APORTE ADICIONAL SELECCIONADO: DNS

Mitigación de amenazas de seguridad DNS:

El DNS puede configurarse para mitigar estos problemas de seguridad DNS. En la tabla siguiente se incluyen
cinco áreas principales en las que deben centrarse los esfuerzos de seguridad DNS.

Área de
Descripción
seguridad DNS
Espacio de Incorporar la seguridad DNS al diseño de espacio de nombres DNS. Se detalla más adelante en
nombres DNS el inciso de Protección de la implementación de DNS.
Revisar la configuración de seguridad predeterminada del servicio Servidor DNS y aplicar las
Servicio
características de seguridad de Active Directory cuando el servicio se ejecute en un controlador
Servidor DNS
de dominio. Se detalla más adelante en el inciso de Protección del servicio Servidor DNS.
Revisar la configuración de seguridad predeterminada de la zona DNS y aplicar las
actualizaciones dinámicas seguras y las características de seguridad de Active Directory cuando
Zonas DNS
la zona se hospede en un controlador de dominio. Se detalla más adelante en el inciso de
Protección de zonas DNS.
Revisar la configuración de seguridad predeterminada del registro de recursos DNS y aplicar las
Registros de características de seguridad de Active Directory cuando los registros se hospeden en un
recursos DNS controlador de dominio. Se detalla más adelante en el inciso de Protección de registros de
recursos DNS.
Controlar las direcciones IP del servidor DNS que usen los clientes DNS. Se detalla más adelante
Clientes DNS
en el inciso de Protección de clientes DNS.

Tres niveles de seguridad DNS:

En las secciones siguientes se describen los tres niveles de seguridad DNS.

Seguridad de nivel bajo:

La seguridad de nivel bajo es una implementación DNS estándar sin medidas de seguridad configuradas.
Implementar este nivel de seguridad DNS únicamente en entornos de red en los que no preocupa la integridad
de los datos DNS o bien en una red privada en la que no haya amenazas de conectividad externa. La seguridad
DNS de nivel bajo tiene las siguientes características:

 La infraestructura DNS de la organización se expone completamente a Internet.

 Todos los servidores DNS de la red llevan a cabo la resolución DNS estándar.

 Todos los servidores DNS se configuran con sugerencias de raíz que señalan a los servidores raíz de
Internet.

 Todos los servidores DNS permiten las transferencias de zona a cualquier servidor.

 Todos los servidores DNS están configurados para escuchar en todas sus direcciones IP.
  La función para evitar la contaminación de la caché está deshabilitada en todos los servidores DNS.

 La actualización dinámica se permite en todas las zonas DNS.

 El Protocolo de datagramas de usuario (UDP) y el puerto TCP/IP 53 está abierto en el firewall de la red,
tanto para direcciones de origen como de destino.

Seguridad de nivel medio:

La seguridad de nivel medio usa las características de seguridad DNS disponibles sin ejecutar servidores DNS
en controladores de dominio ni almacenar zonas DNS en los Servicios de dominio de Active Directory (AD DS).
La seguridad DNS de nivel medio tiene las siguientes características:

 La infraestructura DNS de la organización tiene una exposición limitada a Internet.

 Todos los servidores DNS están configurados para usar reenviadores que apunten a una lista específica
de servidores DNS internos cuando no puedan resolver los nombres de forma local.

 Todos los servidores DNS limitan las transferencias de zona a servidores incluidos en los registros de
recursos del servidor de nombres (NS) de sus respectivas zonas.

 Los servidores DNS se configuran para escuchar en direcciones IP especificadas.

 La función para evitar la contaminación de la caché está habilitada en todos los servidores DNS.

 La actualización dinámica no segura no está permitida en ninguna zona DNS.

 Los servidores DNS internos se comunican con los servidores DNS externos mediante el firewall con
una lista limitada de direcciones de origen y de destino permitidas.

 Los servidores DNS externos delante del firewall se configuran con sugerencias de raíz que apuntan a
los servidores raíz de Internet.

