¿Qué es un servidor DNS?

Forman la base del Sistema de Nombres de Dominio (DNS), a menudo denominado “guía telefónica de Internet”, que permite a los usuarios acceder a sitios web introduciendo nombres de dominio en un navegador web en lugar de recuperar e introducir direcciones IP numéricas.

El DNS consta de dos tipos de servidores DNS: los servidores DNS recursivos, también denominados solucionadores recursivos, solucionadores DNS o recursores DNS, y los servidores de nombres autoritativos, que incluyen los servidores de nombres raíz, los servidores de nombres de dominio de primer nivel (TLD) y los servidores de nombres de dominio de segundo nivel.

Los servidores DNS recursivos realizan la “consulta”, localizando los registros DNS con la información necesaria para conectar a un cliente con un sitio web o recurso, y los servidores autoritativos almacenan estos registros y proporcionan las “respuestas”. En conjunto, estos servidores se encargan del proceso de resolución de DNS, que consiste en traducir los nombres de dominio, legibles para las personas, a direcciones IP numéricas, comprensibles para los ordenadores.

Por ejemplo, cuando un usuario introduce un nombre de host (como www.example.com) en un navegador web, inician una consulta DNS, también llamada solicitud DNS, e inician el proceso de búsqueda DNS. El navegador envía la consulta al solucionador recursivo configurado, que consulta progresivamente a los servidores DNS autoritativos para localizar los registros de recursos adecuados para atender la solicitud del usuario.

Este proceso continúa hasta que el solucionador encuentra el servidor de nombres autoritativos asociado a ese dominio, junto con el registro A (o registro AAAA, para direcciones IPv6) que contiene la dirección IP correcta para el dominio. El solucionador devuelve la dirección IP al navegador y el usuario queda conectado al recurso que busca.

Los servidores DNS son la infraestructura esencial que permite que DNS e Internet funcionen como los usuarios están acostumbrados.

Los servidores DNS localizan y almacenan registros DNS e impulsan la resolución de consultas DNS a medida que se mueven a través de la estructura jerárquica del DNS. El nivel más alto comprende los servidores de nombres raíz DNS, que dirigen las consultas a los servidores de dominio de nivel superior apropiados y luego a los servidores de nombres de dominio de segundo nivel, que contienen los registros autoritativos de un dominio determinado.

Existen muchos tipos de registros DNS, que actúan como una especie de base de datos con instrucciones sobre la ubicación de los recursos, además de contener otra información crítica relacionada con el DNS. El ejemplo más conocido podrían ser los registros A (para direcciones IP IPv4, o registros AAAA, para direcciones IPv6) que contienen las direcciones IP que los navegadores necesitan para ayudar a los usuarios a acceder a los sitios web que están buscando.

Pero también existen registros MX que dirigen al servidor de correo de un dominio, registros CNAME que dirigen los dominios alias a los dominios canónicos, registros DNAME que se utilizan para redirigir varios subdominios con un solo registro y apuntarlos a otro dominio, y más.

Estos registros se alojan en servidores DNS autoritativos y, para que el DNS funcione, estos servidores deben permanecer en buen estado y seguros. Sin servidores DNS en funcionamiento, no hay DNS.

Desde el principio, el DNS se diseñó con una estructura de base de datos jerárquica y distribuida para facilitar un enfoque más dinámico de la resolución de nombres de dominio, uno que pueda seguir el ritmo de una red de ordenadores en rápida expansión. La jerarquía comienza con el nivel raíz, denotado por un punto (.), y se ramifica en dominios de nivel superior (TLD), como “.com,” “.org,” “.net” o TLD de código de país (ccTLD) como “.uk” y “.jp”, y dominios de segundo nivel.

Las arquitecturas DNS consisten en dos tipos de servidores DNS: servidores recursivos y servidores autoritativos. Los servidores DNS recursivos son los que “preguntan”, buscando la información que conecta a un usuario con una página web o recurso. Los servidores autoritativos proporcionan las “respuestas”.

Los servidores recursivos, también conocidos como solucionadores recursivos o solucionadores DNS, suelen estar gestionados por proveedores de servicios de Internet (ISP) o por proveedores de servicios DNS externos. Una organización también puede alojar y gestionar su propia solucionador.

