconectan lógicamente en una árbol jerárquico de dominios.
Cada zona contiene una parte del árbol o subárbol y los nombres de esa zona se
administran con independencia de los de otras zonas. La autoridad sobre zonas se delega
en los servidores de nombres. Normalmente, los servidores de nombres que tienen
autoridad en zona tendrán nombres de dominio de la misma, aunque no es
imprescindible. En los puntos en los que un dominio contiene un subárbol que cae en
una zona diferente, se dice que el servidor / servidores de nombres con autoridad sobre
el dominio superior delegan autoridad al servidor / servidores de nombres con autoridad
sobre los subdominios. Los servidores de nombres también pueden delegar autoridad en
sí mismos; en este caso, el espacio de nombres sigue dividido en zonas, pero la
autoridad para ambas las ejerce el mismo servidor . La división por zonas se realiza
utilizando registros de recursos guardados en el DNS:
Muchas implementaciones de DNS proporcionan tres utilidades bastante comunes para
consultar a servidores de nombres:
host Obtiene una dirección IP asociada con un nombre de host o un nombre de host
asociado con una dirección IP.
nslookup
Permite localizar información acerca de los nodos de red, examinar los
contenidos de la base de datos de un servidor de nombres y establecer la
accesibilidad a servidores de nombres.
dig("Domain Internet Groper")
Permite probar los servidores de nombres, reunir grandes volúmenes de
información de nombres de dominio y ejecutar simples consultas de nombres de
dominio.
Espacio de nombres de dominio:
Cuando usamos el término espacio de nombres nos referimos a un conjunto de
nombres en el cuál todos los nombres son únicos.
El DNS distingue:
1. Un único espacio de nombres de dominio públicos: estos nombres están
asociados obligatoriamente con equipos con dirección IP pública.
2. Infinitos espacios de nombres de dominio privados: que incluyen todos los
nombres de dominio que no se encuentran en el espacio anterior. Estos nombres
Instalación y administración de servicios de nombres de dominio
2011
13
suelen ser utilizados por equipos con IPs privadas que pretenden ser sólo
accesibles desde otros equipos de su misma LAN.
Descripción del espacio de nombres de dominio DNS
El DNS organiza los nombres de dominio tanto en el espacio público como en los
espacios privados mediante una jerarquía de dominios.
Esta jerarquía tiene forma de árbol invertido. Cada nodo del árbol se denomina
etiqueta y está nombrado utilizando únicamente caracteres de los rangos 'a-z', 'A-Z', '0-
9',y '-' con un límite de 63 caracteres por nodo.
El árbol comienza en el dominio raíz situado en el nivel superior. Este nodo raíz se
nombra utilizando un punto: ..
Bajo el dominio raíz se encuentran los dominios de primer nivel. A continuación y
colgando de estos, en el árbol encontramos los dominios de segundo nivel.
En el espacio de nombres de dominio públicos este segundo nivel está regulado.
Esto significa que existe una organización que se encarga de alquilar a particulares o
empresas dichos nombres de dominio, de manera que un mismo nombre no pertenezca a
dos entidades o personas diferentes.
Cada dominio de segundo nivel puede contener, a su vez, dominios de tercer nivel. A
su vez, estos pueden contener dominios de cuarto nivel y de quinto o más niveles,
permitiéndose hasta 127 niveles.
El espacio de nombres de dominio DNS, como se muestra en la ilustración siguiente, se
basa en el concepto de un árbol de dominios con nombre. Cada nivel del árbol puede
representar una rama o una hoja del mismo. Una rama es un nivel donde se utiliza más
de un nombre para identificar un grupo de recursos con nombre. Una hoja representa un
nombre único que se utiliza una vez en ese nivel para indicar un recurso específico.
Instalación y administración de servicios de nombres de dominio
2011
14
Cómo se organiza el espacio de nombres de dominio DNS
Cualquier nombre de dominio DNS que se utiliza en el árbol es, técnicamente, un
dominio. Sin embargo, la mayor parte de las explicaciones de DNS identifica los
nombres de una de las cinco formas posibles, según el nivel y la forma en que se utiliza
normalmente un nombre. Por ejemplo, el nombre de dominio DNS registrado para
Microsoft (microsoft.com.) se conoce como un dominio de segundo nivel. Esto se debe
a que el nombre tiene dos partes (llamadas etiquetas) que indican que se encuentra dos
niveles por debajo de la raíz o la parte superior del árbol. La mayor parte de los nombres
de dominio DNS tienen dos etiquetas o más, cada una de las cuales indica un nuevo
nivel en el árbol. En los nombres se utilizan puntos para separar las etiquetas.
Además de los dominios de segundo nivel, seguidamente se describen otros términos
que se utilizan para describir los nombres de dominio DNS según su función en el
espacio de nombres.
Dominio raíz: Parte superior del árbol que representa un nivel sin nombre; a veces, se
muestra como dos comillas vacías (""), que indican un valor nulo. Cuando se utiliza en
un nombre de dominio DNS, empieza con un punto (.) para designar que el nombre se
encuentra en la raíz o en el nivel más alto de la jerarquía del dominio. En este caso, el
nombre de dominio DNS se considera completo e indica una ubicación exacta en el
árbol de nombres. Los nombres indicados de esta forma se llaman nombres de dominio
completos (FQDN, <i>Fully Qualified Domain Names</i>). Ejemplo: Un sólo punto (.)
o un punto usado al final del nombre, como "ejemplo.microsoft.com.".
Instalación y administración de servicios de nombres de dominio
2011
15
Dominio de nivel superior: Nombre de dos o tres letras que se utiliza para indicar un
país, una región o el tipo de organización que usa un nombre. Ejemplo: ".com", que
indica un nombre registrado para usos comerciales o empresariales en Internet.
Dominio de segundo nivel: Nombres de longitud variable registrados que un individuo
u organización utiliza en Internet. Estos nombres siempre se basan en un dominio de
nivel superior apropiado, según el tipo de organización o ubicación geográfica donde se
utiliza el nombre. Ejemplo: "microsoft.com.", que es el nombre de dominio de segundo
nivel registrado para Microsoft por el registrador de nombres de dominio DNS de
Internet.
Subdominio: Nombres adicionales que puede crear una organización derivados del
nombre de dominio registrado de segundo nivel. Incluyen los nombres agregados para
desarrollar el árbol de nombres de DNS en una organización y que la dividen en
departamentos o ubicaciones geográficas. Ejemplo: "ejemplo.microsoft.com.", que es
un subdominio ficticio asignado por Microsoft para utilizarlo en nombres de ejemplo de
documentación.
Nombre de recurso o de host: Nombres que representan una hoja en el árbol DNS de
nombres e identifican un recurso específico. Normalmente, la etiqueta situada más a la
izquierda de un nombre de dominio DNS identifica un equipo específico en la red. Por
ejemplo, si un nombre de este nivel se utiliza en un RR de host (A), éste se utiliza para
buscar la dirección IP del equipo según su nombre de host. Ejemplo: "host-
a.ejemplo.microsoft.com.", donde la primera etiqueta ("host-a") es el nombre de host
DNS de un equipo específico en la red.
Nombres relativos y absolutos. Fqdn
Se debe distinguir entre los nombres de dominios absolutos y relativos. Los absolutos
son nombres de dominio completos, por ejemplo: paola.ejemplo.cl., los nombres de
dominios relativos muestran solo la etiqueta inicial del nombre, la cual se completa por
medio de los programas locales que tiene conocimiento del dominio local, para el caso
anterior un dominio relativo seria: paola, usado en el dominio ejemplo.cl. Para
simplificar las implementaciones, la suma total de los caracteres que representan un
nombre de dominio está limitada a 255.
Un dominio es subdominio de otro dominio si está contenido en el nombre absoluto del
dominio, por ejemplo A.B.C.D es un subdominio de B.C.D, C.D, D y ´ ´.