 Todas las resoluciones de nombres de Internet se realizan con puertas de enlace y servidores proxy.

Seguridad de nivel alto:

La seguridad de nivel alto usa la misma configuración que la seguridad de nivel medio. También usa las
características de seguridad disponibles cuando el servicio Servidor DNS se ejecuta en un controlador de
dominio y las zonas DNS se almacenan en AD DS. Asimismo, la seguridad de nivel alto elimina completamente
la comunicación DNS con Internet. No es la configuración típica, pero se recomienda cuando no se requiere
conectividad a Internet. La seguridad DNS de nivel alto tiene las siguientes características:

 En la infraestructura DNS de la organización, los servidores DNS internos no tienen comunicación con
Internet.

 La red usa un espacio de nombres y una raíz DNS de carácter interno; toda la autoridad de las zonas
DNS es interna.

 Los servidores DNS que se configuran con reenviadores sólo usan direcciones IP de servidor DNS
interno.
  Todos los servidores DNS limitan las transferencias de zona a las direcciones IP especificadas.

 Los servidores DNS se configuran para escuchar en direcciones IP especificadas.

 La función para evitar daños en la memoria caché está habilitada en todos los servidores DNS.

 Los servidores DNS internos se configuran con sugerencias de raíz que señalan a los servidores DNS
internos que hospedan la zona raíz del espacio de nombres interno.

 Todos los servidores DNS se ejecutan en controladores de dominio. Se configura una lista de control de
acceso discrecional (DACL) en el servicio Servidor DNS para permitir que sólo usuarios específicos
realicen tareas administrativas en el servidor DNS.

 Todas las zonas DNS se almacenan en AD DS. La lista DACL se configura para permitir que sólo usuarios
específicos puedan crear, eliminar o modificar zonas DNS.

 Las listas DACL se configuran en registros de recursos DNS para permitir que sólo usuarios específicos
puedan crear, eliminar o modificar datos DNS.

 La actualización dinámica segura se configura para las zonas DNS, excepto para las zonas raíz y de nivel
superior, que no permiten ningún tipo de actualización dinámica.

Protección de la implementación de DNS:

Cuando se diseñe la implementación del servidor de Sistema de nombres de dominio (DNS), es importante
tener en cuenta las siguientes instrucciones de seguridad de DNS.

 Si los hosts de la red no son necesarios para resolver los nombres en Internet, eliminar la comunicación
de DNS con Internet.

 En este diseño de DNS, se puede usar un espacio de nombres DNS privado que se hospede en su
totalidad en la red. El espacio de nombres DNS privado se distribuye como el espacio de nombres DNS
de Internet, en el que los servidores DNS internos hospedan zonas para el dominio raíz y los dominios
de nivel superior.

 Dividir el espacio de nombres DNS de la organización entre servidores DNS internos detrás del firewall
y servidores DNS externos delante del firewall.

 En este diseño de DNS, el espacio de nombres DNS interno es un subdominio del espacio de nombres
DNS externo. Por ejemplo, si el espacio de nombres DNS de Internet de la organización es
tailspintoys.com, el espacio de nombres DNS interno de la red es corp.tailspintoys.com.

 Hospedar el espacio de nombres DNS interno en servidores DNS internos y hospedar el espacio de
nombres DNS externo en servidores DNS externos que estén expuestos a Internet.

Para resolver las consultas de nombres externos que realizan los hosts internos, los servidores DNS
internos de este diseño de DNS reenvían consultas de nombres externos a los servidores DNS externos.
Los hosts externos sólo usan servidores DNS externos para la resolución de nombres de Internet.
  Configurar el firewall de filtrado de paquetes para que únicamente permita la comunicación por el
puerto UDP y TCP 53 entre el servidor DNS externo y un solo servidor DNS interno.

Este diseño de DNS facilita la comunicación entre los servidores DNS internos y externos e impide que
cualquier otro equipo externo obtenga acceso al espacio de nombres DNS interno.

