Publicado: 30 de enero de 2024
Colaboradores: Chrystal R. China, Michael Goodwin
El sistema de nombres de dominio (DNS) es el componente del protocolo estándar de Internet responsable de convertir los nombres de dominio de uso humano en las direcciones del protocolo de Internet (IP) que los ordenadores utilizan para identificarse entre sí en la red.
Aunque a menudo se le llama "la guía telefónica de Internet", una analogía más moderna es que el DNS gestiona los nombres de dominio de forma muy parecida a como los móviles gestionan los contactos. Los móviles eliminan la necesidad de que los usuarios recuerden números de teléfono individuales almacenándolos en listas de contactos de fácil búsqueda.
Del mismo modo, el DNS permite a los usuarios conectarse a sitios web mediante el uso de nombres de dominio de Internet en lugar de direcciones IP. En lugar de tener que recordar que el servidor web está en "93.184.216.34", por ejemplo, los usuarios pueden simplemente ir a la página web "www.example.com" para obtener los resultados deseados.
Lea cómo el escritorio como servicio (DaaS) permite a las empresas lograr el mismo nivel de rendimiento y seguridad que la implementación de las aplicaciones en las instalaciones.
Antes del DNS, Internet era una creciente red de ordenadores utilizada principalmente por instituciones académicas y de investigación. Los desarrolladores asignaban manualmente los nombres de host a las direcciones IP mediante un sencillo archivo de texto llamado HOSTS.TXT. SRI International mantenía estos archivos de texto y los distribuía a todos los ordenadores en Internet. Sin embargo, a medida que la red se expandió, este enfoque se volvió cada vez más insostenible.
Para hacer frente a las limitaciones de HOSTS.TXT y crear un sistema más escalable, el informático de la Universidad del Sur de California Paul Mockapetris inventó el sistema de nombres de dominio en 1983. Una cohorte de pioneros de Internet colaboró en la creación del DNS y fue autora de las primeras peticiones de comentarios (RFC) que detallaban las especificaciones del nuevo sistema, RFC 882 y RFC 883. Más tarde, RFC 1034 y RFC 1035 reemplazaron a las RFC anteriores.
Con el tiempo, a medida que el DNS se expandía, su gestión pasó a ser responsabilidad de la Autoridad de Asignación de Números de Internet (IANA), antes de quedar finalmente bajo el control de la Corporación de Asignación de Nombres y Números de Internet (ICANN), una entidad sin ánimo de lucro, en 1998.
Regístrese para recibir la guía sobre la nube híbrida
Desde el principio, los desarrolladores diseñaron el DNS con una estructura de base de datos jerárquica y distribuida para facilitar un enfoque más dinámico de la resolución de nombres de dominio, que pueda seguir el ritmo de una red de computadoras en rápida expansión. La jerarquía comienza con el nivel raíz, indicado por un punto (.), y se ramifica en dominios de primer nivel (TLD) -como ".com", ".org", ".net", o TLD de código de país (ccTLD) como ".uk" y ".jp"- y dominios de segundo nivel.
La arquitectura DNS consta de dos tipos de servidores DNS, servidores recursivos y servidores acreditados. Los servidores DNS recursivos son los que “preguntan”, buscando la información que conecta a un usuario con un sitio web.
Los servidores recursivos, también conocidos como solucionadores recursivos o solucionadores DNS, suelen estar gestionados por proveedores de servicios de Internet (ISP), grandes empresas u otros proveedores de servicios DNS externos. Actúan en nombre del usuario final para resolver el nombre de dominio en una dirección IP. Los solucionadores recursivos también almacenan en caché las respuestas a una solicitud durante un periodo determinado (definido por el valor de tiempo de vida, o TTL) para mejorar la eficiencia del sistema en futuras consultas al mismo dominio.
Cuando un usuario escribe una dirección web en un explorador de búsqueda, el explorador se conecta a un servidor DNS recursivo para resolver la solicitud. Si el servidor recursivo tiene la respuesta almacenada en caché, puede conectar al usuario y completar la solicitud. De lo contrario, el solucionador recursivo consulta una serie de servidores DNS autorizados para encontrar la dirección IP y conectar al usuario con el sitio web deseado.
Los servidores acreditados proporcionan las "respuestas". Los servidores de nombres acreditados contienen los registros definitivos de un dominio y responden a solicitudes sobre nombres de dominio almacenados en sus respectivas zonas (normalmente con respuestas configuradas por el propietario del dominio). Existen diferentes tipos de servidores de nombres autoritativos, cada uno de los cuales cumple una función específica dentro de la jerarquía DNS.