Un FQDN (Fully Qualified Domain Name) es un nombre que incluye el nombre de la
computadora y el nombre de dominio asociado a ese equipo. Por ejemplo, dada la
computadora llamada «serv1» y el nombre de dominio «bar.com», el FQDN será
«serv1.bar.com», a su vez un FQDN asociado a serv1 podría ser «post.serv1.bar.com».
La longitud máxima permitida para un FQDN es 255 caracteres (bytes), con una
restricción adicional a 63 bytes por etiqueta dentro de un nombre de dominio. Las
Instalación y administración de servicios de nombres de dominio
2011
16
etiquetas FQDN se restringen a un juego de caracteres limitado: letras A-Z de ASCII,
los dígitos, y el carácter «-» , y no distinguen mayúsculas de minúsculas. En 2004 se
añadieron algunos caracteres como «ä, ö, ü, é, à, è...» como caracteres permitidos para
las etiquetas.
Un dominio de Internet es una red de identificación asociada a un grupo de
dispositivos o equipos conectados a la red Internet.
El propósito principal de los nombres de dominio en Internet y del sistema de nombres
de dominio (DNS), es traducir las direcciones IP de cada nodo activo en la red, a
términos memorizables y fáciles de encontrar. Esta abstracción hace posible que
cualquier servicio (de red) pueda moverse de un lugar geográfico a otro en la red
Internet, aun cuando el cambio implique que tendrá una dirección IP diferente.
Sin la ayuda del sistema de nombres de dominio, los usuarios de Internet tendrían que
acceder a cada servicio web utilizando la dirección IP del nodo (por ejemplo, sería
necesario utilizar http://192.0.32.10 en vez de http://example.com). Además, reduciría el
número de webs posibles, ya que actualmente es habitual que una misma dirección IP
sea compartida por varios dominios.
Dominios de nivel superior
Cuando se creó el Sistema de Nombres de Dominio en los años 80, el espacio de
nombres se dividió en dos grandes grupos. El primero incluye los dominios, basados en
los dos caracteres de identificación de cada territorio de acuerdo a las abreviaciones del
ISO-3166. (Ej. *.do, *.mx) y se denomina ccTLD (Dominio de nivel superior de código
de país ó Country Code Top level Domain), los segundos, incluyen un grupo de siete
dominios de primer nivel genéricos, (gTLD), que representan una serie de nombres y
multi-organizaciones: GOV, EDU, COM, MIL, ORG, NET e INT.
Los dominios basados en ccTLD son administrados por organizaciones sin fines de
lucro en cada país, delegada por la IANA y o ICANN para la administración de los
dominios territoriales
El crecimiento de Internet ha implicado la creación de nuevos dominios gTLD. A junio
de 2009, existen 20 gTLD y 248 ccTLD.
ICANN
La Corporación de Internet para la Asignación de nombres y números de Dominios (del
Inglés: Internet Corporation for Assigned Names and Numbers) es una organización sin
fines de lucro que opera a nivel de asignar espacio de direcciones numéricas de
protocolo de Internet (IP), identificadores de protocolo y de las administración del
sistema de servidores raíz. Aunque en un principio estos servicios los desempeñaba
Internet Assigned Numbers Authority (IANA) y otras entidades bajo contrato con el
gobierno de EE.UU., actualmente son responsabilidad de ICANN.
Instalación y administración de servicios de nombres de dominio
2011
17
La ICANN actualmente clasifica los dominios de nivel superior en tres tipos:
Dominios de nivel superior geográfico (ccTLD): Usados por un país o un
territorio dependiente. Tienen dos letras de largo, por ejemplo es para España,
mx para México o ar para Argentina.
Dominios de Internet genéricos (gTLD): Usado (al menos en teoría) por una
clase particular de organizaciones (por ejemplo, com para organizaciones
comerciales). Tiene tres o más letras de largo. La mayoría de los gTLDs están
disponibles para el uso mundial, pero por razones históricas mil (militares) y gov
(gubernamental) están restringidos para el uso por las respectivas autoridades
estadounidenses. Los gTLDs se clasifican, a su vez, en los dominios de Internet
patrocinados (sTLD), ej..aero,.coop y.museum, y los dominios de Internet no
patrocinados (uTLD), ej..biz,.info,.name y.pro.
Dominios de nivel superior de infraestructura: El dominio de nivel superior
arpa es el único confirmado.
REGISTROS DE NOMBRES DE DOMINIOS EN INTERNET. AGENTES
REGISTRADORES
El registro de dominios es el proceso por el cual una persona pasa a tener el control
sobre un nombre de dominio a cambio de pagar una cierta cantidad de dinero a un
registrador.
Procedimiento de registro
El procedimiento es el siguiente:
1.
1. Elegir un dominio.
2. Verificar la disponibilidad del nombre de dominio deseado en algún
registrador.
3. Ingresar los datos personales.
4. Elegir la cantidad de tiempo que el dominio permanecerá registrado.
5. Pagar el dominio, normalmente con tarjeta de crédito (o también por
transferencia bancaria)
2. Una vez comprado, el ahora dueño del dominio (registrante) debe configurarlo
con la URL a la cual redireccionar, IP del servidor al que encontrará mediante la
DNS, servidor DNS usada por este.
3. El dueño del dominio debe esperar un tiempo para que el dominio sea
reconocido en todos los servidores de Internet. Para los dominios .com y .net la
demora es entre 4 y 8 horas, y para otros es generalmente entre 24 y 48 horas.
En ese período:
1. El registrador contacta con ICANN y realiza el proceso de forma
transparente para el registrante.
2. Se avisa al registrante que el dominio fue registrado.
4. El nuevo dominio funciona, y resuelve a la IP apropiada en el servidor DNS
usado, pero no en el resto de servidores DNS del mundo. Poco a poco se va
propagando el cambio al resto de servidores (propagación DNS). Como cada
Instalación y administración de servicios de nombres de dominio
2011
18
uno tiene distintos tiempos de actualización y parámetros de caché distintos,
pasan varias horas hasta que todos los servidores DNS del mundo conocen cómo
hacer la resolución del dominio.
5. La página ya es accesible mediante un nombre de dominio desde cualquier
computadora.
Datos necesarios para registrar un dominio
Los datos necesarios para registrar un dominio son:
- Registrador oficial de dominios: Empresa registradora oficial inscrita en ICANN la
cual se encarga de preservar los datos de los registros.
- Propietario del dominio: Persona o entidad que figura como propietario y legítimo
dueño por el periodo de registro.
- Contacto administrativo: Persona o entidad designada por el propietario que figura
como administrador de los datos del dominio en favor del propietario.
- Contacto técnico: Persona o entidad que se encarga de la manutención de los números
DNS del dominio para su correcto funcionamiento y enlace en la red.
- Contacto de facturación: Persona o entidad que se encargará de realizar el pago por las
correspondientes renovaciones del dominio.
- DNS (Domain Name Servers) ( Servidor de Nombres de Dominio ): Estos números
(mínimo 2) figuran en el registro de los dominios y muestran las direcciones IPs de los
servidores que se harán cargo de las peticiones al dominio y de redirigir las mismas a
donde proceda según la naturaleza de cada petición.
Registradores de dominio
En España, los registradores de dominio empezaron a surgir a mediados de los 90. Los
más conocidos pueden ser Arsys (1996) , Acens (1997), aunque actualmente el mercado
está muy diversificado Sync, Egalan, Hostinet, Tusprofesionales, etc.
En la web de la ICANN se pueden encontrar aquellos acreditados por la ICANN y en
ESNIC, los registradores acreditados para registrar .es
Servidores de nombres de dominio (DNS):
Zonas
Zona de Búsqueda Directa.- Las resoluciones de esta zona devuelven la dirección IP
correspondiente al recurso solicitado; este tipo de zona realiza las resoluciones que
esperan
como respuesta la dirección IP de un determinado recurso.
Instalación y administración de servicios de nombres de dominio
2011
19
Zona de Búsqueda Inversa.- Las resoluciones de esta zona buscan un nombre de
recurso en
función de su dirección IP; una búsqueda inversa tiene forma de pregunta del estilo
"¿Cuál es el nombre DNS del recurso de red que utiliza una dirección IP dada?".
