DNS público frente a DNS privado: ¿cuál es la diferencia?

Ambos trabajan en el mismo ámbito: decodificar nombres y direcciones. Existe un servidor de nombres en Internet y funciona de manera muy similar a un tipo de directorio telefónico, intercambiando nombres de dominio legibles por humanos (por ejemplo, ibm.com) en direcciones IP numéricas, que las máquinas pueden interpretar. Es un proceso esencial de emparejamiento que permite a los navegadores web encontrar exactamente los destinos web correctos que buscan los usuarios.

Estos son los pasos necesarios para que el DNS público funcione: 

1. Las actividades de resolución de nombres comienzan cuando un usuario solicita un nombre de dominio. Los usuarios ingresan solicitudes de DNS escribiendo la dirección de un sitio web en su navegador preferido.
2. El dispositivo del usuario (también conocido como endpoint) realiza una verificación de DNS local para ver si la caché del dispositivo o los servidores DNS locales ya contienen una dirección IP que coincida con ese dominio.
3. Cuando la comprobación del DNS local no encuentra una coincidencia, la solicitud se reenvía a un solucionador de DNS recursivo. El solucionador suele proporcionarlo un proveedor de servicios de Internet (ISP) o un servicio de DNS público, por ejemplo, a través de servicios de DNS como Google o Cloudflare.
4. El solucionador se pone en contacto con un servidor de nombres raíz que dirige las consultas DNS guiándolas a un servidor de dominio de nivel superior (TLD) capaz de manejar la solicitud.
5. El siguiente paso es que el solucionador envíe una consulta al servidor de TLD, que a su vez se refiere al servidor de nombres autorizado para ese dominio en particular.
6. El servidor de nombres autorizado en cuestión reserva esa dirección IP para el sitio web y la devuelve al solucionador recursivo.
7. El solucionador carga los datos de DNS en la caché de DNS para su uso posterior, al tiempo que envía la dirección IP aprobada al dispositivo que emitió la solicitud original.
8. El proceso de resolución de DNS ya está completo. El navegador del dispositivo ahora está habilitado para conectarse al servidor web a través de esta dirección IP y descargar el contenido del sitio web.

Ahora, eso es una buena cantidad de enrutamiento de ida y vuelta solo para obtener una dirección URL utilizable. Lo sorprendente es lo rápido que se realizan todas estas respuestas de DNS.

¿Qué tan rápido? Depende un poco de problemas relacionados con el rendimiento, como la conectividad y la latencia de transmisión, pero en su punto más lento, el proceso de DNS público podría tardar unos segundos. Sin embargo, a máxima velocidad, ese mismo proceso puede tardar milisegundos.

Una vez que la dirección IP se ha negociado y liquidado correctamente, el usuario accede a la dirección IP. Antes de que el contenido comience a descargarse como registro DNS, se le asigna una designación de tiempo de vida (TTL), una configuración que controla cuántas veces se pueden descargar los mismos registros DNS.

Los TTL se instalan para evitar que el contenido exista en línea durante períodos excesivamente largos. Los TTL funcionan como un contador que marca cada vez que se accede al contenido en línea. Cuando el contador llega a cero, ese contenido deja de estar disponible para el usuario.

Cuando una organización o persona opta por la máxima privacidad operando su propio DNS, el proceso que rige su funcionamiento requiere menos pasos incrementales. El proceso también tiende a moverse considerablemente más rápido que la velocidad operativa de los servicios de DNS. Logra esta hazaña en gran medida a través del aislamiento impuesto.

El término "DNS privado" tiene dos significados específicos, dependiendo de dónde y cómo se implemente el DNS privado. Puede referirse a zonas de DNS privadas que se operan dentro de un entorno de computación en la nube para que puedan acceder a recursos internos. Alternativamente, también puede significar un servicio de DNS interno privado que se opera en el dispositivo de un usuario para proteger contra contenido específico y ayudar con el cifrado de consultas.

