Ud3 Instalacic3b3n y Administracic3b3n de Servicios de Nombres de Dominio

20112012
UD3 Instalacin y administracin de servicios de nombres de dominio
Jos Jimnez Arias IES Gregorio Prieto 2011-2012
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012
NDICE
1. Introduccin a los servicios de nombres de dominio. 2. Sistemas de nombres planos y jerrquicos. 3. Historia del DNS. 4. Componentes del servicio de nombres de dominio:
Espacios de nombres de dominio (name space) Bases de datos DNS (registro de recursos). Servidores de nombres (servidores DNS). Clientes DNS (resolutores resolvers) Protocolo DNS.
5. Espacio de nombres de dominio:

Nombres de dominio. Dominio raz. Dominios y subdominios. Nombres relativos y absolutos. FQDN. Uso de dominios. Administracin de nombres de dominio en Internet: Delegacin. Dominio raz. ICANN. Dominios TLD y Operadores de registro. Registros de dominios en Internet. Agentes registradores.
Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 2
6. Servidores de nombres de dominio (DNS):

Zonas. Autoridad. Registro de recursos (RR). Tipos de servidores de nombres DNS. Servidor maestro o primario. Servidor esclavo o secundario. Servidor cach. Servidor reenviador (forwarding) Servidor solo autorizado. Software comercial de servidores de nombres de dominio. Servidores raz.
7. Clientes DNS (Resolutores resolvers de nombres). 8. Proceso de resolucin de un nombre de dominio.

Consultas recursivas. Consultas iterativas. Cach y TTL. Recursividad y cach.
9. Resolucin inversa:
Mapeo de direcciones y dominio arpa. Zonas de resolucin inversa. Proceso de resolucin. Delegacin y resolucin inversa.
10. Registros de recursos DNS:

Formato general. Tipos de registros: SOA, NS, A, AAAA, A6, CNAME, MX, SRV, PTR. Delegacin y Glue Record.
11. Transferencias de Zona:

Tipos de transferencias de zona: Completa e Incremental. Proceso de transferencias de zona.
12. DNS Dinmico (DDNS o Dynamic DNS):

Actualizaciones manuales. Actualizaciones dinmicas. DNS dinmico en Internet.
13. Protocolo DNS. 14. Seguridad DNS.

Vulnerabilidades, amenazas y ataques. Mecanismos de seguridad.
1. Introduccin a los servicios de nombres de dominio.

Un servidor DNS proporciona resolucin de nombres para redes basadas en TCP/IP. Es decir, hace posible que los usuarios de equipos cliente utilicen nombres en lugar de direcciones IP numricas para identificar hosts remotos. Un equipo cliente enva el nombre de un host remoto a un servidor DNS, que responde con la direccin IP correspondiente. El equipo cliente puede entonces enviar mensajes directamente a la direccin IP del host remoto. Si el servidor DNS no tiene ninguna entrada en su base de datos para el host remoto, puede responder al cliente con la direccin de un servidor DNS que pueda tener informacin acerca de ese host remoto, o bien puede consultar al otro servidor DNS. Este proceso puede tener lugar de forma recursiva hasta que el equipo cliente reciba las direcciones IP o hasta que se establezca que el nombre consultado no pertenece a ningn host del espacio de nombres DNS especificado.
2. Sistemas de nombres planos y jerrquicos.

La razn de ser de un sistema de nombres en Internet es la de posibilitar la asociacin de un determinado nombre que identifica a un ordenador, por ejemplo, pc-jose a la direccin IP de ese ordenador: 154.56.26.48. Un sistema de nombres, en trminos generales, es por lo tanto eso: un mecanismo que permite traducir un nombre a una direccin que permite localizar un determinador ordenador. En general, podemos clasificar los sistemas de nombres en dos grandes grupos: Sistemas de nombres planos: son aquellos en los que no hay ninguna jerarqua que permita clasificar un nombre (y por tanto un ordenador) dentro de una categora (categora podra ser una ubicacin geogrfica o. por ejemplo, la pertenencia de ese ordenador al departamento de ventas frente al de contabilidad). El nmero de DNI de una persona es un ejemplo de sistema de nombres plano: el nmero de DNI permite identificar a una persona pero este nmero no indica dnde vive esa persona.
Sistemas de nombres jerrquicos: son aquellos en los que existe una jerarqua a la hora de construir el nombre completo de ese ordenador. En este caso, al leer el nombre completo de un ordenador, se puede determinar su ubicacin geogrfica en el mundo o a qu departamento pertenece dentro de la empresa. Por ejemplo, la direccin postal de una persona es un ejemplo de sistema de nombres jerrquico. en una carta siempre debe aparecer el pas, la provincia, la poblacin, la calle, etc.
Un sistema de nombres de dominio plano es mucho ms sencillo que uno jerrquico, sin embargo el sistema de nombres de dominio (DNS) que se utiliza en Internet es jerrquico, facilitando el trabajo de los administradores de redes de las empresas, de forma que puedan asignar nombres a sus ordenadores sin tener que cuidar que este no coincida con ningn otro en ninguna otra parte del mundo.
3. Historia del DNS.

En Internet, la comunicacin entre los equipos y los humanos se facilita por ordenadores tenga un nombre, de esta forma, recordamos ms fcil el nombre de ordenador ya que podemos asociar este a la organizacin o lugar en el que se encuentra, sin tener que memorizar la direccin de IP del equipo. Por ejemplo, pocos de nosotros sabemos que la mquina www.cnn.com tiene las direcciones de IP 207.25.71.22 (una de ellas).
Esto se conoce como Sistema de Nombres de Dominio, (DNS por sus siglas en ingls, Domain Name System), el cul naci en la dcada de los 80's. Creado por Paul Mockapetris en conlaboracin con Jon Postel de la Universidad del Sur de California y posteriormente, Paul Vixie. Juntos desarrollaron lo que hasta ahora conocemos como el DNS (BIND, Barkeley Internet Name Domain), un sistema cliente/servidor, distribuido y jerrquico, caractersticas que se describen a detalle en los RFC2 1033, 1034 y 1035 y que son muy parecidas a un sistema de archivos de UNIX... pero distribuido.
Originalmente, el uso del DNS se limitaba solamente instituciones acadmicas, de investigacin y por supuesto, la milicia de los EEUU. Eran los tiempos en que las universidades empezaban a realizar su conexin a las mltiples redes, entre ellas BitNet. Algo empezaba a trascender y era importante establecer un orden en cuanto a los equipos que ingresaban a la red.
Se crearon entonces los nombres de dominio genricos de primer nivel (gTLD=generic Top-level Domain), .com, .net y .org, es decir, tres clasificaciones. Luego sufijos nacionales a partir de 1989.
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 En 1992, la Fundacin Nacional de Ciencias de los EEUU (NSF) quien administraba el NSFNET, otorga la operacin del InterNIC y en 1993, a la empresa Network Solutions Inc, posteriormente, esta empresa sera adquirida por (SAIC), originario de San Diego y que se distingue por sus multimillonarios contratos federales (Agencia de Seguridad Nacional, CIA, Marina de los EEUU).
Cuando NSI obtuvo el contrato, se estableci un apoyo de cuatro millones USD por parte de la NSF a NSI, para realizar la funcin del registro de los gTLD. No obstante, en 1994, el grupo SAIC compra esta empresa y empiece a cobrar $50 USD anuales por cada nombre de dominio, estableciendo que el 30% de estas cuotas se iran a un fondo de infraestructura administrado por la NSF.
Aqu empezaron los problemas, aunque la operacin de NSI fue buena, en mi opinin, muchos consideraban que el servicio deba mejorarse, tomando en cuenta las utilidades que esta empresa perciba por la operacin de InterNIC. De hecho, este margen de utilidad le permiti a NSI empezar a cotizarse en la bolsa (NASDAQ: NSOL).
Para mediados de 1996, Jon Postel, el director de (IANA), organismo administrador de las direcciones de IP y nombres de dominio, realiz una propuesta en la que contemplaba la creacin de 150 nuevos nombres de dominios genricos, as como el .com, .net y .org.
De esta forma, en Noviembre de 1996 naci el Internet-International Ad Hoc Committee (IAHC) impulsado por la Internet Society (ISOC), a los tres meses de haberse creado se gener el reporte final, en donde se planteaban las recomendaciones y requerimientos para un nuevo esquema de gTLD, este documento recibira el nombre de Memorando de Entendimiento para los Nombres de Dominio genricos de Nivel Superior.
El IAHC se disolvi en Mayo del 97 para dar paso al (gTLD-MoU), documento respaldado por organizaciones de todo el mundo. En este documento se plasman los acuerdos alcanzados durante esos ocho meses de discusin y consenso, en los que por cierto no estuvo ningn representante del gobierno de pas alguno.
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 As, el nuevo esquema requera de una inversin para el complejo sistema que debera consolidar la informacin de los 89 registros aceptados. Para esto CORE estableci una contrato con Emergent Corp para el desarrollo del nuevo esquema distribuido de DNS (new DNS Shared Registry System). Todo estaba listo pues, para que en Marzo de 1998 empezaran a operar los 89 registros en todo el mundo, aceptando asi solicitudes de dominio bajo los siete nuevos nombres de dominio genricos.
El 30 de Enero, menos de dos meses antes de la fecha de inicio de operaciones del gTLD-MoU, el Gobierno de los Estados Unidos hace acto de presencia, en algo que pareca no apto para polticos. A travs del Departamento de Comercio (DoC) publica un documento, conocido como Green Paper, en el cual, Ira Magaziner, asesor de Bill Clinton establece la postura de la Casa Blanca en materia de nombres de dominio. No pasaron muchas horas para que los principales actores de la industria enviaran sus comentarios al DoC expresando su desacuerdo.
En resumen, este documento desconoca la autoridad y el consenso del gTLD-MoU y por lo tanto de las organizaciones que lo representaban, a pesar de que el CORE ya estaba listo para iniciar operaciones. Su propuesta era esperar y planear mejor las cosas, como si veinte meses no hubieran sido suficientes en un medio ambiente tan dinmico como es Internet, y se concretaba a proponer una nueva organizacin que supliera al IANA en la coordinacin de los gTLD y direcciones de IP para empezar funciones el 30 de Septiembre de 1998.
Este hecho provoc una cantidad impresionante de comentarios en contra del Green Paper, los cuales segn el DoC, se tomaran en cuenta para generar una inciativa global. As, el 5 de Junio de 1998, el Gobierno de los EEUU, atravs del DoC emiti un documento conocido como White. A grandes rasgos, se limitaba a buscar una nueva organizacin central que supliera al IANA, de hecho se buscaba que fuera privatizada pero que fuera sin fines de lucro PRIVADA Y SIN FINES DE LUCRE, CONTRARIEDAD. Los aspectos en la generacin de nuevos nombres de dominio genricos, gTLD, se dejaban a consideracin de esta nueva organizacin, conocida ahora como el Nuevo IANA (nIANA).
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 A esta reunin le siguieron otras convocadas por la Asociacin de ISP en Europa (EuroISPA) y por la Comisin Europea en Bruselas Blgica, teniendo como resultado un consenso ms global, representativo del continente europeo.
Es un hecho que el actual staff del IANA se mantendr de manera operativa en el nIANA, sin embargo esto no es materia de discusin. Lo que se pretende definir es la estructura del nIANA. Se ha hablado de tres cuerpos que se encargaran de las direcciones de IP, los nombres de dominio de primer nivel TLD y los protocolos, respectivamente, adems de un cuarto, en el que estaran representados los intereses de los primeros tres, as como de los principales grupos de inters (stakeholders) de Internet (usuarios, ISPs, etc).
La segunda reunin convocada por el IFWP fue sostenida en Ginebra, Suiza, en el marco del INET'98, una serie de eventos que realiza la ISOC anualmente. De todas las reuniones, esta ha sido sin duda la ms representativa, con participantes latinos y africanos, inclusive. Se busca que haya una tercera reunin en Singapur, para escuchar las propuestas de Asia-Pacfico.
El resultado de estas reuniones de trabajo dar la pauta en los establecimientos de las reglas que aplicarn a Internet en los prximos aos. Es imperativo que los stakeholders se involucren de manera activa en estos procesos y colaboren en la definicin de lo que hoy da es su negocio.
4. Componentes del servicio de nombres de dominio:

Espacios de nombres de dominio.
La estructura del sistema DNS se basa en una estructura jerrquica de servidores de distribucin que permite que el espacio de nombre est disponible, donde se definen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior); esta estructura est conectada a un nodo raz representado por un punto. Cada nodo del rbol se llama nombre de dominio y tiene longitud mxima de 63 caracteres. Todos los nombres de dominio conforman una estructura arbrea, separados del siguiente nodo por un punto ("."). El extremo de la bifurcacin se denomina host, y corresponde a un equipo o entidad en la red. El nombre del ordenador que se provee debe ser nico en el dominio respectivo, o de ser necesario, en el sub-dominio. La palabra "dominio" corresponde formalmente al sufijo de un nombre de dominio, es decir, la recopilacin de las etiquetas de nodo de la estructura arbrea, con excepcin del ordenador. El FQDN (Nombre de Dominio totalmente calificado) se compone de todas las etiquetas de nodo de una estructura arbrea, separadas por puntos y que termina con un punto final, la profundidad mxima de una estructura arbrea es 127 niveles y la longitud mxima para un nombre FQDN es 255 caracteres. La direccin FQDN permite ubicar de manera nica un equipo en la red de redes.
Bases de datos DNS (registro de recursos).

Un DNS es una base de datos distribuida que contiene registros que se conocen como RR (Registros de Recursos), relacionados con nombres de dominio. La siguiente informacin slo es til para las personas responsables de la administracin de un dominio, dado que el funcionamiento de los servidores de nombre de dominio es completamente transparente para los usuarios. El sistema de memoria cach permite que el sistema DNS sea distribuido, los registros para cada dominio tienen una duracin de vida que se conoce como TTL (Tiempo de vida).
Por lo general, un registro de DNS contiene la siguiente informacin: Nombre de dominio (FQDN) TTL es.as.com.
Tipo Clase RData A IN 183.8.215.75
3600
Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar con un punto. En caso de que falte el punto, el nombre de dominio es relativo, es decir, el nombre de dominio principal incluir un sufijo en el dominio introducido. TTL: permite que los servidores intermediarios conozcan la fecha de caducidad de la informacin y por lo tanto que sepan si es necesario verificarla o no.
Tipo: 16 bits que define el tipo de recurso descrito por el registro. Puede ser: A: Hace coincidir el nombre cannico con la direccin IP. Adems, pueden existir varios registros A relacionados con diferentes equipos de la red (servidores). CNAME (Nombre Cannico): Definir un alias para el nombre cannico. til para suministrar nombres alternativos relacionados con diferentes servicios en el mismo equipo. HINFO: Permite la descripcin en particular del hardware del ordenador (CPU) y del sistema operativo (OS). Generalmente se recomienda no completarlo para evitar suministrar informacin que pueda ser til a piratas informticos.
MX (Mail eXchange): Es el servidor de correo electrnico. Cuando un usuario enva un correo electrnico a una direccin (user@domain), el servidor de correo saliente interroga al servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX. Pueden existir varios registros MX por dominio, para as suministrar una repeticin en caso de fallas en el servidor principal de correo electrnico. una prioridad entre 0 y 65,535: NS: es el servidor de nombres de dominio con autoridad sobre el dominio. PTR: es un puntero hacia otra parte del espacio de nombres del dominio. SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona, as como la direccin de correo electrnico del contacto tcnico (en donde el carcter "@" es reemplazado por un punto).
Clase: la clase puede ser: IN (relacionada a protocolos de Internet). CH (para el sistema catico). RDATA: estos son los datos relacionados con el registro. Aqu se encuentra la informacin esperada segn el tipo de registro:

A: la direccin IP de 32 bits: CNAME: el nombre de dominio; MX: la prioridad de 16 bits, seguida del nombre del ordenador; NS: el nombre del ordenador; PTR: el nombre de dominio PTR: el nombre de dominio; SOA: varios campos.
Servidores de nombres (servidores DNS).

Los equipos llamados servidores de nombres de dominio permiten establecer la relacin entre los nombres de dominio y las direcciones IP de los equipos de una red. Cada dominio cuenta servidor de nombre de dominio principal, as como tambin un servidor de nombre de dominio secundario, que puede encargarse del servidor principal en caso de que falle. Cada servidor de nombre de dominio est especificado en el servidor de nombre de dominio en el nivel superior inmediato, lo que significa que la autoridad sobre los dominios puede delegarse implcitamente. El sistema de nombre es una arquitectura distribuida, en donde cada entidad es responsable de la administracin de su nombre de dominio. Por lo tanto, no existe organizacin alguna que sea responsable de la administracin de todos los nombres de dominio. Los servidores relacionados con los dominios de nivel superior (TLD) se llaman "servidores de dominio de nivel superior". Son 13, estn distribuidos por todo el mundo y sus nombres van desde "a.root-servers.net" hasta "m.root-servers.net". El servidor de nombre de dominio define una zona, es decir, una recopilacin de dominios sobre la cual tiene autoridad. Si bien el sistema de nombres de dominio es transparente para el usuario, se deben tener en cuenta los siguientes puntos: Cada equipo debe configurarse con la direccin de un equipo que sea capaz de transformar cualquier nombre en una direccin IP. Este equipo se llama Servidor de nombres de dominio. No se alarme: cuando se conecta a Internet, el proveedor de servicios automticamente modificar los parmetros de su red para hacer que estos servidores de nombres de dominio estn disponibles. Tambin debe definirse la direccin IP de un segundo Servidor de nombres de dominio (Servidor de nombres de dominio secundario): el servidor de nombres de dominio secundario puede encargarse del servidor de nombres de dominio principal en caso de fallas en el sistema.
Clientes DNS (resolutores resolvers)

La resolucin de nombres de DNS se produce cuando un resolutor, en un host, enva a un servidor de DNS un mensaje de solicitud con un nombre de dominio. El mensaje de solicitud indica al DNS que busque el nombre y devuelva ciertos RR. El mensaje de solicitud contiene el nombre de dominio a buscar y un cdigo que indica los registros que se deben devolver. Un cliente enva una solicitud de DNS pidiendo al servidor de DNS todos los registros A de kona.midominio.com. La respuesta a la solicitud contiene la entrada de solicitud y los RR de respuesta.
Resolucin de alias Si el resolutor intenta realizar resolucin de nombres de un nombre que indique el usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Si se refiere a un CNAME, el servidor puede devolver el CNAME. Sin embargo, en este caso, el CNAME debe resolverse todava. Para evitar trfico extra de DNS, cuando un servidor de DNS devuelve un CNAME en respuesta a una bsqueda de registro de host, el servidor de DNS tambin devuelve el registro A relativo al CNAME. El cliente de DNS enva una solicitud de DNS al servidor de DNS solicitando el registro Host de nsl.midominio.com, que en realidad es un alias de kona.midominio.com. En la respuesta de DNS existen dos RR de respuesta. El primero es el RR CNAME de nsl.midominio.com, que contiene el nombre cannico. El segundo RR de respuesta es el registro Host de kona.midominio.com, que contiene la direccin de IP de este equipo.
Cach del resolutor de DNS Un host de IP podra necesitar ponerse en contacto peridicamente con otro host y por tanto necesitara resolver un nombre concreto de DNS muchas veces, como por ejemplo el nombre del servidor de correo electrnico. Para evitar tener que enviar solicitudes a un servidor de DNS cada vez que el host quiere resolver el nombre, Windows implementa una cach especial de informacin de DNS. El servicio Cliente de DNS hace cach de los RR recibidos en las respuestas a las solicitudes de DNS. La informacin se mantiene durante un Perodo de vida, TTL (Time To Live), y se puede utilizar para responder solicitudes posteriores. De forma predeterminada, la cach utiliza el valor de TTL recibido en la respuesta de solicitud de DNS. Cuando se resuelve una solicitud, el servidor autoridad de DNS en el dominio resuelto define el TTL para un RR dado. Puede utilizar el comando IPCONFIG con la opcin /DISPLAYDNS para mostrar el contenido actual de la cach del resolutor. Cach negativa El servicio Cliente de DNS tambin proporciona cach negativa. La cach negativa ocurre cuando no existe un RR de un nombre de dominio solicitado o cuando el propio nombre de dominio no existe, en cuyo caso se guarda la falta de resolucin. La cach negativa evita repetir solicitudes adicionales de RR o dominios que no existen. Si se realiza una solicitud a un servidor de DNS y la respuesta es negativa, las siguientes solicitudes al mismo nombre de dominio se responden negativamente durante un tiempo predeterminado de 300 segundos. Para evitar guardar en la cach informacin negativa anticuada, cualquier informacin de solicitud respondida negativamente se mantiene durante un perodo de tiempo inferior al que se utiliza para las respuestas positivas. Con la cach negativa se reduce la carga en los servidores de DNS, pero estarn disponibles los RR relevantes, y se podrn enviar solicitudes posteriores para obtener la informacin. Si se realiza una solicitud a todos los servidores de DNS y no est disponible ninguno durante un tiempo predeterminado de 30 segundos, las solicitudes posteriores por nombre fallarn inmediatamente en lugar de esperar los plazos. De esta forma se puede ahorrar tiempo en servicios que utilizan DNS durante el proceso de arranque, sobre todo cuando se arranca de la red.
Protocolo DNS.
Este protocolo se utiliza para poder recordar de manera sencilla las direcciones IP. De esta manera surge el concepto de nombres de dominio. Gracias a esto podemos asignar a una direccin IP un nombre, adems de que es ms fiable porque la direccin IP de un servidor puede cambiar pero el nombre no lo hace. Podemos decir entonces que el DNS es un sistema jerrquico y distribuido que permite traducir nombres de dominio en direcciones IP y viceversa. Otro uso comn de este es para los servidores de correo a travs del nombre de dominio de correo como por ejemplo www.Hotmail.com. Dado un dominio puede leerse de derecha a izquierda por ejemplo www.google.es seria .es el dominio ms alto. Cada dominio es como si terminase con un . Por eso nuestro dominio seria www.google.esy el punto al final es el elemento raz de nuestro rbol y lo que indica al cliente que debe de empezar la bsqueda en los root Server. Estos root Server son los que tienen los registros TLD que son los dominios de nivel superior sea los que no pertenecen a otro dominio, como son com, org, net, es, etc. Actualmente hay 13 TLD en todo el mundo y 10 de ellos se encuentran en estados unidos, uno en Estocolmo, otro en Japn, y el ltimo en Londres. Si alguna catstrofe hiciese que estos 13 servidores dejasen de operar provocara un gran apagn de Internet y causara estragos a nivel mundial. Estos servidores dice que dominios de primer nivel existen y cules son sus servidores de nombres recursivamente los servidores de esos dominios dicen que subdominios existen y cuales don sus servidores. Cada componente de dominio incluyendo la raz, tiene un servidor primario y varios secundarios. Todos tienen la misma autoridad para responder por ese dominio, pero el primario es el nico sobre el que se pueden hacer modificaciones de manera que los secundarios son replicas del primario. Casi todos los servidores de nombres utilizan un software llamado bind que es un software de libre distribucin utilizado por la mayora de sistemas unix. Una herramienta til que encontramos para probar si un dominio se resuelve correctamente es el domando nslookup. Se trata de un cliente DNS que nos sirve para obtener direcciones IP a travs del dominio y viceversa.
5. Espacio de nombres de dominio:

Nombres de dominio.
Cuando usamos el trmino espacio de nombres nos referimos a un conjunto de nombres en el cul todos los nombres son nicos. El DNS distingue: Un nico espacio de nombres de dominio pblicos: estos nombres estn asociados obligatoriamente con equipos con direccin IP pblica. Infinitos espacios de nombres de dominio privados: Incluyen todos los nombres de dominio que no se encuentran en el espacio anterior. Estos nombres suelen ser utilizados por equipos con IPs privadas que pretenden ser slo accesibles desde otros equipos de su misma LAN.
Dominio raz. Dominios y subdominios.

Dominio raz: es la parte superior del rbol, que representa un nivel sin nombre; a veces se muestra como dos comillas vacas (), que indican un valor nulo. Cuando se utiliza un nombre de dominio DNS, empieza con un punto (.) para designar que el nombre se encuentre en la raz o en el nivel ms alto de la jerarqua del dominio. En este caso, el nombre de dominio DNS se considera completo e indica una ubicacin exacta en el rbol de nombres. Los nombres indicados de esta forma se llaman nombres de dominio completos (FQDN, Fully Qualified Domanin Names). Dominios: son un nombre de dos o tres letras que se utilizan para indicar un pas o regin, o el tipo de organizacin usa un nombre. Por ejemplo .com, que indica un nombre registrado para usos comerciales o empresariales en internet.
Subdominios: son nombres adicionales que pueden crear una organizacin y se derivan
del nombre de dominio registrado de segundo nivel. Incluyen los nombres agregados para desarrollar el rbol de nombres de DNS en una organizacin y que la dividen en departamentos o ubicaciones geogrficas.
Nombres relativos y absolutos. FQDN.

Nombres relativos: son nombres que completan su nombre en funcin del dominio del cual estn registrados. Por ejemplo en el dominio casa.es, la mquina con el nombre relativo carton.piedra, tomar como nombre absoluto carton.piedra.casa.es. Nombres absolutos: Terminan con .(ej. univalle.edu.co.), y los relativos no, necesitando saber el contexto del dominio superior para determinar de manera nica su significado verdadero. FQDN: Es un nombre de dominio que especifica su ubicacin exacta en la jerarqua del rbol del sistema de nombres de dominio (DNS). En l se especifica todos los niveles de dominio, incluyendo el dominio de nivel superior y el dominio raz. Un nombre de dominio completo se caracteriza por su ambigedad, ya que slo se puede interpretar de una manera.
Uso de dominios.
El DNS se utiliza para distintos propsitos. Los ms comunes son: Resolucin de nombres: Dado el nombre completo de un host (por ejemplo blog.smaldone.com.ar), obtener su direccin IP (en este caso, 208.97.175.41). Resolucin inversa de direcciones: Es el mecanismo inverso al anterior. Consiste en, dada una direccin IP, obtener el nombre asociado a la misma. Resolucin de servidores de correo: Dado un nombre de dominio (por ejemplo gmail.com) obtener el servidor a travs del cual debe realizarse la entrega del correo electrnico (en este caso, gmail-smtp-in.l.google.com).
Administracin de nombres de dominio en Internet:

El sistema de nombres de dominio est coordinado por la Internet Corporation for Assigned Names and Numbers (ICANN). Es una organizacin sin fines de lucro que opera a nivel internacional, responsable de asignar espacio de direcciones numricas de protocolo de Internet (IP), identificadores de protocolo y de las funciones de gestin [o administracin] del sistema de nombres de dominio de primer nivel genricos (gTLD) y de cdigos de pases (ccTLD), as como de la administracin del sistema de servidores raz.
Bsicamente ICANN es responsable de la coordinacin de la administracin de los elementos tcnicos del DNS para garantizar una resolucin unvoca de los nombres, de manera que los usuarios de Internet puedan encontrar todas las direcciones vlidas. Para ello, se encarga de supervisar la distribucin de los identificadores tcnicos nicos usados en las operaciones de Internet, y delegar los nombres de dominios de primer nivel (como .com, .info, etc.).
Delegacin. Dominio raz. ICANN.

DNS es una base de datos distribuida y por lo tanto permite su administracin descentralizada. La delegacin de dominios es el mecanismo que permite llevar a cabo la administracin descentralizada. Es decir, el dominio puede ser dividido en subdominios y el control de cada subdominio puede ser delegado. Debe asumir tambin la responsabilidad de mantener los datos actualizados.
Dominios TLD y Operadores de registro.

La extensin a la extrema derecha en un nombre de dominio (como .com o .net) es denominada dominio de primer nivel, o TLD (Top-Level Domain). Hay ms de 270 dominios de primer nivel de varios tipos: Los TLDs genricos no patrocinados (gTLDs): Son .com, .net, .org, .int, .arpa, .biz, .info, .name y .pro. Los TLDs no patrocinados operan sin cualquier organizacin patrocinadora y frecuentemente tienen menos restricciones para el registro que los TLDs patrocinados. Los TLDs genricos patrocinados (gTLDs): Incluyen a .edu, .gov, .mil, .aero, .cooper, .museum, .jobs, .mobi, .travel, .tel, .cat, y .asia. Un TLD patrocinado es un dominio especializado que tiene un patrocinador que representa la comunidad a la cual sirve el TLD.
Los TLDs de dos letras (.br, .ar, .mx, .uk, .de, etc.): Corresponden a las abreviaturas oficiales de ms de 250 pases y territorios. Estos dominios son denominados TLDs con cdigos de pases o ccTLDs, en forma abreviada. Cada uno posee un operador de registro designado, que opera el ccTLD segn las polticas locales (por ejemplo, para registrar un nombre en algunos ccTLDs, hay que ser residente local).
Registros de dominios en Internet. Agentes registradores.

El registro de dominios es el proceso por el cual una persona pasa a tener el control sobre un nombre de dominio a cambio de pagar una cierta cantidad de dinero a un registrador. Procedimiento de registro El procedimiento es el siguiente: 1. Elegir un dominio. 2. Verificar la disponibilidad del nombre de dominio deseado en algn registrador. 3. Ingresar los datos personales. 4. .Elegir la cantidad de tiempo que el dominio permanecer registrado. 5. Pagar el dominio, normalmente con tarjeta de crdito (o tambin por transferencia bancaria). 6. Una vez comprado, el ahora dueo del dominio (registrante) debe configurarlo con la URL a la cual redireccionar, IP del servidor al que encontrar mediante la DNS, servidor DNS usada por este.
6. Servidores de nombres de dominio (DNS):

Zonas. Autoridad. Registro de recursos (RR).
Zonas, tipos:
Zona de Bsqueda Directa. - Las resoluciones de esta zona devuelven la direccin IP correspondiente al recurso solicitado; este tipo de zona realiza las resoluciones que esperan como respuesta la direccin IP de un determinado recurso. Zona de Bsqueda Inversa. - Las resoluciones de esta zona buscan un nombre de recurso en funcin de su direccin IP; una bsqueda inversa tiene forma de pregunta del estilo "Cul es el nombre DNS del recurso de red que utiliza una direccin IP dada?". Autoridad:
Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de un dominio (una zona), suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuacin: MNAME Nombre de dominio del servidor DNS constituido como servidor primario para la zona. RNAME Nombre de dominio que indica la direccin de correo de la persona responsable de la zona. SERIAL Nmero entero de 32 bits correspondiente a la copia original de la zona. Este valor se y incrementa con cada actualizacin, se conserva en las transferencias de zona, y puede ser utilizado como verificacin. REFRESH Nmero de 32 bits representando el intervalo de tiempo antes que la zona deba ser actualizada. RETRY Nmero de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una peticin de actualizacin ha fallado. EXPIRE Nmero de 32 bits que especifica el lmite mximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad". MINIMUM Nmero entero de 32 bits sealando el valor mnimo del parmetro TTL que debe ser utilizado para cualquier exploracin de la zona.
Registro de recursos RR:
Los RR describen todos los hosts en la zona y marca toda delegacin de subdominios. Los archivos que los servidores de nombres primarios utilizan son llamados archivos de datos (data files). Estos archivos de datos contienen registro de recursos que describen la zona. Los registros de recursos (RR) ms comunes para agregar son: A: para asignar un nombre de dominio DNS a una direccin IP que utiliza un equipo. CNAME: para asignar un nombre de dominio DNS con alias a otro nombre cannico o principal. MX: para asignar un nombre de dominio DNS al nombre de un equipo que intercambia o reenva el correo. PTR: para asignar un nombre de dominio DNS inverso basado en la direccin IP de un equipo que seala al nombre de dominio DNS directo de ese equipo. SRV: para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo especfico de servicio, como los controladores de dominio de Active Directory.
Tipos de servidores de nombres DNS. Servidor maestro o primario.

El servidor primario es la fuente autorizada de toda la informacin acerca de un dominio especfico. l carga la informacin de un archivo mantenido localmente por el administrador. Este archivo (archivo de zona) contiene la informacin ms precisa acerca de una porcin de la jerarqua de dominios sobre la cual el servidor tiene autoridad. La configuracin de un servidor primario requiere un conjunto de archivos: archivos de zona para el dominio regular y para el dominio reverso, el archivo de configuracin del servidor, el archivo de cache y el archivo loopback.
Servidor esclavo o secundario.

Un servidor secundario transfiere un conjunto completo de informacin de dominio desde el servidor primario. El archivo de zona es transferido desde el servidor primario y es guardado como un archivo local de disco (a esta operacin se le llama transferencia de zona). Solamente se requieren el archivo de inicio, el archivo de cache y el archivo loopback. Un servidor secundario es considerado tambin primario ya que tiene una copia exacta de los archivos del servidor primario, lo cual lo hace autoridad.
Servidor cach.
Un servidor de slo cache corre el software del servidor, pero no tiene los archivos de base de datos del servidor. Aprende las respuestas de otros servidores de nombres, las guarda y las usa para responder preguntas futuras sobre esa misma informacin. Solamente requiere de un archivo de cache (con informacin acerca de los root servers a los cuales debe preguntar). Se dice que este tipo de servidor no es autoritario ya que la informacin que obtiene es de segunda mano. El archivo de configuracin del servidor mantiene los parmetros de funcionamiento, apuntadores a los archivos de datos del dominio y direcciones de servidores remotos.
Servidor reenviador (forwarding).

Un servidor DNS de una red se designa como reenviador haciendo que los dems servidores DNS de la red le reenven las consultas que no pueden resolver localmente. Al utilizar un reenviador, se puede administrar la resolucin de los nombres fuera de la red, como nombres en Internet, y mejorar la eficacia de la resolucin de nombres para los equipos de la red. Para obtener ms informacin acerca de reenviadores y reenviadores condicionales.
UD3 Instalacin y administracin de servicios de nombres de dominio
Servidor solo autorizado.
2011-2012
Los servidores DNS especificados mediante este procedimiento se agregan a las direcciones IP de los servidores presentes en el registro de recursos del servidor de nombres (NS) existente de la zona. Normalmente, slo tiene que ejecutar este procedimiento en la zona principal al agregar servidores DNS para que acten como servidores secundarios y tambin para especificar que se reconozcan estos servidores como autorizados cuando se responda a consultas de los datos de la zona.
Software comercial de servidores de nombres de dominio.

DNS Jumper 1.0.4 Si las pginas se cargan lentamente o no se abren, es muy probable que ests usando servidores DNS problemticos. Ya que cambiarlos a mano es difcil, mejor recurre a utilidades como DNS Jumper. DNS Jumper es una herramienta gratuita que permite cambiar los servidores DNS usados por tu ordenador por otros distintos. Para aadir la traduccin espaola y nuevos servidores a DNS Jumper, haz clic en el icono con la i azul y pulsa Update Check. DNS Jumper cuenta con una lista con ms de treinta DNS gratuitos (desde Google hasta OpenDNS) y una opcin para cambiar las direcciones a mano. La funcin DNS Ms Rpidos ejecuta una prueba de velocidad y elige los DNS con tiempo de respuesta menor. Pros

Bsqueda de los servidores ms rpidos Amplia biblioteca de servidores DNS Opcin para sustitucin manual Funcin de vaciado (flush)
Contras
No hace un backup automtico
Simple DNS Plus 5.2 Simple DNS Plus es un servidor de DNS y DHCP de fcil uso. Puedes usar el programa para hacer funcionar correctamente tu propio servidor DNS Internet/Intranet an sin tener tu propio dominio registrado. Adems mejora la velocidad del acceso a Internet. Simple DNS Plus simplifica la configuracin de un servidor de DNS y la configuracin TCP/IP de tu red, y le da a los ordenadores de tu red nombre reales en vez de los difciles nmeros de la direccin IP de cada uno de ellos. Por ejemplo, puedes llamar tu servidor de correo electrnico "mail", tu servidor proxy "proxy", y tu servidor Web de tu Intranet "Web"; evitndote tener que escribir las direcciones IP completas de cada uno de ellos. Adems puedes hacer funcionar mltiples servidores DNS en la misma mquina, y el programa soporta transferencia de zonas y notificacin de zona actualizada. El programa se aloja en la bandeja del sistema de Windows.
Servidores raz.
Los RNS saben cules servidores de nombres tienen autoridad para los dominios superiores. Si se les hace una pregunta acerca de un subdominio, los servidores raz maestros pueden al menos proveer los nombres y direcciones de los servidores de nombres con autoridad para el segundo nivel de dominios a los cuales un dominio pertenece. Cada servidor interrogado da, al que pregunta, informacin de cmo estar ms cerca de la respuesta que est buscando o provee l mismo una respuesta. Lo que hacen los RNS es proveer punteros desde los dominios superiores a los servidores de nombres de los dominios inferiores. Por ejemplo para conseguir el servidor de nombres del dominio ve. Se debe interrogar a los servidores raz. Los RNS, as como los NS normales, son muy importantes en la resolucin de un nombre dentro de un dominio particular. Debido a que son tan importantes, DNS provee mecanismos para asegurar siempre el servicio utilizando redundancia (servidores secundarios) o aliviando la carga de los servidores primarios y root (usando caching). Sin embargo, en ausencia de mecanismos como el caching, la resolucin debe empezar en los servidores de raz maestros.
7. Clientes DNS (Resolutores resolvers de nombres).

La resolucin de nombres de DNS se produce cuando un resolutor, en un host, enva a un servidor de DNS un mensaje de solicitud con un nombre de dominio. El mensaje de solicitud indica al DNS que busque el nombre y devuelva ciertos RR. El mensaje de solicitud contiene el nombre de dominio a buscar y un cdigo que indica los registros que se deben devolver. Un cliente enva una solicitud de DNS pidiendo al servidor de DNS todos los registros A de kona.midominio.com. La respuesta a la solicitud contiene la entrada de solicitud y los RR de respuesta.
Resolucin de alias Si el resolutor intenta realizar resolucin de nombres de un nombre que indique el usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Si se refiere a un CNAME, el servidor puede devolver el CNAME. Sin embargo, en este caso, el CNAME debe resolverse todava. Para evitar trfico extra de DNS, cuando un servidor de DNS devuelve un CNAME en respuesta a una bsqueda de registro de host, el servidor de DNS tambin devuelve el registro A relativo al CNAME. El cliente de DNS enva una solicitud de DNS al servidor de DNS solicitando el registro Host de nsl.midominio.com, que en realidad es un alias de kona.midominio.com. En la respuesta de DNS existen dos RR de respuesta. El primero es el RR CNAME de nsl.midominio.com, que contiene el nombre cannico. El segundo RR de respuesta es el registro Host de kona.midominio.com, que contiene la direccin de IP de este equipo.
Cach del resolutor de DNS Un host de IP podra necesitar ponerse en contacto peridicamente con otro host y por tanto necesitara resolver un nombre concreto de DNS muchas veces, como por ejemplo el nombre del servidor de correo electrnico. Para evitar tener que enviar solicitudes a un servidor de DNS cada vez que el host quiere resolver el nombre, Windows implementa una cach especial de informacin de DNS. El servicio Cliente de DNS hace cach de los RR recibidos en las respuestas a las solicitudes de DNS. La informacin se mantiene durante un Perodo de vida, TTL (Time To Live), y se puede utilizar para responder solicitudes posteriores. De forma predeterminada, la cach utiliza el valor de TTL recibido en la respuesta de solicitud de DNS. Cuando se resuelve una solicitud, el servidor autoridad de DNS en el dominio resuelto define el TTL para un RR dado. Puede utilizar el comando IPCONFIG con la opcin /DISPLAYDNS para mostrar el contenido actual de la cach del resolutor. Cach negativa El servicio Cliente de DNS tambin proporciona cach negativa. La cach negativa ocurre cuando no existe un RR de un nombre de dominio solicitado o cuando el propio nombre de dominio no existe, en cuyo caso se guarda la falta de resolucin. La cach negativa evita repetir solicitudes adicionales de RR o dominios que no existen. Si se realiza una solicitud a un servidor de DNS y la respuesta es negativa, las siguientes solicitudes al mismo nombre de dominio se responden negativamente durante un tiempo predeterminado de 300 segundos. Para evitar guardar en la cach informacin negativa anticuada, cualquier informacin de solicitud respondida negativamente se mantiene durante un perodo de tiempo inferior al que se utiliza para las respuestas positivas. Con la cach negativa se reduce la carga en los servidores de DNS, pero estarn disponibles los RR relevantes, y se podrn enviar solicitudes posteriores para obtener la informacin. Si se realiza una solicitud a todos los servidores de DNS y no est disponible ninguno durante un tiempo predeterminado de 30 segundos, las solicitudes posteriores por nombre fallarn inmediatamente en lugar de esperar los plazos. De esta forma se puede ahorrar tiempo en servicios que utilizan DNS durante el proceso de arranque, sobre todo cuando se arranca de la red.
8. Proceso de resolucin de un nombre de dominio. DIRECTA

Consultas recursivas.
En las resoluciones recursivas, el servidor no tiene la informacin en sus datos locales, por lo que busca y se pone en contacto con un servidor DNS raz, y en caso de ser necesario repite el mismo proceso bsico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta. Cuando existe ms de un servidor autoritario para una zona, Bind utiliza el menor valor en la mtrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida para determinar cunto tarda un servidor en responder una consulta. El proceso de resolucin normal se da de la siguiente manera: 1. El servidor A recibe una consulta recursiva desde el cliente DNS. 2. El servidor A enva una consulta recursiva a B. 3. El servidor B refiere a A otro servidor de nombres, incluyendo a C. 4. El servidor A enva una consulta recursiva a C. 5. El servidor C refiere a A otro servidor de nombres, incluyendo a D. 6. El servidor A enva una consulta recursiva a D. 7. El servidor D responde. 8. El servidor A regresa la respuesta al resolver. 9. El resolver entrega la resolucin al programa que solicit la informacin.
Consultas iterativas.
Las resoluciones iterativas consisten en la respuesta completa que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su cach) buscando los datos solicitados. El servidor encargado de hacer la resolucin realiza iterativamente preguntas a los diferentes DNS de la jerarqua asociada al nombre que se desea resolver, hasta descender en ella hasta la mquina que contiene la zona autoritativa para el nombre que se desea resolver. Primero consulta sus datos locales, si no est all busca entonces en su cache y si an no encuentra nada devuelve la respuesta al servidor ms cercano al dominio buscado. Si el servidor falla, no lo vuelve a reintentar.
Cach y TTL. Cach

Como en casi todos los procesos donde se realizan consultas disponemos de una cach para acelerar stas. El almacenamiento en cach es el proceso de almacenar temporalmente la informacin que se acaba de consultar en una memoria rpida. De esta forma si se vuelve a consultar en lugar de realizar una consulta DSN lo que se hace es recuperarla de esa rpida memoria ganando mucho tiempo.
TTL
Todos los registros DNS tiene la propiedad TTL, que especifica el tiempo mximo que otros servidores DNS y aplicaciones deben mantener en cach ese registro. Si el valor es 0, entonces no se mantiene ningn cach y los cambios que se realicen en el registro se registrarn en el momento. Cuando se decide el tiempo TTL, se debe tener en cuenta cuan a menos se cambiar el record (registro). Por el cach, los cambios en un registro DNS no alcanzarn toda la red hasta que el TTL no haya expirado. Si se quieren cambios rpidos, debe elegirse un TTL bajo.
Recursividad y cach.
El recursivo es un servidor capaz de encontrar la respuesta a cualquier consulta DNS, y puede encontrar informacin acerca de casi todos los dominios, por ejemplo google.com, linux.org, gentoo.org . Generalmente estos servidores estn abiertos a cualquier IP, en otras palabras, pueden ser consultados por cualquier maquina en el mundo. El problema es que muchas entidades hacen que el mismo servidor acte tanto como autoritativo como recursivo. Una prctica sana es tenerlos separados, lo cual previene el problema denominado "envenenamiento de cache". Si es imposible tenerlos separados, es recomendable que permitan recursin a solo un rango de IPs "confiables".
9. Resolucin inversa:
La resolucin DNS ms comn es la hecha para traducir un nombre para una direccin IP, pero esa no es el nico tipo de resolucin DNS. Hay tambin la resolucin denominada inversa, que hace la traduccin de una direccin IP a un nombre. En un inicio la resolucin inversa se utilizaba como mecanismo auxiliar de seguridad para los servidores en la Internet, comparando los resultados de una resolucin inversa contra la resolucin directa del nombre para direccin IP. En el caso de los resultados iguales, se permita, por ejemplo, el acceso remoto al servidor.
Mapeo de direcciones y dominio arpa.

Si lo que queremos es averiguar, qu nombre de dominio est asociado a una IP, recurriremos al mapeo inverso (reverse mapping). Existe un dominio llamado dominio inverso que se utiliza para resolver direcciones IPs a nombres de dominio: este dominio es in-addr.arpa. .arpa es un dominio de Internet genrico de nivel superior usado exclusivamente para la infraestructura de Internet.
El dominio .arpa fue establecido en 1985 para que facilitara la transicin hacia los sistemas DNS y luego ser eliminado. La red ARPANET fue la predecesora de Internet creada en el Departamento de Defensa de los Estados Unidos por la Agencia de Proyectos de Investigacin Avanzada (ARPA), y cuando el sistema de DNS's comenz a funcionar los dominios de ARPANET fueron inicialmente convertidos al nuevo sistema aadindoles .arpa al final. Otras redes tambin fueron convertidas al nuevo sistema usando pseudo-dominios, aadiendo al final dominios como .uucp o .bitnet, aunque estos nunca fueron aadidos a los dominios genricos de Internet.
Zonas de resolucin inversa. Proceso de resolucin.

En la jerarqua de nombres del sistema DNS la parte ms a la izquierda es la ms especfica y la parte a la derecha la menos especfica. Pero en la numeracin de direcciones IP eso est invertido, es decir, lo ms especfico es lo que est ms a la derecha en una direccin IP, por lo que para resolver eso se debi hacer una operacin invirtiendo cada parte de la direccin IP y luego aadir el nombre de dominio reservado para la resolucin inversa (in-addr.arpa o ip6.arpa) Por ejemplo, considerando la direccin IPv4 10.0.0.1. Para colocarla en el formato necesario, se debe invertir cada byte (Un byte es lo mismo que 8 bits) y aadir el dominio para resolucin inversa al final: 1.0.0.10.in-addr.arpa
Delegacin y resolucin inversa.

Los dominios de primer nivel destinados a los pases son gestionados por estos a su voluntad. Esto es posible porque estos dominios estn delegados en administradores propios al pas, de forma que son stos los que los gestionan. Dicha delegacin de autoridad sobre un dominio se puede realizar a cualquier nivel del espacio de nombres, de manera que si se dispone un dominio de segundo nivel para una empresa, se podran crear dominios de niveles inferiores segn la estructura organizativa de la empresa.
10. Registros de recursos DNS:

Formato general.
Cada servidor DNS primario mantiene un archivo de zona para resolucin directa (de un nombre de dominio se obtiene la IP asociada) de la zona sobre la que tiene autoridad y, en algunos casos, otro archivo de zona inverso para la resolucin inversa. Ambos archivos son siempre archivos de texto plano, tanto si el servidor DNS corre en GNU/Linux o en Windows. Cada archivo de zona contiene lo que ya conocemos como registros de recursos
Tipos de registros: SOA, NS, A, AAAA, A6, CNAME, MX, SRV, PTR.
SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona, as como la direccin de correo electrnico del contacto tcnico (en donde el carcter "@" es reemplazado por un punto). NS: es el servidor de nombres de dominio con autoridad sobre el dominio. A: Hace coincidir el nombre cannico con la direccin IP. Adems, pueden existir varios registros A relacionados con diferentes equipos de la red (servidores). AAAA: es un nuevo registro especfico a la clase Internet que almacena una sola direccin IPv6. CNAME (Nombre Cannico): Definir un alias para el nombre cannico. til para suministrar nombres alternativos relacionados con diferentes servicios en el mismo equipo. MX (Mail eXchange): Es el servidor de correo electrnico. Cuando un usuario enva un correo electrnico a una direccin (user@domain), el servidor de correo saliente interroga al servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX. Pueden existir varios registros MX por dominio, para as suministrar una repeticin en caso de fallas en el servidor principal de correo electrnico. una prioridad entre 0 y 65,535:
SRV: para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo especfico de servicio, como los controladores de dominio de Active Directory.
PTR: es un puntero hacia otra parte del espacio de nombres del dominio.
Delegacin y Glue Record.

Un glue record es un A record el cual es creado como parte de una delegacin. Si una zona se delega a un nameserver cuyo hostname es un descendiente de esa zona particular, entonces se debe incluir un glue record para ese hostname en la delegacin.
11. Transferencias de Zona:

Es el trmino utilizado para hacer referencia al proceso mediante el que el contenido de un archivo de zona DNS se copia desde un servidor DNS principal a un servidor DNS secundario. Se producir una transferencia de zona durante cualquiera de los siguientes escenarios: Al iniciar el servicio DNS en el servidor DNS secundario. Cuando caduca el tiempo de actualizacin. Cuando se guardan los cambios en el archivo de zona principal y hay una notificacin lista.
Las transferencias de zona siempre se inician por el servidor DNS secundario. El servidor DNS principal simplemente responder a la peticin para una transferencia de zona.
Tipos de transferencias de zona: Completa e Incremental.

Completa:
El servidor maestro para una zona transmite toda la base de datos de zona al servidor secundario para esa zona. Los servidores secundarios siguen los siguientes pasos a la hora de realizar una transferencia de zona: 1. El servidor secundario para la zona espera el tiempo especificado en el campo actualizar del registro SOA y luego le pregunta al servidor maestro por su registro SOA. 2. El servidor maestro responde con su registro SOA. 3. El servidor secundario para la zona compara el nmero de serie devuelto con su propio nmero y si este es mayor que el suyo, solicita una transferencia de zona completa. 4. El servidor maestro enva la base de datos de la zona completa al servidor secundario. Si el servidor maestro no responde, el servidor secundario lo seguir intentando despus del intervalo especificado en el campo Reintentos del registro SOA. Si todava no hay respuesta despus del intervalo que se especifica en el campo Caduca desde la ltima transferencia de zona, este descarta su zona.
Incremental: Se define para solucionar el problema del gran ancho de banda que consumen las completasen la cual slo debe transferrsela parte modificada de una zona. La transferencia incremental de zona funciona de forma muy similar a la transferencia completa. En este caso, el servidor secundario para la zona comprueba el nmero de serie del registro SOA del maestro con el suyo, para determinar si debe iniciar una transferencia de zona, la cual en este caso se-ra incremental (slo de los cambios realizados).
12. DNS Dinmico (DDNS o Dynamic DNS):

Es un sistema que permite la actualizacin en tiempo real de la informacin sobre nombres de dominio situada en un servidor de nombres. El uso ms comn que se le da es permitir la asignacin de un nombre de dominio de Internet a un ordenador con direccin IP variable (dinmica). Esto permite conectarse con la mquina en cuestin sin necesidad de tener que rastrear las direcciones IP.
Actualizaciones manuales.
La actualizacin manual consiste en la modificacin de los ficheros de la base de datos de DNS para asignar una direccin Ip a un nombre de dominio. Problemas: Afrontar la posibilidad de errores al manipular los ficheros de la Base de Datos del DNS. Realizacin de una copia de seguridad, actualizacin "a mano" de los ficheros de la Base de Datos, Re-inicializar el servidor de DNS para que los cambios tuvieran efecto.
Actualizaciones dinmicas.
La actualizacin dinmica permite a los equipos cliente DNS guardar y actualizar dinmicamente sus registros de recursos con un servidor DNS siempre que se produzcan cambios. Esto disminuye la necesidad de administrar de forma manual los registros de zona, especialmente para los clientes que mueven o cambian ubicaciones con frecuencia y utilizan DHCP para obtener una direccin IP.
DNS dinmico en Internet.

Cuando nos conectamos a Internet, el proveedor a travs del que nos conectamos nos asigna una IP de Internet que habitualmente cambia. Para solucionar el problema cada vez que se inicia el servidor, o cuando deseemos, enva nuestra IP actual a la empresa que nos proporciona el DNS dinmico, para que nuestro subdominio se dirija a la IP que tenemos en cada momento.
13. Protocolo DNS.

DNS (Domain Name System) o Sistema de Nombres de Dominio es una base de datos jerrquica y distribuida que almacena informacin sobre los nombres de dominio de redes cmo Internet. Este protocolo se utiliza para poder recordar de manera sencilla las direcciones IP. Gracias a los nombre de dominio podemos asignar a una direccin IP un nombre, adems de que es ms fiable porque la direccin IP de un servidor puede cambiar pero el nombre no lo hace. Es un sistema jerrquico y distribuido que permite traducir nombres de dominio en direcciones IP y viceversa.
Cada dominio es como si terminase con un . Por eso nuestro dominio seria www.google.esy el punto al final es el elemento raz de nuestro rbol y lo que indica al cliente que debe de empezar la bsqueda en los root Server. Estos root Server son los que tienen los registros TLD que son los dominios de nivel superior sea los que no pertenecen a otro dominio, como son com, org, net, es, etc. Actualmente hay 13 TLD en todo el mundo y 10 de ellos se encuentran en estados unidos, uno en Estocolmo, otro en Japn, y el ltimo en Londres. Si alguna catstrofe hiciese que estos 13 servidores dejasen de operar provocara un gran apagn de Internet y causara estragos a nivel mundial. Estos servidores dice que dominios de primer nivel existen y cules son sus servidores de nombres recursivamente los servidores de esos dominios dicen que subdominios existen y cuales don sus servidores. Cada componente de dominio incluyendo la raz, tiene un servidor primario y varios secundarios. Todos tienen la misma autoridad para responder por ese dominio, pero el primario es el nico sobre el que se pueden hacer modificaciones de manera que los secundarios son rplicas del primario.
14. Seguridad DNS.

Vulnerabilidades, amenazas y ataques.
Ataque de negacin del servicio (DOS): este ataques se presenta cuando el servidor DNS se ve inundado con un nmero muy grande de requerimientos, de esta manera se podra evitar que el servidor de DNS siga prestando servicio de manera normal este tipo de ataque no requiere el una gran cantidad de conocimiento por parte del atacante este tipo es extremadamente efectivo, llegando en casos extremos a provocar el reinicio del servidor de red o deteniendo por completo la resolucin de nombres, la imposibilidad de resolver nombres por medio del servidor de DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal como, correo electrnico o pginas de hipertexto, en el caso de los sistemas Windows 2000 y 2003 que funcionan con directorio activo evita la autenticacin de los usuarios y por tanto no permite el acceso a cualquier recurso de red. Footprinting: los intrusos pueden lograr una gran cantidad de informacin acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el trfico de DNS los intrusos pueden aprender acerca del sistema de nombres del dominio, los nombres de las mquinas, y el esquema de IP que se emplea en una red. Esta informacin de red revela la funcionalidad de ciertas mquinas presentes en la misma permitiendo al intruso decidir cules son los objetivos ms fructferos y otra forma de atacarlos. IPSoopfing: los intrusos pueden utilizar una IP legtima a menudo obtenida por medio del ataque anterior para ganar acceso a la red a sus servicios para enviar paquetes que pueden provocar daos dentro de la red a nombre de una mquina que no hace parte de la red, engaando al sistema identificndose con una IP de que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden pasar diferentes filtros estn diseados para bloquear el trfico de IP desautorizadas dentro de la red. Una vez han logrado acceso a los computadores y servicios usando esta tcnica el atacante puede causar gran cantidad de daos pues dentro de la red se supone que las IP les pertenecen al segmento local. Redireccionamiento en este tipo de ataque de un intruso causa que el servidor de DNS redirecciones todas las consultas de resolucin de nombres an servidor incorrecto que est bajo el control del atacante el atacante de lograr esta tcnica mediante la corrupcin o envenenamiento del cach del servidor utilizando actualizaciones dinmicas.
Mecanismos de seguridad.
Proveer servicio de DNS redundante: esto significa colocar ms de un solo servidor de DNS para la resolucin de nombres dentro de su red esto puede implicar una mayor cantidad de recursos inicialmente pero la larga es la solucin ms eficaz y ms escalable que se puede representar lo que en el caso de un servidor DNS caer, el servidor redundante o secundario a permitir la resolucin de nombres de manera automtica sin necesidad intervencin por parte del administrador. Doble configuracin del cliente: se recomiendan en cada uno de los clientes colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la de su proveedor de acceso Internet de esta manera est garantizando que su servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma remota a travs del sistema de su proveedor de acceso a Internet. Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red interna: esta estrategia le permite controlar el acceso a los recursos de forma interna y el forma externa en la red perimetral comprendida entre los algunos tambin conocida como red desmilitarizada (DMZ), as se van a resolver todos los requerimientos externos en la zona externa es decir todos aquellos que sobrepasen el mbito de su red local bien sea por parte clientes internos o de clientes externos a la misma, mientras que el sistema de resolucin de nombres para su red de rea local va estar siendo respaldado por un servidor interno que eleva permitir mantener actualizado y seguro el esquema direcciones IP's sin tener consultas recursos externos. Control de interfaces: Otra forma de limitar el acceso a su servidor de DNS es limitando el acceso a consultas por medio de el control de las interfaces de red, es decir, permitiendo la resolucin de DNS slo por una de las interfaces de su servidor de sta manera la interface que de la red interna hacerla que a permitir la resolucin de nombres de dicha red mientras que la interface externa no a permitir resolucin de nombres de tipo DNS. Uso de directorio activo: Aunque es posible el footprint forma de la captura de trfico de resolucin, una un mtodo mucho ms eficiente para el atacante es interceptando el trfico de replicacin. Por medio de la captura de paquetes de trfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el trfico replicacin de la zona es instalar todos sus servidores de DNS en un controlador dominio en familias Windows 2000 y 2003 y guardando toda informacin de sus zonas en el directorio activo.
Limitar trafico por IP: Una forma de proteger las transferencia de zonas es especificando la IP de los servidores de DNS que participan en la transferencia de zonas esta manera usted puede limitar a dichos servidores el acceso replicacin y un intruso va tener una labor mucho ms difcil para lograr el acceso replicacin. Encriptar el trafico DNS: Aunque la tcnica que fue prevenir el acceso transferencia de zona efectivamente no protegen los paquetes que estn viajando hacia los servidores un intruso con un capturador de paquetes de sistemas de Windows pueda capturar los datos de transferencia de zona leer los y posiblemente modificarlos con herramientas ms avanzadas se puede configurar su servidor DNS para Encriptar todo el trfico utilizando protocolo de IPSec o la implementacin de VPN de su sistema operativo. Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en su servidor DNS consiste en prevenir la corrupcin del cach sta se presenta por la manipulacin parte de los intrusos de dicha informacin para su beneficio propio; en Windows 2003 el servidor incluye la caracterstica de prevenir la corrupcin de cache se activa as: Dentro del cuadro de propiedades del servidor DNS haga clic en avanzado, luego seleccione asegurar cach contra corrupcin es un cuadro de Checkbox. Dentro de la opciones del servidor, esta caracterstica puede prevenir que el servidor haga cach de recursos que no son relativos al informacin que ha recibido por mensajes de respuesta. Autorizar las actualizaciones dinmicas de DHCP: Asegura las actualizaciones dinmicas es otra labor bastante importante dentro del sistema, esas actualizaciones se realiza a travs del sistema DHCP, el cual entregar direcciones de configuracin inicial a los clientes para prevenir las actualizaciones dinmicas no autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio activo esta labor es relativamente simple de realizar por medio de clic derecho slo le el nombre del servidor en la consola del DHCP y seleccionar autorizar.

Ud3 Instalacic3b3n y Administracic3b3n de Servicios de Nombres de Dominio

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ud3 Instalacic3b3n y Administracic3b3n de Servicios de Nombres de Dominio

Cargado por

Copyright:

Formatos disponibles

20112012

UD3 Instalacin y administracin de servicios de nombres de dominio

Jos Jimnez Arias IES Gregorio Prieto 2011-2012

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

5. Espacio de nombres de dominio:

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 2

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

6. Servidores de nombres de dominio (DNS):

7. Clientes DNS (Resolutores resolvers de nombres). 8. Proceso de resolucin de un nombre de dominio.

10. Registros de recursos DNS:

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 3

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

11. Transferencias de Zona:

12. DNS Dinmico (DDNS o Dynamic DNS):

13. Protocolo DNS. 14. Seguridad DNS.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 4

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

1. Introduccin a los servicios de nombres de dominio.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 5

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

2. Sistemas de nombres planos y jerrquicos.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 6

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 7

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

3. Historia del DNS.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 8

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 9

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 10

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 11

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

4. Componentes del servicio de nombres de dominio:

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 12

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Bases de datos DNS (registro de recursos).

Tipo Clase RData A IN 183.8.215.75

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 14

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Servidores de nombres (servidores DNS).

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 15

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Clientes DNS (resolutores resolvers)

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 16

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 18

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

5. Espacio de nombres de dominio:

Dominio raz. Dominios y subdominios.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 19

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Nombres relativos y absolutos. FQDN.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 20

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Administracin de nombres de dominio en Internet:

Delegacin. Dominio raz. ICANN.

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 21

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

Dominios TLD y Operadores de registro.

Registros de dominios en Internet. Agentes registradores.

UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012

6. Servidores de nombres de dominio (DNS):

Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 23