Protección del servicio Servidor DNS:

Para contribuir a proteger los servidores del Sistema de nombres de dominio (DNS) de la red, se pueden llevar
a cabo las instrucciones que se detallan a continuación.

Examen y configuración de los parámetros que afecten a la seguridad del servicio

Servidor DNS predeterminado:
Las siguientes opciones de configuración para el servicio Servidor DNS tienen implicaciones de seguridad para
el servicio estándar y el servicio Servidor DNS integrado en Active Directory.

Configuración
Descripción
predeterminada

De forma predeterminada, un servicio Servidor DNS que se ejecuta en un equipo con

varios hosts está configurado para escuchar las consultas de DNS usando todas sus
direcciones IP. Limitar las direcciones IP que el servicio Servidor DNS escucha en la
Interfaces
dirección IP que sus clientes usan como servidor DNS preferido.

De forma predeterminada, el servicio Servidor DNS está protegido de la corrupción de la

caché, que se produce cuando las respuestas de las consultas DNS contienen datos
malintencionados o no autoritativos. La opción Asegurar caché contra corrupción impide
Asegurar caché que un atacante consiga dañar la caché de un servidor DNS con registros de recursos no
contra corrupción solicitados por el Servidor DNS. El cambio de esta configuración predeterminada reduce la
integridad de las respuestas proporcionadas por el servicio Servidor DNS.

De forma predeterminada, la recursividad no está deshabilitada para el servicio Servidor

DNS. Esto permite que el servidor DNS realice consultas recursivas en nombre de sus
clientes DNS y los servidores DNS que le han redirigido las consultas DNS del cliente. Los
Deshabilitar atacantes pueden usar la recursividad para denegar el servicio Servidor DNS. Por lo tanto,
recursividad si un servidor DNS de la red no está pensado para recibir consultas recursivas, debe
deshabilitarse.

Si se tiene una raíz de DNS interna en la infraestructura de DNS, configurar las sugerencias
de raíz de los servidores DNS internos para que apunten sólo a los servidores DNS que
Sugerencias de raíz
hospedan el dominio raíz y no a los servidores DNS que hospedan el dominio raíz de
Internet. Esto impide que los servidores DNS internos envíen información privada a través
 de Internet cuando resuelven nombres.

Administrar DACL en servidores DNS que se ejecutan en controladores

de dominio:
Además de la configuración predeterminada del servicio Servidor DNS ya descrita que afecta a la seguridad,
los servidores DNS que están configurados como controladores de dominio usan una lista de control de acceso
discrecional (DACL). Se puede usar DACL para controlar los permisos para los grupos y usuarios de
Active Directory que controlan el servicio Servidor DNS.

En la siguiente tabla se muestran los nombres de usuario o grupo y los permisos predeterminados para el
servicio Servidor DNS cuando se ejecuta en un controlador de dominio.

Nombres de grupos o usuarios Permisos

Permitir: Leer, Escribir, Crear todos los objetos secundarios, Permisos

Administradores
especiales
Creator Owner Permisos especiales
Permitir: Leer, Escribir, Crear todos los objetos secundarios, Eliminar
DnsAdmins
objetos secundarios, Permisos especiales
Permitir: Control total, Leer, Escribir, Crear todos los objetos secundarios,
Administradores del dominio
Eliminar objetos secundarios
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Administradores de organización
secundarios, Eliminar objetos secundarios
Controladores de dominio
Permitir: Permisos especiales
empresariales
Acceso compatible anterior a
Permitir: Permisos especiales
Windows 2000
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Sistema
secundarios, Eliminar objetos secundarios

Cuando el servicio Servidor DNS se ejecuta en un controlador de dominio, puede administrar su DACL con el
objeto MicrosoftDNS de Active Directory. Configurar DACL en el objeto MicrosoftDNS tiene el mismo efecto
que configurar DACL en el servidor DNS del Administrador de DNS, que es el método recomendado. En
consecuencia, los administradores de seguridad de los objetos de Active Directory y los servidores DNS deben
estar en contacto directo para garantizar que un administrador no cambie la configuración de seguridad
establecida por otro administrador.

