DNS-CARACTERSTICAS Y PROPIEDADES Ms. Ing. Jairo E. Mrquez D.

1 Internet es un sistema complejo de redes, configurado a nivel global que conecta cientos de millones de equipos diferentes, permitiendo el intercambio de informacin y la interaccin entre ellos. Para lograr la conexin entre distintos pases se utilizan cables de fibra ptica, la mayora en el fondo del mar. En los nodos principales se encuentran los servidores DNS.

Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. Domain Name System o DNS (en espaol: sistema de nombres de dominio) es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada2. Este sistema asocia informacin variada con nombres de
1

Este trabajo es una recopilacin de trabajos relacionados al tema sobre DNS, el cual est sujeto a las normas GNU Copyleft.
2

Es una red que usa el espacio de direcciones IP especificadas en el documento RFC 1918. A los terminales puede asignrsele direcciones de este espacio de direcciones cuando se requiera que ellas deban comunicarse con otras terminales dentro de la red interna (una que no sea parte de Internet) pero no con Internet directamente. Las redes privadas son bastante comunes en esquemas de redes de rea local (LAN) de oficina, pues muchas compaas no tienen la necesidad de una direccin IP global para cada estacin de trabajo, impresora y dems dispositivos con los que la compaa cuente. Otra razn para el uso de direcciones de IP privadas es la escasez de direcciones IP pblicas que pueden ser registradas. IPv6 se cre justamente para combatir esta escasez, pero an no ha sido adoptado en forma definitiva. Hay plazo hasta el 2020 de su implementacin total. (NA) Tomado de red privada. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/Red_privada

dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio 3 en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de informacin a cada nombre, los usos ms comunes son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico de cada dominio. Direcciones de internet privadas

Nombre

rango de direcciones IP

nmero de IPs

descripcin de la clase

mayor bloque 4 de CIDR

bloque de 24 10.0.0.0 bits 10.255.255.255

16.777.216

clase A simple

10.0.0.0/8

bloque de 20 172.16.0.0 bits 172.31.255.255

1.048.576

16 clases B continuas

172.16.0.0/12

bloque de 16 192.168.0.0 bits 192.168.255.255

65.536

256 clases C continuas

192.168.0.0/16

bloque de 16 169.254.0.0 bits 169.254.255.255

65.536

clase B simple

169.254.0.0/16

Un dominio de Internet es una red de identificacin asociada a un grupo de dispositivos o equipos conectados a la red Internet.
4

Classless Inter-Domain Routing (enrutamiento entre dominios sin clases) representa la ltima mejora en el modo de interpretar las direcciones IP. Su introduccin permiti una mayor flexibilidad al dividir rangos de direcciones IP en redes separadas. De esta manera permiti un uso ms eficiente de las cada vez ms escasas direcciones IPv4, y un mayor uso de la jerarqua de direcciones (agregacin de prefijos de red), disminuyendo la sobrecarga de los enrutadores principales de Internet para realizar el encaminamiento. CIDR. Consultado el 26 de septiembre de 2013. http://es.wikipedia.org/wiki/CIDR

La asignacin de nombres a direcciones IP es ciertamente la funcin ms conocida de los protocolos DNS. Por ejemplo, si la direccin IP del sitio FTP de prox.mx es 200.64.128.4, la mayora de la gente llega a este equipo especificando ftp.prox.mx y no la direccin IP. Adems de ser ms fcil de recordar, el nombre es ms fiable. La direccin numrica podra cambiar por muchas razones, sin que tenga que cambiar el nombre. 5 Dominios de nivel superior6 Existen dos categoras de TLD (Dominios de Nivel Superior):

