Tema 3 Servicio DNS Punto 6 Servidores de

Tema 3 – Servicio DNS Punto 6 – Servidores de nombres de dominio Juan Luis Cano

Servidores DNS Un servidor DNS es un equipo al que se le ha agregado éste servicio y se han configurado las resoluciones de nombres. Las zonas están autorizadas en estos (o no, según su tipo), y tienen delegaciones sobre unas zonas creadas en los mismos.

Zonas DNS Las zonas DNS se configuran para resolver los nombres de dominio que sean necesarios, puede haber varias zonas de búsquedas directas e inversas y hay varios tipos de zonas.

Zona Principal Cuando una zona que hospeda un servidor DNS es una zona principal, el servidor DNS es la fuente principal de información sobre esta zona y almacena la copia maestra de los datos de la zona en un archivo local.

Zona Secundaria Cuando una zona que hospeda un servidor DNS es una zona secundaria, dicho servidor DNS es una fuente secundaria de información sobre esta zona. La zona secundaria se debe obtener de otro equipo servidor DNS remoto que también hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto que suministra la información actualizada de la zona a este servidor. Puesto que una zona secundaria no es más que una copia de la zona principal hospedada en otro servidor.

Zonas de rutas internas Un servidor DNS sólo es una fuente de información sobre los servidores de nombres autoritativos para esta zona. La zona de este servidor se debe obtener de otro equipo servidor DNS que hospede la zona. Este servidor DNS debe tener acceso de red al servidor DNS remoto para copiar la información del servidor de nombres autoritativo sobre la zona.

Beneficios de una zona de rutas internas Se puede usar las zonas de rutas internas para: � � � Mantener la información de la zona delegada actualizada. Mejorar la resolución de nombres. Simplificar la administración de DNS.

Autoridad de una zona Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de una zona y suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuación:

Datos de la zona � � � � MNAME Nombre de dominio del servidor DNS constituido como servidor primario para la zona. RNAME Nombre de dominio que indica la dirección de correo de la persona responsable de la zona. SERIAL Número entero de 32 bits correspondiente a la copia original de la zona. Este valor se y incrementa con cada actualización, se conserva en las transferencias de zona, y puede ser utilizado como verificación. REFRESH Número de 32 bits representando el intervalo de tiempo antes que la zona deba ser actualizada. RETRY Número de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una petición de actualización ha fallado. EXPIRE Número de 32 bits que especifica el límite máximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad". MINIMUM Número entero de 32 bits señalando el valor mínimo del parámetro TTL que debe ser utilizado para cualquier exploración de la zona.

Registros de recursos Los registros de recursos (RR) más comunes para agregar son: � Host (A) para asignar un nombre de dominio DNS a una dirección IP que utiliza un equipo. � Alias (CNAME) para asignar un nombre de dominio DNS con alias a otro nombre canónico o principal. � Agente de intercambio de correo (MX) para asignar un nombre de dominio DNS al nombre de un equipo que intercambia o reenvía el correo. � Puntero (PTR) para asignar un nombre de dominio DNS inverso basado en la dirección IP de un equipo que señala al nombre de dominio DNS directo de ese equipo. � Ubicación de servicios (SRV) para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo específico de servicio.

Tipos de servidores DNS Los servidores DNS tienen múltiples funciones según su uso, y un mismo servidor puede tener varias funcionalidades. Algunos de estos servidores son:

Tipos de servidores (I) � Servidor maestro o primario Guardan los datos de un espacio de nombres en sus ficheros. � Servidor esclavo o secundario Obtienen los datos de los servidores primarios a través de una transferencia de zona. � Servidor caché Cuando se les realiza una consulta, estos a su vez consultan a los servidores secundarios, almacenando la respuesta en su base de datos para agilizar la repetición de estas peticiones en el futuro continuo o libre. Guarda un tiempo las consultas, ese tiempo es TTL. � Servidor reenviador (forwarding) Un servidor DNS de una red se designa como reenviador haciendo que los demás servidores DNS de la red le reenvíen las consultas que no pueden resolver localmente. Al utilizar un reenviador, se puede administrar la resolución de los nombres fuera de la red, como nombres en Internet, y mejorar la eficacia de la resolución de nombres para los equipos de la red.

Tipos de servidores (II) � Servidor solo autorizado Los servidores DNS especificados � Servidor DNS Stub Estos servidores DNS tienen zonas de mediante este procedimiento se agregan a las direcciones IP de los servidores presentes en el registro de recursos del servidor de nombres (NS) existente de la zona. Normalmente, sólo tiene que ejecutar este procedimiento en la zona principal al agregar servidores DNS para que actúen como servidores secundarios y también para especificar que se reconozcan estos servidores como autorizados cuando se responda a consultas de los datos de la zona. rutas internas, que son copias de una zona que contienen sólo los registros de recursos necesarios para el establecimiento del Sistema de Nombres de Dominio autoritario para esa zona. Es utilizado para relacionar las zonas entre varios servidores DNS, de forma que si un servidor necesita las zonas de otro servidor distinto, el servidor DNS stub se ocupa de relacionar la zona de un servidor A con un servidor B.

Tipos de servidores (III) � Servidor Stealth Es un servidor de nombres que no aparece en ningún registro NS públicamente visible para el dominio. Es decir, es un servidor oculto que protege a los demás servidores DNS. El servidor stealth puede definirse a grandes rasgos como tener las siguientes características: § La organización necesita un DNS público para permitir el acceso, como por ejemplo los servicios públicos web, correo, ftp, etc. § La organización no quiere que el mundo vea cualquiera de sus hosts internos, para no comprometer al servicio. � Servidor de agujero negro (Blackhole) Es un servidor DNS que devuelve una respuesta de "dirección inexistente" al realizar una consulta inversa para las direcciones de uso privado.

Ejemplo de DNS Stealth

Software comercial de DNS El servicio DNS tiene mucho software que se utiliza para esta función, y aunque el más popular es BIND, existen otros como: ◦ ◦ ◦ ◦ ◦ Microsoft DNS Dnsmasq Simple DNS Plus Knot DNS Nominum Authoritative Name Server (ANS) Posadis Cisco Network Registrar Dual DHCP DNS Server Domain Name Relay Daemon (dnrd)

Servidores raíz Un servidor raíz (root server en inglés) es el servidor de nombre de dominio que sabe dónde están los servidores de nombres autoritarios para cada una de las zonas de más alto nivel en Internet. Los servidores de nombres raíz son una parte fundamental de la Internet, ya que son el primer paso en la traducción de (resolver) los nombres de host legibles por humanos en direcciones IP que se utilizan en la comunicación entre los hosts de Internet.

Distribución de los Servidores Raíz (I) Existen 13 servidores raíz de DNS en el mundo, y están distribuidos de la siguiente manera: Letra Dirección IPv 4 Dirección IPv 6 Nombre antiguo Operador Ubicación sitios (global/local) Software Verisign distribuido (anycast) 6/0 BIND Marina Del Rey, California, U. S. 0/1 BIND A 198. 41. 0. 4 2001: 503: ba 3 e: : ns. internic. net 2: 30 B 192. 228. 79. 201 (desde Enero 2004; originalmente era 128. 9. 0. 107) 4 2001: 478: 65: : 53 (no en la zona ns 1. isi. edu raíz todavía) USC-ISI C 192. 33. 4. 12 2001: 500: 2: : c (no en la zona raíz todavía) c. psi. net distribuido Cogent (anycast) Communications 6/0 D 128. 8. 10. 90 2001: 500: 2 d: : d terp. umd. edu Universidad de Maryland College Park, Maryland, U. S. 1/0 BIND E 192. 203. 230. 10 N/D ns. nasa. gov NASA Mountain View, California, U. S. 1/0 BIND

Distribución de los Servidores Raíz (II) Letra Dirección IPv 4 Dirección IPv 6 Nombre antiguo Operador Ubicación sitios (global/local) Software distribuido (anycast) 2/47 BIND 9 F 192. 5. 5. 241 2001: 500: 2 f: : f ns. isc. org Internet Systems Consortium G 192. 112. 36. 4 N/D ns. nic. ddn. mil Defense Information Systems Agency distribuido (anycast) 6/0 BIND NSD BIND H I 128. 63. 2. 53 2001: 500: 1: : 803 f: aos. arl. army. mil 235 U. S. Army Research Lab Aberdeen Proving Ground, Maryland, U. S. 2/0 192. 36. 148. 17 2001: 7 fe: : 53 Netnod (antes Autonomica) distribuido (anycast) 38 nic. nordu. net

Distribución de los Servidores Raíz (III) Letra Dirección IPv 4 Dirección IPv 6 Nombre antiguo Operador Ubicación sitios (global/local) Software J 192. 58. 128. 30 (originalmente 198. 41. 0. 10) 2001: 503: c 27: : 2: 30 Verisign distribuido (anycast) 63/7 BIND K 193. 0. 14. 129 2001: 7 fd: : 1 RIPE NCC distribuido (anycast) 5/13 NSD L 199. 7. 83. 42 (originalmente 198. 32. 64. 12) 7 2001: 500: 3: : 42 ICANN distribuido (anycast) 103/0 NSD M 202. 12. 27. 33 2001: dc 3: : 35 Proyecto WIDE distribuido (anycast) 5/1 BIND

Punto 6 – Servidores DNS