¿Qué es un servidor DNS?

Constituyen la base del Sistema de Nombres de Dominio (DNS), a menudo conocido como la “guía telefónica de Internet”, que permite a los usuarios acceder a sitios web ingresando nombres de dominio en un navegador web en lugar de recordar e ingresar direcciones IP numéricas.

El DNS comprende dos tipos de servidores DNS: servidores DNS recursivos, también llamados resolutores recursivos, resolutores de DNS o recursores de DNS, y servidores de nombres autoritativos, que incluyen servidores de nombres raíz, servidores de nombres de dominio de nivel superior (TLD) y servidores de nombres de dominio de segundo nivel.

Los servidores DNS recursivos hacen las "preguntas", localizando los registros DNS con la información necesaria para conectar un cliente a un sitio web o recurso, y los servidores autoritativos mantienen estos registros y proporcionan las "respuestas". Juntos, estos servidores son responsables del proceso de resolución de DNS, traduciendo los nombres de dominio legibles por humanos en direcciones de protocolo de Internet (IP) numéricas y fáciles de usar.

Por ejemplo, cuando un usuario ingresa un nombre de host (como www.example.com) en un navegador web, inicia una consulta de DNS, también llamada solicitud de DNS, y comienza el proceso de búsqueda de DNS. El navegador envía la consulta al resolutor recursivo configurado, el cual consulta progresivamente a los servidores DNS autoritativos para localizar los registros de recursos adecuados que respondan a la solicitud del usuario.

Este proceso continúa hasta que el resolutor encuentra el servidor de nombres autoritativo asociado a ese dominio, junto con el registro A (o registro AAAA, para direcciones IPv6) que contiene la dirección IP correcta para el dominio. El resolutor devuelve la dirección IP al navegador, y el usuario se conecta al recurso que está buscando.

Los servidores DNS son la infraestructura esencial que permite que el DNS e Internet funcionen como los usuarios están acostumbrados.

Los servidores DNS localizan y almacenan registros DNS e impulsan la resolución de consultas DNS a medida que se mueven a través de la estructura jerárquica del DNS. El nivel más alto comprende los servidores de nombres raíz DNS, que dirigen las consultas a los servidores de dominio de nivel superior apropiados y luego a los servidores de nombres de dominio de segundo nivel, que contienen los registros autoritativos para un dominio determinado.

Hay muchos tipos de registros DNS y sirven como una especie de base de datos de instrucciones sobre dónde se encuentran los recursos, además de otra información crítica del DNS. El ejemplo más familiar podría ser los registros A (para direcciones IP IPv4, o registros AAAA, para direcciones IPv6) que contienen las direcciones IP que los navegadores necesitan para ayudar a los usuarios a llegar a los sitios web que están buscando.

Pero también hay registros MX que dirigen al servidor de correo de un dominio, registros CNAME que dirigen dominios de alias a dominios canónicos, registros DNAME que se utilizan para redirigir múltiples subdominios con un registro y apuntarlos a otro dominio, y más.

Estos registros se alojan en servidores DNS autoritativos y, para que el DNS funcione, estos servidores deben mantenerse en buen estado y seguros. Sin servidores DNS en funcionamiento, no hay DNS.

Desde el principio, el DNS se diseñó con una estructura de base de datos jerárquica y distribuida para facilitar un enfoque más dinámico de la resolución de nombres de dominio, que pueda seguir el ritmo de una red de computadoras en rápida expansión. La jerarquía comienza con el nivel raíz—denotado por un punto (.)—y se ramifica en dominios de nivel superior (TLD)—como “.com,” “.org,” “.net” o dominios de nivel superior de código de país (ccTLD) como “.uk” y “.jp,”—y dominios de segundo nivel.

Las arquitecturas DNS consisten de dos tipos de servidores DNS: servidores recursivos y servidores autoritativos. Los servidores DNS recursivos son los que "preguntan", buscando la información que conecta a un usuario con una página web o recurso. Los servidores autoritativos proporcionan las "respuestas".

Los servidores recursivos (también conocidos como resolutores recursivos o resolutores de DNS) son generalmente gestionados por proveedores de servicios de Internet (ISPs) o proveedores de servicios de DNS de terceros. Una organización también puede alojar y gestionar su propio resolutor.

