¿Qué es un DNS secundario?

Pregunta rápida: ¿preferiría volar en un avión equipado con uno o dos motores? La mayoría de los pasajeros probablemente elegirían instintivamente el avión con varios motores.

Y ese es el sentido de tener un DNS secundario. ¿Qué puede ocurrirle a una empresa si un servidor primario deja de estar disponible o se ve comprometido de algún otro modo? ¿Puede esa empresa (o cualquier otra) permitirse que el negocio se detenga durante ese periodo de tiempo de inactividad? ¿Qué mensaje negativo enviaría eso a los usuarios del servicio? Desde un punto de vista económico, perder el uso del servidor principal de una organización podría resultar tan catastrófico como el fallo de un motor en la aviación.

Y eso sin tener en cuenta la otra gran ventaja que ofrece la adaptación de un DNS secundario: la forma magistral en que admite los esfuerzos de equilibrio de carga dentro del servidor DNS primario.

Antes de continuar, primero debemos definir una pregunta más básica: ¿qué es un DNS? Un sistema de nombres de dominio actúa como traductor, tomando direcciones IP complejas y cambiándolas en nombres de dominio más comprensibles.

Supongamos que le interesa un tema sobre un producto ofrecido por International Business Machines (IBM), pero no está seguro de su título. Escriba "IBM" en el navegador web de su proveedor de servicios y accederá a la página principal de la empresa. Gracias al DNS, no es necesario que escriba la dirección IP completa de IBM. El DNS asume que es allí donde desea ir en función del término de búsqueda introducido.

A veces, un DNS se describe como la "guía telefónica" de Internet porque es como la funcionalidad que se utiliza, aunque podría equipararse mejor a un operador telefónico de la vieja escuela. En décadas pasadas, el operador telefónico local actuaba como una especie de DNS humano, tomando el número solicitado y conectándole con la central telefónica deseada. El DNS automatiza todo el proceso de traducción ahora.

Un sistema de nombres de dominio depende de una jerarquía establecida que se rige por los servidores raíz. Debajo de ellos en la jerarquía se encuentran los dominios de nivel superior (TLD), como las direcciones que terminan en ".com" y ".org". El resto de la jerarquía está formada por servidores de nombres de dominio individuales.

Un sistema DNS se considera un sistema de base de datos distribuido, donde cada nodo representa un “servidor de nombres”, que es la parte del sistema que proporciona las traducciones necesarias para ese nombre de dominio en particular. Todos los dominios dentro de ese sistema contienen uno o más “servidores de nombres autorizados”, llamados así porque este servidor publica información sobre ese dominio, así como también sobre cualquier servidor de nombres principal de los dominios subordinados que se encuentren dentro de él.

Un DNS funciona de forma sencilla:

1. Escriba un nombre de dominio en el navegador web ofrecido por su proveedor de servicios de Internet (ISP).
2. El dispositivo informático que está utilizando envía una consulta de búsqueda a un servidor DNS.
3. El servidor DNS escanea su multitud de recursos para encontrar la dirección IP que coincide con el nombre de dominio de su búsqueda en Internet.
4. El servidor DNS envía la dirección IP localizada al dispositivo que está utilizando.
5. Su dispositivo llama a la dirección IP exacta que está buscando.

Ahora, si hay un problema con el servidor DNS principal, como que no está disponible técnicamente o está sobrecargado, el servidor DNS secundario entra en acción, ejecutando las búsquedas necesarias y realizando las traducciones de direcciones IP necesarias. Debido a la operación inmediata del DNS secundario a través del proceso de conmutación por error, los usuarios pueden acceder al sitio web sin tener una experiencia notable en la funcionalidad.

De manera similar, un DNS secundario asume las tareas del servidor de correo del servidor DNS primario (incluido el enrutamiento de correo electrónico y la gestión de registros de intercambio de correo [MX]) de modo que el DNS secundario puede ayudar a garantizar que el flujo y reflujo del tráfico de correo electrónico no se detenga. Y de esta manera, el sitio no sufre tiempo de inactividad debidoa interrupciones, que es la medida de la verdadera resiliencia, es decir, mantener las cosas en funcionamiento a pesar de las condiciones adversas.

Si el servidor DNS secundario entra en servicio, el servidor DNS primario le proporciona información. Esto ocurre a través de un proceso conocido como transferencia de zona. Las copias de archivos de zona que se comparten con el servidor DNS secundario a través de la transferencia de zona son archivos de solo lectura que no se pueden modificar de ninguna manera.

Las transferencias de zona dependen en gran medida del uso de interfaces de programación de aplicaciones (API), que permiten a los servidores DNS primarios transferir datos de zona DNS automáticamente a servidores secundarios. De este modo, ambos servidores DNS pueden conservar la misma información. Las API proporcionan al servidor principal una forma de ponerse en contacto con el servidor secundario, para que puedan asegurarse de que se mueven al unísono con registros DNS idénticos y transferencias de zona anotadas.

El proceso de transferencia de zona se basa en la creación de registros de servidor de nombres (NS). Los registros NS ayudan a establecer qué servidores están designados como autorizados para ese dominio, lo que define las prioridades del dominio. Siempre que la dirección IP del servidor DNS secundario esté contenida en los registros NS, el sitio web conserva la funcionalidad, incluso si su servidor principal está inactivo por cualquier motivo.

Las transferencias de zona se inician mediante la emisión de un registro de inicio de autoridad (SOA), que suministra a los servidores DNS secundarios los datos necesarios para que los servidores secundarios sincronicen los datos de zona DNS, trabajando en un tipo de control de versiones que desencadena actualizaciones basadas en el número de serie del registro SOA.

