DNS

Sistema de Nombres de Dominio

Direcciones de dominio
• URI es una cadena que indica un recurso en internet, puede llevar
datos adicionales como la forma de acceso al recurso
• URL se trata de una URI que nos indica donde está el recurso, nos
indica la forma de acceso mediante el protocolo a usar
• URN indica el nombre de un recurso que debe ser único, público e
independiente de la localización
Historia DNS … los inicios
• En los comienzos de Internet se usaba un sistema de nombres planos,
la relación entre el nombre del equipo y la IP se almacenaba en un
fichero (host.txt) localizado en un servidor central.
• Los equipos se conectaban mediante ftp al servidor central de forma
periódica para descargarse el fichero y poder usar los nombres que
contenía.
 7

Ejemplo fichero host: fichero de texto plano

Historia DNS II... época dorada
• Hasta mediados de los 80 esto funcionaba bien porque el fichero se
actualizaba pocas veces a la semana.
Historia DNS III.... nubarrones en el horizonte
• Existen problemas de:
• Organización
• Escalabilidad
• Administración
• Porque la forma en que estaba concebido el servicio
• Sobrecarga del servidor por aumento de tamaño y de descargas
• Aumento del tráfico de red
• Aumento de la probabilidad de duplicidad de nombres
• Dificultad para administrar el fichero y gestionar las múltiples peticiones
de nuevos nombres
• Aumento del tiempo que tardaban en hacerse efectivos los cambios
Solución
• Repartir la carga entre varios servidores, cada un
debería poder mantener información local, pero
hacerla accesible globalmente.
• Descentralizar el almacenamiento y su
administración, es decir no concentrar toda la carga
en un solo hosts, evitando así los cuellos de botella.
Sistema jerárquico
y almacenamiento
distribuido
Sistema de nombres
• Plano • Jerárquico
El nombre no representa ningún El nombre indica la pertenencia a
tipo de jerarquía, la pertenencia a una organización de forma
subredes u otra lo determinará jerarquizada o en forma de árbol.
otra condición. Donde cada nivel del árbol puede
representar una rama o una hoja
del árbol.
Protocolo DNS (Domain Name System)
• Surge para evitar la complejidad que supone identificar a los equipos
y los recursos utilizando el direccionamiento de la capa de red.
Direcciones Ipv4 e Ipv6

• En 1986 Paul Mockapetris creó este protocolo con el que se crean

direcciones de dominio que son cadenas de texto a las cuales se les
asocia una dirección IP. De esta forma los equipos y recursos se
identificarán por un nombre y también por una IP.
Servicio DNS (Domain Name System)
• El Sistema de Nombres de dominio (DNS, Domain Name System) es
un sistema de nomenclatura jerárquico descentralizado para
dispositivos conectados a redes IP como Internet o una red privada.

• Este sistema asocia información variada con nombres de dominios

asignados a cada uno de los participantes.

• Su función más importante es "traducir" nombres inteligibles para

las personas en identificadores binarios asociados con los equipos
conectados a la red, esto con el propósito de poder localizar y
direccionar estos equipos mundialmente.
Servicio DNS (Domain Name System)
• Proporciona un mecanismo de traducción de nombres de máquina a
direcciones IP, pero en determinadas circunstancias va a realizar el
proceso contrario (DNS inverso) y que permite localizar el servidor
donde reside un sitio o recurso.