Los dominios que se conocen como "genricos", llamados gTLD (TLD genrico). Los gTLD son nombres de dominio de nivel superior genricos que ofrecen una clasificacin de acuerdo con el sector de la actividad. Entonces cada gTLD tiene sus propias reglas de acceso:

gTLD historial: .arpa relacionado con equipos pertenecientes a la red original; .com inicialmente relacionado con empresas con fines comerciales. Sin embargo, este TLD se convirti en el "TLD predeterminado" y hasta personas reales pueden adquirir dominios con esta extensin. .edu relacionado con las organizaciones educativas; .gov relacionado con las organizaciones gubernamentales; .int relacionado con las organizaciones internacionales; .edu relacionado con las organizaciones militares; .net inicialmente relacionado con las organizaciones que administran redes. Con el transcurso de los aos este TLD se ha convertido en un TLD comn, y hasta personas reales pueden adquirir dominios con esta extensin. .org est normalmente relacionado con organizaciones sin fines de lucro. nuevos gTLD presentado en noviembre de 2000 por ICANN: .aero relacionado con la industria aeronutica; .biz (negocios) relacionado con empresas comerciales; .museum relacionada con los museos; .name relacionada con el nombre de personas reales o imaginarias; .info relacionado con organizaciones que manejan informacin;
el 26 de septiembre de septiembre de de 2013. 2013.

Domain Name System. Consultado http://es.wikipedia.org/wiki/Domain_Name_System

6

DNS (Sistema de nombre de dominio). Consultado el 27 http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

.coop relacionado con cooperativas; .pro relacionado con profesiones liberales.

gTLD especial: .arpa relacionado con las infraestructuras para la administracin de redes. El arpa gTLD tambin sirve para la resolucin inversa de equipos en red y permite hallar el nombre relacionado con una direccin IP. Los dominios que se conocen como "nacionales", se llaman ccTLD (cdigo de pas TLD). El ccTLD est relacionado con los diferentes pases y sus nombres refieren a las abreviaturas del nombre del pas definidas en la norma ISO 3166. La tabla a continuacin resume la lista de ccTLD.
Cdigo AC AD AE AF AG AI AL AU AW AZ BA BB BD BE BF BG BH BY BZ CA CC CD Pas Islas Ascensin Andorra Emiratos rabes Unidos Afganistn Antigua y Barbuda Anguila Albania Australia Aruba Azerbaiyn Bosnia y Herzegovina Barbados Bangladesh Blgica Burkina Faso Bulgaria Bahrein Bielorrusia Belice Canad Islas Cocos Repblica Democrtica del Congo CCM CG Repblica Centroafricana Congo COM CR Organizacin comercial Costa Rica CO Colombia Cdigo AM AN AO AQ AR AS AT BI BJ BM BN BO BR BS BT BV BW CK CL CM CN Pas Armenia Antillas Neerlandesas Angola Antrtida Argentina Samoa Americana Austria Burundi Benin Bermudas Brunei Bolivia Brasil Bahamas Bhutn Isla Bouvet Botswana Islas Cook Chile Camern China

CH CI CX CY CZ DE DJ DK DM DO DZ EC

Suiza Costa de Marfil Islas Christmas Chipre Repblica Checa Alemania Djibouti Dinamarca Dominica Repblica Dominicana Argelia Ecuador Organizacin con enlaces relacionados con la educacin Estonia Francia (Territorio EEEE europeo) Gabn Gran Bretaa Granada Georgia Guayana Francesa Guernsey Ghana Gibraltar Groenlandia Gambia Guinea Organizacin gubernamental Guadalupe Guinea Ecuatorial Grecia Georgia del Sur Guatemala Italia

CU CV EG EH ER ES ET EU FI FJ FK FM

Cuba Cabo Verde Egipto Sahara Occidental Eritrea Espaa Etiopa Europa Finlandia Fiji Islas Falkland (Malvinas) Micronesia

EDU

FO

Islas Feroe

EE FX GA GB GD GE GF GG GH GI GL GM GN GOV GP GQ GR GS GT IT

FR GU GW GY HK HM HN HR HT HU ID IE IL IM IN IO IQ IR IS LR

Francia Guam (USA) Guinea Bissau Guyana Hong Kong Islas Heard y McDonald Honduras Croacia Hait Hungra Indonesia Irlanda Israel Isla de Man India Territorio Britnico del Ocano ndico Iraq Irn Islandia Liberia

JM JO JP KE KG KH KI KM KN KP KR KW KY KZ LA LB LC LI LK MS MU MV MW MX MY MZ NA NC NE

Jamaica Jordania Japn Kenya Kirguistn Camboya Kiribati Comoras Saint Kitts y Nevis Corea del Norte Corea del Sur Kuwait Islas Caimn Kazajstn Laos Lbano Santa Luca Liechtenstein Sri Lanka Montserrat Isla Mauricio Maldivas Malawi Mxico Malasia Mozambique Namibia Nueva Caledonia Nger Organizacin con enlaces relacionados con Internet Isla Norfolk Nigeria Nicaragua Pases Bajos Noruega Portugal