Los servidores de nombres DNS autoritativos incluyen:
Los servidores de nombres raíz se encuentran en la parte superior de la jerarquía de DNS y son responsables de administrar la zona raíz (la base de datos central de DNS). Responden a las consultas de los registros almacenados dentro de la zona raíz y remiten las solicitudes al servidor de nombres de TLD apropiado.
Hay 13 direcciones IP que se utilizan para consultar 13 redes de servidores raíz diferentes, identificadas con las letras de la A a la M, que gestionan las solicitudes de los TLD y dirigen las consultas a los servidores de nombres de TLD apropiados. La Corporación de Asignación de Nombres y Números de Internet (ICANN) gestiona estas redes de servidores raíz.
Los servidores de TLD son responsables de administrar el siguiente nivel de la jerarquía, incluidos los dominios genéricos de primer nivel (gTLD). Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autorizados para los dominios específicos dentro de su TLD. Así, el servidor de nombres TLD para ".com" dirigiría los dominios terminados en ".com", el servidor de nombres TLD para ".gov" dirigiría los dominios que terminan en ".gov", y así sucesivamente.
El servidor de nombres de dominio (a veces denominado servidor de nombres de dominio de segundo nivel) contiene el archivo de zona con la dirección IP del nombre de dominio completo, como "ibm.com".
Cada consulta (a veces denominada solicitud DNS) en el DNS sigue la misma lógica para resolver las direcciones IP. Cuando un usuario introduce una dirección URL, su equipo consulta progresivamente los servidores DNS para localizar la información y los registros de recursos adecuados para atender la solicitud del usuario. Este proceso continúa hasta que el DNS encuentra la respuesta correcta del servidor DNS autorizado asociado a ese dominio.
En concreto, la resolución de consultas en el DNS implica varios procesos y componentes clave.
Un usuario introduce un nombre de dominio, como "ibm.com", en un navegador o aplicación y la solicitud se envía a un solucionador de DNS recursivo. Normalmente, el dispositivo del usuario tiene una configuración de DNS predefinida, proporcionada por el proveedor de servicios de Internet (ISP), que determina qué resolución recursiva consulta un cliente.
El solucionador recursivo comprueba su caché (el almacenamiento temporal dentro de un navegador web o sistema operativo (como macOS, Windows o Linux) que contiene búsquedas de DNS anteriores, en busca de la dirección IP correspondiente del dominio. Si el solucionador recursivo no tiene los datos de búsqueda de DNS en su caché, el solucionador inicia el proceso de recuperación de los servidores DNS autoritativos, comenzando en el servidor raíz. El solucionador recursivo consulta la jerarquía DNS hasta que encuentra la dirección IP final.
El solucionador recursivo consulta a un servidor de nombres raíz, que responde con una referencia al servidor de TLD apropiado para el dominio en cuestión (el servidor de nombres de TLD responsable de dominios ".com", en este caso).
El solucionador consulta el servidor de nombres TLD ".com", que responde con la dirección del servidor de nombres acreditados para "ibm.com". A veces se hace referencia a este servidor como servidor de nombres de dominio de segundo nivel.
El solucionador consulta al servidor de nombres de dominio, que busca el archivo de zona DNS y responde con el registro correcto para el nombre de dominio proporcionado.
El solucionador recursivo almacena en caché el registro DNS, durante un tiempo especificado por el TTL del registro, y devuelve la dirección IP al dispositivo del usuario. El navegador o la aplicación pueden iniciar una conexión con el servidor host en esa dirección IP para acceder al sitio web o servicio solicitado.
Además de los principales tipos de servidores, el DNS utiliza archivos de zona y varios tipos de registros para ayudar con el proceso de resolución. Los archivos de zona son archivos basados en texto que incluyen asignaciones e información sobre un dominio dentro de una zona DNS.
Cada línea de un archivo de zona especifica un registro de recursos DNS (un único dato sobre la naturaleza de un tipo o dato concreto). Los registros de recursos garantizan que cuando un usuario envía una consulta, el DNS pueda convertir rápidamente los nombres de dominio en información procesable que dirija a los usuarios al servidor correcto.
Los archivos de zona DNS comienzan con dos registros obligatorios: el tiempo de vida global (TTL), que indica cómo se deben almacenar los registros en la caché DNS local, y el inicio de la autoridad (registro SOA), que especifica el servidor de nombres autoritativo principal para la zona DNS.
Después de los dos registros principales, un archivo de zona puede contener otros tipos de registros, entre los que se incluyen:
Los registros A se asignan a direcciones IPv4 y los registros AAAA se asignan a direcciones IPv6.
Los registros MX especifican un servidor de correo electrónico SMTP para un dominio.
Los registros CNAME redirigen los nombres de host de un alias a otro dominio (el "dominio canónico").
Los registros NS indican el servidor de nombres autoritativos para un dominio.
Los registros PTR especifican una búsqueda inversa de DNS, asignando direcciones IP a nombres de dominio.
Los registros TXT indican el registro marco de la política de remitentes para la autenticación del correo electrónico.
Las búsquedas de DNS suelen implicar tres tipos de consultas. Las consultas recursivas, que conectan el servidor recursivo y el cliente DNS, resuelven completamente el nombre de dominio o devuelven un mensaje de error al usuario, notificándole que no puede localizar el dominio.
Las consultas iterativas, que conectan solucionadores recursivos (un servidor DNS local) y servidores DNS no locales (como los servidores raíz, TLD o de nombres de dominio), no requieren resolución de dominio. En su lugar, los servidores pueden responder con una referencia, donde el servidor raíz remite el solucionador recursivo al TLD, que remite el solucionador a un servidor autorizado que proporciona la respuesta (si la respuesta está disponible). Por lo tanto, las consultas iterativas se resuelven con una respuesta o una referencia.
En el caso de las consultas no recursivas, el solucionador recursivo ya sabe dónde situar la respuesta a la consulta, por lo que estas consultas siempre se resuelven con una respuesta. El solucionador ahorra tiempo al encontrar la respuesta almacenada en caché en el servidor recursivo o al omitir la raíz DNS y los servidores de nombres TLD para ir directamente al servidor autorizado adecuado. Por ejemplo, si el solucionador recursivo proporciona una dirección IP almacenada en caché en una sesión anterior, la solicitud se calificaría como una consulta no recursiva.
Las organizaciones disponen de una serie de opciones a la hora de utilizar el DNS, incluyendo DNS público y privado, o una combinación de ambos. El DNS público y privado son dos cosas completamente diferentes; para comprender cómo usar mejor el DNS para satisfacer las necesidades de la organización, es importante comprender cómo funciona cada tipo.
El DNS público suele referirse al lado de resolución del DNS y a los servidores recursivos que se utilizan para consultar servidores de nombres autoritativos y conectar a los usuarios con sitios web.
Estos servidores son accesibles a cualquier usuario de Internet y a empresas como Cloudflare (1.1.1.1), Quad9 y OpenDNS suelen proporcionarlos de forma gratuita. Las organizaciones que gestionan los servidores DNS públicos se encargan de su mantenimiento. Los usuarios y clientes no tienen control sobre su funcionamiento, políticas o configuración.
El DNS privado generalmente se refiere a la parte autoritativa del DNS. Las organizaciones configuran servidores DNS privados dentro de una red privada y estos servidores actúan como servidores DNS autoritativos, proporcionando una búsqueda de DNS para los recursos internos. Los servidores DNS privados se encuentran detrás de un firewall y solo contienen registros de los sitios internos, por lo que el acceso está restringido a los usuarios, dispositivos y redes autorizados.
A diferencia de las configuraciones de DNS público, el DNS privado ofrece a las organizaciones el control sobre sus servidores DNS, permitiéndoles personalizar los registros DNS, Esto también significa que las organizaciones son responsables de mantener la infraestructura, ya sea alojada en centros de datos en las instalaciones o a través de servicios en la nube.
Las soluciones de DNS gestionado básicamente externalizan el proceso de gestión y orquestación de servidores. Con un sistema gestionado, el proveedor de DNS gestiona todos los protocolos de configuración, mantenimiento y seguridad de los servidores DNS de una organización, y el cliente utiliza la infraestructura de proveedor para administrar los nombres de dominio. En este caso, cuando un usuario ingresa la URL de una empresa, se le redirige desde el servidor de nombres de dominio de la empresa a los servidores del proveedor, que obtienen todos los recursos y responden al usuario.
El DNS gestionado también puede proporcionar servicios y ventajas como DNS especializado, equilibrio de carga del servidor global, garantías de tiempo de actividad, arquitectura API, soporte DNSSEC, redes de difusión global, tiempos de propagación acelerados, herramientas de monitorización y comprobación de estado, protección DDoS y mucho más.
La mayoría de los servidores DNS modernos son bastante seguros, incluso en el caso de DNS público. Sin embargo, los mejores sistemas DNS pueden seguir siendo vulnerables a problemas de ciberseguridad. Ciertos tipos de ataques se dirigen al lado autoritativo del DNS y otros al lado recursivo. Estos ataques incluyen:
La suplantación de DNS, también llamada envenenamiento de caché, se produce cuando un atacante inserta registros de direcciones falsos en la caché de un resolver DNS, haciendo que el resolver devuelva una dirección IP incorrecta y redirija a los usuarios a sitios maliciosos. La suplantación puede comprometer datos confidenciales y provocar ataques de phishing y distribución de malware.