• Se trata de un servicio de búsqueda de direcciones IP y de nombres

de dominios para una red TCP/IP
Características
• DNS ofrece un servicio de almacenamiento y consulta de información.
Esta información se guarda en una base de datos distribuida en
múltiples equipos (servidores de nombres) y se indexa según un
esquema de nombres jerárquico (espacio de nombres de dominio)
• Un servidor DNS no tiene por qué resolver todos los nombres de la
red. La resolución y administración de los nombres se realiza de
forma distribuida entre todos los servidores de la red.
• La consulta de la base de datos de nombres se realiza mediante el
modelo cliente/servidor
Utilidad del servicio DNS
• DNS puede almacenar varios tipos de información sobre cada nombre
de dominio y por ello se puede utilizar para distintos propósitos:
• Resolución de nombres
• Resolución inversa de direcciones
• Resolución de servidores de correo
¿Cuándo usamos el servicio DNS?
• Al consultar un recurso web
• Al realizar un ping IP
• Al realizar un ping por nombre de host
• Etc...
Componentes del servicio DNS
• Espacio de nombres de dominio
• Base de datos DNS
• Servidores de nombres (Servidores DNS)
• Clientes DNS
• Protocolo DNS
Componentes
del servicio
DNS
Espacio de nombres de dominio
• Conjunto de nombres que se pueden utilizar para identificar
máquinas o servicios de una red.
• Es una base de datos distribuida entre múltiples servidores DNS y que
almacena los nombres junto con las direcciones IP.
• Es una estructura jerárquica organizada en forma de árbol invertido
con varios niveles de dominio
Espacio de nombres de dominio
Estructura jerárquica del espacio de nombres
de dominio
Nombres de dominio
• Formado por una o varias cadenas de caracteres separados por punto.
• Los caracteres están limitado: letras A-Z de ASCII, los dígitos, y el carácter «-» , y no
distinguen mayúsculas de minúsculas. En 2004 se añadieron algunos caracteres como «ä, ö,
ü, é, à, è...» como caracteres permitidos para las etiquetas.

• Cada uno de los cuales no puede ser nulo y con una longitud máxima de 63.

• Nombres relativos, necesitamos conocer el contexto del dominio superior para saber a qué
nombre se hace referencia exactamente

• Nombres absolutos, nombre formado por todas las partes separadas por puntos desde el
nodo correspondiente hasta el dominio raíz. A estos se les llaman nombres de dominios
completos FQDN
FQDN(Full Qualified Domain Name)
• Nombre de dominio completamente cualificado está formado por el
conjunto de nombres que forman la trayectoria desde ese notdo
hasta el nodo raíz.
• Acaban en . (dominio raíz) que suele omitirse salvo en los mapas DNS
• Tiene una longitud máxima de 255 y alguna restricción como el no uso del
carácter ñ
• El nombre de nodo se identifica de forma única dentro de la jerarquía que
genera el árbol de nombres de dominio. No importa el número de interfaces
de red que tenga.
• Existe un límite en el número de niveles cerca de 127
Dominio
• Está formado por el espacio de nombres que comparten el mismo
dominio de primer nivel y segundo nivel.
• Es un subárbol del espacio, es decir, un nodo con todos los nodos por
debajo de él. El dominio contiene máquinas y otros
dominios llamados subdominios.
Uso de los dominios
• Lo habitual es usar un dominio para nombrar a un conjunto de host
y/o subdominios que se agrupan según algún criterio ( misma red,
misma empresa, misma localización, etc) aunque no siempre es así.
Zonas
• Los servidores DNS mantienen información relativa a los dominios,
esa información almacenada constituye una zona, que está definida
por un conjunto de dominios y/o subdominios.
• Una zona no es más que un archivo que se almacena en un servidor
DNS y que contiene una parte de toda la información del espacio de
nombres DNS.
• Cuando un servidor DNS contiene una zona se dice que es
autorizado para esa zona.
• Un servidor DNS puede tener autoridad sobre varias zonas
Zona vs Dominio
• Una zona no es lo mismo que un dominio.
• Un dominio es un subárbol del espacio de nombres de dominio. Los
datos asociados a los nombres de un dominio pueden
estar almacenados en una o varias zonas distribuidas en uno o varios
servidores DNS
Zona y Dominio
Tipos de Zonas según el tipo de búsqueda

Búsqueda • Sirve para obtener

direcciones IP a partir del
directa nombre DNS

Búsqueda • Sirve para obtener nombres

DNS a partir de direcciones
inversa IP
Tipos de Zona según la información
almacenada
Primaria Secundaria
• Contiene información para la resolución • Contiene información para la resolución
que podemos modificar. que solo podemos leer.
• Otros nombres: maestra, principal, • Siempre está vinculada a una zona
primary o master primaria, es una copia de ella
• Otros nombres: esclava, secondary o slave.