Así es como registra nuevas versiones. Al actualizar el servicio de DNS secundario con nuevos datos del registro SOA, un dominio puede permanecer en operaciones en caso de que falle el servidor primario, evitando que los servidores caídos afecten el tiempo de actividad.

La transferencia de zona autoritativa (AXFR) es otro protocolo que permite a los servidores DNS intercambiar archivos de zona. AXFR sincroniza esos datos en todos los servidores conectados, para que todos puedan operar con la información más actual disponible.

El uso de servidores DNS secundarios ofrece numerosas ventajas, incluidas las siguientes consideraciones.

El principal beneficio de implementar un servidor DNS secundario tiene que ver con el mismo tipo de razonamiento que nos lleva a comprar pólizas de seguro y a depositar suministros de emergencia antes de que lleguen condiciones meteorológicas peligrosas. Al agregar un servidor DNS secundario, reconocemos un hecho desafortunado pero inevitable: las máquinas y los sistemas a veces fallan.

Un servidor DNS secundario aborda este hecho proporcionando una solución provisional que ofrece la redundancia necesaria cuando un servidor DNS primario falla por cualquier motivo. Disponer de una solución de copia de seguridad ofrece a las organizaciones la seguridad mental de saber que los servicios DNS de la empresa seguirán siendo accesibles para los usuarios.

Otro beneficio útil de utilizar un sistema DNS es que permite la distribución de carga. Lo consigue suministrando varias direcciones IP para un solo nombre de dominio. A su vez, esto permite a un servidor DNS distribuir su tráfico entrante a través de diferentes servidores, basándose en el uso de varios algoritmos.

Por ejemplo, si el servidor DNS sigue una configuración de algoritmo round-robin, el servidor DNS ejecuta toda su lista de direcciones IP y distribuye la carga de manera uniforme entre varios dispositivos.

También se puede utilizar un sistema DNS para mejorar la seguridad general. Al instalar un firewall en ese sistema, el tráfico entrante puede permitirse tal cual, filtrarse según sea necesario o rechazarse por completo. Además, se pueden establecer firewalls que solo permitan que las solicitudes DNS autorizadas lleguen a los servidores DNS secundarios.

Otra forma en la que un DNS puede respaldar los esfuerzos de seguridad es mediante el desarrollo de un "principal oculto", que es un servidor DNS primario que se mantiene fuera de la vista de Internet público. Su dirección IP no está registrada entre los registros de recursos de ese sistema. Los servidores de nombres secundarios manejan las respuestas a las consultas en lugar del servidor primario. La idea es mantener el servidor principal mejor protegido contra los ciberataques ocultando su presencia tanto como sea posible.

La seguridad se puede fortalecer aún más mediante el uso de extensiones de seguridad del sistema de nombres de dominio (DNSSEC), que ayudan a filtrar y validar las solicitudes de DNS. Estas extensiones ayudan a confirmar la naturaleza genuina de las búsquedas de nombres de dominio. También ayudan a prevenir ciberataques, como la suplantación de DNS, en la que un sitio se inunda con tantas solicitudes de DNS falsificadas que el sistema se satura y deja de funcionar.

Un DNS secundario puede incluso ayudar con el rendimiento, ya que puede resolver los problemas de nombres de dominio más rápido, lo que se traduce en una entrega más rápida de la información. Por lo tanto, al implementar un DNS secundario, se pueden reducir los problemas de latencia.

Aunque los beneficios de utilizar un DNS secundario superan con creces cualquiera de sus desventajas, existen algunos problemas que puede provocar un DNS secundario. Son de menor importancia.

Las actualizaciones del servidor secundario pueden verse ligeramente afectadas. Además, aunque los servidores secundarios están diseñados para comenzar a funcionar cuando sea necesario, podría haber un ligero descenso en su rendimiento cuando comienzan a funcionar.

Los sistemas deben estar sincronizados para ayudar a garantizar un funcionamiento óptimo. El servidor secundario siempre requiere los últimos registros DNS, y esto puede resultar problemático, dependiendo de la frecuencia de los cambios.

Existe la posibilidad de que el uso de un DNS secundario añada complejidad y requiera mano de obra dedicada a la gestión de los servidores DNS. Sin embargo, la gestión exitosa de varios servidores DNS es clave para mantener el estado general del dominio.

Aunque existen numerosos proveedores de servicios DNS secundarios, estos son algunos de los más destacados:

• DNS público de Google: el DNS público de Google cuenta con una capacidad de búsqueda rápida para ayudar a resolver las consultas de DNS. Además, el servicio es fácil de configurar, incluso para principiantes, y cuenta con un conjunto completo de protocolos de seguridad. Más allá de eso, el DNS público de Google se beneficia de la amplia red de centros de datos globales de Google.

• Cloudflare: el servicio DNS de Cloudflare se basa en su configuración DNS de enrutamiento de red Anycast, en la que una dirección IP puede enviar tráfico a varios centros de datos en diferentes áreas. Los usuarios se conectan al servidor más cercano a ellos, lo que permite velocidades más rápidas y protección contra ataques de denegación de servicio distribuido (DDoS). La resolución de DNS pública 1.1.1.1. de Cloudflare es supuestamente la más rápida disponible.

• Quad9: Quad9 destaca por ofrecer más características de seguridad, como la capacidad de filtrar malware y bloquear intentos de phishing. La empresa funciona como una organización sin ánimo de lucro y está tan dedicada a la privacidad de los usuarios que se niega a conservar los datos de navegación o la información de los usuarios.