Autoridad
Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el
comienzo de un dominio (una zona), suelen ser el primer registro de cada dominio en
un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se
muestran a continuación:
MNAME Nombre de dominio del servidor DNS constituido como servidor
primario para la zona.
RNAME Nombre de dominio que indica la dirección de correo de la persona
responsable de la zona.
SERIAL Número entero de 32 bits correspondiente a la copia original de la
zona. Este valor se y crementa con cada actualización, se conserva en las
transferencias de zona, y puede ser utilizado como verificación.
REFRESH Número de 32 bits representando el intervalo de tiempo antes que la
zona deba ser actualizada.
RETRY Número de 32 bits representando el intervalo de tiempo que debe
consentirse antes de establecer que una petición de actualización ha fallado.
EXPIRE Número de 32 bits que especifica el límite máximo de tiempo que
puede transcurrir antes que la zona deje de ser "autoridad".
MINIMUM Número entero de 32 bits señalando el valor mínimo del parámetro
TTL que debe ser utilizado para cualquier exploración de la zona.
Registro de recursos RR
Los datos asociados con cada dominio de nombres está contenida en los
llamados registro de recursos (resource records) o simplemente RR. Los RR
describen todos los hosts en la zona y marca toda delegación de subdominios.
Los archivos que los servidores de nombres primarios utilizan son llamados
archivos de datos (data files). Estos archivos de datos contienen registro de
recursos que describen la zona.
Instalación y administración de servicios de nombres de dominio
2011
20
Tipos de servidores
El lado servidor de DNS es un demonio llamado named. Existen tres tipos de
configuración diferentes de servidores de nombres los cuales requieren que el sistema
local ejecute el software named.
• Primario.
El servidor primario es la fuente autorizada de toda la información acerca de un
dominio especifico. Él carga la información de un archivo mantenido localmente por el
administrador. Este archivo (archivo de zona) contiene la información más precisa
acerca de una porción de la jerarquía de dominios sobre la cual el servidor tiene
autoridad. La configuración de un servidor primario requiere un conjunto de archivos:
archivos de zona para el dominio regular y para el dominio reverso, el archivo de
configuración del servidor, el archivo de cache y el archivo loopback.
• Secundario.
Un servidor secundario transfiere un conjunto completo de información de dominio
desde el servidor primario. El archivo de zona es transferido desde el servidor primario
y es guardado como un archivo local de disco (a esta operación se le llama
transferencia de zona). Solamente se requieren el archivo de inicio, el archivo de cache
y el archivo loopback. Un servidor secundario es considerado también primario ya que
tiene una copia exacta de los archivos del servidor primario, lo cual lo hace autoridad.
• Sólo Cache.
Un servidor de sólo cache corre el software del servidor, pero no tiene los archivos de
base de datos del servidor. Aprende las respuestas de otros servidores de nombres, las
guarda y las usa para responder preguntas futuras sobre
esa misma información. Solamente requiere de un archivo de cache (con información
acerca de los root servers a los cuales debe preguntar). Se dice que este tipo de
servidor no es autoritario ya que la información que obtiene es de segunda mano. El
archivo de configuración del servidor mantiene los parámetros de funcionamiento,
apuntadores a los archivos de datos del dominio y direcciones de servidores remotos.
Reenviador DNS.
Servidor DNS designado por otros servidores DNS para ser invocado en
consultas de resolución de recursos que se encuentran ubicados en dominios que no son
gestionados por el DNS local.
Instalación y administración de servicios de nombres de dominio
2011
21
Software comercial de servidores de nombres de dominio. Simple DNS Plus
Es un servidor de DNS y DHCP de fácil uso.
Puedes usar el programa para hacer funcionar correctamente tu propio servidor DNS
Internet/Intranet aún sin tener tu propio dominio registrado. Además mejora la
velocidad del acceso a Internet.
Simple DNS Plus simplifica la configuración de un servidor de DNS y la
configuración TCP/IP de tu red, y le da a los ordenadores de tu red nombre reales en vez
de los difíciles números de la dirección IP de cada uno de ellos.
Por ejemplo, puedes llamar tu servidor de correo electrónico "mail", tu servidor proxy
"proxy", y tu servidor Web de tu Intranet "Web"; evitándote tener que escribir las
direcciones IP completas de cada uno de ellos.
Además puedes hacer funcionar múltiples servidores DNS en la misma máquina, y el
programa soporta transferencia de zonas y notificación de zona actualizada.
El programa se aloja en la bandeja del sistema de Windows.
Servidores Raíz (Root Name Servers, RNS)
Los RNS saben cuáles servidores de nombres tienen autoridad para los dominios
superiores. Si se les hace una pregunta acerca de un subdominio, los servidores raíz
maestros pueden al menos proveer los nombres y direcciones de los servidores de
nombres con autoridad para el segundo nivel de dominios a los cuales un dominio
pertenece. Cada servidor interrogado da, al que pregunta, información de cómo “estar
más cerca” de la respuesta que está buscando o provee él mismo una respuesta. Lo que
hacen los RNS es proveer punteros desde los dominios superiores a los servidores de
nombres de los dominios inferiores. Por ejemplo para conseguir el servidor de nombres
del dominio ve. se debe interrogar a los servidores raíz.
Los RNS, así como los NS normales, son muy importantes en la resolución de un
nombre dentro de un dominio particular. Debido a que son tan importantes, DNSprovee
mecanismos para asegurar siempre el servicio utilizando redundancia (servidores
secundarios) o aliviando la carga de los servidores primarios y root (usando caching).
Sin embargo, en ausencia de mecanismos como el caching, la resolución debe empezar
en los servidores de raíz maestros.
Clientes DNS (Resolutores – “resolvers” de nombres)
La resolución de nombres de DNS se produce cuando un resolutor, en un host, envía a
un servidor de DNS un mensaje de solicitud con un nombre de dominio. El mensaje de
solicitud indica al DNS que busque el nombre y devuelva ciertos RR. El mensaje de
solicitud contiene el nombre de dominio a buscar y un código que indica los registros
que se deben devolver.
Instalación y administración de servicios de nombres de dominio
2011
22
Un cliente envía una solicitud de DNS pidiendo al servidor de DNS todos los registros
A de kona.midominio.com. La respuesta a la solicitud contiene la entrada de solicitud y
los RR de respuesta.
Resolución de alias
Si el resolutor intenta realizar resolución de nombres de un nombre que indique el
usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Si
se refiere a un CNAME, el servidor puede devolver el CNAME. Sin embargo, en este
caso, el CNAME debe resolverse todavía. Para evitar tráfico extra de DNS, cuando un
servidor de DNS devuelve un CNAME en respuesta a una búsqueda de registro de host,
el servidor de DNS también devuelve el registro A relativo al CNAME.
El cliente de DNS envía una solicitud de DNS al servidor de DNS solicitando el registro
Host de nsl.midominio.com, que en realidad es un alias de kona.midominio.com. En la
respuesta de DNS existen dos RR de respuesta. El primero es el RR CNAME de
nsl.midominio.com, que contiene el nombre canónico. El segundo RR de respuesta es el
registro Host de kona.midominio.com, que contiene la dirección de IP de este equipo.
Caché del resolutor de DNS
Un host de IP podría necesitar ponerse
en contacto periódicamente con otro
host y por tanto necesitaría resolver un
nombre concreto de DNS muchas
veces, como por ejemplo el nombre del
servidor de correo electrónico. Para
evitar tener que enviar solicitudes a un
servidor de DNS cada vez que el host
quiere resolver el nombre, Windows
implementa una caché especial de
información de DNS.
El servicio Cliente de DNS hace caché
de los RR recibidos en las respuestas a
las solicitudes de DNS. La información se mantiene durante un Período de vida, TTL
(Time To Live), y se puede utilizar para responder solicitudes posteriores. De forma
predeterminada, la caché utiliza el valor de TTL recibido en la respuesta de solicitud de
DNS. Cuando se resuelve una solicitud, el servidor autoridad de DNS en el dominio
resuelto define el TTL para un RR dado.