Protección de zonas DNS:

En las siguientes secciones, las opciones de configuración de zona del Sistema de nombres de dominio (DNS)
tienen implicaciones de seguridad relativas a las zonas DNS estándar e integradas en Active Directory.
Configuración de actualizaciones dinámicas seguras:
De forma predeterminada, la opción Actualizaciones dinámicas no está configurada para permitir
actualizaciones dinámicas. Es la opción más segura, ya que impide que el atacante actualice las zonas DNS. No
obstante, esta opción impide que el usuario pueda aprovechar las ventajas administrativas que proporciona la
actualización dinámica. Si desea configurar los equipos para que actualicen los datos DNS de forma segura,
almacene las zonas DNS en los Servicios de dominio de Active Directory (AD DS) y use la característica de
actualización dinámica segura. La actualización dinámica segura restringe las actualizaciones de zona DNS a los
equipos que se autentican y se unen al dominio de Active Directory en el que se ubica el servidor DNS y a la
configuración de seguridad específica definida en las listas de control de acceso (ACL) de la zona DNS.

Administración de DACL en las zonas DNS almacenadas en AD DS:

Se puede usar la lista de control de acceso discrecional (DACL) para administrar los permisos de los usuarios y
los grupos de Active Directory que puedan controlar las zonas DNS.

En la siguiente tabla se muestran los nombres y los permisos predeterminados de grupos o usuarios para las
zonas DNS almacenadas en AD DS.

Nombres de grupos o usuarios Permisos

Permitir: Lectura, Escritura, Crear todos los objetos secundarios,

Administradores
Permisos especiales
Usuarios autenticados Permitir: Crear todos los objetos secundarios
Creator Owner Permisos especiales
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
DnsAdmins
secundarios, Eliminar objetos secundarios, Permisos especiales
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Administradores del dominio
secundarios, Eliminar objetos secundarios
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Administradores de organización
secundarios, Eliminar objetos secundarios
Controladores de dominio Permitir: Control total, Lectura, Escritura, Crear todos los objetos
empresariales secundarios, Eliminar objetos secundarios, Permisos especiales
Todos Permitir: Lectura, Permisos especiales
Acceso compatible con versiones
Permitir: Permisos especiales
anteriores a Windows 2000
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Sistema
secundarios, Eliminar objetos secundarios

El servicio Servidor DNS que se ejecuta en un controlador de dominio y que tiene zonas almacenadas en AD DS
almacena sus datos de zona en AD DS con objetos y atributos de Active Directory. Configurar la DACL en los
objetos de Active Directory DNS tiene el mismo efecto que configurarla en zonas DNS del Administrador de
DNS. En consecuencia, los administradores de la seguridad de los objetos de Active Directory y los
administradores de la seguridad de los datos DNS deben estar en contacto directo para asegurarse de que no
invierten sus respectivas configuraciones de seguridad.
En la siguiente tabla se describen los objetos y los atributos de Active Directory que usan los datos de zona
DNS.

Objeto Descripción

DnsZone Este contenedor se crea al almacenar una zona en AD DS.

DnsNode Este objeto hoja se usa para asignar y asociar un nombre de la zona a datos de recursos.
Este atributo multivalor de un objeto DnsNode se usa para almacenar los registros de recursos
DnsRecord
asociados al objeto de nodo denominado.
Este atributo multivalor de un objeto DnsZone se usa para almacenar información de
DnsProperty
configuración.

Restricción de transferencias de zona:

De forma predeterminada, el servicio Servidor DNS permite que la información de zona se transfiera sólo a
servidores incluidos en los registros de recursos del servidor de nombres (NS) de una zona. Se trata de una
configuración segura, pero para mayor seguridad, debe cambiarse a la opción que permite transferencias de
zona a direcciones IP especificadas. Cambiar esta opción para permitir transferencias de zona a todos los
servidores puede exponer los datos DNS a un atacante que intente realizar una representación de la red.

Descripción del compromiso implícito en la delegación de zonas:

Si se considera la posibilidad de delegar nombres de dominio DNS a zonas hospedadas en servidores DNS
administrados de forma independiente, resulta importante tener en cuenta las implicaciones de seguridad que
se derivan de otorgar a varios usuarios la capacidad de administrar los datos DNS de la red. La delegación de
zonas DNS implica un compromiso entre las ventajas de seguridad de tener un solo servidor DNS autoritativo
para todos los datos DNS y las ventajas administrativas de distribuir la responsabilidad del espacio de nombres
DNS a otros administradores. Esta cuestión resulta muy importante al delegar los dominios de nivel superior
de un espacio de nombres DNS privado, ya que dichos dominios contienen datos DNS confidenciales.

Protección de registros de recursos DNS:

Las siguientes opciones de configuración de registros de recursos del Sistema de nombres de dominio (DNS)
tienen implicaciones de seguridad para los registros de recursos que se almacenan en zonas DNS estándar y
zonas DNS integradas en Active Directory:

Administración de DACL en registros de recursos DNS almacenados en

Servicios de dominio de Active Directory:
Se puede usar la lista de control de acceso discrecional (DACL) para controlar los permisos para los grupos y
los usuarios de Active Directory que pueden controlar los registros de recursos DNS. En la siguiente tabla se
muestran los nombres de usuario y grupo, y los permisos predeterminados para los registros de recursos DNS
que se almacenan en Servicios de dominio de Active Directory (AD DS).
Nombres de grupos o usuarios Permisos

Permitir: Leer, Escribir, Crear todos los objetos secundarios, Permisos

Administradores
especiales
Usuarios autenticados Permitir: Crear todos los objetos secundarios
Creator Owner Permisos especiales
Permitir: Control total, Leer, Escribir, Crear todos los objetos secundarios,
DnsAdmins
Eliminar objetos secundarios, Permisos especiales
Permitir: Control total, Leer, Escribir, Crear todos los objetos secundarios,
Administradores del dominio
Eliminar objetos secundarios
Administradores de Permitir: Control total, Lectura, Escritura, Crear todos los objetos
organización secundarios, Eliminar objetos secundarios
Controladores de dominio Permitir: Control total, Lectura, Escritura, Crear todos los objetos
empresariales secundarios, Eliminar objetos secundarios, Permisos especiales
Todos Permitir: Leer, Permisos especiales
Acceso compatible anterior a
Permitir: Permisos especiales
Windows 2000
Permitir: Control total, Lectura, Escritura, Crear todos los objetos
Sistema
secundarios, Eliminar objetos secundarios

Protección de clientes DNS:

Las siguientes consideraciones sobre los clientes del Sistema de nombres de dominio (DNS) tienen
consecuencias sobre la seguridad de los clientes DNS en infraestructuras DNS.

Siempre que sea posible, especificar las direcciones IP estáticas de los

servidores DNS preferidos y alternativos que usa un cliente DNS:
Si un cliente DNS está configurado para obtener automáticamente las direcciones de servidor DNS, las
obtendrá de un servidor de Protocolo de configuración dinámica de host (DHCP). Si bien este método es
seguro, tiene solamente el mismo nivel de seguridad que el servidor DHCP. Al configurar los clientes DNS con
las direcciones IP estáticas de los servidores DNS preferidos y alternativos, puede eliminar una posible vía de
ataque.

Control de los clientes DNS que obtienen acceso al servidor DNS:

Si un servidor DNS está configurado para escuchar solamente en determinadas direcciones IP, sólo podrán
ponerse en contacto con este servidor aquellos clientes DNS que estén configurados para usar estas
direcciones IP como servidores DNS preferidos o alternativos.

Lista de comprobación: Protección del servidor DNS:

Especialmente en el caso de los servidores DNS con acceso a Internet, es importante garantizar la protección
de la infraestructura DNS frente a ataques del exterior o incluso del interior de la organización. Se puede
configurar el servidor DNS, integrado con Active Directory, para usar actualizaciones dinámicas seguras con el
fin de impedir la modificación no autorizada de los datos DNS. Es posible tomar medidas adicionales para
reducir las posibilidades de que un atacante pueda poner en peligro la integridad de la infraestructura DNS:

 Determinar cuáles son las amenazas para la seguridad DNS más importantes en el entorno y el nivel de
seguridad que se necesita.

 Para impedir que alguien ajeno a la empresa obtenga información de la red interna, usar servidores
DNS independientes para la resolución de nombres internos y de Internet. El espacio de nombres DNS
interno debe hospedarse en servidores DNS situados detrás del firewall de la red. La presencia externa
de DNS en Internet debe administrarla un servidor DNS en una red perimetral. Para ofrecer la
resolución de nombres de Internet en hosts internos, se puede hacer que los servidores DNS internos
usen un reenviador para enviar consultas externas al servidor DNS externo. Configurar el enrutador
externo y el firewall para permitir el tráfico DNS sólo entre sus servidores DNS internos y externos.

 En el caso de los servidores DNS de la red que están expuestos a Internet, si debe habilitarse la
transferencia de zona, restringir las transferencias de zona DNS a los servidores DNS que identifican los
registros de recursos del servidor de nombres (NS) o a los servidores DNS específicos de su red.

 Si el servidor que ejecuta el servicio Servidor DNS es un equipo de host múltiple, restringir el servicio
Servidor DNS para que escuche sólo en la dirección IP de la interfaz que usan sus clientes DNS y sus
servidores internos. Por ejemplo, un servidor que actúa como servidor proxy puede tener dos
adaptadores de red, uno para la intranet y otro para Internet. Si ese servidor también ejecuta el
servicio Servidor DNS, se puede configurar el servicio para que escuche el tráfico DNS sólo en la
dirección IP que usa el adaptador de red de la intranet.

 Asegurarse de que las opciones de servidor predeterminadas que protegen las cachés de todos los
servidores DNS frente a la corrupción de los nombres no hayan cambiado. La corrupción de los
nombres se produce cuando las respuestas de las consultas DNS contienen datos no autoritativos o
malintencionados.

 Permitir sólo actualizaciones dinámicas seguras para todas las zonas DNS. Esto garantiza que
únicamente los usuarios autenticados pueden enviar actualizaciones de DNS mediante el uso de un
método seguro, lo que puede contribuir a impedir que las direcciones IP de hosts de confianza sean
secuestradas por un atacante.

 Deshabilitar la recursividad en servidores DNS que no respondan a clientes DNS directamente y que no
estén configurados con reenviadores. Un servidor DNS solamente necesita la recursividad si responde a
consultas recursivas de clientes DNS o si está configurado con un reenviador. Los servidores DNS usan
consultas iterativas para comunicarse entre ellos.

 Si se dispone de un espacio de nombres DNS interno y privado, configurar las sugerencias de raíz en los
servidores DNS internos para que sólo apunten a los servidores DNS que hospeden el dominio raíz
interno y no a los servidores DNS que hospedan el dominio raíz de Internet.
  Si el servidor que ejecuta el servicio Servidor DNS es un controlador de dominio, usar las listas de
control de acceso (ACL) de Active Directory para proteger el control de acceso del servicio Servidor
DNS.

