Publicado: 30 de enero de 2024
Colaboradores: Chrystal R. China, Michael Goodwin
El sistema de nombres de dominio (DNS) es el componente del protocolo estándar de Internet responsable de convertir los nombres de dominio fáciles de usar en las direcciones de protocolo de Internet (IP) que emplean las computadoras para identificarse entre sí en la red.
A menudo llamada “agenda telefónica para Internet”, una analogía más moderna es que el DNS gestiona los nombres de dominio de la misma manera que los teléfonos inteligentes gestionan los contactos. Los teléfonos inteligentes eliminan la necesidad de que los usuarios recuerden números de teléfono individuales almacenándolos en listas de contactos de fácil búsqueda.
Del mismo modo, el DNS permite a los usuarios conectarse a sitios web mediante el uso de nombres de dominio de Internet en lugar de direcciones IP. En lugar de tener que recordar que el servidor web está en "93.184.216.34", por ejemplo, los usuarios pueden simplemente ir al sitio web "www.example.com" para obtener los resultados deseados.
Lea cómo el escritorio como servicio (DaaS) permite a las empresas lograr el mismo nivel de rendimiento y seguridad que el despliegue de las aplicaciones on premises.
Antes del DNS, Internet era una red creciente de computadoras utilizadas principalmente por instituciones académicas y de investigación. Los desarrolladores asignaron manualmente los nombres de host a las direcciones IP mediante el uso de un archivo de texto simple llamado HOSTS.TXT. SRI International mantuvo estos archivos de texto y los distribuyó a todas las computadoras en Internet. No obstante, a medida que la red se expandió, este enfoque se volvió cada vez más insostenible.
Para hacer frente a las limitaciones de HOSTS.TXT y crear un sistema más escalable, el informático de la Universidad del Sur de California, Paul Mockapetris, inventó el sistema de nombres de dominio en 1983. Una cohorte de pioneros de Internet colaboró en la creación del DNS y fue autora de las primeras peticiones de comentarios (RFC) que detallaban las especificaciones del nuevo sistema, RFC 882 y RFC 883. Posteriormente, las RFC 1034 y 1035 sustituyeron a las anteriores.
Eventualmente, a medida que el DNS se expandió, la administración de DNS pasó a ser responsabilidad de la Internet Assigned Numbers Authority (IANA), antes de finalmente quedar bajo el control de la organización sin fines de lucro Internet Corporation for Assigned Names and Numbers (ICANN), en 1998.
Regístrese para obtener la guía sobre la nube híbrida
Desde el principio, los desarrolladores diseñaron el DNS con una estructura de base de datos jerárquica y distribuida para facilitar un enfoque más dinámico de la resolución de nombres de dominio, que pueda seguir el ritmo de una red de computadoras en rápida expansión. La jerarquía comienza con el nivel raíz, indicado por un punto (.), y se ramifica en dominios de nivel superior (TLD), como “.com”, “.org”, “.net” o TLD de código de país (ccTLD), como “.uk” y “.jp”, y dominios de segundo nivel.
La arquitectura DNS consta de dos tipos de servidores DNS, servidores recursivos y servidores autoritativos. Los servidores DNS recursivos son los que "preguntan", los que buscan la información que conecta a un usuario con un sitio web.
Los servidores recursivos, también conocidos como resolutores recursivos o resolutores de DNS, suelen ser gestionados por proveedores de servicios de Internet (ISP), grandes empresas u otros proveedores de servicios de DNS externos. Actúan en nombre del usuario final para convertir el nombre de dominio en una dirección IP. Los resolutores recursivos también almacenan en caché las respuestas a una solicitud durante un cierto periodo (definido por el valor de tiempo de vida o TTL) para mejorar la eficiencia del sistema para futuras consultas al mismo dominio.
Cuando un usuario escribe una dirección web en un navegador de búsqueda, este se conecta a un servidor DNS recursivo para resolver la petición. Si el servidor recursivo tiene la respuesta en caché, puede conectarse con el usuario y completar la solicitud. En caso contrario, el resolutor recursivo consulta una serie de servidores DNS autoritativos para encontrar la dirección IP y conectar al usuario con el sitio web deseado.
Los servidores autoritativos proporcionan las "respuestas". Los servidores de nombres autoritativos mantienen los registros definitivos de un dominio y responden a las solicitudes sobre los nombres de dominio almacenados en sus respectivas zonas (normalmente, con respuestas configuradas por el propietario del dominio). Existen diferentes tipos de servidores de nombres autoritativos, cada uno de los cuales cumple con una función específica dentro de la jerarquía del DNS.
