Академический Документы
Профессиональный Документы
Культура Документы
1. Introduccin
8. Delegacin DNS
9. Zona DNS vs dominio DNS
INTRODUCCIN
Hoy en da la comunicacin entre mquinas se realiza a travs del protocolo IP que
utiliza direcciones de 32 bits para identificar los distintos nodos en Internet. Para
facilitar dicha identificacin a los usuarios, en lugar de tener que recordar una
direccin IP trabajamos con una direccin del tipo www.miempresa.com en lugar de
un conjunto de 4 dgitos.
El DNS (Domain Name System o Sistema de nombres de dominio) tiene como
propsito facilitar dicha tarea y permite traducir una direccin del tipo
www.miempresa.com a una direccin IP y viceversa.
Sistemas de nombres planos: son aquellos en los que no hay ninguna jerarqua
que permita clasificar un nombre (y por tanto un ordenador) dentro de una
categora (la ubicacin geogrfica o la pertenencia a un departamento). El DNI de
una persona es un ejemplo de sistema de nombres plano ya que permite
identificar a una persona pero no indica dnde vive o qu ubicacin geogrfica
tiene. Caractersticas:
No permite que existan dos PCs con el
mismo nombre en el mundo
Gestin centralizada y nica para controlar
que no existan conflictos de nombres
Sistemas de nombres jerrquicos: son aquellos en los que existe una jerarqua a
la hora de construir el nombre completo de ese ordenador de modo que, por
ejemplo, se puede determinar su ubicacin geogrfica en el mundo o a qu
departamento pertenece dentro de una empresa. Por ejemplo, la direccin postal
de una persona es un ejemplo de sistema de nombres jerrquico: en una carta
siempre debe aparecer el pas, la provincia, la poblacin, la calle, etc eso
permite identificar a una persona, distinguirla de otra que se llama igual pero que
vive en otro sitio e incluso ubicarla geogrficamente. Caractersticas:
Gestin distribuida de forma que cada entidad o empresa pueda gestionar su
espacio de nombres de forma autnoma
Nombres de PCs iguales en distintos dominios/subdominios
Por todo ello, en noviembre de 1983 se public la primera especificacin del sistema
de DNS en los RFP 882 y 883, sustituida por una nueva en 1987 que con diversas
actualizaciones forma la especificacin actual del DNS.
Cabe destacar que en redes Windows se utiliza un protocolo de nombres
denominado WINS que permite realizar las funciones similares a las del DNS cuando
no est configurado en una red.
Los dominios de primer nivel se denominan por las siglas TLD (Top-Level-Domain)
y, a efectos administrativos, se dividen en dos grupos:
los dominios genricos (gTLD o Generic Top-Level-Domain)
los geogrficos (ccTLD o Country-Code Top-Level-Domain)
La empresa propietaria del dominio ferrari.es agrega y elimina los nodos bajo su
dominio de forma totalmente independiente de la entidad que gestiona al dominio
padre .es. El proceso se denomina delegacin.
Dominios genricos (gTLD o Generic Top-Level Domain): son aquellos que tienen
tres o ms letras: .com, .org, .cat, .info, etc
Dominio .arpa: es una excepcin (debera haber sido considerado como genrico)
y por tanto aparece clasificado aparte. El dominio .arpa, no se utiliza para
obtener la direccin IP de un nombre sino justo para lo contrario; para obtener el
nombre de dominio completo (FQDN) de una determinada direccin IP. Es lo que
se conoce como resolucin inversa
Dominios no patrocinados (uTLD): son aquellos que operan segn las reglas de
ICANN (entidad que gestiona los TLD) y por tanto con unas polticas de uso
establecidas globalmente en Internet. Es decir, no estn patrocinados por nadie.
Por ejemplo: .biz, .com, .info, .net, .org, etc
Dominios patrocinados (sTLD): son aquellos que operan segn las reglas
especficas que determine una entidad que, de algn modo, da soporte a ese
patrocinio. Es una entidad que, determina su poltica de uso. Por ejemplo: .edu,
.gov, .int, .coop, etc
Registro de dominios (registry): ICANN, una vez que ha creado un TLD cede el
control tcnico y burocrtico a una institucin. Esa institucin es el registro del
dominio que se encarga de mantener en funcionamiento los servidores DNS
asociados a ese dominio de primer nivel. El registro, es por tanto, la entidad que
tcnicamente da de alta y baja los dominios de segundo nivel que estn bajo l
DELEGACIN DNS
El proceso de delegacin consta en realizar una gestin independiente de cada
dominio.
La delegacin DNS es el proceso por el cual el gestor de un determinado domino
delega la tarea de gestin, incluyendo el mantenimiento de servidores DNS, de un
domino hijo en una entidad determinada, habitualmente el propietario del dominio.
Esto permite que el dominio que hace la delegacin (dominio padre) se vea liberado
de parte de las tareas que, de otra forma, le corresponderan.
Una vez que se ha producido la delegacin, el dominio padre ya no tiene que conocer
datos sobre el dominio hijo excepto la lista de servidores DNS de este ltimo.
Si el dominio padre no diera la informacin sobre esta lista de servidores DNS, sera
imposible resolver ningn nombre del dominio hijo dado que no se sabe a qu
servidores DNS debo preguntar.
ICANN
Red.es
es
mi-empresa
www
serv1
Mi empresa
pc-sec
Dominio raz
Zona raz
Dominio .es
es
Zona .es
mi-empresa
www
serv1
pc-sec
Dominio mi-empresa.es
Zona .mi-empresa.es
Zona
Dominio
Qu datos hay en la zona raz?: Las referencias a los servidores DNS de todos
los dominios de primer nivel que existen en Internet. Los servidores DNS de la
zona raz no conocen la direccin IP www.mi-empresa.es
Por lo tanto, cada vez que se delegue un dominio se estar creando una nueva zona
separada del dominio padre. Hay que tener en cuenta que se pueden delegar
dominios en cualquier nivel, de modo que si creamos un subdominio .filial.miempresa.es dentro del dominio mi-empresa.es, se podra delegar a la filial y crear
una nueva zona llamada .filial.mi-empresa.es.
FUNCIONAMIENTO DNS
Hemos visto que un servidor DNS (Domain Name System - Sistema de nombres de
dominio) es un servidor que traduce nombres de dominio a IPs y viceversa. En las
redes TCP/IP, cada PC dispone de una direccin IP para poder comunicarse con el
resto de PCs. Es equivalente a las redes de telefona en las que cada telfono
dispone de un nmero de telfono que le identifica y le permite comunicarse con el
resto de telfonos.
Trabajar con direcciones IP es incmodo para las personas, ya que requerira conocer
en todo momento las direcciones IP de los equipos a los que queremos conectarnos.
En su lugar utilizamos nombres de dominio que son ms fciles de recordar y utilizar
como por ejemplo www.google.es, www.juanxxiii.net, etc...
Cada equipo y cada servidor conectado a Internet, dispone de una direccin IP y de
un nombre perteneciente a un dominio. Internamente, la comunicacin entre los PCs
se realiza utilizando direcciones IP por eso es necesario algn sistema que permita, a
partir de los nombres de los PCs, averiguar las direcciones IPs de los mismos.
Ejemplo, cuando queremos acceder a la pgina web de la empresa, en la barra de
direcciones del navegador escribimos: http://www.mi-empresa.es
FUNCIONAMIENTO DNS
Nuestro PC tendr que averiguar cual es la IP correspondiente a www.miempresa.es y una vez que ha averiguado que su IP es 193.147.0.112 (por ejemplo),
se conecta con el servidor para adquirir la pgina web principal y mostrarla al
usuario. Si en el navegador escribimos: http://193.147.0.112, ahorraremos el paso
de averiguar la IP y directamente nos mostrar la pgina web de la empresa.
Un servidor DNS es un servidor que permite averiguar la IP de un PC a partir de su
nombre. Para ello, el servidor DNS dispone de una base de datos en la cual se
almacenan todas las direcciones IP y todos los nombres de los PCs pertenecientes a
su dominio.
No existe una base de datos nica donde se almacenan todas las IPs existentes en
el mundo, sino que cada servidor almacena las IPs correspondientes a su dominio.
Los servidores DNS estn dispuestos jerrquicamente de forma que cuando nuestro
servidor ms inmediato no puede atender nuestra peticin, ste la traslada al DNS
superior.
Los nombres de dominio completamente calificados o FQDN (fully qualified domain
name) se componen por lo general del nombre del host, un nombre de dominio
secundario y un nombre de dominio primario o de nivel mximo (top-level domain o
TLD), que son secciones organizadas jerrquicamente.
FUNCIONAMIENTO DNS
En el proceso de resolucin de un nombre, hay que tener en cuenta que los
servidores DNS funcionan frecuentemente como clientes DNS, consultando a otros
servidores para resolver completamente un nombre consultado.
FUNCIONAMIENTO DNS
En el sistema DNS existen dos tipos de ordenadores:
FUNCIONAMIENTO DNS
Proceso de resolucin del nombre www.univalle.edu
La consulta que ha realizado el cliente al servidor DNS del ISP se denomina recursiva
pues obliga al servidor DNS a buscar la respuesta en beneficio del cliente. El tipo de
consultas que hace el servidor DNS del ISP (en las que se comporta como cliente) a
los otros servidores se denomina iterativa.
FUNCIONAMIENTO DNS
Consultas recursivas
Las consultas recursivas son las mejores que puede hacer un cliente y las peores
que puede recibir un servidor DNS. Es as, porque el cliente hace una consulta y
permanece cmodamente esperando mientras que el servidor es el que tiene que
recorrer todo el rbol DNS hasta encontrar la respuesta.
Dado que estas consultas son costosas para un servidor, este puede negarse a
aceptar ese tipo de consultas. Por lo tanto, una consulta recursiva tiene xito si el
cliente la solicita y el servidor la acepta y este deber suministrarle la respuesta final
o indicarle que hay un error.
A veces puede ser buena idea impedir consultas recursivas de clientes DNS que
estn fuera de nuestra red local. Por ejemplo, ninguno de los servidores de la zona
raz acepta consultas recursivas.
Consultas iterativas
Tambin se denominan consultas no recursivas. Con este tipo de consultas, el
cliente tendr que seguir las referencias que, en su caso, le d el servidor.
RESOLVERS
Un resolver es una parte del sistema operativo que se encarga de realizar las
consultas a un servidor DNS, interpretarlas y devolverlas al programa que ha
efectuado la consulta. Los servidores DNS tambin pueden incorporar un resolver,
que gestiona las consultas que un servidor DNS debe hacer.
Un resolver suele ser simple, de modo que siempre suelen hacer consultas
recursivas exclusivamente. En ocasiones, el resolver puede tener una pequea cach
con la misma funcionalidad que la descrita para los servidores DNS.
SERVIDORES DE NOMBRES
Un servidor de nombres es un ordenador que tiene instalado un servicio (un
programa) que atiende peticiones de clientes DNS. En el caso de que sea un servidor
DNS de una zona, deber estar en funcionamiento permanente.
Los estndares especifican que el servidor DNS se ejecuta sobre el puerto 53 tanto
en UDP (forma habitual) como en TCP.
Para cada zona, debe haber un conjunto de servidores de nombres que atiendan las
peticiones desde cualquier parte del mundo. Este tipo de servidores se denominan
autoritativos porque son los que tienen la informacin real y veraz de la zona. Estos
servidores pueden ser de dos tipos:
SERVIDORES DE NOMBRES
Servidor DNS primario, maestro o master
SERVIDORES DE NOMBRES
Servidor DNS secundario o esclavo
Para cada zona deberemos tener, por tanto, un servidor primario y uno o ms
secundarios por razones de disponibilidad. El nmero total de servidores depender
de la zona de la que se trate. Deberemos procurar que los servidores estn ubicados
en redes diferentes.
SERVIDORES DE NOMBRES
Existen otros dos tipos de servidores DNS:
SERVIDORES DE NOMBRES
Servidor cach DNS
SERVIDORES DE NOMBRES
Disponer de un servidor cach DNS en nuestra red local aumenta la velocidad de la
conexin a Internet pues cuando navegamos por diferentes lugares, continuamente
se estn realizando peticiones DNS. Si nuestro cach DNS almacena la gran mayora
de peticiones que se realizan desde la red local, las respuestas de los clientes se
satisfarn prcticamente de forma instantnea proporcionando al usuario una
sensacin de velocidad en la conexin.
Es un modo de funcionamiento de sencilla configuracin ya que prcticamente lo
nico que hay que configurar son las direcciones IP de un DNS primario y de un DNS
secundario. Muchos routers ADSL ofrecen ya este servicio de cach, tan solo hay que
activarlo y configurar una o dos IPs de servidores DNS en Internet. En los PCs de
nuestra red local podramos poner como DNS primario la IP de nuestro router y como
DNS secundario una IP de un DNS de Internet.
Clase: indica la clase del registro. Realmente slo nos interesa una: Internet, que
se representa con IN
Tipo: tipo del registro, es decir, qu dato nos va a devolver. Puede tratarse de una
direccin IPv4 (A), una direccin IPv6 (AAA) o un servidor de nombres (NS) entre
otros
Valor del TTL: indica el tiempo de vida durante el cual esa entrada puede ser
considerada vlida y se almacena dicha entrada en la cach. Se expresa en
segundos. En los ficheros de zona, si este campo se omite para un determinado
RR se tomar el TTL que se haya definido por defecto
REGISTRO SOA
El registro SOA o Start of Authority (inicio de autoridad) indica la direccin del servidor
principal de esa zona y datos relativos a la forma en la que se sincronizan los
servidores secundarios con el primario. Ejemplo:
mi-empresa.es. IN SOA serv1.mi-empresa.es. responsable.mi-empresa.es. (
REGISTRO SOA
Nmero de serie: lo utilizan los servidores secundarios para saber si la copia que
ellos tienen de la zona est o no actualizada comparando el nmero de serie que
ellos tienen con el que publica el servidor principal. Los secundarios se
actualizan si el nmero de serie del principal es menor que el que tiene ese
secundario. En principio vale cualquier esquema de numeracin siempre que el
nmero de serie aumente con cada actualizacin. No obstante, se recomienda
usar el formato YYYYMMDDnn donde YYYY es el ao, MM es el mes y DD el da
en el que se hizo la actualizacin, dejando nn para las diversas actualizaciones
que se realicen, dentro de un mismo da, de la zona
Actualizacin: indica cada cuanto tiempo (en segundos) deben los secundarios
contactar al primario para comprobar si se ha actualizado la zona. Dependiendo
del nmero de actualizaciones que se hagan de la zona, este nmero deber ser
ms bajo o ms alto. Un nmero excesivamente alto provocar que los
secundarios estn durante un tiempo excesivo con datos de la zona inadecuados
Reintento: indica cada cunto tiempo deben los secundarios reintentar una
actualizacin de zona. Es decir, si despus del primero intento de comprobar la
zona, el primario no est accesible, los siguientes reintentos (hasta que consiga
contactar con el primario) se efectuarn segn el intervalo especificado en este
campo. Suele tener un valor inferior al de actualizacin
REGISTRO SOA
REGISTROS NS
Cada uno de ellos (puede y debe haber ms de uno) indica el FQDN de uno de los
servidores de dominio de la zona (primario o secundario). Formato:
<nombreZona> IN NS <FQDNServidor>
Deben existir tantos registros NS como servidores de nombres hay para esa zona y
dichos servidores pueden estar dentro de la misma zona o fuera de esta. Ejemplo:
mi-empresa.es. IN NS dns1.mi-empresa.es.
mi-empresa.es. IN NS dns2.mi-empresa.es.
mi-empresa.es. IN NS dns.otro-sitio.com.
REGISTROS MX
Los registros MX indican el/los servidor/es de correo electrnico que son los
encargados de recibir email para el nombre de dominio indicado. Formato:
<nombre> IN MX <prioriodad> <FQDNServidor>
Caracterstica:
Ejemplo:
mi-empresa.es. IN MX 10 correo.mi-empresa.es.
mi-empresa.es. IN MX 20 correo2.mi-empresa.es.
mi-empresa.es. IN MX 30 smtp.otro-sitio.com.
REGISTROS A
Los registros A nos permiten especificar una direccin IP para un determinado
nombre. Formato:
<nombre> IN A <direccionIP>
Caractersticas:
Nombre: puede ser o bien un FQDN (termina en .) o bien puede ser un nombre
relativo (no termina en .) en cuyo caso se aadir automticamente el nombre
de la zona al final de ese nombre relativo
Ejemplo:
ldap.mi-empresa.es. IN A 130.206.45.12
pc-director IN A 130.206.45.89
REGISTROS CNAME
Los registros CNAME se usan cuando queremos que varios nombres apunten al
mismo ordenador. Formato:
<nombreAlias> IN CNAME <nombreVerdadero>
Caractersticas:
Ejemplo:
pop3 IN CNAME ldap
En este caso, tenemos un servidor web al que le hemos asignado el nombre ldap.miempresa.es y la direccin IP 130.206.45.12. Si ahora queremos que ese mismo
servidor sea el servidor POP3, IMAP y SMTP deberemos realizar dichos alias.
REGISTROS CNAME
Cuidado: los CNAME no tienen por qu apuntar a algo dentro del mimo dominio, sino
que pueden apuntar a algo en otro dominio. Esto cobra mayor importancia en el caso
de que nuestro servidor web, por ejemplo, est hospedado en otro servidor de otra
empresa:
REGISTROS PTR
Los registros PTR se usan en el donimio in-addr.arpa y, por tanto, sirve para la
resolucin inversa. Formato:
<nombre-in-addr> IN PTR <FQDNNombre>
Caractersticas:
FQDNNombre: se corresponde con un nombre (en la zona directa) que tiene que
ser completamente cualificado
Ejemplo:
10.8.206.130.in-addr.arpa. IN PTR ldap.mi-empres.es.
GLUE RECORD
Hemos visto, que a la hora de determinar la lista de servidores de nombres de una
zona se pregunta a la zona padre. Pero, quin suministra a la zona padre la IP
(registros A) de los servidores de nombre de mi nueva zona?
Dicha funcin corresponde a los denominados glue records o registros de
adherencia. Estos registros se aaden en la zona padre (en el caso de la zona para
mi-empresa.es los tendramos que aadir en la zona .es) y consisten en aadir el
registro A correspondiente a, al menos, todos y cada uno de los servidores que estn
debajo de la zona delegada (en este caso mi-empresa.es).
En el caso del ejemplo de la transparencia de los registros NS, bastara con informar
a la zona .es de los servidores dns1.mi-empresa.es. y dns2.mi-empresa.es.. No
sera necesario informar del servidor dns.otro-sitio.com. ya que puede ser obtenida
preguntando a los servidores de la zona otro-sitio.com. que tendrn los registros
glue record del servidor de nombres.
Por tanto, los glue record son los que pegan una zona a la jerarqua del DNS. Si
estos no existieran la nueva zona no funcionara nunca. Por ello, cuando
configuramos un dominio delegado, debemos asegurarnos que el padre conoce
todas las entradas NS de nuestra zona y, adems, como mnimo las entradas A de
todos los servidores de nombres que estn ubicados dentro de la zona (las entradas
del resto de servidores no son estrictamente necesarias).
DNS DINMICO
La resolucin de nombres a travs de servidores DNS no causa problemas si
tenemos asignada una direccin IP esttica en nuestro ordenador, pero s puede ser
problemtico si nuestro ISP (o nosotros internamente en la empresa a travs de un
DHCP) nos asigna una direccin IP de forma dinmica.