Puede utilizar el comando IPCONFIG con la opción /DISPLAYDNS para mostrar el
contenido actual de la caché del resolutor.
Caché negativa
El servicio Cliente de DNS también proporciona caché negativa. La caché negativa
ocurre cuando no existe un RR de un nombre de dominio solicitado o cuando el propio
Instalación y administración de servicios de nombres de dominio
2011
23
nombre de dominio no existe, en cuyo caso se guarda la falta de resolución. La caché
negativa evita repetir solicitudes adicionales de RR o dominios que no existen.
Si se realiza una solicitud a un servidor de DNS y la respuesta es negativa, las siguientes
solicitudes al mismo nombre de dominio se responden negativamente durante un tiempo
predeterminado de 300 segundos. Para evitar guardar en la caché información negativa
anticuada, cualquier información de solicitud respondida negativamente se mantiene
durante un período de tiempo inferior al que se utiliza para las respuestas positivas.
Con la caché negativa se reduce la carga en los servidores de DNS, pero estarán
disponibles los RR relevantes, y se podrán enviar solicitudes posteriores para obtener la
información.
Si se realiza una solicitud a todos los servidores de DNS y no está disponible ninguno
durante un tiempo predeterminado de 30 segundos, las solicitudes posteriores por
nombre fallarán inmediatamente en lugar de esperar los plazos. De esta forma se puede
ahorrar tiempo en servicios que utilizan DNS durante el proceso de arranque, sobre todo
cuando se arranca de la red.
Proceso de resolución de un nombre de dominio
El resolver o cliente DNS es la parte del sistema operativo encargada de resolver
nombres de dominio cuando otros clientes (clientes web, clientes de correo,
herramientas de red, etc.) así se lo solicitan.
La resolución de un nombre de dominio es la traducción de un FQDN a su
correspondiente dirección IP.
Proceso
El proceso de resolución sería el siguiente:
1. En un programa del equipo local el usuario utiliza un nombre de dominio
totalmente cualificado (FQDN).
2. A continuación, el programa solicita al resolver la resolución de ese nombre. Su
modo de actuación depende del sistema operativo:
o GNU/Linux:
1. El resolver compara el nombre solicitado con el del propio host.
Si es el mismo, el nombre queda resuelto a la IP local. Para ello
utiliza la información que encuentra en el archivo
/etc/hostname (que le informa del nombre de máquina local) y
la concatena con la indicada en la directiva domain del archivo
/etc/resolv.conf si la hubiera.
2. En caso de no haber resuelto el nombre, el resolver consulta los
datos del archivo /etc/hosts. Se trata de un archivo de texto
que contiene por cada línea una dirección IP y su
correspondiente nombre de dominio separados por un espacio o
Instalación y administración de servicios de nombres de dominio
2011
24
más (las líneas que empiezan con el carácter 'almohadilla' son
comentarios y no son tenidas en cuenta). Si el resolver encuentra
aquí la respuesta a su consulta detiene el proceso.
3. En caso contrario, el resolver comprueba que en la caché del
resolver no está la respuesta a la consulta en cuestión. Si está
presente en ella, el resolver ofrece este dato a la aplicación que lo
solicitó y termina el proceso.
4. Finalmente, si aún no se ha resuelto el nombre, el resolver
procede a consultar al primer servidor DNS que figure en el
archivo /etc/resolv.conf.
o Windows:
1. El resolver compara el nombre solicitado con el del propio host.
Si es el mismo, el nombre queda resuelto a la IP local.
2. Se carga en la caché del resolver el contenido del archivo hosts.
Este archivo de Windows es un archivo de texto idéntico al
utilizado por GNU/Linux.
3. Se intenta resolver el nombre utilizando la caché del resolver
(que, aparte del contenido del archivo host, incluirá también las
respuestas a consultas DNS realizadas anteriormente). Si la
consulta no coincide con una entrada de la caché, el proceso de
resolución continúa.
4. El resolver consultará al servidor DNS preferido (establecido de
manera gráfica por el usuario) tal y como se especifica a
continuación.
3. Cuando el servidor DNS recibe la consulta del resolver, primero comprueba su
archivo de zona (en caso de que lo tenga). Si el nombre consultado coincide
con algún registro de su archivo de zona, el servidor DNS responde al resolver
con autoridad.
4. Si no existe ninguna información en la zona para el nombre consultado, a
continuación el servidor comprueba si puede resolver el nombre mediante la
información almacenada en su caché local (que contendrá resultados de
consultas anteriores). Si aquí se encuentra una coincidencia, el servidor responde
con esta información. Si aun no se ha conseguido una respuesta a la consulta, lo
más normal es que el servidor DNS siga intentando por todos los medios
resolverla, bien preguntando a otros servidores DNS que tenga configurados
(denominados forwarders) o bien preguntando directamente a los servidores
raiz.
5. Finalmente, cuando el servidor DNS obtiene por uno de los dos medios la
respuesta la envía al resolver. La respuesta se almacena tanto en la caché del
servidor DNS consultado como en la caché local del resolver.
Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS:
Iterativa
Las resoluciones iterativas consisten en la respuesta completa que el servidor de
nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su
caché) buscando los datos solicitados. El servidor encargado de hacer la resolución
Instalación y administración de servicios de nombres de dominio
2011
25
realiza iterativamente preguntas a a los diferentes DNS de la jerarquía asociada al
nombre que se desea resolver, hasta descender en ella hasta la máquina que contiene la
zona autoritativa para el nombre que se desea resolver.
Recursiva
En las resoluciones recursivas, el servidor no tiene la información en sus datos locales,
por lo que busca y se pone en contacto con un servidor DNS raíz, y en caso de ser
necesario repite el mismo proceso básico (consultar a un servidor remoto y seguir a la
siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta.
Cuando existe más de un servidor autoritario para una zona, Bind utiliza el menor valor
en la métrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida
para determinar cuánto tarda un servidor en responder una consulta.
El proceso de resolución normal se da de la siguiente manera:
1. El servidor A recibe una consulta recursiva desde el cliente DNS.
2. El servidor A envía una consulta recursiva a B.
3. El servidor B refiere a A otro servidor de nombres, incluyendo a C.
4. El servidor A envía una consulta recursiva a C.
5. El servidor C refiere a A otro servidor de nombres, incluyendo a D.
6. El servidor A envía una consulta recursiva a D.
7. El servidor D responde.
8. El servidor A regresa la respuesta al resolver.
9. El resolver entrega la resolución al programa que solicitó la información.
Resolución inversa:
La operacion mas habitual con el DNS es obtener la direccion IP correspondiente a un
nombre de nodo.
Sin embargo, a veces queremos hacer la operacion opuesta: encontrar el nombre a partir
de la direccion IP.
Esto se conoce como resolucion inversa, y la usan diversas aplicaciones para
comprobacion de identidad del cliente. Cuando se utiliza el fichero hosts, la resolucion
se realiza mediante una busqueda simple en el fichero.
Con el DNS, una busqueda exhaustiva en el espacio de nombres carece de sentido. En
su lugar, existe un dominio especial, el in-addr.arpa, que contiene las direcciones IP de
todos los sistemas en una notacion de puntos invertida.
Por ejemplo, a la direccion 1.2.3.4 le corresponde el nombre 4.3.2.1.in-addr.arpa. El
registro de recurso (RR) que define esto se llama registro PTR.
Cuando se crea una zona de autoridad, ello suele significar que sus administradores
tienen control total sobre como se asignan los nombres a las direcciones. Puesto que
Instalación y administración de servicios de nombres de dominio
2011
26
normalmente tienen bajo su control una o más redes o subredes IP, se da una situación
de mapeo uno-a-varios entre zonas DNS y redes IP. El Departamento de Fisica, por
ejemplo, comprende las subredes 149.76.8.0, 149.76.12.0 y 149.76.14.0.