Para que exista una zona secundaria debe existir una primaria. La zona primaria entrega la información a la zona
secundaria mediante el proceso de transferencia de zona.
Un servidor puede contener tanto zonas primarias como zonas secundarias.
Dominio raíz
• Tiene nombre nulo, se representa por .
• La zona definida como raíz de todos los dominios de internet está
gestionada por varios servidores de ISC (Internet System Consotium).
Dichos servidores están repartidos en varios lugares del mundo lo que
permite repartir la carga de trabajo entre ellos.
Administración de los nombres de dominio
en Internet
• ICAAN (Internet Corporation forAssigned Names and Numbers) es una
organización sin ánimo de lucro que tiene el objetivo de garantizar
que Internet es estable, operativa y segura.
• Se encarga entre otras funciones de administrar el dominio raíz y de
mantener un registro de los dominios de nivel superior (TLD)
existentes
• https://www.iana.org/domains/root/servers
TLD (Top Level Domain)
En la estructura del espacio de nombres se encuentran bajo el raiz.
Contienen información de los servidores de dominio de segundo nivel
dependientes del dominio.
De la administración de cada dominio TLD se encarga una organización
que cuenta con varios servidores.
Clasificación de los TLD desde un punto
administrativo. TODOS SON DOMINIOS DE NIVEL 1
TLD

gTLD ccTLD arpa reservado

sTLD uTLD

iTLD
gTLD, generic TLD
• También se conocen como dominios genéricos
• Incluyen 3 caracteres o más
• Pueden tener un propósito general o estar restringidos a un uso
específico.
• Los dominios genéricos son los más utilizados y por lo tanto los más
sencillos de registrar.
• Inicialmente se establecieron estos 6, aunque actualmente hay
muchos
.com .net .org
.int .mil .edu
GTLD se clasifican en : sTLD (sponsored TLD)

• También llamados dominios de gTLD

nivel superior patrocinado
• Son propuestos por una agencia,
empresa o fundación sTLD uTLD
independiente que establece y
aplica las reglas del dominio
• Tienen limitaciones tanto en su iTLD
registro como en el uso que se haga
de ellos
• Ej: .nissan, .microsoft…
GTLD se clasifican en : uTLD (unsponsored TLD)

• Operan según las reglas de la gTLD

ICANN con unas políticas de uso
establecidas globalmente sTLD uTLD
• Ej: .com, .info, .org, .net…

iTLD
sTLD se clasifican en : iTLD

• Dominios genéricos que no gTLD

pertenecen a ningún organismo
gubernamental, sino que siguen
una política y reglamentación sTLD uTLD
fijada de forma compartida entre
la ICANN y un organismo privado,
pueden considerarse iTLD
patrocinados.
• Están destinados a fomentar el
uso de una lengua
ccTLD (Country Code Top Level Domain)

• Se corresponden con los dominios de nivel geográfico, usados y reservados

para un país o territorio concreto.
• Tienen una longitud de dos caracteres, y la mayoría siguen el estándar de
códigos de países (ISO 3166-1)
• Cada país designa gestores para su ccTLD y establece las reglas para su
gestión. En España es Red.es quien se encarga de la gestión de .es
• Los dominios geográficos son específicos de cada país o región, por lo
que cuentan con más limitaciones en el registro.
• Ejemplos de dominios geográficos: .ES para España, .FR para Francia, .PT para
Portugal…
.arpa Dominio inverso

• Este dominio es utilizado internamente por los protocolos de Internet para el

mapeo inverso de direcciones IP y se le conoce como in-addr.arpa
• ICANN administra este dominio en estrecha colaboración con Internet
Architecture Board, que tiene la responsabilidad de la política para este
dominio.
• Los elementos del dominio inverso son las direcciones de red construidas
invirtiendo los números que la componen, y terminando en in-addr.arpa.
Ejemplo: La red 138.117.0.0 es el dominio inverso 117.138.in-addr.arpa.
• Esta inversión de los números de las direcciones IP se realiza para mantener la
misma estructura jerárquica de los nombres de dominio:
Dominios reservados
• Son dominios de primer nivel reservados para realizar pruebas
privadas y usarse en documentación sin entrar en conflicto con
nombres TLD actuales o futuros.
• Dominios reservados son:

.test .example .invalid

.localhost
Dominios de segundo nivel
• Se encuentran bajo los TLD
• Registrados a favor de una entidad o empresa que será la encargada de la
gestión.
• Para un dominio de este tipo se tienen uno o varios servidores DNS que
tienen información sobre máquina disponibles en el dominio, posibles
subdominios y sobre servidores DNS del dominio y los subdominios.
• Dominios de segundo nivel son por ej. Mec.es, wikipedia.org, google.com

https://www.nic.es/sgnd/dominio/publicInformacionDominios.action
Registro de nombres de dominio
Delegación
• Consiste en que la organización que administra un dominio cede la
administración de uno o varios o todos sus subdominios a otras
organizaciones
• Es un procedimiento que puede ser recursivo
• Si hay cesión no es necesario informar al nivel superior.

• La división de un dominio en subdominios no implica ceder su

delegación.
Zona , Dominio y delegación
Delegación
Delegación
• La ICAAN administra el domino raíz y delega la
administración de los dominios TLD en otras
organizaciones. Cada una de estas organizaciones
puede delegar la administración de los dominios de
segundo nivel en otras; a su vez, cada organización
puede delegar la administración de sus subdominios en
otras organizaciones y así sucesivamente.
Zonas y delegación
Servidores de nombres
• Escuchan peticiones en los puertos 53/TCP y 53/UDP
• Un servidor puede tener autoridad sobre varias zonas.
• Existen distintos tipos de servidores según la función que realizan y un
mismo servidor puede ser a la vez de varios tipos en función de la
zona.
Servidor Maestro o primario
• Tiene autoridad sobre una zona primaria.
• Todas las modificaciones (añadir, eliminar o actualizar) sobre una zona
se realizan en un servidor primario.

• Si un cliente DNS u otro servidor DNS le pregunta por un nombre de

dominio:
• Si está autorizado , consulta el fichero de zona y responde
• Si no está autorizado, tendrá que buscar la información en otros servidores o
contestar "no lo sé"
Servidor esclavo o secundario
• Tiene autoridad sobre una zona secundaria.
• Obtiene los ficheros de zona de otro servidor autorizado para la zona
(normalmente un servidor maestro) mediante un proceso de
transferencia de zona
• Los ficheros de zona serán de solo lectura, pero pueden ser usados
para dar respuesta a los clientes DNS
Anotaciones sobre maestros y esclavos
• Maestro y esclavo se definen a nivel de zona, eso implica que un
servidor puede ser maestro para varias zonas y esclavo para otras.
• Por cada zona debe existir al menos un servidor primario, la existencia
de servidores secundarios favorecen:
• Reducir y repartir la carga entre los distintos servidores
• Favorecer la tolerancia a fallos --> al menos 1 de cada
• Ofrecer respuestas más rápidas.

Lo ideal es que los servidores DNS de una zona estén ubicados en redes y
localizaciones diferentes para evitar que un problema ( eléctrico, denegación de
servicio, etc) les afecte simultáneamente y deje sin servicio DNS a dicha zona.
 3
6

Consultas Recursivas.
Cuando un cliente formula una pregunta recursiva a un servidor DNS, éste debe intentar
por todos los medios resolverla aunque para ello tenga que preguntar a otros servidores.
Esta es la forma de interrogación más frecuente.
 3
5

Consultas Iterativas (no recursivas)

Si el cliente formula una pregunta iterativa a un servidor DNS, este servidor devolverá o
bien la dirección IP si la conoce o si no, la dirección de otro servidor que sea capaz de
resolver el nombre. Esta forma de interrogación es poco utilizada .

Las consultas a los distintos servidores NS2, NS3, etc.

las realiza el servidor local (NS1)
Servidor Caché
• Se caracteriza porque:
• No tiene autoridad sobre ninguna zona
• Pregunta a otros servidores para resolver las peticiones de los clientes DNS y
guarda las respuestas en caché.
• Se usan porque el proceso de resolución de nombres es costoso en
cuanto a recursos de red y de los equipos servidores y clientes. Este tipo
de servidores ayudan a mejorar los tiempos de respuesta.
• Un servidor que actúa como caché guarda durante un tiempo (TTL Time
To Live) las respuestas a las ultimas preguntas que ha realizado a otros
servidores. Para resolver las peticiones DNS que le llegan primero
consulta su caché antes de preguntar a otro servidor DNS.
Servidor reenviador (forwarding)
• Se considera así a un servidor DNS que ha sido designado por otro u
otros servidores DNS para que se encargue de resolver nombres fuera
del dominio en el que se encuentran.
Se encarga de procesar la consulta preguntando
a otros servidores DNS empezando por el raiz
Reenvía la consulta a otro servidor DNS para
que se encargue de resolverla
Servidor solo autorizado
• Servidor que:
• Es autorizado para una o varias zonas como maestro y/o esclavo.
• No responde a preguntas que no sean relativas a sus zonas, es decir no
pregunta a otros servidores DNS.
• No tiene activada la recursividad, no es reenviador y no actúa como caché.
Servidores raíz
• Autorizados para el dominio raíz
• Están bajo la responsabilidad de la ICANN pero son operados por un
consorcio de organizaciones (RSSAC Root Servers Systems Advisory
Committee).
• Existen 13 servidores raíz y cada uno de ellos tiene múltiples copias
distribuidas por todo el mundo.
• Cuando un cliente DNS hace una petición a una IP del servidor raíz,
los routers de Internet encaminan la pregunta hacia la copia más cercana
mediante un procedimiento llamado anycasting.
• Deben ser conocidos por todos los servidores DNS que respondan a
preguntas sobre nombres para los que no son autorizados
• https://root-servers.org/

• https://www.iana.org/domains/root
• https://www.internic.net/domain/named.root fichero que contiene la
información que deben saber los servidores DNS que necesitan
conocer cuáles son los servidores raíz.
Transferencia de zona
• Es el proceso por el que se obtiene el fichero de zona de otros
servidores DNS autorizados para esas zonas.
• El objetivo de este proceso es que todos los servidores autorizados
para una zona tengan la misma información.
• Este proceso es una fuente de amenazas de seguridad puesto que una
fuente maliciosa puede suplantar identidad y tergiversar la
información almacenada. Para evitar este problema es importante
que los DNS que actúen como esclavo solo acepten transferencias de
zonas de fuentes conocidas.
Transferencia de zona completa (AXFR)
• Es la petición original
• Se realiza desde un servidor esclavo y es una petición de transferencia
completa de zona
Transferencias de zona incrementales(IXFR)
• Para evitar sobrecargar la red se establece este tipo de transferencia
• La comienza un servidor maestro y este envía sólo los registros que
han cambiado desde la última transferencia de zona
Proceso de transferencia de zona
• Se puede iniciar de dos maneras
• Pregunta el esclavo al iniciarse y después cada cierto tiempo de
forma periódica
• El servidor maestro notifica que se han producido cambios en sus
archivos de zona
El servidor esclavo pregunta. El original
1. Cuando se inicia o cada cierto tiempo (refresh del registro SOA)
solicita al maestro su SOA.
2. El servidor maestro responde con el registro SOA
3. Esclavo compara las versiones del registro SOA
4. Si las versiones son distintas ( mas reciente el servidor maestro)
entonces el esclavo está desactualizado. Si coinciden las versiones no
continua el proceso.
5. Envía una petición AXFR
6. El maestro envía la información COMPLETA de zona actualizada
El servidor maestro notifica (NOTIFY)
1. Se produce un cambio en la zona maestra, el servidor maestro avisa
a los esclavos enviando un mensaje NOTIFY
2. El esclavo debe solicitar el registro SOA al maestro
3. El maestro envía el registro SOA
4. El esclavo compara los números de serie de los registros SOA.
5. Si son distintos, debo solicitar la transferencia del fichero de zona o
bien por AXFR (completa) o bien por IXFR)incremental)
6. El servidor maestro envía los datos solicitados.
Cliente DNS (resolvers o resolutores)
• Programas que realizan preguntas a los servidores de nombres y
procesan las respuestas para ofrecer la información a los usuarios y/o
aplicaciones que los invocan.
Protocolo DNS
• Conjunto de normas y reglas en base a las cuales dialogan los clientes
y los servidores DNS