LS LT LU LV LY MA MC MD MG MH MK ML MIL MM MN MO MP MQ MR NT NU NZ OM ORG PA PE PF PG PH

Lesotho Lituania Luxemburgo Letonia Libia Marruecos Mnaco Moldova Madagascar Islas Marshall Macedonia Mal Organizacin militar Myanmar Mongolia Macao Islas Marianas del Norte Martinica Mauritania Zona Neutral Isla Niue Nueva Zelanda Omn Organizacin no especfica Panam Per Polinesia Francesa Papua Nueva Guinea Filipinas

NET

PK

Pakistn

NF NG NI NL NO PT

PL PM PN PR PS QA

Polonia San Pedro y Miqueln Isla Pitcairn Puerto Rico (USA) Territorios Palestinos Qatar

PY PW RU RW SA SB SC SD SE SG SH SI SY SZ TC TD TK TM TN TO TP TR TT TV TW TZ UA UG WF WS YE ZM ZR

Paraguay Palau Federacin de Rusia Rwanda Arabia Saudita Islas Solomn Seychelles Sudn Suecia Singapur Santa Elena Eslovenia Siria Swazilandia Islas Turcas y Caicos Chad Tokelau Turkmenistn Tnez Tonga Timor Oriental Turqua Trinidad y Tobago Tuvalu Taiwn Tanzania Ucrania Uganda Islas Wallis y Futuna Samoa Occidental Yemen Zambia Zaire

RE RO SJ SK SL SM SN SO SR ST SU SV TF TG TH TJ UK UM US UY UZ VA VC VE VG VI VN VU YT YU ZA ZW

Reunin Rumania Islas Svalbard y Jan Mayen Repblica Eslovaca Sierra Leona San Marino Senegal Somalia Suriname Santo Tom y Prncipe Unin Sovitica El Salvador Territorios Australes Franceses Togo Tailandia Tayikistn Reino Unido Islas Perifricas Menores de los Estados Unidos Estados Unidos Uruguay Uzbekistn Ciudad del Vaticano San Vicente y las Granadinas Venezuela Islas Vrgenes Britnicas Islas Vrgenes de los Estados Unidos Vietnam Vanuatu Mayotte Yugoslavia Sudfrica Zimbabwe

Servidores DNS Los servidores DNS son parte de la cadena que queda formada cuando se hace una peticin mediante el navegador de cualquier pgina web. Estos servidores son computadoras que en sus discos duros almacenan enormes bases de datos. Tienen registrada la relacin que existe entre cada nombre de dominio y su direccin IP correspondiente. Para la operacin prctica del sistema DNS se utilizan tres componentes principales:7

Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolucin de nombres a un servidor DNS (Por ejemplo: Qu direccin IP corresponde a nombre.dominio?); Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la peticin a otro servidor si no disponen de la direccin solicitada. La Zonas de autoridad, porciones del espacio de nombres raros de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad

Los sitios de internet se identifican mediante nombres, como son Google.com, Yahoo.es, linkelin.com, etc. lo que los hace ms fcil de recordar y de escribir, estos nombres es lo que se conoce como nombres de dominio. Las computadoras identifican los sitios web y se conectan a ellos utilizando el formato numrico, algo parecido a la numeracin telefnica, pero ms complejo y con ms recursos, es lo que se conoce como las direcciones IP. Ah es donde entran en accin los servidores DNS, ellos son como enormes y complejas guas telefnicas, que a peticin del usuario traducen o convierten los nombres de dominio que le solicite, en las direcciones IP que les corresponden. Son equipos que almacenan la relacin que existe entre cada nombre de dominio y su direccin IP correspondiente (numrica) en internet.

Domain Name System.

El grafico base fue creado por Nicolas Rapp con datos de Geo-tel.com. Grfico de la red existente de cables de fibra ptica en el fondo del ocano, que hacen posible la conexin a internet entre los distintos pases. Tambin se muestra el porcentaje de acceso a internet de cada rea geogrfica y la ubicacin de los principales servidores DNS. Empleo de los servidores DNS en internet 1- Resolucin de nombres: Convertir un nombre de host en la direccin IP que le corresponde.

2- Resolucin inversa de direcciones: Es el mecanismo inverso al anterior, de una direccin IP obtener el nombre de host correspondiente. 3- Resolucin de servidores de correo: Dado un nombre de dominio (por ejemplo gmail.com), obtener el servidor a travs del cual debe realizarse la entrega del correo electrnico. Los servidores DNS tambin guardan una serie de datos de cada dominio, conocidos como DNS Record, incluyen informacin del propietario, fecha de creacin, vencimiento, etc. Tipos de servidores DNS8

Primarios o maestros: Guardan los datos de un espacio de nombres en sus ficheros. Secundarios o esclavos: Obtienen los datos de los servidores primarios a travs de una transferencia de zona. Locales o cach: Funcionan con el mismo software, pero no contienen la base de datos para la resolucin de nombres. Cuando se les realiza una consulta, estos a su vez consultan a los servidores DNS correspondientes, almacenando la respuesta en su base de datos para agilizar la repeticin de estas peticiones en el futuro continuo o libre.

Tipos de registros DNS9

A = Address (Direccin) Este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4. AAAA = Address (Direccin) Este registro se usa en IPv6 para traducir nombres de hosts a direcciones IPv6. CNAME = Canonical Name (Nombre Cannico) Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y servidor web) en un servidor con una sola direccin ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto tambin es usado cuando corres mltiples servidores http, con diferente nombre, sobre el mismo host. Se escribe primero el alias y luego el nombre real. Ej. Ejemplo1 IN CNAME ejemplo2

8 9

Domain Name System. Ibdem.

NS = Name Server (Servidor de Nombres) Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. MX (registro)10 = Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de carga y prioridad para el uso de uno o ms servicios de correo. PTR = Pointer (Indicador) Tambin conocido como registro inverso, funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo de configuracin del Dns reversiva. SOA = Start of authority (Autoridad de la zona) Proporciona informacin sobre el servidor DNS primario de la zona. HINFO = Host INFOrmation (Informacin del sistema informtico) Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio. TXT = TeXT - (Informacin textual) Permite a los dominios identificarse de modos arbitrarios. LOC = LOCalizacin - Permite indicar las coordenadas del dominio. WKS - Generalizacin del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV.

10

Un registro MX (Mail eXchange record, "registro de intercambio de correo") es un tipo de registro, un recurso DNS que especifica cmo debe ser encaminado un correo electrnico en internet. Los registros MX apuntan a los servidores a los cuales envan un correo electrnico, y a cul de ellos debera ser enviado en primer lugar, por prioridad. Cuando un mensaje de correo electrnico es enviado, el remitente (el agente de transferencia de correo MTA Mail Transfer Agent) hace una peticin al DNS solicitando el registro MX para los nombres de dominio de destino. El nombre de dominio es la parte de la direccin de correo que va a continuacin de la "@". Esta consulta devuelve una lista de nombres de dominios de servidores de intercambio de correo que aceptan correo entrante para dicho dominio, junto con un nmero de preferencia. Entonces el agente emisor (o remitente) intenta establecer una conexin SMTP (Simple Mail Transfer Protocol - Protocolo Simple de Transferencia de Correo) hacia uno de estos servidores, comenzando con el que tiene el nmero de preferencia ms pequeo, y enviando el mensaje al primer servidor con el cual puede establecer una conexin. Si no hay registros MX disponibles, una segunda peticin es solicitada al registro A (A Record) del dominio en su lugar. Tomado de MX (Registro). Consultado http://es.wikipedia.org/wiki/MX_(registro) el 26 de septiembre de 2013.

SRV = SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782. Excepto Mx y Ns. Hay que incorporar el nombre del servicio, protocolo, dominio completo, prioridad del servicio, peso, puerto y el equipo completo. Esta es la sintaxis correspondiente:
Servicio.Protocolo.Dominio-completo IN SRV Prioridad.Peso.Puerto.Equipo-Completo

SPF11 = Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega con los datos de este registro. ANY = Toda la informacin de todos los tipos que existan.

Mecanismos de extensin de DNS Los mecanismos de extensin para DNS (EDNS) es una especificacin para la ampliacin del tamao de varios parmetros del sistema de nombres de dominio (DNS), el que tena restricciones de tamao que la comunidad de ingeniera de Internet considera demasiado limitada para aumentar la funcionalidad del protocolo. El primer conjunto de extensiones se public en 1999 por la Internet Engineering Task Force como RFC 2671, tambin conocido como EDNS0. 12 Dado que no se podan aadir nuevos parmetros en la cabecera del DNS, la diferenciacin del nuevo formato del protocolo se logr con la opcin de registros de pseudo-recursos, los registros de recursos OPT. Estos son registros de control que no aparecen en los archivos de zona. Los elementos del sistema DNS insertan estos registros opcionales en las comunicaciones entre compaeros para avisar que estn utilizando EDNS. Esto proporciona un mecanismo transparente y compatible con implementaciones antiguas, ya que los clientes ms antiguos sin EDNS simplemente ignorarn el nuevo tipo de registro. Los participantes DNS slo deben enviar las solicitudes extendidas (EDNS) a los servidores DNS si estn

11

SPF (Convenio de Remitentes, del ingls Sender Policy Framework) es una proteccin contra la falsificacin de direcciones en el envo de correo electrnico. Cnet news (25 de mayo de 2004). Antispam framework scores Microsoft endorsement. Consultado el 31 de mayo de 2012. Identifica, a travs de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. Este convenio puede significar el fin de abusos como el spam y otros males del correo electrnico.
12

P.Vixie (Agosto 1999). The Internet Society (ed.): RFC 2671, Extension Mechanisms for DNS (EDNS0) (en ingls). Consultado el 6 de mayo de 2012.

preparados para manejar las respuestas EDNS; y los servidores DNS slo deben utilizar EDNS en las respuestas a las solicitudes que contienen registros con OPT. El pseudo-registro OPT proporciona espacio para hasta 16 opciones adicionales y extiende el espacio para los cdigos de respuesta. El tamao total del paquete UDP y el nmero de versin (en la actualidad 0) figuran en el registro OPT. Un campo de datos de longitud variable permite que se pueda incluir ms informacin en las futuras versiones del protocolo. El protocolo original de DNS proporcionaba dos tipos de etiquetas, que se definen por los dos primeros bits de los paquetes DNS:13

00 (etiqueta estndar) 11 (etiqueta comprimido)

EDNS introduce el tipo de etiqueta 01 como etiqueta ampliada. Los 6 bits menores del primer byte pueden ser utilizados para definir hasta 63 etiquetas extendidos nuevos. Un ejemplo de un pseudo-registro OPT, como muestra la herramienta de utilidad Domain Information Groper (DIG):
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096

El resultado "EDNS: Versin: 0" indica la conformidad plena con EDNS0 14 El resultado "flags: do" indica "DNSSEC OK"15 EDNS es esencial para la implementacin de Extensiones de seguridad DNS (DNSSEC).16
13 14

RFC 1035, Nombres de dominio - Implementacin y especificacin, P. Mockapetris (noviembre de 1987).

Grupo de Trabajo de Red de la IETF, Agosto de 1999, RFC 2671: Mecanismos de extensin para DNS (EDNS0), pgina 3, Plena conformidad con esta especificacin se indica con la versin "0".
15

Red Grupo de Trabajo de la IETF, Diciembre de 2001, RFC 3225: Apoyo a la resolucin de indicacin de DNSSEC, pgina 3, El mecanismo elegido para la notificacin expresa de la capacidad del cliente para aceptar (si no entender) RR de seguridad DNSSEC es utilizando el bit ms significativo del campo Z en la cabecera del OPT EDNS0 en la consulta. Este bit se conoce como el bit "DNSSEC OK" (DO).
16

Las Extensiones de seguridad para el Sistema de Nombres de Dominio ( del ingls Domain Name System Security Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force (IETF) para asegurar cierto tipo de informacin proporcionada por el sistema de nombre de dominio (DNS) que se usa en el protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que proporcionan a los clientes DNS (o resolvers) la autenticacin del origen de datos DNS, la negacin autenticada de la existencia e integridad de datos, pero no disponibilidad o confidencialidad.