La amplificación de DNS es un tipo de ataque de denegación de servicio distribuido (DDoS) en el que un atacante envía pequeñas consultas a un servidor DNS con la dirección de devolución falsificada a la dirección IP de la víctima. Estos ataques explotan la naturaleza apátrida de los protocolos DNS y aprovechan el hecho de que una pequeña consulta puede generar una respuesta descomunal.
Como resultado de un ataque de amplificación, el servidor DNS responde con respuestas mucho mayores, lo que amplifica la cantidad de tráfico dirigido al usuario, saturando sus recursos. Esto puede impedir que el DNS funcione y hacer que la aplicación se caiga.
La tunelización de DNS es una técnica que se utiliza para eludir las medidas de seguridad encapsulando el tráfico que no es de DNS, como HTTP, dentro de las consultas y respuestas de DNS. Los atacantes pueden usar túneles DNS para transmitir comandos de malware o para exfiltrar datos de una red comprometida, a menudo codificando la carga útil dentro de las consultas y respuestas de DNS para evitar la detección.
El secuestro de dominios se produce cuando un atacante obtiene acceso no autorizado a la cuenta de un registrador de dominios y modifica los datos de registro de un dominio. El secuestro permite a los delincuentes redirigir el tráfico a servidores maliciosos, interceptar correos electrónicos y tomar el control de la identidad en línea del usuario.
Las entradas DNS descuidadas de subdominios que apuntan a servicios dados de baja son objetivos principales para los atacantes. Si un servicio (como un host en la nube) se ha dado de baja, pero la entrada DNS permanece, un atacante puede potencialmente reclamar el subdominio y crear un sitio o servicio malicioso en su lugar.
Independientemente de los servicios DNS que elija una organización, es conveniente implementar protocolos de seguridad para minimizar las superficies de ataque DNS, mitigar posibles problemas de seguridad y optimizar el DNS en los procesos de red. Algunas prácticas útiles para solidificar la seguridad del DNS incluyen:
- Implementación de extensiones de seguridad de DNS (DNSSEC) y redes privadas virtuales (VPN): DNSSEC agrega una capa de seguridad a las búsquedas de DNS al requerir que las respuestas de DNS estén firmadas digitalmente. En concreto, DNSSEC puede proteger contra los ataques de suplantación de DNS mediante la autenticación del origen de las solicitudes y la verificación de la integridad de los datos de DNS.
Las VPN ofrecen confidencialidad mediante el uso de la encriptación para ocultar las direcciones IP, de modo que los datos de localización e historial de navegación (entre otras cosas) permanezcan ilocalizables.
- Emplear prácticas de limitación de velocidad: la limitación de velocidad en los servidores DNS puede mitigar los ataques DDoS al restringir la cantidad de respuestas (o la velocidad a la que los servidores envían respuestas) a un único solicitante en un período de tiempo específico.
- Requerir autenticación de dos factores (2FA) para los registradores de dominios: establecer 2FA para las cuentas del registrador de dominios puede dificultar que los atacantes obtengan acceso no autorizado a los servidores y reducir el riesgo de secuestro de dominios.
- Uso de redundancias: implementar DNS en una configuración redundante en varios servidores dispersos geográficamente puede ayudar a garantizar la disponibilidad de la red si se produce un ataque o una interrupción. Si el servidor principal deja de funcionar, los servidores secundarios pueden hacerse cargo de los servicios de resolución de DNS.
- Implementación del vaciado de DNS: borrar regularmente la caché DNS elimina todas las entradas del sistema local, lo que puede ser útil para eliminar registros DNS no válidos o comprometidos que podrían dirigir a los usuarios a sitios maliciosos.
- Mantenerse informado sobre las amenazas al DNS. Los atacantes y las amenazas a la seguridad evolucionan de forma muy similar a los sistemas que ponen en peligro. Mantenerse al tanto de las últimas vulnerabilidades y amenazas de DNS puede ayudar a los equipos a adelantarse a los actores maliciosos.
IBM NS1 Connect proporciona conexiones rápidas y seguras a usuarios de cualquier parte del mundo con DNS premium y dirección de tráfico avanzada y personalizable. Siempre activa, la arquitectura que prioriza la API permite a sus equipos de TI monitorizar con mayor eficiencia las redes, implementar cambios y llevar a cabo un mantenimiento rutinario.
Identifique rápidamente errores de configuración y problemas de seguridad con informes personalizados en tiempo real basados en datos de observabilidad de IBM NS1 Connect DNS Insights.
IBM Cloud DNS Services ofrece servicios DNS autoritativos tanto públicos como privados con un tiempo de respuesta rápido, una redundancia sin precedentes y una seguridad avanzada, gestionados a través de la interfaz web de IBM Cloud o mediante API.