HEADER Especifica cuales son las secciones presentes, el tipo de mensaje y otros
campos
QUESTION Campos que definen una consulta a un servidor de nombres
ANSWER RRs que responden a la consulta
AUTHORITY RRs que apuntan a los servidores de nombre autoritativos
ADDITIONAL RRss que contienen información adicional
Base de datos DNS
• Es una base de datos distribuida y redundante que almacena
información sobre los nombres de dominio. Esta base de datos se
organiza en zonas que almacenan la información en lo que se conoce
como registros de recursos (RR, Resource Records)
Registros de recursos
• Formato general
NombreDeDominio [TTL] Clase TIPO TIPO-Dato

Nombre de dominio con el que se asocia el recurso

TTL (Time To Live) opcional, tiempo que está el registro en caché antes de ser
descartado. Valor 0 indica que no es almacenado
Clase: arquitectura usada, IN para TCP/IP
TIPO: A, CNAME, NS, MX,….
Tipo-DATO información asociada al nombre de dominio, varía en función del
tipo de registro
SOA
FQDN del servidor de Contacto, es el correo del
nombres maestro del responsable, se sustituye
dominio @ por .
dominio
NS
• Servidores autorizados para la zona. Debe existir al menos 1 por zona.
Puede tener nombre de esta o de otra zona.
A
• Correspondencia entre un nombre de dominio y una dirección IPv4
AAAA
• Correspondencia entre un nombre de dominio FQDN y una dirección
IPv6
CNAME
• Permite crear alias para nombres de dominio especificados en
registros de tipo A y AAAA.
• Perjudican el rendimiento porque debemos buscar dos veces en el
fichero.

• No se puede usar con MX ni con NS

MX
• Define un equipo encargado de la entrega del correo en el dominio.
Son consultados por los agentes de transporte de correo SMTP
SRV
• Permiten definir equipos que soportan un servicio en particular
PTR
• Establece una correspondencia entre nombres de direcciones IPv(4,6)
y nombres de dominio.
• Se utilizan en las zonas de resolución inversa.
• Existen zonas de resolución inversa diferenciadas para IPv4 y IPv6
Delegación. Glue • Si el nombre del servidor DNS autorizado del
subdominio se encuentro dentro del propio

Record
subdominio
• Se han añadido estos registros en la zona padre.
• Si no lo definimos bien podemos perder zona de
nombre y dejarla inaccesible
Delegación
• El servidor DNS del subdominio (en el que se delega) no se encuentra
en el subdominio
• Se añade el registro NS pero no hace falta el registro A
Funcionamiento del servicio DNS
• Basado en el modelo cliente/servidor
• Caché y TTL
• Recursividad y Caché
Componentes
del servicio
DNS
Resolución inversa
• Preguntamos por el nombre asociado a una IP
• Se usa para resolver problemas de red, detectar spam en el correo,
seguir una traza, conocer los nombres que aloja un servidor hosting

• El proceso de resolución inversa es similar al de resolución directa,

pero la pregunta se hace sobre la IP en vez de sobre el nombre
Recordemos …..arpa

• El dominio .arpa es utilizado internamente por los protocolos de

Internet para el mapeo inverso de direcciones IP
• ICANN administra este dominio en estrecha colaboración con
Internet Architecture Board, que tiene la responsabilidad de la
política para este dominio.
Sobre las zonas inversas
• Son independientes de las directas, pero la información que
contengan debe ser coherente y no mantener discrepancias.
• No es obligatorio que quien administre la zona directa también lo
haga sobre la inversa.
Servidores de nombres y alta disponibilidad
• El servicio DNS permite almacenar una misma zona en varios
servidores DNS, ofrece así balanceo de carga, rapidez y tolerancia a
fallos. Esto es gracias a la diferencia entre zonas primarias y zonas
secundarias
Zona de Active Directory
• Zona integrada Active Directory: NO es un archivo de texto si no un
objeto de la base de datos de Active Directory, es decir forma parte
del esquema del dominio de AD del que forma parte el equipo que es
servidor DNS y sobre el que construimos este tipo de zona.​
• Ventajas:​
• La zona se replica a todos los DC del dominio de Active Directory y no por
medio del mecanismo de transferencia de zona.​
• La tolerancia a errores mejora sustancialmente.​
• La replicación es más rápida que la transferencia de zona.​
• Se utiliza para resoluciones DNS de Internet y para la búsqueda de los objetos
del esquema del Active Directory.​
Desventajas
• Para un dominio DNS de Internet no nos permite utilizar otros
equipos que no sean bajo este sistema. Es decir no es posible realizar
configuraciones mixtas de equipos con Windows 2000,
Linux, etc puesto que solo los equipos de Windows pueden analizar
este tipo de estructuras.​
DNS Dinámico (DDNS)
• Para que los usuarios tengan acceso a los recursos DNS
correctamente, los servidores DNS que responden a sus peticiones
deben estar actualizados correctamente.

• Las actualizaciones de los ficheros de zona se pueden realizar de

forma manual o dinámica
Actualizaciones manuales
• Es el administrador quien actúa sobre los ficheros de zona realizando
los cambios.
• Los problemas que se plantean en este caso se deben:
• Clientes DHCP que queremos tener registrados
• Gran volumen de actualizaciones

• Los problemas derivados son posibles retrasos y/o errores en las

actualizaciones y mantenimiento del fichero de zona.
Actualizaciones dinámicas
• Proceso por el cual una fuente externa puede actualizar los registros
de recursos de un fichero de zona.

Los • Configurar un cliente DNS en cada equipo

• Configurar el servidor DNS para que permita

clientes actualizaciones dinamicas

DNS
• Configurar el servidor DHCP

Servidores • Configurar los clientes DHCP para que manden

su nombre al servidor o q se lo asigne este

DHCP
• Configurar el servidor DNS para que permita
actualizaciones del servidor DHCP
Ampliamos
DNSMasq
• Este paquete Linux permite instalar un servidor DNS y además
dispone de servidor DHCP que permite resolver los nombres de los
equipos a los que les ha asignado dirección IP dinámica
DNS dinámico en Internet
• La IP del router que nos da a acceso a internet es asignada por un
DHCP, salvo que tengamos una IP fija contratada.
• Si quiero publicar un servidor web, ¿qué ocurre cuando cambia la IP?
Ya que le hemos asignado una IP, la que teníamos en ese momento.
• Debemos informar de ese cambio cuando se produzca
• Existen web que permiten registrar un nombre DNS y actualizar su
dirección IP en tiempo real. (DynDNS, No-ip, EasyDNS)
• Actualización dinámica de cliente DNS
Servidores DNS y seguridad
• Una regla básica de seguridad es desplegar solo los servicios mínimos
necesarios para cumplir los objetivos deseados.
• Esta es una posición idealista que no siempre se puede cumplir.
• Las configuraciones mixtas pueden provocar un mayor riesgo de
seguridad pese a las medidas de seguridad que se puedan tomar
DNS SEC
(Domain Name System Security Extensions)
• Añade una capa de seguridad adicional a los servidores DNS de un
dominio.
• Gracias a ello se previenen una gran cantidad de posibles actividades
maliciosas (man in the middle, envenenamiento de cache).​
• Proporciona integridad de datos y del origen de los mismos, pero no
confidencialidad, podemos saber cuales son las consultas DNS
realizadas.
• DNSSEC utiliza clave pública al utilizarlo se añaden firmas digitales en
cada una de las partes implicadas
• La clave aportada por el registro DNSKEY sirve para verificar la firma
de los registros RRSIG garantizando que no hay un servidor en medio
suplantando su identidad

• Su funcionamiento se basa en que los dominios tienen una firma

digital, que es validada por su dominio padre Los servidores
responden con el registro pedido y la firma de ese registro que
es comprobable por su cable pública
Problemas de seguridad DNS

Transferencia de Actualización Consulta cliente Consulta entre

Servidores DNS
zona dinámica DNS a servidor servidores DNS
• Uso de exploits • Suplantación del • Suplantación de • Envenenamiento • Envenenamiento
• Denegación de maestro que la fuente externa caché del cliente de la cache del
servicios envía los q envía las suplantando al servidor
• Mala registros a los actualizaciones servidor DNS y suplantando al
configuración secundarios enviando servidor DNS
del archivo de registros remoto y
zona erróneos enviando
registros
erróneos