Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE
1. Introduccin a los servicios de nombres de dominio. 2. Sistemas de nombres planos y jerrquicos. 3. Historia del DNS. 4. Componentes del servicio de nombres de dominio:
Espacios de nombres de dominio (name space) Bases de datos DNS (registro de recursos). Servidores de nombres (servidores DNS). Clientes DNS (resolutores resolvers) Protocolo DNS.
9. Resolucin inversa:
Mapeo de direcciones y dominio arpa. Zonas de resolucin inversa. Proceso de resolucin. Delegacin y resolucin inversa.
Sistemas de nombres jerrquicos: son aquellos en los que existe una jerarqua a la hora de construir el nombre completo de ese ordenador. En este caso, al leer el nombre completo de un ordenador, se puede determinar su ubicacin geogrfica en el mundo o a qu departamento pertenece dentro de la empresa. Por ejemplo, la direccin postal de una persona es un ejemplo de sistema de nombres jerrquico. en una carta siempre debe aparecer el pas, la provincia, la poblacin, la calle, etc.
Un sistema de nombres de dominio plano es mucho ms sencillo que uno jerrquico, sin embargo el sistema de nombres de dominio (DNS) que se utiliza en Internet es jerrquico, facilitando el trabajo de los administradores de redes de las empresas, de forma que puedan asignar nombres a sus ordenadores sin tener que cuidar que este no coincida con ningn otro en ninguna otra parte del mundo.
Esto se conoce como Sistema de Nombres de Dominio, (DNS por sus siglas en ingls, Domain Name System), el cul naci en la dcada de los 80's. Creado por Paul Mockapetris en conlaboracin con Jon Postel de la Universidad del Sur de California y posteriormente, Paul Vixie. Juntos desarrollaron lo que hasta ahora conocemos como el DNS (BIND, Barkeley Internet Name Domain), un sistema cliente/servidor, distribuido y jerrquico, caractersticas que se describen a detalle en los RFC2 1033, 1034 y 1035 y que son muy parecidas a un sistema de archivos de UNIX... pero distribuido.
Originalmente, el uso del DNS se limitaba solamente instituciones acadmicas, de investigacin y por supuesto, la milicia de los EEUU. Eran los tiempos en que las universidades empezaban a realizar su conexin a las mltiples redes, entre ellas BitNet. Algo empezaba a trascender y era importante establecer un orden en cuanto a los equipos que ingresaban a la red.
Se crearon entonces los nombres de dominio genricos de primer nivel (gTLD=generic Top-level Domain), .com, .net y .org, es decir, tres clasificaciones. Luego sufijos nacionales a partir de 1989.
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 En 1992, la Fundacin Nacional de Ciencias de los EEUU (NSF) quien administraba el NSFNET, otorga la operacin del InterNIC y en 1993, a la empresa Network Solutions Inc, posteriormente, esta empresa sera adquirida por (SAIC), originario de San Diego y que se distingue por sus multimillonarios contratos federales (Agencia de Seguridad Nacional, CIA, Marina de los EEUU).
Cuando NSI obtuvo el contrato, se estableci un apoyo de cuatro millones USD por parte de la NSF a NSI, para realizar la funcin del registro de los gTLD. No obstante, en 1994, el grupo SAIC compra esta empresa y empiece a cobrar $50 USD anuales por cada nombre de dominio, estableciendo que el 30% de estas cuotas se iran a un fondo de infraestructura administrado por la NSF.
Aqu empezaron los problemas, aunque la operacin de NSI fue buena, en mi opinin, muchos consideraban que el servicio deba mejorarse, tomando en cuenta las utilidades que esta empresa perciba por la operacin de InterNIC. De hecho, este margen de utilidad le permiti a NSI empezar a cotizarse en la bolsa (NASDAQ: NSOL).
Para mediados de 1996, Jon Postel, el director de (IANA), organismo administrador de las direcciones de IP y nombres de dominio, realiz una propuesta en la que contemplaba la creacin de 150 nuevos nombres de dominios genricos, as como el .com, .net y .org.
De esta forma, en Noviembre de 1996 naci el Internet-International Ad Hoc Committee (IAHC) impulsado por la Internet Society (ISOC), a los tres meses de haberse creado se gener el reporte final, en donde se planteaban las recomendaciones y requerimientos para un nuevo esquema de gTLD, este documento recibira el nombre de Memorando de Entendimiento para los Nombres de Dominio genricos de Nivel Superior.
El IAHC se disolvi en Mayo del 97 para dar paso al (gTLD-MoU), documento respaldado por organizaciones de todo el mundo. En este documento se plasman los acuerdos alcanzados durante esos ocho meses de discusin y consenso, en los que por cierto no estuvo ningn representante del gobierno de pas alguno.
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 As, el nuevo esquema requera de una inversin para el complejo sistema que debera consolidar la informacin de los 89 registros aceptados. Para esto CORE estableci una contrato con Emergent Corp para el desarrollo del nuevo esquema distribuido de DNS (new DNS Shared Registry System). Todo estaba listo pues, para que en Marzo de 1998 empezaran a operar los 89 registros en todo el mundo, aceptando asi solicitudes de dominio bajo los siete nuevos nombres de dominio genricos.
El 30 de Enero, menos de dos meses antes de la fecha de inicio de operaciones del gTLD-MoU, el Gobierno de los Estados Unidos hace acto de presencia, en algo que pareca no apto para polticos. A travs del Departamento de Comercio (DoC) publica un documento, conocido como Green Paper, en el cual, Ira Magaziner, asesor de Bill Clinton establece la postura de la Casa Blanca en materia de nombres de dominio. No pasaron muchas horas para que los principales actores de la industria enviaran sus comentarios al DoC expresando su desacuerdo.
En resumen, este documento desconoca la autoridad y el consenso del gTLD-MoU y por lo tanto de las organizaciones que lo representaban, a pesar de que el CORE ya estaba listo para iniciar operaciones. Su propuesta era esperar y planear mejor las cosas, como si veinte meses no hubieran sido suficientes en un medio ambiente tan dinmico como es Internet, y se concretaba a proponer una nueva organizacin que supliera al IANA en la coordinacin de los gTLD y direcciones de IP para empezar funciones el 30 de Septiembre de 1998.
Este hecho provoc una cantidad impresionante de comentarios en contra del Green Paper, los cuales segn el DoC, se tomaran en cuenta para generar una inciativa global. As, el 5 de Junio de 1998, el Gobierno de los EEUU, atravs del DoC emiti un documento conocido como White. A grandes rasgos, se limitaba a buscar una nueva organizacin central que supliera al IANA, de hecho se buscaba que fuera privatizada pero que fuera sin fines de lucro PRIVADA Y SIN FINES DE LUCRE, CONTRARIEDAD. Los aspectos en la generacin de nuevos nombres de dominio genricos, gTLD, se dejaban a consideracin de esta nueva organizacin, conocida ahora como el Nuevo IANA (nIANA).
UD3 Instalacin y administracin de servicios de nombres de dominio 2011-2012 A esta reunin le siguieron otras convocadas por la Asociacin de ISP en Europa (EuroISPA) y por la Comisin Europea en Bruselas Blgica, teniendo como resultado un consenso ms global, representativo del continente europeo.
Es un hecho que el actual staff del IANA se mantendr de manera operativa en el nIANA, sin embargo esto no es materia de discusin. Lo que se pretende definir es la estructura del nIANA. Se ha hablado de tres cuerpos que se encargaran de las direcciones de IP, los nombres de dominio de primer nivel TLD y los protocolos, respectivamente, adems de un cuarto, en el que estaran representados los intereses de los primeros tres, as como de los principales grupos de inters (stakeholders) de Internet (usuarios, ISPs, etc).
La segunda reunin convocada por el IFWP fue sostenida en Ginebra, Suiza, en el marco del INET'98, una serie de eventos que realiza la ISOC anualmente. De todas las reuniones, esta ha sido sin duda la ms representativa, con participantes latinos y africanos, inclusive. Se busca que haya una tercera reunin en Singapur, para escuchar las propuestas de Asia-Pacfico.
El resultado de estas reuniones de trabajo dar la pauta en los establecimientos de las reglas que aplicarn a Internet en los prximos aos. Es imperativo que los stakeholders se involucren de manera activa en estos procesos y colaboren en la definicin de lo que hoy da es su negocio.
Por lo general, un registro de DNS contiene la siguiente informacin: Nombre de dominio (FQDN) TTL es.as.com.
3600
Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar con un punto. En caso de que falte el punto, el nombre de dominio es relativo, es decir, el nombre de dominio principal incluir un sufijo en el dominio introducido. TTL: permite que los servidores intermediarios conozcan la fecha de caducidad de la informacin y por lo tanto que sepan si es necesario verificarla o no.
Tipo: 16 bits que define el tipo de recurso descrito por el registro. Puede ser: A: Hace coincidir el nombre cannico con la direccin IP. Adems, pueden existir varios registros A relacionados con diferentes equipos de la red (servidores). CNAME (Nombre Cannico): Definir un alias para el nombre cannico. til para suministrar nombres alternativos relacionados con diferentes servicios en el mismo equipo. HINFO: Permite la descripcin en particular del hardware del ordenador (CPU) y del sistema operativo (OS). Generalmente se recomienda no completarlo para evitar suministrar informacin que pueda ser til a piratas informticos.
Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 13
MX (Mail eXchange): Es el servidor de correo electrnico. Cuando un usuario enva un correo electrnico a una direccin (user@domain), el servidor de correo saliente interroga al servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX. Pueden existir varios registros MX por dominio, para as suministrar una repeticin en caso de fallas en el servidor principal de correo electrnico. una prioridad entre 0 y 65,535: NS: es el servidor de nombres de dominio con autoridad sobre el dominio. PTR: es un puntero hacia otra parte del espacio de nombres del dominio. SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona, as como la direccin de correo electrnico del contacto tcnico (en donde el carcter "@" es reemplazado por un punto).
Clase: la clase puede ser: IN (relacionada a protocolos de Internet). CH (para el sistema catico). RDATA: estos son los datos relacionados con el registro. Aqu se encuentra la informacin esperada segn el tipo de registro:
A: la direccin IP de 32 bits: CNAME: el nombre de dominio; MX: la prioridad de 16 bits, seguida del nombre del ordenador; NS: el nombre del ordenador; PTR: el nombre de dominio PTR: el nombre de dominio; SOA: varios campos.
Resolucin de alias Si el resolutor intenta realizar resolucin de nombres de un nombre que indique el usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Si se refiere a un CNAME, el servidor puede devolver el CNAME. Sin embargo, en este caso, el CNAME debe resolverse todava. Para evitar trfico extra de DNS, cuando un servidor de DNS devuelve un CNAME en respuesta a una bsqueda de registro de host, el servidor de DNS tambin devuelve el registro A relativo al CNAME. El cliente de DNS enva una solicitud de DNS al servidor de DNS solicitando el registro Host de nsl.midominio.com, que en realidad es un alias de kona.midominio.com. En la respuesta de DNS existen dos RR de respuesta. El primero es el RR CNAME de nsl.midominio.com, que contiene el nombre cannico. El segundo RR de respuesta es el registro Host de kona.midominio.com, que contiene la direccin de IP de este equipo.
Cach del resolutor de DNS Un host de IP podra necesitar ponerse en contacto peridicamente con otro host y por tanto necesitara resolver un nombre concreto de DNS muchas veces, como por ejemplo el nombre del servidor de correo electrnico. Para evitar tener que enviar solicitudes a un servidor de DNS cada vez que el host quiere resolver el nombre, Windows implementa una cach especial de informacin de DNS. El servicio Cliente de DNS hace cach de los RR recibidos en las respuestas a las solicitudes de DNS. La informacin se mantiene durante un Perodo de vida, TTL (Time To Live), y se puede utilizar para responder solicitudes posteriores. De forma predeterminada, la cach utiliza el valor de TTL recibido en la respuesta de solicitud de DNS. Cuando se resuelve una solicitud, el servidor autoridad de DNS en el dominio resuelto define el TTL para un RR dado. Puede utilizar el comando IPCONFIG con la opcin /DISPLAYDNS para mostrar el contenido actual de la cach del resolutor. Cach negativa El servicio Cliente de DNS tambin proporciona cach negativa. La cach negativa ocurre cuando no existe un RR de un nombre de dominio solicitado o cuando el propio nombre de dominio no existe, en cuyo caso se guarda la falta de resolucin. La cach negativa evita repetir solicitudes adicionales de RR o dominios que no existen. Si se realiza una solicitud a un servidor de DNS y la respuesta es negativa, las siguientes solicitudes al mismo nombre de dominio se responden negativamente durante un tiempo predeterminado de 300 segundos. Para evitar guardar en la cach informacin negativa anticuada, cualquier informacin de solicitud respondida negativamente se mantiene durante un perodo de tiempo inferior al que se utiliza para las respuestas positivas. Con la cach negativa se reduce la carga en los servidores de DNS, pero estarn disponibles los RR relevantes, y se podrn enviar solicitudes posteriores para obtener la informacin. Si se realiza una solicitud a todos los servidores de DNS y no est disponible ninguno durante un tiempo predeterminado de 30 segundos, las solicitudes posteriores por nombre fallarn inmediatamente en lugar de esperar los plazos. De esta forma se puede ahorrar tiempo en servicios que utilizan DNS durante el proceso de arranque, sobre todo cuando se arranca de la red.
Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 17
Protocolo DNS.
Este protocolo se utiliza para poder recordar de manera sencilla las direcciones IP. De esta manera surge el concepto de nombres de dominio. Gracias a esto podemos asignar a una direccin IP un nombre, adems de que es ms fiable porque la direccin IP de un servidor puede cambiar pero el nombre no lo hace. Podemos decir entonces que el DNS es un sistema jerrquico y distribuido que permite traducir nombres de dominio en direcciones IP y viceversa. Otro uso comn de este es para los servidores de correo a travs del nombre de dominio de correo como por ejemplo www.Hotmail.com. Dado un dominio puede leerse de derecha a izquierda por ejemplo www.google.es seria .es el dominio ms alto. Cada dominio es como si terminase con un . Por eso nuestro dominio seria www.google.esy el punto al final es el elemento raz de nuestro rbol y lo que indica al cliente que debe de empezar la bsqueda en los root Server. Estos root Server son los que tienen los registros TLD que son los dominios de nivel superior sea los que no pertenecen a otro dominio, como son com, org, net, es, etc. Actualmente hay 13 TLD en todo el mundo y 10 de ellos se encuentran en estados unidos, uno en Estocolmo, otro en Japn, y el ltimo en Londres. Si alguna catstrofe hiciese que estos 13 servidores dejasen de operar provocara un gran apagn de Internet y causara estragos a nivel mundial. Estos servidores dice que dominios de primer nivel existen y cules son sus servidores de nombres recursivamente los servidores de esos dominios dicen que subdominios existen y cuales don sus servidores. Cada componente de dominio incluyendo la raz, tiene un servidor primario y varios secundarios. Todos tienen la misma autoridad para responder por ese dominio, pero el primario es el nico sobre el que se pueden hacer modificaciones de manera que los secundarios son replicas del primario. Casi todos los servidores de nombres utilizan un software llamado bind que es un software de libre distribucin utilizado por la mayora de sistemas unix. Una herramienta til que encontramos para probar si un dominio se resuelve correctamente es el domando nslookup. Se trata de un cliente DNS que nos sirve para obtener direcciones IP a travs del dominio y viceversa.
Subdominios: son nombres adicionales que pueden crear una organizacin y se derivan
del nombre de dominio registrado de segundo nivel. Incluyen los nombres agregados para desarrollar el rbol de nombres de DNS en una organizacin y que la dividen en departamentos o ubicaciones geogrficas.
Uso de dominios.
El DNS se utiliza para distintos propsitos. Los ms comunes son: Resolucin de nombres: Dado el nombre completo de un host (por ejemplo blog.smaldone.com.ar), obtener su direccin IP (en este caso, 208.97.175.41). Resolucin inversa de direcciones: Es el mecanismo inverso al anterior. Consiste en, dada una direccin IP, obtener el nombre asociado a la misma. Resolucin de servidores de correo: Dado un nombre de dominio (por ejemplo gmail.com) obtener el servidor a travs del cual debe realizarse la entrega del correo electrnico (en este caso, gmail-smtp-in.l.google.com).
Bsicamente ICANN es responsable de la coordinacin de la administracin de los elementos tcnicos del DNS para garantizar una resolucin unvoca de los nombres, de manera que los usuarios de Internet puedan encontrar todas las direcciones vlidas. Para ello, se encarga de supervisar la distribucin de los identificadores tcnicos nicos usados en las operaciones de Internet, y delegar los nombres de dominios de primer nivel (como .com, .info, etc.).
Los TLDs de dos letras (.br, .ar, .mx, .uk, .de, etc.): Corresponden a las abreviaturas oficiales de ms de 250 pases y territorios. Estos dominios son denominados TLDs con cdigos de pases o ccTLDs, en forma abreviada. Cada uno posee un operador de registro designado, que opera el ccTLD segn las polticas locales (por ejemplo, para registrar un nombre en algunos ccTLDs, hay que ser residente local).
Zona de Bsqueda Directa. - Las resoluciones de esta zona devuelven la direccin IP correspondiente al recurso solicitado; este tipo de zona realiza las resoluciones que esperan como respuesta la direccin IP de un determinado recurso. Zona de Bsqueda Inversa. - Las resoluciones de esta zona buscan un nombre de recurso en funcin de su direccin IP; una bsqueda inversa tiene forma de pregunta del estilo "Cul es el nombre DNS del recurso de red que utiliza una direccin IP dada?". Autoridad:
Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de un dominio (una zona), suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuacin: MNAME Nombre de dominio del servidor DNS constituido como servidor primario para la zona. RNAME Nombre de dominio que indica la direccin de correo de la persona responsable de la zona. SERIAL Nmero entero de 32 bits correspondiente a la copia original de la zona. Este valor se y incrementa con cada actualizacin, se conserva en las transferencias de zona, y puede ser utilizado como verificacin. REFRESH Nmero de 32 bits representando el intervalo de tiempo antes que la zona deba ser actualizada. RETRY Nmero de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una peticin de actualizacin ha fallado. EXPIRE Nmero de 32 bits que especifica el lmite mximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad". MINIMUM Nmero entero de 32 bits sealando el valor mnimo del parmetro TTL que debe ser utilizado para cualquier exploracin de la zona.
Los RR describen todos los hosts en la zona y marca toda delegacin de subdominios. Los archivos que los servidores de nombres primarios utilizan son llamados archivos de datos (data files). Estos archivos de datos contienen registro de recursos que describen la zona. Los registros de recursos (RR) ms comunes para agregar son: A: para asignar un nombre de dominio DNS a una direccin IP que utiliza un equipo. CNAME: para asignar un nombre de dominio DNS con alias a otro nombre cannico o principal. MX: para asignar un nombre de dominio DNS al nombre de un equipo que intercambia o reenva el correo. PTR: para asignar un nombre de dominio DNS inverso basado en la direccin IP de un equipo que seala al nombre de dominio DNS directo de ese equipo. SRV: para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo especfico de servicio, como los controladores de dominio de Active Directory.
Servidor cach.
Un servidor de slo cache corre el software del servidor, pero no tiene los archivos de base de datos del servidor. Aprende las respuestas de otros servidores de nombres, las guarda y las usa para responder preguntas futuras sobre esa misma informacin. Solamente requiere de un archivo de cache (con informacin acerca de los root servers a los cuales debe preguntar). Se dice que este tipo de servidor no es autoritario ya que la informacin que obtiene es de segunda mano. El archivo de configuracin del servidor mantiene los parmetros de funcionamiento, apuntadores a los archivos de datos del dominio y direcciones de servidores remotos.
2011-2012
Los servidores DNS especificados mediante este procedimiento se agregan a las direcciones IP de los servidores presentes en el registro de recursos del servidor de nombres (NS) existente de la zona. Normalmente, slo tiene que ejecutar este procedimiento en la zona principal al agregar servidores DNS para que acten como servidores secundarios y tambin para especificar que se reconozcan estos servidores como autorizados cuando se responda a consultas de los datos de la zona.
Bsqueda de los servidores ms rpidos Amplia biblioteca de servidores DNS Opcin para sustitucin manual Funcin de vaciado (flush)
Contras
Simple DNS Plus 5.2 Simple DNS Plus es un servidor de DNS y DHCP de fcil uso. Puedes usar el programa para hacer funcionar correctamente tu propio servidor DNS Internet/Intranet an sin tener tu propio dominio registrado. Adems mejora la velocidad del acceso a Internet. Simple DNS Plus simplifica la configuracin de un servidor de DNS y la configuracin TCP/IP de tu red, y le da a los ordenadores de tu red nombre reales en vez de los difciles nmeros de la direccin IP de cada uno de ellos. Por ejemplo, puedes llamar tu servidor de correo electrnico "mail", tu servidor proxy "proxy", y tu servidor Web de tu Intranet "Web"; evitndote tener que escribir las direcciones IP completas de cada uno de ellos. Adems puedes hacer funcionar mltiples servidores DNS en la misma mquina, y el programa soporta transferencia de zonas y notificacin de zona actualizada. El programa se aloja en la bandeja del sistema de Windows.
Servidores raz.
Los RNS saben cules servidores de nombres tienen autoridad para los dominios superiores. Si se les hace una pregunta acerca de un subdominio, los servidores raz maestros pueden al menos proveer los nombres y direcciones de los servidores de nombres con autoridad para el segundo nivel de dominios a los cuales un dominio pertenece. Cada servidor interrogado da, al que pregunta, informacin de cmo estar ms cerca de la respuesta que est buscando o provee l mismo una respuesta. Lo que hacen los RNS es proveer punteros desde los dominios superiores a los servidores de nombres de los dominios inferiores. Por ejemplo para conseguir el servidor de nombres del dominio ve. Se debe interrogar a los servidores raz. Los RNS, as como los NS normales, son muy importantes en la resolucin de un nombre dentro de un dominio particular. Debido a que son tan importantes, DNS provee mecanismos para asegurar siempre el servicio utilizando redundancia (servidores secundarios) o aliviando la carga de los servidores primarios y root (usando caching). Sin embargo, en ausencia de mecanismos como el caching, la resolucin debe empezar en los servidores de raz maestros.
Resolucin de alias Si el resolutor intenta realizar resolucin de nombres de un nombre que indique el usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Si se refiere a un CNAME, el servidor puede devolver el CNAME. Sin embargo, en este caso, el CNAME debe resolverse todava. Para evitar trfico extra de DNS, cuando un servidor de DNS devuelve un CNAME en respuesta a una bsqueda de registro de host, el servidor de DNS tambin devuelve el registro A relativo al CNAME. El cliente de DNS enva una solicitud de DNS al servidor de DNS solicitando el registro Host de nsl.midominio.com, que en realidad es un alias de kona.midominio.com. En la respuesta de DNS existen dos RR de respuesta. El primero es el RR CNAME de nsl.midominio.com, que contiene el nombre cannico. El segundo RR de respuesta es el registro Host de kona.midominio.com, que contiene la direccin de IP de este equipo.
Cach del resolutor de DNS Un host de IP podra necesitar ponerse en contacto peridicamente con otro host y por tanto necesitara resolver un nombre concreto de DNS muchas veces, como por ejemplo el nombre del servidor de correo electrnico. Para evitar tener que enviar solicitudes a un servidor de DNS cada vez que el host quiere resolver el nombre, Windows implementa una cach especial de informacin de DNS. El servicio Cliente de DNS hace cach de los RR recibidos en las respuestas a las solicitudes de DNS. La informacin se mantiene durante un Perodo de vida, TTL (Time To Live), y se puede utilizar para responder solicitudes posteriores. De forma predeterminada, la cach utiliza el valor de TTL recibido en la respuesta de solicitud de DNS. Cuando se resuelve una solicitud, el servidor autoridad de DNS en el dominio resuelto define el TTL para un RR dado. Puede utilizar el comando IPCONFIG con la opcin /DISPLAYDNS para mostrar el contenido actual de la cach del resolutor. Cach negativa El servicio Cliente de DNS tambin proporciona cach negativa. La cach negativa ocurre cuando no existe un RR de un nombre de dominio solicitado o cuando el propio nombre de dominio no existe, en cuyo caso se guarda la falta de resolucin. La cach negativa evita repetir solicitudes adicionales de RR o dominios que no existen. Si se realiza una solicitud a un servidor de DNS y la respuesta es negativa, las siguientes solicitudes al mismo nombre de dominio se responden negativamente durante un tiempo predeterminado de 300 segundos. Para evitar guardar en la cach informacin negativa anticuada, cualquier informacin de solicitud respondida negativamente se mantiene durante un perodo de tiempo inferior al que se utiliza para las respuestas positivas. Con la cach negativa se reduce la carga en los servidores de DNS, pero estarn disponibles los RR relevantes, y se podrn enviar solicitudes posteriores para obtener la informacin. Si se realiza una solicitud a todos los servidores de DNS y no est disponible ninguno durante un tiempo predeterminado de 30 segundos, las solicitudes posteriores por nombre fallarn inmediatamente en lugar de esperar los plazos. De esta forma se puede ahorrar tiempo en servicios que utilizan DNS durante el proceso de arranque, sobre todo cuando se arranca de la red.
Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 31
Consultas iterativas.
Las resoluciones iterativas consisten en la respuesta completa que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su cach) buscando los datos solicitados. El servidor encargado de hacer la resolucin realiza iterativamente preguntas a los diferentes DNS de la jerarqua asociada al nombre que se desea resolver, hasta descender en ella hasta la mquina que contiene la zona autoritativa para el nombre que se desea resolver. Primero consulta sus datos locales, si no est all busca entonces en su cache y si an no encuentra nada devuelve la respuesta al servidor ms cercano al dominio buscado. Si el servidor falla, no lo vuelve a reintentar.
TTL
Todos los registros DNS tiene la propiedad TTL, que especifica el tiempo mximo que otros servidores DNS y aplicaciones deben mantener en cach ese registro. Si el valor es 0, entonces no se mantiene ningn cach y los cambios que se realicen en el registro se registrarn en el momento. Cuando se decide el tiempo TTL, se debe tener en cuenta cuan a menos se cambiar el record (registro). Por el cach, los cambios en un registro DNS no alcanzarn toda la red hasta que el TTL no haya expirado. Si se quieren cambios rpidos, debe elegirse un TTL bajo.
Recursividad y cach.
El recursivo es un servidor capaz de encontrar la respuesta a cualquier consulta DNS, y puede encontrar informacin acerca de casi todos los dominios, por ejemplo google.com, linux.org, gentoo.org . Generalmente estos servidores estn abiertos a cualquier IP, en otras palabras, pueden ser consultados por cualquier maquina en el mundo. El problema es que muchas entidades hacen que el mismo servidor acte tanto como autoritativo como recursivo. Una prctica sana es tenerlos separados, lo cual previene el problema denominado "envenenamiento de cache". Si es imposible tenerlos separados, es recomendable que permitan recursin a solo un rango de IPs "confiables".
9. Resolucin inversa:
La resolucin DNS ms comn es la hecha para traducir un nombre para una direccin IP, pero esa no es el nico tipo de resolucin DNS. Hay tambin la resolucin denominada inversa, que hace la traduccin de una direccin IP a un nombre. En un inicio la resolucin inversa se utilizaba como mecanismo auxiliar de seguridad para los servidores en la Internet, comparando los resultados de una resolucin inversa contra la resolucin directa del nombre para direccin IP. En el caso de los resultados iguales, se permita, por ejemplo, el acceso remoto al servidor.
Tipos de registros: SOA, NS, A, AAAA, A6, CNAME, MX, SRV, PTR.
SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona, as como la direccin de correo electrnico del contacto tcnico (en donde el carcter "@" es reemplazado por un punto). NS: es el servidor de nombres de dominio con autoridad sobre el dominio. A: Hace coincidir el nombre cannico con la direccin IP. Adems, pueden existir varios registros A relacionados con diferentes equipos de la red (servidores). AAAA: es un nuevo registro especfico a la clase Internet que almacena una sola direccin IPv6. CNAME (Nombre Cannico): Definir un alias para el nombre cannico. til para suministrar nombres alternativos relacionados con diferentes servicios en el mismo equipo. MX (Mail eXchange): Es el servidor de correo electrnico. Cuando un usuario enva un correo electrnico a una direccin (user@domain), el servidor de correo saliente interroga al servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX. Pueden existir varios registros MX por dominio, para as suministrar una repeticin en caso de fallas en el servidor principal de correo electrnico. una prioridad entre 0 y 65,535:
SRV: para asignar un nombre de dominio DNS a una lista especificada de equipos host de DNS que ofrecen un tipo especfico de servicio, como los controladores de dominio de Active Directory.
PTR: es un puntero hacia otra parte del espacio de nombres del dominio.
Las transferencias de zona siempre se inician por el servidor DNS secundario. El servidor DNS principal simplemente responder a la peticin para una transferencia de zona.
Incremental: Se define para solucionar el problema del gran ancho de banda que consumen las completasen la cual slo debe transferrsela parte modificada de una zona. La transferencia incremental de zona funciona de forma muy similar a la transferencia completa. En este caso, el servidor secundario para la zona comprueba el nmero de serie del registro SOA del maestro con el suyo, para determinar si debe iniciar una transferencia de zona, la cual en este caso se-ra incremental (slo de los cambios realizados).
Actualizaciones manuales.
La actualizacin manual consiste en la modificacin de los ficheros de la base de datos de DNS para asignar una direccin Ip a un nombre de dominio. Problemas: Afrontar la posibilidad de errores al manipular los ficheros de la Base de Datos del DNS. Realizacin de una copia de seguridad, actualizacin "a mano" de los ficheros de la Base de Datos, Re-inicializar el servidor de DNS para que los cambios tuvieran efecto.
Actualizaciones dinmicas.
La actualizacin dinmica permite a los equipos cliente DNS guardar y actualizar dinmicamente sus registros de recursos con un servidor DNS siempre que se produzcan cambios. Esto disminuye la necesidad de administrar de forma manual los registros de zona, especialmente para los clientes que mueven o cambian ubicaciones con frecuencia y utilizan DHCP para obtener una direccin IP.
Cada dominio es como si terminase con un . Por eso nuestro dominio seria www.google.esy el punto al final es el elemento raz de nuestro rbol y lo que indica al cliente que debe de empezar la bsqueda en los root Server. Estos root Server son los que tienen los registros TLD que son los dominios de nivel superior sea los que no pertenecen a otro dominio, como son com, org, net, es, etc. Actualmente hay 13 TLD en todo el mundo y 10 de ellos se encuentran en estados unidos, uno en Estocolmo, otro en Japn, y el ltimo en Londres. Si alguna catstrofe hiciese que estos 13 servidores dejasen de operar provocara un gran apagn de Internet y causara estragos a nivel mundial. Estos servidores dice que dominios de primer nivel existen y cules son sus servidores de nombres recursivamente los servidores de esos dominios dicen que subdominios existen y cuales don sus servidores. Cada componente de dominio incluyendo la raz, tiene un servidor primario y varios secundarios. Todos tienen la misma autoridad para responder por ese dominio, pero el primario es el nico sobre el que se pueden hacer modificaciones de manera que los secundarios son rplicas del primario.
Ataque de negacin del servicio (DOS): este ataques se presenta cuando el servidor DNS se ve inundado con un nmero muy grande de requerimientos, de esta manera se podra evitar que el servidor de DNS siga prestando servicio de manera normal este tipo de ataque no requiere el una gran cantidad de conocimiento por parte del atacante este tipo es extremadamente efectivo, llegando en casos extremos a provocar el reinicio del servidor de red o deteniendo por completo la resolucin de nombres, la imposibilidad de resolver nombres por medio del servidor de DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal como, correo electrnico o pginas de hipertexto, en el caso de los sistemas Windows 2000 y 2003 que funcionan con directorio activo evita la autenticacin de los usuarios y por tanto no permite el acceso a cualquier recurso de red. Footprinting: los intrusos pueden lograr una gran cantidad de informacin acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el trfico de DNS los intrusos pueden aprender acerca del sistema de nombres del dominio, los nombres de las mquinas, y el esquema de IP que se emplea en una red. Esta informacin de red revela la funcionalidad de ciertas mquinas presentes en la misma permitiendo al intruso decidir cules son los objetivos ms fructferos y otra forma de atacarlos. IPSoopfing: los intrusos pueden utilizar una IP legtima a menudo obtenida por medio del ataque anterior para ganar acceso a la red a sus servicios para enviar paquetes que pueden provocar daos dentro de la red a nombre de una mquina que no hace parte de la red, engaando al sistema identificndose con una IP de que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden pasar diferentes filtros estn diseados para bloquear el trfico de IP desautorizadas dentro de la red. Una vez han logrado acceso a los computadores y servicios usando esta tcnica el atacante puede causar gran cantidad de daos pues dentro de la red se supone que las IP les pertenecen al segmento local. Redireccionamiento en este tipo de ataque de un intruso causa que el servidor de DNS redirecciones todas las consultas de resolucin de nombres an servidor incorrecto que est bajo el control del atacante el atacante de lograr esta tcnica mediante la corrupcin o envenenamiento del cach del servidor utilizando actualizaciones dinmicas.
Alumno: Jos Jimnez Arias Mdulo: Servicios de Red e Internet 44
Mecanismos de seguridad.
Proveer servicio de DNS redundante: esto significa colocar ms de un solo servidor de DNS para la resolucin de nombres dentro de su red esto puede implicar una mayor cantidad de recursos inicialmente pero la larga es la solucin ms eficaz y ms escalable que se puede representar lo que en el caso de un servidor DNS caer, el servidor redundante o secundario a permitir la resolucin de nombres de manera automtica sin necesidad intervencin por parte del administrador. Doble configuracin del cliente: se recomiendan en cada uno de los clientes colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la de su proveedor de acceso Internet de esta manera est garantizando que su servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma remota a travs del sistema de su proveedor de acceso a Internet. Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red interna: esta estrategia le permite controlar el acceso a los recursos de forma interna y el forma externa en la red perimetral comprendida entre los algunos tambin conocida como red desmilitarizada (DMZ), as se van a resolver todos los requerimientos externos en la zona externa es decir todos aquellos que sobrepasen el mbito de su red local bien sea por parte clientes internos o de clientes externos a la misma, mientras que el sistema de resolucin de nombres para su red de rea local va estar siendo respaldado por un servidor interno que eleva permitir mantener actualizado y seguro el esquema direcciones IP's sin tener consultas recursos externos. Control de interfaces: Otra forma de limitar el acceso a su servidor de DNS es limitando el acceso a consultas por medio de el control de las interfaces de red, es decir, permitiendo la resolucin de DNS slo por una de las interfaces de su servidor de sta manera la interface que de la red interna hacerla que a permitir la resolucin de nombres de dicha red mientras que la interface externa no a permitir resolucin de nombres de tipo DNS. Uso de directorio activo: Aunque es posible el footprint forma de la captura de trfico de resolucin, una un mtodo mucho ms eficiente para el atacante es interceptando el trfico de replicacin. Por medio de la captura de paquetes de trfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el trfico replicacin de la zona es instalar todos sus servidores de DNS en un controlador dominio en familias Windows 2000 y 2003 y guardando toda informacin de sus zonas en el directorio activo.
Limitar trafico por IP: Una forma de proteger las transferencia de zonas es especificando la IP de los servidores de DNS que participan en la transferencia de zonas esta manera usted puede limitar a dichos servidores el acceso replicacin y un intruso va tener una labor mucho ms difcil para lograr el acceso replicacin. Encriptar el trafico DNS: Aunque la tcnica que fue prevenir el acceso transferencia de zona efectivamente no protegen los paquetes que estn viajando hacia los servidores un intruso con un capturador de paquetes de sistemas de Windows pueda capturar los datos de transferencia de zona leer los y posiblemente modificarlos con herramientas ms avanzadas se puede configurar su servidor DNS para Encriptar todo el trfico utilizando protocolo de IPSec o la implementacin de VPN de su sistema operativo. Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en su servidor DNS consiste en prevenir la corrupcin del cach sta se presenta por la manipulacin parte de los intrusos de dicha informacin para su beneficio propio; en Windows 2003 el servidor incluye la caracterstica de prevenir la corrupcin de cache se activa as: Dentro del cuadro de propiedades del servidor DNS haga clic en avanzado, luego seleccione asegurar cach contra corrupcin es un cuadro de Checkbox. Dentro de la opciones del servidor, esta caracterstica puede prevenir que el servidor haga cach de recursos que no son relativos al informacin que ha recibido por mensajes de respuesta. Autorizar las actualizaciones dinmicas de DHCP: Asegura las actualizaciones dinmicas es otra labor bastante importante dentro del sistema, esas actualizaciones se realiza a travs del sistema DHCP, el cual entregar direcciones de configuracin inicial a los clientes para prevenir las actualizaciones dinmicas no autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio activo esta labor es relativamente simple de realizar por medio de clic derecho slo le el nombre del servidor en la consola del DHCP y seleccionar autorizar.