Los servidores de nombres DNS autoritativos incluyen:
Los servidores de nombres raíz se encuentran en la parte superior de la jerarquía de DNS y son responsables de gestionar la zona raíz (la base de datos central para DNS). Responden consultas de registros almacenados dentro de la zona raíz y remiten las solicitudes al servidor de nombres de TLD apropiado.
Hay 13 direcciones IP que se emplean para consultar 13 redes de servidores raíz diferentes, identificadas por las letras de la A a la M, que manejan las solicitudes de los TLD y dirigen las consultas a los servidores de nombres de TLD apropiados. La Internet Corporation for Assigned Names and Numbers (ICANN) opera estas redes de servidores raíz.
Los servidores de TLD son responsables de gestionar el siguiente nivel de la jerarquía, incluidos los dominios genéricos de nivel superior (gTLD). Los servidores de nombres de TLD dirigen las consultas a los servidores de nombres autorizados para los dominios específicos dentro de su TLD. Entonces, el servidor de nombres de TLD para ".com" dirigiría los dominios que terminan en ".com", el servidor de nombres de TLD para ".gov" dirigiría los dominios que terminan en ".gov", y así sucesivamente.
El servidor de nombres de dominio (a veces, denominado servidor de nombres de dominio de segundo nivel) contiene el archivo de zona con la dirección IP del nombre de dominio completo, como "ibm.com".
Cada consulta (a veces, llamada solicitud de DNS) en el DNS sigue la misma lógica para resolver las direcciones IP. Cuando un usuario ingresa una URL, su computadora consulta progresivamente a los servidores DNS para localizar la información adecuada y los registros de recursos para atender la solicitud del usuario. Este proceso continúa hasta que el DNS encuentra la respuesta correcta del servidor DNS autorizado asociado con ese dominio.
Más específicamente, la resolución de consultas en el DNS implica varios procesos y componentes clave.
Un usuario ingresa un nombre de dominio, como "ibm.com", en un navegador o aplicación y la solicitud se envía a un resolutor de DNS recursivo. Normalmente, el dispositivo del usuario tiene una configuración de DNS predefinida, proporcionada por el proveedor de servicios de Internet (ISP), que determina qué resolutor recursivo consulta un cliente.
El resolutor recursivo verifica su caché (el almacenamiento temporal dentro de un navegador sitio web o sistema operativo (como macOS, Windows o Linux) que contiene búsquedas de DNS anteriores) para buscar la dirección IP correspondiente del dominio. Si el resolutor recursivo no tiene los datos de búsqueda de DNS en su caché, inicia el proceso de recuperación de los servidores DNS autoritativos, comenzando en el servidor raíz. El resolutor recursivo consulta la jerarquía DNS hasta que encuentra la dirección IP final.
El resolutor recursivo consulta a un servidor de nombres raíz, que responde con una referencia al servidor de TLD apropiado para el dominio en cuestión (el servidor de nombres de TLD responsable de dominios ".com" en este caso).
El resolutor consulta el servidor de nombres “.com " TLD”, que responde con la dirección del servidor de nombres autoritativo para “ibm.com”. Este servidor a veces se denomina servidor de nombres de dominio de segundo nivel.
El resolutor consulta el servidor de nombres del dominio, que busca el archivo de zona DNS y responde con el registro correcto para el nombre de dominio proporcionado.
El resolutor recursivo almacena en caché el registro DNS, durante un tiempo especificado por el TTL del registro, y devuelve la dirección IP al dispositivo del usuario. El navegador o la aplicación pueden iniciar una conexión con el servidor host en esa dirección IP para acceder al sitio web o servicio solicitado.
Además de los principales tipos de servidores, el DNS emplea archivos de zona y varios tipos de registros para ayudar con el proceso de resolución. Los archivos de zona son archivos basados en texto que incluyen asignaciones e información sobre un dominio dentro de una zona DNS.
Cada línea de un archivo de zona especifica un registro de recursos de DNS (una única información sobre la naturaleza de un tipo o dato en particular). Los registros de recursos garantizan que, cuando un usuario envíe una consulta, el DNS pueda convertir rápidamente los nombres de dominio en información procesable que dirija a los usuarios al servidor correcto.
Los archivos de zona DNS comienzan con dos registros obligatorios: el tiempo de vida global (TTL), que indica cómo se deben almacenar los registros en la caché DNS local, y el inicio de la autoridad (registro SOA), que especifica el servidor de nombres autoritativo principal para la zona DNS.
Después de los dos registros primarios, un archivo de zona puede contener varios otros tipos de registros, que incluyen:
Los registros A se asignan a direcciones IPv4 y los registros AAAA se asignan a direcciones IPv6.
Los registros MX especifican un servidor de correo electrónico SMTP para un dominio.
Los registros CNME redirigen los nombres de host de un alias a otro dominio (el “dominio canónico”).
Los registros NS indican el servidor de nombres autorizado para un dominio.
Los registros PTR especifican una búsqueda DNS inversa, asignando direcciones IP a nombres de dominio.
Los registros TXT indican el registro del marco de políticas del remitente para la autenticación de correo electrónico.
Las búsquedas de DNS suelen implicar tres tipos de consultas. Las consultas recursivas, que conectan el servidor recursivo y el cliente DNS, resuelven completamente el nombre de dominio o devuelven un mensaje de error al usuario, el cual le avisa que no puede localizar el dominio.
Las consultas iterativas, que conectan resolutores recursivos (un servidor DNS local) y servidores DNS no locales (como los servidores raíz, TLD o de nombres de dominio), no requieren resolución de dominio. En su lugar, los servidores podrían responder con una referencia, donde el servidor raíz remite al resolutor recursivo al TLD, que remite al resolutor a un servidor autoritativo que proporciona la respuesta (si la respuesta está disponible). Por lo tanto, las consultas iterativas se resuelven con una respuesta o una referencia.
En el caso de consultas no recursivas, el resolutor recursivo ya sabe dónde localizar la respuesta a la consulta, por lo que estas consultas siempre se resuelven con una respuesta. El resolutor ahorra tiempo al encontrar la respuesta almacenada en caché en el servidor recursivo o al omitir los servidores de nombres raíz DNS y TLD para ir directamente al servidor autoritativo apropiado. Por ejemplo, si el resolutor recursivo proporciona una dirección IP almacenada en caché en una sesión anterior, la solicitud calificaría como una consulta no recursiva.
Las organizaciones tienen una variedad de opciones al emplear el DNS, incluido el DNS público y privado, o una combinación de dos. Los DNS públicos y privados son dos cosas completamente diferentes. Para comprender cómo emplear mejor el DNS para satisfacer las necesidades de la organización, es importante comprender cómo funciona cada tipo.
El DNS público generalmente se refiere a resolutor del DNS y a los servidores recursivos empleados para consultar servidores de nombres autoritativos y conectar a los usuarios a sitios web.
Estos servidores son accesibles para cualquier usuario en el Internet y empresas como Cloudflare (1.1.1.1), Quad9 y OpenDNS suelen proporcionarlos gratis. Los servidores DNS públicos son mantenidos por las organizaciones que los ejecutan. Los usuarios y clientes no tienen control sobre su operación, políticas o configuración.
El DNS privado generalmente se refiere a la parte autoritativa del DNS. Las organizaciones configuran servidores DNS privados dentro de una red privada, y estos servidores actúan como servidores DNS autoritativos, proporcionando búsquedas de DNS para recursos internos. Los servidores DNS privados residen detrás de un cortafuegos y solo contienen registros de sitios internos, por lo que el acceso está restringido a usuarios, dispositivos y redes autorizados.
A diferencia de las configuraciones de DNS público, el DNS privado ofrece a las organizaciones control sobre sus servidores DNS, lo que les permite personalizar los registros DNS, aplicar esquemas de nomenclatura internos y hacer cumplir políticas de seguridad específicas. Esto también significa que las organizaciones son responsables de mantener la infraestructura, ya sea que esté alojada en centros de datos on premises o a través de servicios en la nube.
Las soluciones de DNS gestionado básicamente externalizan la gestión del servidor y el proceso de orquestación. Con un sistema gestionado, el proveedor de DNS se encarga de toda la configuración, el mantenimiento y los protocolos de seguridad de los servidores DNS de una organización, y el cliente emplea la infraestructura del proveedor para gestionar los nombres de dominio. En este caso, cuando un usuario introduce la URL de una empresa, se le redirige desde el servidor del nombre de dominio de la empresa a los servidores del proveedor, que obtienen todos los recursos y responden al usuario.
El DNS gestionado también puede proporcionar servicios y beneficios, como DNS dedicado, equilibrio de carga global del servidor, garantías de tiempo de actividad, arquitectura API-first, soporte para DNSSEC, redes globales anycast, tiempos de propagación acelerados, herramientas de monitoreo y verificación de estado, protección DDoS y más.
La mayoría de los servidores DNS modernos son bastante seguros, incluso en el caso de los DNS públicos. Sin embargo, los mejores sistemas DNS pueden seguir siendo vulnerables a los problemas de ciberseguridad. Ciertos tipos de ataques se dirigen al lado autoritativo del DNS y otros se dirigen al lado recursivo. Estos ataques incluyen:
La suplantación de DNS, también llamada envenenamiento de caché, se produce cuando un atacante inserta registros de direcciones falsos en la caché de un resolutor DNS, haciendo que el resolutor devuelva una dirección IP incorrecta y redirija a los usuarios a sitios maliciosos. La suplantación de identidad puede comprometer datos sensibles y dar lugar a ataques de phishing y distribución de malware.
La amplificación DNS es un tipo de ataque de denegación de servicio distribuido (DDoS) en el que un atacante envía pequeñas consultas a un servidor DNS con la dirección de retorno falsificada a la dirección IP de la víctima. Estos ataques aprovechan la naturaleza sin estado de los protocolos DNS y el hecho de que una pequeña consulta puede generar una respuesta descomunal.
Como resultado de un ataque de amplificación, el servidor DNS responde con respuestas mucho más grandes, lo que amplifica la cantidad de tráfico dirigido al usuario, abrumando sus recursos. Esto puede impedir que el DNS funcione y cerrar la aplicación.
La tunelización de DNS es una técnica empleada para eludir las medidas de seguridad al encapsular el tráfico que no es de DNS, como HTTP, dentro de consultas y respuestas de DNS. Los atacantes pueden usar túneles DNS para transmitir comandos de malware o para exfiltrar datos de una red comprometida, a menudo codificando la carga útil dentro de consultas y respuestas de DNS para evitar la detección.
El secuestro de dominio ocurre cuando un atacante obtiene acceso no autorizado a una cuenta de registrador de dominio y cambia los detalles de registro de un dominio. El secuestro permite a los delincuentes redirigir el tráfico a servidores maliciosos, interceptar emails y tomar el control de la identidad en línea del usuario.
Las entradas DNS desatendidas para subdominios que apuntan a servicios dados de baja son los principales objetivos de los atacantes. Si un servicio (como un host en la nube) ha sido dado de baja pero la entrada DNS permanece, un atacante puede potencialmente reclamar el subdominio y configurar un sitio o servicio malicioso en su lugar.
Independientemente de los servicios DNS que elija una organización, es prudente implantar protocolos de seguridad para minimizar las superficies de ataque DNS, mitigar los posibles problemas de seguridad y optimizar DNS en los procesos de red. Algunas prácticas útiles para solidificar la seguridad del DNS incluyen:
- Implementación de extensiones de seguridad DNS (DNSSEC) y redes privadas virtuales (VPN): DNSSEC agrega una capa de seguridad a las búsquedas de DNS al requerir que las respuestas DNS se firmen digitalmente. Específicamente, DNSSEC puede proteger contra ataques de suplantación de identidad de DNS al autenticar el origen de las solicitudes y verificar la integridad de los datos DNS.
Las VPN proporcionan confidencialidad mediante el uso de cifrado para oscurecer las direcciones IP, de modo que los datos de ubicación y del historial de navegación (entre otras cosas) sigan siendo impracticables.
- Emplear prácticas de limitación de velocidad: La limitación de velocidad en los servidores DNS puede mitigar los ataques DDoS al restringir el número de respuestas, o la velocidad a la que los servidores envían respuestas, a un solo solicitante en un período de tiempo específico.
- Requerir autenticación de dos factores (2FA) para registradores de dominios: establecer 2FA para cuentas de registradores de dominios puede dificultar que los atacantes obtengan acceso no autorizado a servidores y reducir el riesgo de secuestro de dominios.
- Uso de redundancias: implementar DNS en una configuración redundante en varios servidores dispersos geográficamente puede ayudar a garantizar la disponibilidad de la red si hay un ataque o interrupción. Si el servidor principal deja de funcionar, los servidores secundarios pueden hacer cargo de los servicios de resolución de DNS.
- Implementar el vaciado de DNS: la limpieza periódica de la caché de DNS elimina todas las entradas del sistema local, lo que puede ser útil para eliminar registros de DNS no válidos o comprometidos que podrían dirigir a los usuarios a sitios maliciosos.
- Mantenerse informado sobre las amenazas de DNS. Los atacantes y las amenazas a la seguridad evolucionan de forma muy similar a los sistemas que ponen en peligro. Mantenerse al tanto de las últimas vulnerabilidades y amenazas de DNS puede ayudar a los equipos a adelantarse a los actores maliciosos.
IBM® NS1 Connect® proporciona conexiones rápidas y seguras a usuarios de cualquier parte del mundo con DNS premium y dirección de tráfico avanzada y personalizable . Una arquitectura siempre activa y que prioriza las API habilita a sus equipos de TI para monitorear redes, desplegar cambios y realizar mantenimiento de rutina de manera más eficiente.
Identifique rápidamente errores de configuración y problemas de seguridad a través de informes personalizados en tiempo real basados en observabilidad de IBM NS1 Connect DNS Insights.
IBM Cloud DNS Services ofrece servicios de nombres de dominio (DNS) públicos o privados confiables con un tiempo de respuesta rápido, redundancia sin par y seguridad avanzada, gestionados a través de la interfaz web de IBM Cloud o por API.