Introduccin a los servicios de nombres de dominio

Introduccin a los servicios de nombres de dominio Sergio Lucas MadridIntroduccin a los servicios de nombres de dominio Domain Name SystemoDNS(en espaol:sistema de nombres de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado aInterneto a unared privada. Este sistema asocia informacin variada connombres de dominiosasignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.Introduccin a los servicios de nombres de dominio El servidor DNS mira en sus tablas de asignacin, y si no lo encuentra entre los datos queGuarda con las ultimas peticiones que ha servido, manda una peticin a uno de los"servidores raz" de Internet el cual averiguar qu servidor de nombres resuelve el dominio "uned.es.

El servidor raz responder a servidor-uno (servidor DNS del ordenador local) con ladireccin del servidor que resuelve direcciones "uned.es". En este caso62.204.192.21.servidor-uno har una peticin a 62.204.192.21, preguntando qudireccin IP tiene "www.uned.es ". Sistemas de nombres planos y jerrquicosEl espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los nodos del rbol se utilizan como etiquetas de los medios. Un nombre de dominio completo de un objeto consiste en la concatenacin de todas las etiquetas de un camino. Las etiquetas son cadenas alfanumricas (con '-' como nico smbolo permitido), deben contar con al menos un carcter y un mximo de 63 caracteres de longitud, y deber comenzar con una letra (y no con '-')

Historia del DNSEl DNS naci en la dcada de los 80. Creado por Pal Mockapetris en colaboracin con Jon Postel de la Universidad del Sur de California y posteriormente, Pal Vixie. Pero no fue hasta mediados de los 90 cuando empez a tener mayor implantacin .

El DNS buscaba un objetivo muy simple, desempear una funcin tcnica de traduccin de nombres de equipos de cmputo a su direccin numrica correspondiente, que fuera conveniente, amigable y fcil de utilizar por los usuarios de Internet, es decir proveer un esquema de interpretacin entre los usuarios y los equipos, sin que los primeros tuvieran la necesidad de recordar las direcciones numricas de cada uno de los equipos a los que intentaban comunicarse.Historia del DNSOriginalmente, el uso del DNS involucr solamente instituciones acadmicas, de investigacin y el ejercito de los EEUU. Eran los tiempos en que las universidades empezaban a realizar su conexin a las mltiples redes, entre ellas BitNet. DNS empezaba a trascender y era importante establecer un orden en cuanto a los equipos que ingresaban a la red.

Se crearon entonces los nombres de dominio genricos de primer nivel (gTLD=generic Top-level Domain), .com, .net y .org, es decir, se haban creado estas tres clasificaciones con el fin de ubicar el tipo de entidades que buscaban tener presencia en Internet. Adems de estos gTLD se empez por delegar los sufijos nacionales (nTLD=national Top-level Domain) a los pases que se fueran conectando a la red.

De esta forma, a Mxico se le asigno el .mx a finales de 1988 cuando el ITESM, Campus Monterrey se conecta de manera dedicada al Internet, este nTLDempieza a operar desde Febrero de 1989. As cada pas obtuvo su propio nTLD, incluso EEUU, el cual tiene el .us.Historia del DNSPara mediados de 1996, Jon Postel, el director del Internet Assignet Numbers Authority (IANA), y organismo administrador de las direcciones de IP y nombres de dominio, realiz una propuesta en la que contemplaba la creacin de 150 nuevos nombres de dominios genricos, gTLD, as como el .com, .net y .org. Esta propuesta pronto tuvo efectos importantes y finaliz en la formacin de un grupo que se encargara de discutir el re-diseo de los gTLD.

De esta forma, en Noviembre de 1996 naci el Internet-International Ad Hoc Committee (IAHC) impulsado por la Internet Society (ISOC), a los tres meses de haberse creado se gener el reporte final, en donde se planteaban las recomendaciones y requerimientos para un nuevo esquema de gTLD, este documento recibira el nombre de Memorando de Entendimiento para los Nombres de Dominio genricos de Nivel Superior.

El IAHC se disolvi en Mayo del 97 para dar paso al generic Top level DomainMemorandum of Understanding (gTLD-MoU), documento respaldado por organizaciones de todo el mundo, entre ellas la Organizacin Mundial de la Propiedad Industrial (WIPO), Union Internacional de Telecomunicaciones (ITU), Internet Society , MCI y por Latino Amrica slo NIC-Mxico. Componentes de DNS DNS utiliza tres componentes:

Los clientes DNS: Genera peticiones de resolucion de nombres a un servidor DNS.

Los Servidores DNS: Que contestan las peticiones de los clientes.

Y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan losdatos.Espacio de nombres de dominioEn programacin, un espacio de nombres, es un conjunto de nombres en el cual todos los nombres son nicos.

La estructura del sistema DNS se basa en una estructura de arbrea en donde se definen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior); esta estructura est conectada a un nodo raz representado por un punto.

Cada nodo del rbol se llama nombre de dominio y tiene una etiqueta con una longitud mxima de 63 caracteres y no se distingue entre maysculas y minsculas.

Por lo tanto, todos los nombres de dominio conforman una estructura arbrea jerrquica en donde cada nodo est separado del siguiente nodo por un punto (".")Bases de datos DNS (registro de recursos).Un DNS es una base de datos distribuida que contiene registros que se conocen como RR (Registros de Recursos), relacionados con nombres de dominio.

Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar con un punto.Los registros para cada dominio tienen una duracin de vida que se conoce como TTL.

Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro. El tipo de recurso puede ser uno de los siguientes:

A:este es un tipo de base que hace coincidir el nombre cannico con la direccin IP.

CNAME (Nombre Cannico): Permite definir un alias para el nombre cannico.

HINFO: ste es un campo solamente descriptivo que permite la descripcin en particular del hardware del ordenador (CPU) y del sistema operativo (OS).

MX (Mail eXchange): es el servidor de correo electrnico.Bases de datos DNS (registro de recursos).NS: es el servidor de nombres de dominio con autoridad sobre el dominio.

PTR: es un puntero hacia otra parte del espacio de nombres del dominios.

SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona,

Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo tanto, ste es el sistema que utilizaremos en nuestro caso), o CH (para el sistema catico)

RDATA: estos son los datos relacionados con el registro. Aqu se encuentra la informacin esperada segn el tipo de registro:Servidor de nombres (servidores DNS)Zona de Bsqueda Directa.

Las resoluciones de esta zona devuelven la direccin IP correspondiente al recurso solicitado; este tipo de zona realiza las resoluciones que esperan como respuesta la direccin IP de un determinado recurso.

Zona de Bsqueda Directa.Las resoluciones de esta zona devuelven la direccin IP correspondiente al recurso solicitado;este tipo de zona realiza las resoluciones que esperan como respuesta la direccin IP de un determinado recurso. Servidor de nombres (servidores DNS)Autoridad Los registros de comienzo de autoridad SOA ("Start of Authority record"), marcan el comienzo de un dominio (una zona), suelen ser el primer registro de cada dominio en un Servidor de Nombres de Dominio y contienen una serie de datos sobre la zona que se muestran a continuacin:

MNAME Nombre de dominio del servidor DNS constituido como servidor primario para la zona.

RNAME Nombre de dominio que indica la direccin de correo de la persona responsable de la zona.

SERIAL Nmero entero de 32 bits correspondiente a la copia original de la zona. Este valor se incrementa con cada actualizacin, se conserva en las transferencias de zona, y puede ser utilizado como verificacin. REFRESH Nmero de 32 bits epresentando el intervalo de tiempo antes que la zona deba ser actualizada.

RETRY Nmero de 32 bits representando el intervalo de tiempo que debe consentirse antes de establecer que una peticin de actualizacin ha fallado.

EXPIRE Nmero de 32 bits que especifica el lmite mximo de tiempo que puede transcurrir antes que la zona deje de ser "autoridad".

MINIMUM Nmero entero de 32 bits sealando el valor mnimo delparmetro TTL que debe ser utilizado para cualquier exploracin de la zona. Clientes DNS Resolvers La resolucin de nombres de DNS se produce cuando un resolver, en un host, enva a un servidor de DNS un mensaje de solicitud con un nombre de dominio. El mensaje de solicitud indica al DNS que busque el nombre y devuelva ciertos RR. El mensaje de solicitud contiene el nombre de dominio a buscar y un cdigo que indica los registros que se deben devolver.

Resolucin de alias: Si el resolutor intenta realizar resolucin de nombres de un nombre que indique el usuario, no sabe a priori si el nombre se refiere a un RR (A) de host o a un CNAME. Para evitar trfico extra de DNS, cuando un servidor de DNS devuelve un CNAME en respuesta a una bsqueda de registro de host, el servidor de DNS tambin devuelve el registro A relativo al CNAMEUso de dominios.El DNS se utiliza para distintos propsitos. Los ms comunes son:

Resolucin de nombres: Dado el nombre completo de un host (por ejemplo blog.smaldone.com.ar), obtener su direccin IP (en este caso, 208.97.175.41).

Resolucin inversa de direcciones: Es el mecanismo inverso al anterior. Consiste en, dada una direccin IP, obtener el nombre asociado a la misma.

Resolucin de servidores de correo: Dado un nombre de dominio (por ejemplo gmail.com) obtener el servidor a travs del cual debe realizarse la entrega del correo electrnico (en estecaso, gmail-smtp-in.l.google.com). Administracin de nombres de dominio en Internet La administracin del espacio de nombres de dominio de internet se distribuye entre mltiples empresas y organizaciones, coordinadas por la ICANN.

Delegacin. Dominio raz. ICANN: ICANN es una organizacin que opera a nivel internacional se dedica a preservar la estabilidad de Internet , es la responsable de asignar las direcciones del protocolo IP, mantener un registro de los dominios de nivel superior existentes y de la administracin del sistema de servidores raz.

Proceso de resolucin de un nombre de dominioEn las resoluciones recursivas, el servidor no tiene la informacin en sus cache , por lo que busca y se pone en contacto con un servidor DNS raz, y en caso de ser necesario repite el mismo proceso bsico (consultar a un servidor remoto y seguir a la siguiente referencia) hasta que obtiene la mejor respuesta a la pregunta.

Cuando existe ms de un servidor autoritario para una Zona, Bind utiliza el menor valor en la mtrica RTT para seleccionar el servidor. El RTT es una medida para determinar cunto tarda un servidor en responder una consulta.

El proceso de resolucin normal se da de la siguiente manera:El servidor A recibe una consulta recursiva desde el cliente DNS.El servidor A enva una consulta recursiva a B.El servidor B refiere a A otro servidor de nombres, incluyendo a C.El servidor A enva una consulta recursiva a C.El servidor C refiere a A otro servidor de nombres, incluyendo a D.El servidor A enva una consulta recursiva a D.El servidor D responde.El servidor A regresa la respuesta al resolver.El resolver entrega la resolucin al programa que solicit la informacin.Resolucin inversaEn las zonas directas, los dominios de primer nivel se delegan o bien a sus respectivos pases o bien a determinadas entidades en el caso de los dominios genricos. As bien en la zona inversa tambin hay un proceso de delegacin, slo que en este caso es distinto.

La delegacin de las distintas zonas que se van creando en iaddr.arpa se realiza a la entidad que tiene asignada ese conjunto de direcciones IP. As, el rango de direcciones 195.57.0.0 a 195.57.255.255 pertenece a un ISP. Este ISP podr, a su vez, dividir este dominio en diversas zonas de acuerda con su criterio.Registros DNSA= Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4.AAAA= Address (Direccin) Este registro se usa enIPv6para traducir nombres de hosts adirecciones IPv6.CNAME= Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombres, sobre el mismo host. NS= Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres.MX (registro)= Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o ms servicios de correo.PTR= Pointer (Indicador) Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendoRegistros DNSIPs en nombres de dominio. Se usa en el archivo de configuracin del Dns reversiva.SOA= Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidorDNS primario de la zona.HINFO= Host INFOrmation (Informacin del sistema informtico) Descripcin del host,permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio.TXT= TeXT - ( Informacin textual) Permite a los dominios identificarse de modos arbitrarios.LOC= LOCalizacin - Permite indicar las coordenadas del dominio.WKS- Generalizacin del registro MX para indicar los servicios que ofrece el dominio.Obsoleto en favor de SRV.SRV= SeRVicios - Permite indicar los servicios que ofrece el dominio.RFC 2782. Excepto Mx yNs. Hay que incorporar el nombre del servicio, protocolo, dominio completo, prioridad del servicio, peso, puerto y el equipo completo. Esta es la sintaxis correspondiente:Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-CompletoSPF= Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especificacual ocuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega con los datos de este registro.ANY= Toda la informacin de todos los tipos que exista.Transferencia de zona.Se denomina transferencia de zona cuando un servidor DNS que declara zonas esclavas obtiene los archivos de zona de otros servidores DNS autorizados para esas zonas.

Existen dos tipos de transferencia de zona:Transferencia de zonas completas. (AXFR) Transferencia de zonas incrementales.(IXFR)

Transferencia de zona completa. (AXFR)El servidor maestro enva al servidor esclavo todos los datos de la zona.Enva muchos registros de recursos que consumen ancho de banda y pueden llegar a tardar mucho tiempo.

Transferencia de zona incremental. (IXFR)Se utiliza para evitar los inconvenientes de la transferencia completa.El servidor maestro le enva al servidor esclavo solo los datos que han cambiado desde la ultima transferencia de zona.DNS DinmicoDynamic DNS es un mtodo de actualizacin, en tiempo real, un sistema de nombres de dominio (DNS) para apuntar a un cambio de direccin IP en la Internet .

Esto se utiliza para proporcionar un nombre de dominio persistente para un recurso que puede cambiar la ubicacin en la red.

Hay dos mecanismos muy diferentes se utiliza el trmino para describir.

En los niveles de la administracin de la Internet ", la actualizacin de DNS dinmico" se refiere a los sistemas que se utilizan para actualizar los registros DNS tradicionales sin necesidad de edicin manual.

Estos mecanismos se explican en el documento RFC 2136 y utilizar el TSIG mecanismo para proporcionar seguridad. El segundo tipo de DDNS es un tipo particular de servidor DNS que permite actualizaciones ligeros e inmediato a su base de datos local, a menudo mediante un formulario web. Estos son utilizados por individuos y pequeos sistemas.Protocolo DNSEl DNS ( Domain Name System ) o Sistema de Nombres de Dominio es una base de datos jerrquica y distribuida que almacena informacin sobre los nombres de dominio de redes cmo Internet.

Este protocolo se utiliza para poder recordar de manera sencilla las direcciones IP.

Gracias a los nombre de dominio podemos asignar a una direccin IP un nombre, adems de que es ms fiable porque la direccin IP de un servidor puede cambiar pero el nombre no lo hace.

Es un sistema jerrquico y distribuido que permite traducir nombres de dominio en direcciones IP y viceversa. Seguridad DNSPuesto que DNS se ha diseado como un protocolo abierto, la seguridad de los datos DNS es vulnerable a los ataques.

La seguridad de una infraestructura DNS es vulnerable a los siguientes tipos de amenazas: Ataques de denegacin de servicio (DoS). Envenenamiento de cache. (Enviando registros falsos) Suplantacin del servidor maestro. Suplantacin de la fuente externa que enva actualizaciones al servidor.

Ataques mas comunes:

Ataque de negacin del servicio (DOS): Footprinting: capturan el trfico de DNS para aprender acerca de el sistema de nombres del dominio. IPSoopfing: Suplantacin de identidad. Redireccionamiento: hace que el servidor DNS envie las consulta de nombres a un servidor incorrecto.