 Usar sólo zonas DNS integradas en AD DS. Las zonas DNS almacenadas en AD DS pueden aprovecharse
de las características de seguridad de Active Directory como, por ejemplo, la actualización dinámica
segura y la capacidad de aplicar la configuración de seguridad de AD DS a servidores y zonas DNS, y a
registros de recursos.
 Si una zona DNS no está almacenada en AD DS, proteger el archivo de zona DNS mediante la
modificación de los permisos del archivo de zona DNS situado en la carpeta en la que se almacenan los
archivos de zona. Los permisos de la carpeta o del archivo de zona deben configurarse para permitir el
control total únicamente en el grupo Sistema. Los archivos de zona se almacenan de forma
predeterminada en la carpeta %systemroot%\System32\Dns.

¿QUE SABEMOS DE LOS DNS?

Qué significa DNS:
Cada equipo conectado directamente a Internet tiene al menos una dirección IP específica. Sin embargo, los
usuarios no desean trabajar con direcciones numéricas, como por ejemplo 194.153.205.26, sino con un
nombre de dominio o más específicamente, con direcciones (llamadas direcciones FQDN) como por ejemplo
es.kioskea.net.

Es posible asociar nombres en lenguaje normal con direcciones numéricas gracias al sistema llamado DNS
(Sistema de Nombres de Dominio).

Esta correlación entre las direcciones IP y el nombre de dominio asociado se llama resolución de nombres de
dominio (o resolución de direcciones).

Introducción al Sistema de Nombres de Dominio:

Este sistema ofrece:

 Un espacio de nombre jerárquico que permite garantizar la singularidad de un nombre en una

estructura arbórea.
 Un sistema de servidores de distribución que permite que el espacio de nombre esté disponible.
 Un sistema de cliente que permite "resolver" nombres de dominio, es decir, interrogar a los servidores
para encontrar la dirección IP que corresponde a un nombre.

Espacio de nombre:
La estructura del sistema DNS se basa en una estructura de arbórea en donde se definen los dominios de nivel
superior (llamados TLD, Dominios de Nivel Superior); esta estructura está conectada a un nodo raíz
representado por un punto.
Cada nodo del árbol se llama nombre de dominio y tiene una etiqueta con una longitud máxima de 63
caracteres.

Por lo tanto, todos los nombres de dominio conforman una estructura arbórea inversa en donde cada nodo
está separado del siguiente nodo por un punto (".").

El extremo de la bifurcación se denomina host, y corresponde a un equipo o entidad en la red. El nombre del
ordenador que se provee debe ser único en el dominio respectivo, o de ser necesario, en el sub-dominio. Por
ejemplo, el dominio del servidor Web por lo general lleva el nombre www.

La palabra "dominio" corresponde formalmente al sufijo de un nombre de dominio, es decir, la recopilación

de las etiquetas de nodo de la estructura arbórea, con excepción del ordenador.

El nombre absoluto está relacionado con todas las etiquetas de nodo de una estructura arbórea, separadas
por puntos y que termina con un punto final que se denomina la dirección FQDN (Nombre de Dominio
totalmente calificado). La profundidad máxima de una estructura arbórea es 127 niveles y la longitud máxima
para un nombre FQDN es 255 caracteres. La dirección FQDN permite ubicar de manera única un equipo en la
red de redes. Por lo tanto, es.kioskea.net. es una dirección FQDN.

Servidores de nombres de dominio:

Los equipos llamados servidores de nombres de dominio permiten establecer la relación entre los nombres de
dominio y las direcciones IP de los equipos de una red.

Cada dominio cuenta con un servidor de nombre de dominio, llamado servidor de nombre de dominio
principal, así como también un servidor de nombre de dominio secundario, que puede encargarse del servidor
de nombre de dominio principal en caso de falta de disponibilidad.

Cada servidor de nombre de dominio está especificado en el servidor de nombre de dominio en el nivel
superior inmediato, lo que significa que la autoridad sobre los dominios puede delegarse implícitamente. El
sistema de nombre es una arquitectura distribuida, en donde cada entidad es responsable de la
administración de su nombre de dominio. Por lo tanto, no existe organización alguna que sea responsable de
la administración de todos los nombres de dominio.
Los servidores relacionados con los dominios de nivel superior (TLD) se llaman "servidores de dominio de
nivel superior". Son 13, están distribuidos por todo el mundo y sus nombres van desde "a.root-servers.net"
hasta "m.root-servers.net".