El proceso de búsqueda y resolución de nombres para zonas de DNS privadas se reduce a los siguientes pasos:

1. El usuario ingresa una dirección web (por ejemplo, www.example.com) en su navegador web.
2. El dispositivo que se está operando emite una consulta de DNS, que busca la dirección IP que coincida con ese sitio web.
3. Este punto es donde las rutas del DNS público y el DNS privado divergen por completo. El dispositivo utiliza un túnel cifrado para comunicarse con un servidor de DNS privado (a diferencia del DNS público, donde se usaría una consulta cifrada). Los protocolos internos seguros, como DNS sobre TLS (DoT) o DNS sobre HTTPS (DoH), proporcionan los canales seguros necesarios. Las redes privadas virtuales (VPN) cumplen la misma funcionalidad de cifrado con la ayuda de un proveedor de VPN.
4. El servidor de DNS privado obtiene la solicitud cifrada y la procesa localizando la dirección IP correcta y transmitiéndola al dispositivo original utilizando la misma conexión cifrada de forma segura.
5. Con la dirección IP correcta enviada al dispositivo, el dispositivo se conecta de forma segura al servidor de ese sitio web.

Las seis áreas de comparación directa transmiten con precisión las principales diferencias (y similitudes sutiles) entre el DNS público y el DNS privado.

El propósito general tanto del DNS público como del DNS privado es sorprendentemente similar. Ambos traducen nombres de dominio.

Un DNS público decodifica los nombres de dominio público en direcciones IP adecuadas para que los usuarios puedan acceder a esos sitios en Internet.

Mientras tanto, un DNS privado traduce los nombres de DNS utilizados internamente en direcciones IP internas, lo que permite que diferentes entidades dentro de ese grupo u organización interactúen de manera efectiva.

La seguridad es un factor importante en esta comparación. Después de todo, la seguridad es la razón principal por la que tenemos tecnología de DNS privado. Las organizaciones que requieren máxima seguridad suelen optar por utilizar DNS privado, que oculta los detalles de la red de la Internet pública.

La seguridad del DNS público ofrece significativamente menos medidas de protección, pero compensa ese desequilibrio con otras características diseñadas para proteger contra intentos de phishing y malware.

Los desarrolladores utilizan habitualmente las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para fortalecer los protocolos de seguridad del DNS mediante la adición de firmas digitales. Las medidas tradicionales de seguridad de Internet, como los cortafuegos, se pueden implementar tanto con DNS público como privado. 

Cuando se trata de quién puede acceder a un DNS en particular, todo depende de qué tipo de DNS estemos hablando. Si es un DNS público, cualquier persona con un dispositivo que tenga acceso a Internet puede acceder a él.

Por el contrario, dentro de un DNS privado, el acceso suele estar estrictamente controlado y arraigado en el acceso on premises. Además, el acceso está limitado a los usuarios específicos de una red interna, como los trabajadores que prestan servicio en una ubicación de la empresa o a través de una nube privada virtual.

Para el acceso en segundo plano, los administradores de red utilizan una herramienta de consulta como nslookup (búsqueda de servidor de nombres) para buscar direcciones IP y ejecutar actividades generales de resolución de problemas a través de instrucciones de línea de comandos.

¿Quién controla y opera el servidor que se utilizará? Es una respuesta simple para los DSN privados: es la empresa o grupo que opera esa red interna. Mantienen los servidores DNS privados y los controlan.

Para el DNS público, un proveedor de servicios de Internet (ISP) o algún proveedor externo, como Cloudflare o Google, opera el servidor. En cualquier caso, una entidad externa mantiene el control directo sobre el servidor.

El rendimiento no es el problema común que alguna vez fue. Solía ser una conclusión inevitable que el DNS privado ofrecía un rendimiento más rápido que el DNS público. Después de todo, la información que se buscaba a través de consultas internas tenía menos distancia que recorrer si estaba contenida en una red privada. Esto hizo que la latencia fuera un problema menor.

Sin embargo, ahora el nivel de rendimiento necesario para lograr velocidades ultrarrápidas en el DNS público suele ser más factible, dependiendo del proveedor de servicios. Este impulso se debe a las redes globales que ofrecen una mayor velocidad de red y una transmisión más estable. Decidir si el DNS público o el DNS privado ofrece un mejor rendimiento suele depender en gran medida de la red en cuestión.

En esta área, el DNS privado ofrece muchas más opciones que el DNS público. Un DNS privado permite a un grupo o empresa crear configuraciones personalizadas basadas en las necesidades de ese equipo. El DNS personalizado puede incluir la capacidad de ejecutar esquemas de nombres de dominio personalizados o incluso realizar filtrado de contenido.

Alternativamente, el DNS público está limitado en cuanto a las opciones de personalización que ofrece. Los desarrolladores crean configuraciones para él en una forma estándar para todos los usuarios de DNS públicos.

Se han producido cambios significativos en el DNS y seguirán ocurriendo a medida que la tecnología relacionada continúe avanzando e intente seguir el ritmo de la expansión global en curso de los usuarios.

Por ejemplo, tomemos el protocolo de enrutamiento de Internet IPv4. IPv4 (Internet Protocol versión 4) se desarrolló durante la década de 1970 y se introdujo formalmente a principios de la década de 1980, antes de la Revolución de Internet. Las direcciones IPv4 son etiquetas numéricas de 32 bits que se pueden asignar a cualquier dispositivo que se conecte a una red informática y son esenciales para cumplir con fines de comunicación y enrutamiento. Las direcciones IPv4 se expresan como largas cadenas de números, separadas a intervalos por puntos.

Con base en las leyes de probabilidad, podemos calcular que con la cantidad de enteros contenidos en cada dirección IPv4, son posibles aproximadamente 4300 millones de direcciones. Incluso ese número masivo ha resultado ser insuficiente para igualar el grupo cada vez mayor de dispositivos tecnológicos que deben conectarse a las redes.

Ingrese IPv6 (Internet Protocol versión 6), introducido en 1995 para mitigar esta situación de "sobrepoblación". Lo primero que nota al comparar los dos protocolos es cuánto más grande es IPv6, ofreciendo direcciones de 128 bits que son exactamente 4 veces más grandes que sus direcciones IPv4.

Este aumento conduce a un conjunto de posibles direcciones tan profundo que es difícil de imaginar. Esa cifra es 340 undecillones, que se calcula como 3,4 x 10 a la 38ª potencia y se expresa numéricamente como 3.4 seguido de 38 ceros. Es difícil imaginar que una piscina con tanta agua se vacíe por completo. Pero tal es el estado del uso de computadoras en todo el mundo que su crecimiento sin precedentes provocaría una respuesta tan enorme.

Además de proporcionar cuatro veces la dirección de IPv4, IPv6 incluye Stateless Address Autoconfiguration (SLAAC). Esta característica permite que los dispositivos configuren sus propias direcciones IP sin depender de un servidor DHCP externo, lo que también reduce el tráfico de red.

IPv6 también utiliza un tipo mejorado de registro de DNS que hace coincidir un nombre de dominio con una dirección IPv6 adecuada. Ese registro DNS se llama "AAAA" y representa un avance significativo con respecto al "registro A", que es el registro de DNS que contiene una dirección IPv4 adecuada. La diferencia entre un registro AAAA (a veces llamado Quad-A-Record) y un registro A es en gran medida una mayor capacidad para que AAAA pueda acomodar el pesado identificador de 128 bits que se utiliza.

Una forma de superar eficazmente los registros A y AAAA es crear un CNAME (que significa nombre canónico). Un CNAME es un tipo de registro de DNS que funciona como un alias para ciertos dominios o subdominios. Una restricción menor que debe tenerse en cuenta es que un nombre de host con un CNAME no puede habilitar registros A o registros AAAA que ya lleven ese nombre.

IPv6 no es el único protocolo clave que se ha actualizado con el tiempo. Transport Layer Security (TLS) es un protocolo altamente encriptado que protege las comunicaciones basadas en la web y otras redes. TLS es una actualización de 1999 de un protocolo anterior llamado Secure Sockets Layer (SSL). Al igual que SSL, TLS proporciona un medio para autenticar a los usuarios, detener el acceso no autorizado y mantener y verificar la integridad de los datos.