Los resolutores recursivos actúan en nombre del usuario final para convertir el nombre de dominio en una dirección IP. Los resolutores recursivos también almacenan en caché (almacenan temporalmente los resultados de búsquedas DNS recientes) las respuestas a una solicitud durante un periodo específico (definido por el valor de tiempo de vida o TTL) para mejorar la eficiencia del sistema para futuras consultas al mismo dominio.

Cuando un usuario escribe una dirección web en un navegador web, este se conecta a un servidor DNS recursivo para resolver la solicitud. Si el servidor recursivo tiene la respuesta en caché, puede conectarse con el usuario y completar la solicitud. De lo contrario, el resolutor recursivo consulta la jerarquía de DNS hasta que encuentra los registros A (o AAAA) que contienen la dirección IP de un dominio determinado.

Los servidores de nombres autoritativos mantienen los registros definitivos de un dominio y responden a las solicitudes sobre los nombres de dominio almacenados en sus respectivas zonas (normalmente con respuestas configuradas por el propietario del dominio).

Hay diferentes servidores autoritativos que son responsables de una parte distinta del espacio de nombres. Los servidores de nombres DNS autoritativos incluyen:

Servidor de nombres raíz

Los servidores de nombres raíz se encuentran en la parte superior de la jerarquía del DNS y son responsables de dar servicio a la zona raíz (la base de datos central del DNS). Hay 13 "identidades" o "autoridades" de servidores de nombres raíz (agrupaciones lógicas de servidores raíz) identificadas por las letras de la A a la M. Responden consultas de registros almacenados dentro de la zona raíz y remiten las solicitudes al servidor de nombres de TLD apropiado.

Servidores de nombres de dominio de nivel superior (TLD)

Los servidores de TLD son responsables de gestionar el siguiente nivel de la jerarquía, incluidos los dominios genéricos de nivel superior (gTLD). Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autoritativos para los dominios específicos dentro de su TLD. Entonces, el servidor de nombres TLD para “.com” dirigiría los dominios que terminan en “.com”, el servidor de nombres TLD para “.gov” dirigiría los dominios que terminan en “.gov”, y así sucesivamente.

Otros servidores de nombres de dominio

Los servidores de nombres de dominio de segundo nivel, la mayoría de los servidores de nombres de dominio, contienen archivos de zona con la dirección IP del nombre de dominio completo ("ibm.com", por ejemplo).

Los servidores DNS son la infraestructura sobre la que se construye el sistema DNS y los componentes que impulsan su función principal: conectar a los usuarios con recursos de Internet. Los servidores DNS autoritativos almacenan registros DNS y los servidores recursivos consultan estos servidores autoritativos para encontrar los registros necesarios para completar una solicitud de DNS.

La resolución de consultas DNS implica varios procesos y componentes clave:

Un usuario ingresa un nombre de dominio, como "ibm.com", En un navegador o aplicación. Si la dirección IP del sitio en cuestión no está en la caché del navegador, la solicitud se envía a un resolutor de DNS recursivo. Por lo general, el dispositivo del usuario tiene una configuración de DNS predefinida, proporcionada por el ISP, que determina qué resolutor recursivo recibe la solicitud.

Este proceso está evolucionando, ya que muchos navegadores modernos admiten DNS sobre HTTPS (DoH), lo que permite la búsqueda de DNS sobre HTTPS, y muchos proveedores tienen servidores configurados para este tipo de búsqueda. Por ejemplo, si usa Firefox en Estados Unidos, enviará la consulta de forma predeterminada a un servidor DoH de Cloudflare en lugar del resolutor del proveedor de ISP local. DoH es cada vez más popular porque ofrece mayor privacidad y mejor rendimiento, entre otros beneficios.

El resolutor recursivo busca en su propia caché la dirección IP correspondiente al dominio. Si el resolutor recursivo no tiene los registros necesarios en su caché, inicia el proceso de búsqueda, comenzando en el servidor raíz.

El resolutor recursivo consulta a un servidor de nombres raíz, que responde con una referencia al servidor de TLD apropiado para el dominio en cuestión (el servidor de nombres de TLD responsable de dominios ".com" en este caso).