Resolución de nombres de dominio:

El mecanismo que consiste en encontrar la dirección IP relacionada al nombre de un ordenador se conoce
como "resolución del nombre de dominio". La aplicación que permite realizar esta operación (por lo general,
integrada en el sistema operativo se llama "resolución".

Cuando una aplicación desea conectarse con un host conocido a través de su nombre de dominio (por
ejemplo, "es.kioskea.net"), ésta interroga al servidor de nombre de dominio definido en la configuración de su
red. De hecho, todos los equipos conectados a la red tienen en su configuración las direcciones IP de ambos
servidores de nombre de dominio del proveedor de servicios.

Entonces se envía una solicitud al primer servidor de nombre de dominio (llamado el "servidor de nombre de
dominio principal"). Si este servidor de nombre de dominio tiene el registro en su caché, lo envía a la
aplicación; de lo contrario, interroga a un servidor de nivel superior (en nuestro caso un servidor relacionado
con el TLD ".net"). El servidor de nombre de nivel superior envía una lista de servidores de nombres de
dominio con autoridad sobre el dominio (en este caso, las direcciones IP de los servidores de nombres de
dominio principal y secundario para cómofunciona.net).

Entonces el servidor de nombres de dominio principal con autoridad sobre el dominio será interrogado y
devolverá el registro correspondiente al dominio del servidor (en nuestro caso www).
¿QUE SABEMOS DE LOS BALANCEADORES DE CARGA?
De los distintos balanceadores de carga que se lee en la unidad, uno de los métodos más conveniente para
implementar es el de Nodo de Balanceo, ya que es más completo y ofrece más ventajas que las otras
alternativas que estudiamos. A continuación una breve introducción sobre el balanceo de carga y detallado
bien cada uno de estos métodos, donde se expone claramente por qué puede ser la mejor alternativa.

Balanceador de carga:
Un Balanceador de carga fundamentalmente es un dispositivo de hardware o software que se pone al frente
de un conjunto de servidores que atienden una aplicación y, tal como su nombre lo indica, asigna o balancea
las solicitudes que llegan de los clientes a los servidores usando algún algoritmo.

El Balanceo de carga es una técnica empleada para compartir el trabajo a realizar entre varios elementos que
dispongan de los recursos necesarios y sean capaces de realizarlo, como procesadores, equipos, sistemas de
almacenamiento y otros dispositivos.

Se realiza gracias a algoritmos de balanceo que dividen de la manera más precisa y equitativa posible el
trabajo, encuentran el mapeo de tareas que resulte proporcional y consiguen que cada componente tenga una
cantidad de trabajo que demande aproximadamente el mismo tiempo, para evitar los llamados cuellos de
botella entre los elementos que lo componen.

Un mapeo que balancea la carga de trabajo de los procesadores incrementa la eficiencia global y reduce el
tiempo de ejecución. La administración del balanceo es particularmente compleja si los procesadores (y las
comunicaciones entre ellos) son heterogéneos, ya que deben tenerse en cuenta los protocolos, velocidades,
sistemas operativos y comunicaciones.

Balanceo de carga en servidores:

Cuando un servidor se ralentiza debido a la congestión de información, la solución más común sería ampliar
los recursos para que puedan dar respuesta a todas las peticiones por parte de clientes. Pero si el
procesamiento está en constante crecimiento esta solución será un parche y sólo resolverá los problemas
temporalmente.

La solución, por lo tanto, será añadir y configurar más servidores y establecer una política de balanceo de
carga para procesar las peticiones de los clientes hacia ellos. Así, se incrementará la velocidad de acceso del
cliente al servidor, mejorará la disponibilidad y fiabilidad del sistema y la tolerancia a fallos, permitiendo
reparar o mantener cualquier servidor en caliente sin que afecte al resto del servicio.