En consecuencia, deben crearse nuevas zonas en el dominio in-addr.arpa para la zona de
Fisica, delegandose a esta las siguientes: 8.76.149.in-addr.arpa, 12.76.149.in-addr.arpa,
y 14.76.149.in-addr.arpa. De otro modo, cada vez que instalasemos un nuevo nodo en el
laboratorio
Registros de recursos DNS:
Cada servidor DNS primario mantiene un archivo de zona para resolución directa (de
un nombre de dominio se obtiene la IP asociada) de la zona sobre la que tiene autoridad
y, en algunos casos, otro archivo de zona inverso para la resolución inversa.
Ambos archivos son siempre archivos de texto plano, tanto si el servidor DNS corre en
GNU/Linux o en Windows. Cada archivo de zona contiene lo que ya conocemos como
registros de recursos
Los principales tipos de registros de recursos son los siguientes:
TTL
La primera línea que hemos de indicar en un archivo de zona debe establecer el valor
Time to Live (TTL) (Tiempo de vida). Su sintaxis es:
$TTL tiempo
donde tiempo es el tiempo que cualquier registro de recurso de este archivo puede
permanecer en la caché de otro servidor DNS.
Si un registro de recurso especifica su propio valor TTL, esta directiva se ignora para
dicho recurso.
Si solo aparece un número (por ejemplo, $TTL 3600), se interpreta como segundos,
pero para dar mayor claridad, se pueden usar semanas ($TTL 1w), días ($TTL 7d),
horas ($TTL 168h) o minutos ($TTL 10080m).
SOA
El registro SOA (Start of Authority) es el segundo registro que nos encontramos en un
archivo de zona. Debe haber uno (y solo uno) por cada archivo de zona directo o
inverso que creemos. Su sintaxis es:
zona IN SOA nombreDNSprimario emailAdministrador (
numeroSerie
actualizacion
Instalación y administración de servicios de nombres de dominio
2011
27
reintento
caducidad
TTLminimo )
donde:
zona es o bien el nombre de la zona (¡terminado en punto!) o bien la letra @.
nombreDNSprimario indica el FQDN del servidor donde esta almacenado el
archivo de zona (¡terminado en un punto!).
emailAdministrador es la dirección de email de la persona responsable de este
dominio (la arroba se remplaza con un punto y la dirección entera también
termina con un punto).
numeroSerie indica el número de version del archivo de zona. Sirve de
referencia a los servidores DNS secundarios para saber cuando deben hacer una
transferencia de zona. Si el numero de serie del ervidor secundario es menor que
el número de serie del primario significa que este ha cambiado su información.
Este número debe ser incrementado de forma manual por el administrador de red
cada vez que realiza un cambio en el archivo de zona. Una costumbre es la de
escribir los número de serie como AAAAMMDDNN, es decir 4 cifras para el año, 2
para el mes, 2 para el día y una o dos para el numero de revisión dentro de ese
día (01, 02, etc.).
actualizacion es el intervalo, en segundos, tras el cual los servidores
secundarios deben comprobar el registro SOA del servidor primario, con el fin
de verificar si la información del dominio ha cambiado. El valor típico es de una
hora (3600).
reintento especifica el tiempo que el servidor secundario espera antes de
volver a intentar una transferencia de zona que haya fallado.
caducidad es el tiempo en segundos tras el cual un servidor DNS secundario
que no haya podido realizar transferencias de zona en todo ese tiempo descartará
los datos que posee. El valor típico es de 42 días, o sea 3600000.
TTLminimo antiguamente (en versiones 8.3 de BIND y anteriores) establecía el
tiempo de validez en segundos para permanecer en cachés de otros servidores o
de resolvers. En la actualidad esto se consigue con la directiva $TTL, por lo que
el valor indicado en este campo se ignora.
Los números especificados en este registro indican segundos.
NS
Este tipo de registro representa o indica quienes son los servidores DNS con autoridad
sobre esa zona, tanto maestros como secundarios. Por tanto, cada archivo de zona debe
contener, como mínimo, un registro NS.
Su sintaxis es:
dominio IN NS FQDNservidorDNS
donde:
Instalación y administración de servicios de nombres de dominio
2011
28
dominio es el nombre de dominio completamente cualificado de la zona sobra la
que tiene autoridad el servidor DNS que estemos especificando. Si esta zona
coincide con la zona que se está definiendo en el archivo de zona, puede dejarse
en blanco o escribir una @.
FQDNservidorDNS es el nombre de dominio completamente cualificado del
servidor DNS que estamos especificando.
Por otra parte, estos registros también se utilizan para indicar quiénes son los servidores
DNS con autoridad para nuestros subdominios delegados, por lo que la zona contendrá
al menos un registro NS por cada subdominio que haya sido delegado.
Por ejemplo, si estamos definiendo un archivo de zona para example.local e incluimos
los siguientes registros:
@ IN NS asterix.example.local.
IN NS obelix.example.local.
ventas.example.local IN NS ideafix.empleados.example.local.
estamos indicando que los servidores con autoridad sobre la zona example.local son
asterix.example.local. y obelix.example.local.. Además, también indicamos que el
servidor primario para la zona ventas.example.local es ideafix.empleados.example.local.
A
El registro A establece una correspondencia entre un nombre de dominio
completamente cualificado y una dirección IP.
Su sintaxis es:
nombreHost IN A IPcompleta
donde:
nombreHost es únicamente el nombre de un host de nuestro dominio.
IPcompleta es la dirección IP de ese host.
nombreHost puede ser omitido en el registro A para indicar que estamos asociando una
IP al nombre de la zona. Así, si consideramos un archivo de zona de ejemplo para la
zona example.local que contenga:
IN A 10.0.1.3
server1 IN A 10.0.1.5
Las peticiones de resolución para example.local son resueltas a la 10.0.1.3, mientras que
las solicitudes para server1.example.local son resueltas a la 10.0.1.5.
Es recomendable que exista sólo un registro IN A por cada dirección IP.
Instalación y administración de servicios de nombres de dominio
2011
29
CNAME
El registro CNAME (Canonical NAME) crea un alias (un sinónimo) para el nombre de
dominio especificado.
Su sintaxis es:
alias IN CNAME nombreHost
donde:
alias es únicamente un nombre de host.
nombreHost es únicamente el nombre de host indicado anteriormente en un
registro A.
En el ejemplo siguiente, un registro A vincula un nombre de host a una dirección IP,
mientras que un registro CNAME apunta al nombre host comúnmente usado www para
este.
server1 IN A 10.0.1.5
www IN CNAME server1
PTR
El registro de recursos PTR (PoinTeR) o puntero, realiza la acción contraria al registro
de tipo A, es decir, asigna un nombre de dominio completamente cualificado a una
dirección IP. Este tipo de recursos se utiliza únicamente para resolución inversa.
Su sintaxis es:
IPsinParteDeRed IN PTR FQDNhost
donde:
IPsinParteDeRed es la parte de host de la dirección IP de la máquina escrita al
reves.
FQDNhost es el nombre de dominio totalmente cualificado del host (¡terminado
en punto!).
MX
Este registro permite indicar cuáles son los servidores de correo de nuestro dominio.
Además permite, en caso de tener varios servidores, establecer el orden de consulta o de
preferencia. Este orden establece que los valores menores tienen mas prioridad.
Instalación y administración de servicios de nombres de dominio
2011
30
Su sintaxis es:
dominio IN MX prioridad FQDNhost
donde:
dominio puede dejarse en blanco o usar la letra @.
prioridad es un numero entero que puede omitirse.
FQDN-host es el nombre completamente cualificado del host que hara las
funciones de servidor de correo para la zona que estamos definiendo.
Delegación y Glue Record
Es importante resaltar que el objetivo principal del diseño del sistema de nombres de
dominio fue su administración descentralizada. Este objetivo se consigue a través de la
delegación. La delegación de dominios funciona de forma parecida a la delegación de
tareas en una organización. Un responsable de proyecto divide el proyecto en pequeñas
tareas y asigna (delega) la responsabilidad de las mismas a diferentes empleados.
De la misma forma, una organización que administra un dominio puede dividirla en
subdominios. Cada subdominio puede ser delegado a diferentes organizaciones, lo cual
implica que esa organización será responsable de mantener los datos (registros de
recursos) de ese subdominio. Esa organización puede libremente cambiar los datos e
incluso volver a dividir el dominio delegado en subdominios y delegarlos. El dominio
padre solamente contiene enlaces a los responsables del subdominio delegado, de forma
que pueda hacer referencia a ellos cuando se le planteen consultas sobre nombres en
dicho subdominio delegado.
Realmente, la subdivisión de un dominio en subdominios y la delegación de dichos
subdominios son cosas distintas. En primer lugar, un dominio que tenga capacidad de
autogestión (autoridad), siempre puede decidir subdividirse en diferentes subdominios,
manteniendo él en principio la autoridad sobre todos ellos. Posteriormente, la
organización que gestiona el dominio puede decidir además delegar la autoridad de
algunos (o todos) sus subdominios en otras organizaciones. La delegación es una acción
que siempre decide el dominio padre, y éste puede revocarla cuando desee, volviendo a
retomar la autoridad sobre el subdominio que había delegado.
Glue records
¿Qué son?
Son las entradas que se deben crear en el registry (entidad que gestiona un TLD) para
que un dominio pueda actuar como servidor DNS.
Vamos a poner un ejemplo práctico para entender mejor su funcionamiento. Hemos
registrado el dominio ejemplo.com y queremos utilizado como servidor DNS para crear
ns1.ejemplo.com y ns2.ejemplo.com.
Instalación y administración de servicios de nombres de dominio
2011
31
El problema con ello es que por la forma en que el DNS funciona, cada vez que alguien
intenta acceder a ejemplo.com, tendrá que consultar con uno de los subdominios
(ns1.ejemplo.com o ns2.ejemplo.com) para resolver la dirección, pero éstos son a la vez
del propio dominio. Puesto que no se puede llegar a un subdominio antes de llegar al
dominio y el dominio es lo que se está buscando en primer lugar, parece que estamos
atrapados.
Transferencias de Zona:
En aquellas zonas en las que existen diferentes servidores de nombres con autoridad
(uno principal o maestro y uno o varios secundarios o esclavos), cada vez que se
realizan cambios en la zona del servidor maestro, estos cambios deben replicarse a todos
los servidores secundarios de esa zona. Esta acción se lleva a cabo mediante un
mecanismo denominado transferencia de zona. Existen dos tipos de transferencia de
zonas: completa e incremental.
Transferencia completa de zona
En una transferencia completa de zona, el servidor maestro para una zona transmite toda
la base de datos de zona al servidor secundario para esa zona.
Los servidores secundarios siguen los siguientes pasos a la hora de realizar una
transferencia de zona:
1. El servidor secundario para la zona espera el tiempo especificado en el campo
Actualizar del registro SOA y luego le pregunta al servidor maestro por su
registro SOA.
2. El servidor maestro responde con su registro SOA.
3. El servidor secundario para la zona compara el número de serie devuelto con su
propio número y si este es mayor que el suyo, solicita una transferencia de zona
completa.
4. El servidor maestro envía la base de datos de la zona completa al servidor
secundario.
Si el servidor maestro no responde, el servidor secundario lo seguirá intentando después
del intervalo especificado en el campo Reintentos del registro SOA. Si todavía no hay
respuesta después del intervalo que se especifica en el campo Caduca desde la última
transferencia de zona, este descarta su zona.
Transferencia incremental de zona
Las transferencias completas de zona pueden consumir gran ancho de banda de la red.
Para poder solucionar este problema se define la transferencia incremental de zona, en
la cual sólo debe transferirse la parte modificada de una zona.
La transferencia incremental de zona funciona de forma muy similar a la transferencia
completa. En este caso, el servidor secundario para la zona comprueba el número de
Instalación y administración de servicios de nombres de dominio
2011
32
serie del registro SOA del maestro con el suyo, para determinar si debe iniciar una
transferencia de zona, la cual en este caso sería incremental (sólo de los cambios
realizados).
Una transferencia de zona puede darse en cualquiera de los casos siguientes:
Cuando vence el intervalo de actualización de una zona
Cuando un servidor maestro notifica los cambios de la zona a un servidor
secundario
Cuando se inicia el servicio Servidor DNS en un servidor secundario de la zona
Cuando se utiliza la consola DNS en un servidor secundario de la zona para
iniciar manualmente una transferencia desde su servidor maestro.
Las transferencias de zona siempre se inician en el servidor secundario de una zona y se
envían a sus servidores maestros configurados que actúan como origen de la zona. El
servidor maestro puede ser cualquier otro servidor DNS que cargue la zona, como el
servidor principal para la zona u otro servidor secundario. Cuando un servidor maestro
recibe la solicitud para la zona, puede responder con una transferencia parcial o
completa de la zona al servidor secundario.
Como se muestra en la ilustración siguiente, las transferencias de zona entre servidores
siguen un proceso ordenado. Este proceso varía en función de si la zona se ha replicado
anteriormente o si se está realizando la replicación inicial de una zona nueva.
DNS Dinámico (DDNS o Dynamic DNS):
DNS dinámico es un sistema que permite la actualización en tiempo real de la
información sobre nombres de dominio situada en un servidor de nombres. El uso más
común que se le da es permitir la asignación de un nombre de dominio de Internet a un
ordenador con dirección IP variable (dinámica). Esto permite conectarse con la máquina
en cuestión sin necesidad de tener que rastrear las direcciones IP.
El DNS dinámico hace posible, siendo de uso frecuente gracias a lo descrito, utilizar
software de servidor en una computadora con dirección IP dinámica, como la suelen
facilitar muchos proveedores de Internet para particulares (por ejemplo para alojar un
Instalación y administración de servicios de nombres de dominio
2011
33
sitio web en el ordenador de nuestra casa, sin necesidad de contratar un hosting de
terceros -aunque los hay gratuitos y hay que tener en cuenta que los ordenadores caseros
posiblemente no estén tan bien dotados, a diferencia de los de aquellos, para estar
encendidos permanentemente, sin olvidar el aumento del coste de la factura eléctrica-).
Otro uso útil que posibilita el DNS dinámico es poder acceder al ordenador en cuestión
por medio del escritorio remoto.
Este servicio es ofrecido, incluso de forma gratuita, por DynDNS, No-IP, CDmon y
FreeDNS.
Actualizaciones manuales.
La actualización manual consiste en la modificación de los ficheros de la base de datos
de DNS para asignar una dirección Ip a un nombre de dominio.
Porblemas:
afrontar la posibilidad de errores al manipular los ficheros de la Base de Datos
del DNS.
realización de una copia de seguridad, actualización "a mano" de los ficheros de
la Base de Datos,
re-inicializar el servidor de DNS para que los cambios tuvieran efecto.
Actualización dinámica
La actualización dinámica permite a los equipos cliente DNS guardar y actualizar
dinámicamente sus registros de recursos con un servidor DNS siempre que se
produzcan cambios. Esto disminuye la necesidad de administrar de forma manual los
registros de zona, especialmente para los clientes que mueven o cambian ubicaciones
con frecuencia y utilizan DHCP para obtener una dirección IP.
Los servicios de Cliente y Servidor DNS admiten el uso de actualizaciones dinámicas,
tal como se describe en el documento de Solicitud de comentarios (RFC) 2136, relativo
a las actualizaciones dinámicas en el Sistema de nombres de dominio. El servicio
Servidor DNS permite habilitar o deshabilitar la actualización dinámica por zonas en
cada servidor configurado para cargar una zona principal estándar o integrada en
directorio. De forma predeterminada, el servicio de Cliente DNS actualizará
dinámicamente los registros de recursos (RR) de host (A) en DNS cuando esté
configurado para TCP/IP. Para obtener más información sobre documentos RFC, vea
RFC de DNS.
Cómo actualizan sus nombres DNS los equipos cliente y servidor
De forma predeterminada, los equipos configurados estáticamente para TCP/IP intentan
registrar dinámicamente los registros de recursos (RR) de host (A) y punteros (PTR)
para las direcciones IP configuradas y utilizadas por sus conexiones de red instaladas.