Los solucionadores recursivos actúan en nombre del usuario final para resolver el nombre de dominio en una dirección IP. Los solucionadores recursivos también almacenan en caché (almacenan temporalmente los resultados de búsquedas DNS recientes) las respuestas a una solicitud durante un período de tiempo específico (definido por el valor de tiempo de vida, o TTL) para mejorar la eficiencia del sistema para futuras consultas al mismo dominio.

Cuando un usuario escribe una dirección web en un navegador web, el navegador se conecta a un servidor DNS recursivo para resolver la solicitud. Si el servidor recursivo tiene la respuesta almacenada en caché, puede conectar al usuario y completar la solicitud. De lo contrario, el solucionador recursivo consulta la jerarquía DNS hasta que encuentra los registros A (o AAAA) que contienen la dirección IP de un dominio determinado.

Los servidores de nombres autoritativos contienen los registros definitivos de un dominio y responden a solicitudes sobre nombres de dominio almacenados en sus respectivas zonas (normalmente con respuestas configuradas por el propietario del dominio). Hay diferentes servidores autoritativos y cada uno es responsable de una parte distinta del espacio de nombres.

Los servidores de nombres DNS autoritativos incluyen:

Servidores de nombres raíz

Los servidores de nombres raíz se sitúan en la parte superior de la jerarquía DNS y son responsables de dar servicio a la zona raíz (la base de datos central del DNS). Hay 13 “identidades” o “autoridades” (agrupaciones lógicas de servidores raíz) identificadas con las letras de la A a la M. Estas responden a las consultas sobre los registros almacenados en la zona raíz y remiten las solicitudes al servidor de nombres del TLD correspondiente.

Servidores de nombres de dominio de primer nivel (TLD)

Los servidores de TLD son responsables de administrar el siguiente nivel de la jerarquía, incluidos los dominios genéricos de primer nivel (gTLD). Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autoritativos para los dominios específicos dentro de su TLD. Por lo tanto, el servidor de nombres de TLD para “.com” dirigiría los dominios que terminan en “.com”, el servidor de nombres de TLD para “.gov” dirigiría los dominios que terminan en “.gov”, y así sucesivamente.

Otros servidores de nombres de dominio

Los servidores de nombres de dominio de segundo nivel (la mayoría de los servidores de nombres de dominio) contienen archivos de zona con la dirección IP del nombre de dominio completo (“ibm.com”, por ejemplo).

Los servidores DNS son la infraestructura sobre la que se construye el sistema DNS y los componentes que impulsan su función principal: conectar a los usuarios con los recursos de Internet. Los servidores DNS autoritativos almacenan registros DNS y los servidores recursivos consultan estos servidores autoritativos para encontrar los registros necesarios para completar una solicitud DNS.

La resolución de consultas DNS implica varios procesos y componentes clave:

Un usuario introduce un nombre de dominio, como “ibm.com”, en un navegador o una aplicación. Si la dirección IP del sitio en cuestión no está en la caché del navegador, la solicitud se envía a un solucionador de DNS recursivo. Normalmente, el dispositivo del usuario tiene una configuración DNS predefinida, proporcionada por el ISP, que determina qué solucionador recursivo recibe la solicitud.

Este proceso está evolucionando, ya que muchos navegadores modernos admiten DNS sobre HTTPS (DoH), lo que permite la búsqueda de DNS sobre HTTPS, y muchos proveedores tienen servidores configurados para este tipo de búsqueda. Por ejemplo, si utiliza Firefox en Estados Unidos, enviará la consulta de forma predeterminada a un servidor DoH de Cloudflare en lugar de al solucionador del proveedor de ISP local. El DoH es cada vez más popular porque ofrece una mayor privacidad y un mejor rendimiento, entre otros beneficios.

El solucionador recursivo comprueba su propia caché en busca de la dirección IP correspondiente al dominio. Si el solucionador recursivo no tiene los registros necesarios en su caché, inicia el proceso de búsqueda, comenzando en el servidor raíz.

El solucionador recursivo consulta a un servidor de nombres raíz, que responde con una referencia al servidor de TLD apropiado para el dominio en cuestión (el servidor de nombres de TLD responsable de dominios “.com”, en este caso).

El solucionador consulta el servidor de nombres TLD “.com”, que responde con la dirección del servidor de nombres autoritativos para “ibm.com”.

El solucionador consulta el servidor de nombres de dominio, que busca el archivo de la zona DNS y responde con el registro correcto para el nombre de dominio proporcionado.

El solucionador recursivo devuelve la dirección IP al dispositivo del usuario. El navegador o la aplicación pueden entonces iniciar una conexión con el servidor host en esa dirección IP y acceder al sitio web o servicio solicitado. El navegador y la caché del solucionador registran conforme a sus respectivas configuraciones y TTL.

El DNS es básicamente un protocolo público. Aunque los términos “DNS público” y “DNS privado” se utilizan de diferentes maneras, sin una definición universalmente estándar para ninguno de los dos, se suelen usar para referirse a distintas configuraciones y procesos de infraestructura. La mayor diferencia está en su uso y público previstos.

El DNS público se utiliza a menudo para referirse al proceso de resolución de DNS “estándar”, o solucionadores de DNS públicos, en los que un solucionador recursivo consulta una sucesión de servidores autoritativos que contienen registros DNS disponibles públicamente para localizar una dirección IP y, en última instancia, conectar a un usuario con el sitio web. que buscan. A menudo se trata de un solucionador proporcionado por el ISP del usuario o por un servicio DNS como el DNS público “quad 8” de Google. Los solucionadores privados también se pueden configurar para consultar DNS públicos, pero se utilizan más comúnmente para redes restringidas o corporativas.

Esta búsqueda de DNS estándar probablemente se denomine DNS público debido a estos solucionadores disponibles públicamente y al hecho de que los registros DNS en estos servidores autoritativos son accesibles para cualquier persona con acceso a Internet.

El término “DNS privado” se utiliza a veces para describir el uso de protocolos de cifrado como DNS sobre TLS (DoT) o DNS sobre HTTPS (DoH). Sin embargo, estos se describen con mayor precisión como “características de privacidad” o “protocolos de privacidad" en lugar de “DNS privado”. El proceso de resolución sigue siendo el mismo, ya que un solucionador utiliza el DNS disponible públicamente para encontrar lo que necesita. En este caso, simplemente se hace con transferencia cifrada.

El DNS privado también se utiliza para referirse a la búsqueda dentro de una red interna cerrada, como redes corporativas o nubes privadas virtuales, con acceso restringido a usuarios autorizados. En un sistema de este tipo, los solucionadores privados, configurados a nivel local, consultan a servidores privados para localizar recursos y sitios dentro de una red interna. Estos servidores están configurados para servir solo a zonas privadas y direcciones IP internas y la red mantiene las URL internas y las direcciones IP ocultas del resto de Internet. Este tipo de DNS privado proporciona a las organizaciones un mayor control y seguridad.

Hay muchas formas de configurar este tipo de red. Una forma de hacerlo es mediante un dominio de uso especial como “.local”, que se utiliza para la resolución en redes locales. Otra es tener subdominios privados de dominios que estén disponibles públicamente en internet. Este subdominio privado solo estaría disponible para individuos o agentes que utilicen solucionadores dentro de la red interna.

Una configuración empresarial común que combina DNS “público” y “privado” se denomina “DNS de horizonte dividido” o “DNS de cerebro dividido”. En esta configuración, un recursos local consulta servidores autoritativos privados locales para solicitudes internas y se basa en el DNS estándar para consultas externas. El DNS de horizonte dividido suele incluir una lista de nombres de dominio (una especie de “lista de permitidos”) que indica al servidor qué solicitudes van a los servidores internos y cuáles reenviar a la Internet pública.

Además del enrutamiento anycast, el equilibrio de carga, la dirección del tráfico DNS y las capacidades de monitorización y resolución de problemas en tiempo real, muchos proveedores de DNS gestionado ofrecen protecciones de seguridad avanzadas como parte de su servicio. Tanto si una organización utiliza un proveedor de DNS gestionado como si autogestiona su infraestructura DNS, proteger los servidores DNS es una parte importante de la seguridad de las redes y los recursos de red.

Las prácticas y protocolos de seguridad DNS que ayudan a mantener los servidores DNS protegidos y disponibles incluyen: