¿Qué es un DNS secundario?

Consulta rápida: ¿Preferiría volar en un avión equipado con uno o dos motores? La mayoría de los pasajeros probablemente elegirían instintivamente el avión con múltiples motores.

Y ese es el sentido de tener un DNS secundario. ¿Qué puede ocurrirle a una empresa si un servidor primario deja de estar disponible o se ve comprometido de algún otro modo? ¿Puede esa empresa (o cualquier otra) permitirse que el negocio se detenga durante ese periodo de tiempo de inactividad? ¿Qué mensaje negativo enviaría eso a los usuarios del servicio? Desde un punto de vista económico, perder el uso del servidor principal de una organización podría resultar tan catastrófico como el fallo de un motor en la aviación.

Y eso sin tener en cuenta la otra gran ventaja que ofrece la adaptación de un DNS secundario: la forma magistral en que admite los esfuerzos de equilibrio de carga dentro del servidor DNS primario.

Antes de continuar, primero debemos definir una pregunta más básica: ¿qué es un DNS? Un sistema de nombres de dominio actúa como traductor, tomando direcciones IP complejas y cambiándolas en nombres de dominio más comprensibles.

Supongamos que le interesa un tema sobre un producto ofrecido por International Business Machines (IBM), pero no está seguro de su título. Escribe "IBM" en el navegador web de su proveedor de servicios y lo lleva a la página principal de la empresa. Debido al DNS, no es necesario que escriba la dirección IP completa de IBM. El DNS asume que ahí es donde desea ir en función del término de búsqueda ingresado.

A veces se describe al DNS como la “guía telefónica” de Internet porque es como la funcionalidad que se emplea, aunque tal vez sería más apropiado compararlo con un operador telefónico de la vieja escuela. En décadas pasadas, el operador telefónico local actuaba como una especie de DNS humano, tomando el número aplicar y conectándole con la central telefónica deseada. Ahora, el DNS automatiza todo ese proceso de traducción.

Un sistema de nombres de dominio depende de una jerarquía establecida que se rige por servidores raíz. Debajo de ellos en la jerarquía se encuentran los dominios de nivel superior (TLD), como las direcciones que terminan en ".com" y ".org". El resto de la jerarquía se compone de servidores de nombres de dominio individuales.

Un sistema DNS se considera un sistema de base de datos distribuida, donde cada nodo representa un “servidor de nombres”, que es la parte del sistema que proporciona las traducciones necesarias para ese nombre de dominio en particular. Todos los dominios dentro de ese sistema contienen uno o más “servidores de nombres autorizados”, llamados así porque este servidor publica información sobre ese dominio, así como también sobre cualquier servidor de nombres principal de los dominios subordinados que se encuentren dentro de él.

Un DNS funciona de forma sencilla:

1. Usted escribe un nombre de dominio en el navegador web ofrecido por su proveedor de servicios de Internet (ISP).
2. El dispositivo informático que está utilizando envía una consulta de búsqueda a un servidor DNS.
3. El servidor DNS escanea su multitud de recursos para encontrar la dirección IP que coincida con el nombre de dominio de su búsqueda sitio web.
4. El servidor DNS envía la dirección IP localizada al dispositivo que está utilizando.
5. Su dispositivo llama a la dirección IP exacta que está buscando.

Ahora, si hay un problema con el servidor DNS principal, como que técnicamente no esté disponible o que esté sobrecargado, el servidor DNS secundario entra en acción, ejecutando las búsquedas necesarias y realizando las traducciones de direcciones necesarias. Debido al funcionamiento inmediato del DNS secundario a través del proceso de conmutación por error, los usuarios pueden acceder al sitio web sin tener experiencia de ninguna caída notable en la funcionalidad.

De manera similar, un DNS secundario asume las tareas del servidor de correo del servidor DNS primario (incluido el enrutamiento de correo electrónico y la gestión de registros de intercambio de correo [MX]) de modo que el DNS secundario puede ayudar a garantizar que el flujo y reflujo del tráfico de correo electrónico no se detenga. Y de esta manera, el sitio no sufre tiempo de inactividad debido a interrupciones, que es la medida de la verdadera resiliencia, es decir, mantener las cosas en funcionamiento a pesar de las condiciones adversas.

Si el servidor DNS secundario entra en servicio, recibe información del servidor DNS primario. Esto ocurre a través de un proceso conocido como transferencia de zona. Las copias de archivos de zona que se comparten con el servidor DNS secundario a través de la transferencia de zona son archivos de sólo lectura que no se pueden alterar de ninguna manera.

Las transferencias de zona dependen en gran medida del uso de interfaces de programación de aplicaciones (API), que permiten que los servidores DNS primarios transfieran datos de zona DNS automáticamente a servidores secundarios. De esta manera, ambos servidores DNS pueden retener la misma información. Las API proporcionan al servidor principal una forma de poner en contacto con el servidor secundario, para que pueda cerciorar de que se está moviendo al unísono con registros DNS idénticos y transferencias de zona anotadas.

El proceso de transferencia de zona se basa en la creación de registros de servidor de nombres (NS). Los registros NS ayudan a establecer qué servidores están designados como autorizados para ese dominio, lo que define las prioridades del dominio. Siempre que la dirección IP del servidor DNS secundario esté contenida dentro de los registros NS, el sitio web conserva su funcionalidad, incluso si su servidor principal no funciona por cualquier motivo.

Las transferencias de zona se inician mediante la emisión de un registro de inicio de autoridad (SOA), que proporciona a los servidores DNS secundarios los datos necesarios para que los servidores secundarios sincronicen los datos de la zona DNS, funcionando en un tipo de control de versiones que activa actualizaciones basadas en el número de serial del registro SOA.

Así es como registra nuevas versiones. Al actualizar el servicio de DNS secundario con nuevos datos del registro SOA, un dominio puede permanecer en operaciones en caso de que falle el servidor primario, evitando que los servidores caídos afecten el tiempo de actividad.

La transferencia de zona autoritativa (AXFR) es otro protocolo que permite a los servidores DNS intercambiar archivos de zona. AXFR sincroniza esos datos en todos los servidores conectados, de modo que todos puedan operar con la información más actualizada que se pueda obtener.

El uso de servidores DNS secundarios ofrece numerosas ventajas, incluidas las siguientes consideraciones.

El principal beneficio de implementar un servidor DNS secundario implica el mismo tipo de lógica que nos da la instrucción de comprar pólizas de seguro y disponer de suministros de emergencia antes de que ocurran condiciones meteorológicas peligrosas. Al agregar un servidor DNS secundario, estamos reconociendo un hecho desafortunado pero inevitable: las máquinas y los sistemas a veces fallan.

Un servidor DNS secundario aborda este hecho proporcionando una solución provisional que ofrece la redundancia necesaria cuando un servidor DNS primario falla por cualquier motivo. Tener una solución de respaldo ofrece a las organizaciones la seguridad mental de saber que los DNS services de la empresa seguirán siendo accesibles para los usuarios.

Otro beneficio útil de usar un sistema DNS consiste en cómo permite la distribución de la carga. Lo logra proporcionando múltiples direcciones IP para un solo nombre de dominio. A su vez, esto permite que un servidor DNS distribuya su tráfico entrante a través de diferentes servidores, en función del uso de varios algoritmos.

Por ejemplo, si el servidor DNS sigue una configuración de algoritmo round-robin, el servidor DNS ejecuta toda su lista de direcciones IP y distribuye la carga de manera uniforme entre varios dispositivos.

También se puede utilizar un sistema DNS para mejorar la seguridad general. Al instalar un cortafuegos en ese sistema, el tráfico entrante puede permitirse tal cual, filtrarse según sea necesario o rechazarse por completo. Además, se pueden establecer cortafuegos que solo permitan que las solicitudes de DNS autorizadas lleguen a los servidores DNS secundarios.

Otra forma en que un DNS puede respaldar los esfuerzos de seguridad es mediante el desarrollo de un "principal oculto", que es un servidor DNS primario que se mantiene fuera de la vista del Internet público. Su dirección IP no se registra entre los registros de recursos de ese sistema. Los servidores de nombres secundarios manejan las respuestas a las consultas en lugar del servidor primario. La idea es mantener el servidor principal mejor protegido contra los ciberataques ocultando su presencia tanto como sea posible.

La seguridad se puede reforzar aún más mediante el uso de extensiones de seguridad del sistema de nombres de dominio (DNSSEC), que ayudan a filtrar y validar las solicitudes de DNS. Estas extensiones ayudan a confirmar la naturaleza genuina de las búsquedas de nombres de dominio. También ayudan con la prevención de ciberataques, como la suplantación de DNS, en la que un sitio se inunda con tantas solicitudes de DNS falsificadas que el sistema se satura y deja de funcionar.

Un DNS secundario puede incluso ayudar con el rendimiento, ya que puede resolver problemas de nombres de dominio más rápido, lo que se traduce en una entrega más rápida de la información. Por lo tanto, al implementar un DNS secundario, se pueden reducir los problemas de latencia.

Aunque los beneficios de usar un DNS secundario superan con creces cualquiera de sus desventajas, existen algunos problemas que un DNS secundario puede inducir. Son de naturaleza menor.

Es posible que las actualizaciones del servidor secundario se vean ligeramente afectadas. Además, a pesar de que los servidores secundarios están diseñados para comenzar a funcionar cuando sea necesario, podría haber un pequeño contratiempo en su rendimiento a medida que comienzan a trabajar.

Los sistemas deben estar sincronizados para ayudar a garantizar un funcionamiento óptimo. El servidor secundario siempre requiere los últimos registros DNS, y esto puede resultar problemático, dependiendo de la frecuencia de los cambios.

Existe la posibilidad de que el uso de un DNS secundario agregue complejidad y podría requerir mano de obra dedicada para administrar los servidores DNS. Sin embargo, administrar varios servidores DNS con éxito es clave para mantener el estado general del dominio.

Aunque existen numerosos proveedores de DNS services, estos son algunos de los más destacados:

• DNS público de Google: el DNS público de Google cuenta con capacidades de búsqueda rápida para ayudar a resolver consultas de DNS. Además, el servicio es fácil de configurar, incluso para principiantes, y cuenta con un conjunto completo de protocolos de seguridad. Más allá de eso, el DNS público de Google se beneficia de la amplia red de centros de datos globales de Google .

• Cloudflare: el servicio DNS de Cloudflare se basa en su configuración DNS de enrutamiento de red Anycast, en la que una dirección IP puede enviar tráfico a múltiples centros de datos en diferentes áreas. Los usuarios se conectan al servidor más cercano, lo que permite velocidades más rápidas y protección contra ataques de denegación distribuida del servicio (DDoS). Cloudflare 1.1.1.1. Se supone que el solucionador de DNS público es el más rápido disponible.

• Quad9: Quad9 se destaca por proporcionar más característica de seguridad, como la capacidad de filtrar malware y bloquear intentos de phishing. La compañía opera como una organización sin fines de lucro y está tan dedicada a la privacidad del usuario que se niega a retener datos de navegación o información del usuario.