El resolutor consulta el servidor de nombres “.com” TLD, que responde con la dirección del servidor de nombres autoritativo para “ibm.com.”

El resolutor consulta el servidor de nombres del dominio, que busca el archivo de zona DNS y responde con el registro correcto para el nombre de dominio proporcionado.

El resolutor recursivo devuelve la dirección IP al dispositivo del usuario. El navegador o la aplicación pueden entonces iniciar una conexión con el servidor host en esa dirección IP y acceder al sitio web o servicio solicitado. El navegador y el resolutor registran en caché de acuerdo con sus respectivas configuraciones y TTL.

El DNS es básicamente un protocolo público. Aunque los términos “DNS público” y “DNS privado” se utilizan de diferentes maneras, sin una definición universalmente estándar para ninguno de los dos, a menudo se usan para hacer referencia a diferentes configuraciones y procesos de infraestructura. La mayor diferencia está en su uso previsto y audiencia.

El DNS público se emplea a menudo para referir al proceso "estándar" de resolución de DNS, o resolutores DNS públicos, en el que un resolutor recursivo consulta una sucesión de servidores autorizados que almacenan registros DNS públicos para localizar una dirección IP y, en última instancia, conectar al usuario con el sitio web que busca. A menudo, se trata de un resolutor proporcionado por el ISP del usuario o por un servicio DNS como el DNS público "quad 8" de Google. Los resolutores privados también se pueden configurar para consultar DNS públicos, pero se utilizan más comúnmente para redes restringidas o corporativas.

Es probable que esta búsqueda de DNS estándar se denomine DNS público debido a estos resolutores disponibles públicamente y al hecho de que los registros DNS en estos servidores autorizados son accesibles para cualquier persona con acceso a Internet.

"DNS privado" a veces se utiliza para describir el uso de protocolos de cifrado como DNS sobre TLS (DoT) o DNS sobre HTTPS (DoH). Sin embargo, estos se describen con mayor precisión como “características de privacidad” o “protocolos de privacidad” en lugar de “DNS privado”. El proceso de resolución sigue siendo el mismo, ya que un resolutor utiliza el DNS disponible públicamente para encontrar lo que necesita. En este caso, simplemente se hace con transferencia cifrada.

El DNS privado también se utiliza para referirse a la búsqueda dentro de una red interna cerrada, como redes corporativas o nubes privadas virtuales, con acceso restringido a usuarios autoritativos. En un sistema de este tipo, los resolutores privados, configurados localmente, consultan a servidores privados para localizar recursos y sitios dentro de una red interna. Estos servidores están configurados para atender solo zonas privadas y direcciones IP internas, y la red mantiene las URL internas y las direcciones IP ocultas del resto de Internet. Este tipo de DNS privado proporciona a las organizaciones un mayor control y seguridad.

Hay muchas formas de configurar este tipo de red. Una forma es a través de un dominio de uso especial, como ".local", que se utiliza para la resolución en redes locales. Otra opción es disponer de subdominios privados de dominios que están disponibles públicamente en Internet. Este subdominio privado solo estaría disponible para personas o agentes que utilicen resolutores dentro de la red interna.

Una configuración empresarial común que combina DNS "público" y "privado" se denomina "DNS de horizonte dividido" o "DNS de cerebro dividido". En esta configuración, un recursor local consulta servidores autoritativos privados locales para solicitudes internas y se basa en el DNS estándar para consultas externas. El DNS de horizonte dividido suele incluir una lista de nombres de dominio (una especie de "lista de permitidos") que le dice al servidor qué solicitudes van a servidores internos y cuáles reenviar a la Internet pública.

Además del enrutamiento anycast, el equilibrio de carga, el direccionamiento del tráfico DNS y las capacidades de monitoreo y resolución de problemas en tiempo real, muchos proveedores de DNS administrado ofrecen protecciones de seguridad avanzadas como parte de su servicio. Ya sea que una organización utilice un proveedor de DNS gestionado o autogestione su infraestructura de DNS, proteger los servidores DNS es una parte importante para mantener seguras las redes y los recursos de red.

Las prácticas y protocolos de seguridad de DNS que ayudan a mantener los servidores DNS protegidos y disponibles incluyen: