CONSIDERACIONES SOBRE DNS

DNS es un sistema de base de datos distribuida que traduce los nombres de host a direcciones IP, y direcciones IP a nombres de host, lo que es esencial para todos los servicios que se basen en nombre de host, pero DNS también es el
mecanismo estándar de Internet para indicar que un host no puede recibir correo directamente, pero otra máquina lo recibe y lo transmite en su lugar, esa información se comunica con un registro MX al DNS.

En esencia DNS funciona de la siguiente forma: cuando un cliente necesita conocer la dirección IP de una URL, se la pide a su servidor DNS local. El servidor DNS local examina su propio caché para ver si conoce la respuesta, si no, le
pregunta a otros servidores DNS para obtenerla. Cuando el servidor DNS local obtiene la respuesta, la recupera y responde al cliente. Estas preguntas y respuestas son transparentes al cliente y para ello se utiliza el puerto UDP 53
en el lado servidor (el cliente siempre > 1023), si falla, se realiza por segunda vez con TCP. En este caso hay una excepción: una solicitud o respuesta de servidor a servidor con UDP, tanto el puerto fuente como el destino son el 53,
pero con TCP el servidor que solicita utilizará un puerto por encima del 1023. DNS es una base de datos estructurada en forma de árbol, con servidores para varios subárboles esparcidos por toda Internet con dos listas definidas,
dado el nombre recibir la dirección IP y viceversa. Hay varios tipos de registros definidos en él:

Cada dominio o subdominio tiene una o más zonas de autoridad que publican la
información acerca del dominio y los nombres de servicios de cualquier dominio incluido.
Cada zona puede delegarse a otro DNS que se convierte en autoritativo para dicha zona.
Al inicio de esa jerarquía se encuentra los servidores raíz, que responden cuando se busca
resolver un dominio de primer nivel (.com, .es, .net, .edu, .gov, etc.) y delegan la autoridad
a los servidores DNS autorizados para dominios de segundo nivel.

Una consulta de un cliente (resolver) a un servidor DNS puede ser recursiva si el servidor al que consultamos consulta a su vez otro servidor o iterativa si responde a partir de los datos que tiene almacenados localmente (métodos
de búsqueda). Cada servidor de nombres tiene autoridad para cero (no autoritativo) o una o más zonas. Hay tres tipos de servidor de nombres:
Un servidor de nombres primario carga de disco la información de una zona, y tiene autoridad sobre ella. Es el único que puede modificar la base
-Primario (principal o maestro) de datos, los demás hacen consultas.

Un servidor de nombres secundario tiene autoridad sobre una zona, pero obtiene la información de esa zona de un servidor primario utilizando un proceso llamado
transferencia de zona. Para permanecer sincronizado, los servidores de nombres secundarios consultan a los primarios regularmente (típicamente cada dos o tres horas)
-Secundario (o esclavo) y reejecutan la transferencia de zona si el primario ha sido actualizado. Un servidor de nombres puede operar como primario o secundario para múltiples dominios,
o como primario para unos y secundario para otros. Un servidor primario o secundario realiza todas las funciones de un servidor caché.

Un servidor de nombres que no tiene autoridad para ninguna zona se denomina servidor caché. Obtiene todos sus datos de servidores primarios o secundarios.
-Caché Requiere al menos un registro NS para apuntar a un servidor del que pueda obtener la información inicialmente.

Para un funcionamiento seguro de los DNS se deben considerar al menos:

a) Envío de traducciones falsas, si un hacker carga el caché del servidor con dicha
información para realizar phishing. Las versiones recientes de DNS para UNIX (BIND
4.9 y posteriores) revisan si hay respuestas falsas. Asimismo siempre se realiza una doble
búsqueda inversa, ver si el nombre de máquina coincide con la dirección IP y viceversa
para evitar posibles engaños. Normalmente no habrá transferencia de zona de un DNS
secundario al principal (hacerlo autoritativo en su zona).
b) El DNS interno (normalmente el primario o principal) tiene información
complementaria (Ej. registros HINFO) o distinta a lo que se enseña en la red perímetro
para evitar revelar información a un posible atacante.
c) Normalmente el DNS secundario se ejecuta bajo el proxy (host bastión) y solo se
muestra al exterior la información de zona esencial para encontrar los servicios a los que se da acceso.
d) Se debe usar además filtrado de paquetes que permitan: LO QUE PONE EN ELA TABLA