Instalación y administración de servicios de nombres de dominio
2011
34
De forma predeterminada, todos los equipos guardan los registros según sus nombres de
dominio completos (FQDN).
El nombre de equipo principal completo, un FQDN, se basa en el sufijo DNS principal
de un equipo agregado a su Nombre de equipo.
Estos dos valores se muestran o configuran en la ficha Nombre de equipo en
Propiedades del sistema.
Las actualizaciones dinámicas se pueden enviar por cualquiera de las siguientes razones
o sucesos:
Se agregó, quitó o modificó una dirección IP en la configuración de propiedades
de TCP/IP para una de las conexiones de red instaladas.
Una concesión de dirección IP cambia o renueva con el servidor DHCP
cualquiera de las conexiones de red instaladas. Por ejemplo, cuando se inicia el
equipo o si se utiliza el comando ipconfig /renew.
El comando ipconfig /registerdns se utiliza para forzar manualmente una
actualización del registro de nombres de clientes en DNS.
En el inicio, cuando se enciende el equipo.
Un servidor miembro se promueve a un controlador de dominio.
Cuando uno de los sucesos anteriores activa una actualización dinámica, el servicio
Cliente DHCP (no el servicio Cliente DNS) envía las actualizaciones. Este proceso se
ha diseñado de forma que, si se produce un cambio en la información de la dirección IP
a causa de DHCP, se realicen las actualizaciones correspondientes en DNS para
sincronizar las asignaciones de nombre a dirección para el equipo. El servicio Cliente
DHCP realiza esta función para todas las conexiones de red utilizadas en el sistema,
incluidas las conexiones no configuradas para utilizar DHCP.
DNS DINAMICO EN INTERNET
Una forma de asociar un nombre de dominio a un servidor que tiene IP dinámica.
Si tenemos un servidor en un ordenador en nuestra casa u oficina y queremos que se
pueda acceder a ese servidor a través de un nombre de dominio tenemos que configurar
una entrada DNS asociada a la IP de ese servidor. Pero, ¿qué podemos hacer si el
servidor tiene IP de Internet dinámica?
Cuando nos conectamos a Internet, el proveedor a través del que nos conectamos nos
asigna una IP de Internet. Esa IP habitualmente cambia cada vez que nos conectamos.
Es decir, en cada conexión el proveedor nos asigna una IP distinta, que durará
generalmente todo el tiempo que estemos conectados. Esto es así, a no ser que tengamos
contratado con el proveedor de Internet un servicio de IP estática, en cuyo caso siempre
nos asignaría la misma IP.
Como decimos, en la mayoría de los casos nuestra IP será dinámica. Entonces, si
nosotros tenemos un servidor en nuestra oficina o nuestra casa y un usuario quiere
conectarse al servidor, tendría que saber la IP que actualmente tenemos para poder
Instalación y administración de servicios de nombres de dominio
2011
35
conectarse. Esto significa un problema, porque tendríamos que comunicar a nuestros
posibles usuarios la IP que tenemos en cada momento para que pudiesen acceder a
nuestro servidor.
Además, podríamos desear que nuestros usuarios se conectasen a nuestro servidor con
un nombre de dominio o subdominio, algo como miservidor.ftpserver.com, en lugar de
la dirección IP que es más difícil de recordar.
Se pueden matar dos pájaros de un tiro y resolver el tema de la asignación dinámica de
la IP, a la vez que obtenemos un subdominio para nuestro servidor, con los servicios de
DNS dinámico. Con ellos podemos obtener un subdominio y que este se dirija a nuestro
servidor en casa, sea cual sea su IP actual.
Para que funcione el servicio de DNS dinámico tendremos un pequeño programa
instalado en el servidor y que informa sobre la IP que tiene. Entonces, cada vez que se
inicia el servidor, o cuando deseemos, envía la dirección IP actual a la empresa que nos
proporciona el DNS dinámico, para que nuestro subdominio se dirija a la IP que
tenemos en cada momento.
Protocolo DNS
El DNS ( Domain Name System ) o Sistema de Nombres de Dominio es una base de
datos jerárquica y distribuida que almacena información sobre los nombres de dominio
de redes cómo Internet.
Este protocolo se utiliza para poder recordar de manera sencilla las direcciones IP.
Gracias a los nombre de dominio podemos asignar a una dirección IP un nombre,
además de que es más fiable porque la dirección IP de un servidor puede cambiar pero
el nombre no lo hace.
Es un sistema jerárquico y distribuido que permite traducir nombres de dominio en
direcciones IP y viceversa.
Cada dominio es como si terminase con un “.” Por eso nuestro dominio seria
“www.google.es“y el punto al final es el elemento raíz de nuestro árbol y lo que indica
al cliente que debe de empezar la búsqueda en los root Server. Estos root Server son los
que tienen los registros TLD que son los dominios de nivel superior ósea los que no
pertenecen a otro dominio, como son “com, org, net, es, etc.” Actualmente hay 13 TLD
en todo el mundo y 10 de ellos se encuentran en estados unidos, uno en Estocolmo, otro
en Japón, y el último en Londres. Si alguna catástrofe hiciese que estos 13 servidores
dejasen de operar provocaría un gran apagón de Internet y causaria estragos a nivel
mundial.
Estos servidores dice que dominios de primer nivel existen y cuales son sus servidores
de nombres recursivamente los servidores de esos dominios dicen que subdominios
existen y cuales don sus servidores.
Instalación y administración de servicios de nombres de dominio
2011
36
Cada componente de dominio incluyendo la raíz, tiene un servidor primario y varios
secundarios. Todos tienen la misma autoridad para responder por ese dominio, pero el
primario es el único sobre el que se pueden hacer modificaciones de manera que los
secundarios son réplicas del primario.
Seguridad DNS
El sistema de nombres de dominio (DNS, Domain Name System) se diseñó
originalmente como un protocolo abierto y, por tanto, es vulnerable a intrusos. El DNS
de Windows Server 2003 ha mejorado su capacidad para impedir un ataque en la
infraestructura DNS mediante la adición de características de seguridad.
VULNERABILIDADES
Seguridad en DNS:
Caché Poisoning
• El caché Poisoning es una técnica por la cual es posible engañar a un servidor
DNS y hacerle creer que recibió información auténtica y válida
• El servidor luego cachea esa información y la utiliza para responder otras
consultas hasta la duración el TTL de los RRs cacheados
Robo de información .
Estas vulnerabilidades se producen debido a una libre interpretación a la hora de
implementar este protocolo. DNS utiliza mensajes con un formato determinado, que son
interpretados por el mecanismo de resolución de nombre a dirección IP. Un mensaje
puede ser una búsqueda o una respuesta. Por la implementación propia del protocolo, en
determinadas circunstancias, una respuesta puede solicitar otra respuesta. Ello puede
causar un flujo de mensajes capaces de generar un ataque de denegación de servicio
Instalación y administración de servicios de nombres de dominio
2011
37
(DoS).
También es posible implementar una consulta que aparente ser originada por el equipo
local en el puerto 53 (usado por defecto), de tal modo que el servidor se responderá a sí
mismo en un ciclo de respuestas que podría causar que el sistema exceda los recursos
disponibles, produciéndose un ataque de denegación de servicio.
Son afectados los siguientes productos:
- Axis
- JH Software
- Sprint
- Cisco
- Juniper
- VeriSign
- DNRD
- Men & Mice
- WindRiver
- Hewlett-Packard
- MyDNS
- JDNSS
- Posadis
Con la herramienta PorkBind podemos analizar vulnerabilidades que afectan a la
seguridad de servidores DNS. Una vez descubierta la vulnerabilidad nos indica cómo
solucionarla con su correspondiente link de CVSS v2.0 y OVAL. Entre las
vulnerabilidades que chequea se encuentra la popular vulnerabilidad reportada por Dan
Kaminsky.
Las vulnerabilidades que detecta son:
Envenenamiento de la cache.
Denegación de servicios vía maxdname.
Desbordamiento de buffer a través de consulta inversa.
Desbordamiento de buffer a través de TSIG.
Desbordamiento de buffer a través de nslookup.
Acceso a través de variables de entorno.
Desbordamiento de buffer a través de nslookup.
Denegación de servicio a través de dns_message_findtype.
Modificación del puntero nulo SIG RR.
Denegación de servicios.
Denegación de servicios vía puntero nulo SIG RR.
Ejecución de código arbitrario.
Envenenamiento de la cache.
Envenenamiento de la cache.
Envenenamiento de la cache (de Dan Kaminsky).
Instalación y administración de servicios de nombres de dominio
2011
38
AMENAZAS
Éstas son las formas comunes en que los intrusos pueden amenazar su infraestructura
DNS:
La ocupación es el proceso mediante el cual un intruso obtiene los datos de zona
DNS para obtener los nombres de dominio DNS, nombres de equipo y
direcciones IP de recursos de red importantes. Un intruso suele empezar un
ataque utilizando estos datos DNS para obtener un diagrama u ocupación, de una
red. Los nombres de equipo y dominio DNS suelen indicar la función o
ubicación de un dominio o equipo para ayudar a los usuarios a recordar e
identificar los dominios y equipos con mayor facilidad. Un intruso se aprovecha
del mismo principio DNS para aprender la función o ubicación de dominios y
equipos en la red.
Un ataque por servicio denegado se produce cuando un intruso intenta denegar
la disponibilidad de los servicios de red desbordando uno o varios servidores
DNS de la red con consultas recursivas. Cuando un servidor DNS se desborda
con consultas, el uso de la CPU alcanzará su nivel máximo y el servicio del
Servidor DNS dejará de estar disponible. Sin un servidor DNS completamente
operativo en la red, los servicios de red que utilicen DNS dejarán de estar
disponibles para los usuarios de la red.
La modificación de datos es un intento del intruso (que ha ocupado una red
mediante DNS) de utilizar direcciones IP válidas en paquetes IP que ha creado él
mismo, de manera que proporciona a estos paquetes la apariencia de proceder de
una dirección IP válida de la red. Esto se denomina comúnmente IP ficticia. Con
una dirección IP válida (una dirección IP dentro del rango de direcciones IP de
una subred), el intruso puede tener acceso a la red y destruir datos o realizar otro
tipo de ataque.
La redirección se produce cuando un intruso puede redirigir consultas de
nombres DNS a servidores que él controle. Un método de redirección incluye el
intento de contaminar la caché DNS de un servidor DNS con datos DNS
erróneos que pueden dirigir consultas futuras a servidores que controle el
intruso. Por ejemplo, si se realizó una consulta originalmente para
ejemplo.microsoft.com y la respuesta de referencia proporcionó el registro de un
nombre externo al dominio microsoft.com, como usuario-malintencionado.com,
el servidor DNS utilizará los datos de la caché de usuario-malintencionado.com
para resolver la consulta de dicho nombre. La redirección puede realizarse
siempre que el intruso disponga de acceso de escritura a datos DNS, como
ocurre, por ejemplo, con las actualizaciones dinámicas no seguras.
Instalación y administración de servicios de nombres de dominio
2011
39
ATAQUES
Algunos de los ataques más comunes que se presentan en un servicio de DNS son los
siguientes:
Ataque de negación del servicio (DOS): este ataques se presenta cuando el
servidor DNS se ve inundado con un número muy grande de requerimientos
reconocidos que pueden eventualmente forzar al procesador a ser usado más allá
de sus capacidades recordemos que un procesador Pentium dos de 700 MHz
puede soportar hasta 10,000 consultas por segundo; de esta manera se podría
evitar que el servidor de DNS siga prestando servicio de manera normal este tipo
de ataque no requiere el una gran cantidad de conocimiento por parte del
atacante este tipo es extremadamente efectivo, llegando en casos extremos a
provocar el reinicio del servidor de red o deteniendo por completo la resolución
de nombres, la imposibilidad de resolver nombres por medio del servidor de
DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal
como, correo electrónico o páginas de hipertexto, en el caso de los sistemas
Windows 2000 y 2003 que funcionan con directorio activo evita la autenticación
de los usuarios y por tanto no permite el acceso a cualquier recurso de red.
Footprinting: los intrusos pueden lograr una gran cantidad de información acerca
de la infraestructura de la red interceptando los paquetes de DNS para de esta
manera lograr identificar sus objetivos, capturando el tráfico de DNS los
intrusos pueden aprender acerca del sistema de nombres del dominio, los
nombres de las máquinas, y el esquema de IP que se emplea en una red. Esta
información de red revela la funcionalidad de ciertas máquinas presentes en la
misma permitiendo al intruso decidir cuáles son los objetivos más fructíferos y
otra forma de atacarlos.
Instalación y administración de servicios de nombres de dominio
2011
40
IPSoopfing: los intrusos pueden utilizar una IP legítima a menudo obtenida por
medio del ataque anterior para ganar acceso a la red a sus servicios para enviar
paquetes que pueden provocar daños dentro de la red a nombre de una máquina
que no hace parte de la red, engañando al sistema identificándose con una IP de
que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden
pasar diferentes filtros están diseñados para bloquear el tráfico de IP
desautorizadas dentro de la red. Una vez han logrado acceso a los computadores
y servicios usando esta técnica el atacante puede causar gran cantidad de daños
pues dentro de la red se supone que las IP les pertenecen al segmento local.
Redireccionamiento en este tipo de ataque de un intruso causa que el servidor de
DNS redireccione todas las consultas de resolución de nombres aún servidor
incorrecto que está bajo el control del atacante el atacante de lograr esta técnica
mediante la corrupción o envenenamiento del caché del servidor utilizando
actualizaciones dinámicas.
Instalación y administración de servicios de nombres de dominio
2011
41
MECANISMOS DE SEGURIDAD
Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para
fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema
informático. Existen muchos y variados mecanismos de seguridad informática. Su
selección depende del tipo de sistema, de su función y de los factores de riesgo que lo
amenazan.
Clasificación según su función:
Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no
deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de
agentes no deseados en algún componente del sistema. Se caracterizan por enviar un
aviso y registrar la incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la
consecuencias.
Según un informe del año 1991 del Congressional Research Service, las computadoras
tienen dos características inherentes que las dejan abiertas a ataques o errores operativos
1.-Una computadora hace exactamente lo que está programada para hacer,
incluyendo la revelación de información importante. Un sistema puede ser
reprogramado por cualquier persona que tenga los conocimientos adecuados.
2.-Cualquier computadora puede hacer sólo aquello para lo que está programada,
no puede protegerse a sí misma contra un mal funcionamiento o un ataque
deliberado a menos que este tipo de eventos haya sido previsto de antemano y se
hayan puesto medidas necesarias para evitarlos.
Instalación y administración de servicios de nombres de dominio
2011
42
ALGUNOS MECANISMOS DE SEGURIDAD
- Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la
información, es la deseada. (Ej. Certificados)
- Cifrado: garantiza que la información no es inteligible para individuos, entidades o
procesos no autorizados. (Ej. 3DES)
- Integridad de datos: este mecanismo implica el cifrado de una cadena comprimida de
datos a transmitir, para verificar que los datos no han sido modificados. (Ej. Funciones
Hash)
- Firma digital: este mecanismo implica el cifrado, por medio de la clave secreta del
emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se
envía junto con los datos ordinarios. (Ej. E-facturas)
- Control de encaminamiento: permite enviar determinada información por
determinadas zonas consideradas clasificadas. (Ej. Líneas punto a punto, VPNs)
- Unicidad: consiste en añadir a los datos un número de secuencia, la fecha y hora, un
número aleatorio, o alguna combinación de los anteriores, que se incluyen en la firma
digital o integridad de datos. (Ej. fechado electrónico).
Instalación y administración de servicios de nombres de dominio
2011
43
Instalación y administración de servicios de nombres de dominio
2011
44