Cabe agregar, que existen ciertos problemas al utilizar el EDNS en cuanto a los cortafuegos, ya que algunos de stos suponen una longitud mxima de mensaje de DNS de 512 bytes y bloquean paquetes DNS que sean ms largos. La introduccin de EDNS hizo posible un nuevo tipo de ataque de denegacin de servicio, llamado amplificacin de DNS, ya que EDNS facilita paquetes de respuesta muy grandes en comparacin con los paquetes de peticin relativamente pequeas. El grupo de trabajo IETF de Extensiones DNS (dnsext) est trabajando en un refinamiento de EDNS0, llamado rfc2671bis.17 Las vulnerabilidades detectadas en el DNS, junto con los avances tecnolgicos, han reducido en gran medida el tiempo que necesita un atacante para forzar cualquier paso del proceso de bsqueda del DNS y, por lo tanto, tomar el control de una sesin para, por ejemplo, dirigir al usuario a sus propios sitios fraudulentos con el objeto de obtener los datos de su cuenta y contrasea. La nica solucin a largo plazo para esta vulnerabilidad es la implementacin integral de un protocolo de seguridad denominado Extensiones de seguridad del DNS, o DNSSEC. Cabe enfatizar, que DNSSEC es una tecnologa que se ha desarrollado, entre otras cosas, para brindar proteccin contra ataques mediante la firma digital de los datos a fin de tener la seguridad de que son vlidos. Sin embargo, para eliminar esta vulnerabilidad de Internet, esta tecnologa se debe implementar en cada uno de los pasos del proceso de bsqueda, desde la zona raz hasta el nombre de dominio final (por ejemplo, www.icann.org). La firma de la raz (implementar la DNSSEC en la zona raz) es un paso necesario de este proceso general. Es importante destacar que no cifra los datos. Tan solo certifica la validez de la direccin del sitio que se visita. La firma de la raz tambin

DNSSEC trabaja firmando digitalmente estos registros para la bsqueda de DNS mediante criptografa de clave pblica. El registro DNSKEY correcto se autentica a travs de una cadena de confianza, que comienza en un conjunto de claves pblicas de la zona raz del DNS, que es la tercera parte de confianza. Fuente. Domain Name System Security Extensions. Consultado el 28 de septiembre de 2013. http://es.wikipedia.org/wiki/DNSSEC
17

Mecanismos de extension de DNS. Consultado el http://es.wikipedia.org/wiki/Mecanismos_de_extension_de_DNS

28

de

septiembre

de

2013.

simplifica la implementacin en las capas inferiores del DNS y, en consecuencia, acelerar la implementacin general de la tecnologa DNSSEC.18 Espacio de nombre19 La estructura del sistema DNS se basa en una estructura de arbrea en donde se definen los dominios de nivel superior (llamados TLD, Dominios de Nivel Superior); esta estructura est conectada a un nodo raz representado por un punto.

Cada nodo del rbol se llama nombre de dominio y tiene una etiqueta con una longitud mxima de 63 caracteres. Por lo tanto, todos los nombres de dominio conforman una estructura arbrea inversa en donde cada nodo est separado del siguiente nodo por un punto ("."). El extremo de la bifurcacin se denomina host, y corresponde a un equipo o entidad en la red. El nombre del ordenador que se provee debe ser nico en el dominio respectivo, o de ser necesario, en el sub-dominio. Por ejemplo, el dominio del servidor Web por lo general lleva el nombre www. La palabra "dominio" corresponde formalmente al sufijo de un nombre de dominio, es decir, la recopilacin de las etiquetas de nodo de la estructura arbrea, con excepcin del ordenador. El nombre absoluto est relacionado con todas las etiquetas de nodo de una estructura arbrea, separadas por puntos y que termina con un punto final que se denomina la direccin FQDN (Nombre de Dominio totalmente calificado). La profundidad mxima de una estructura arbrea es 127 niveles y la longitud mxima para un nombre FQDN es 255 caracteres. La direccin FQDN permite
18

Tomado de DNSSEC Qu es y por qu es importante? Consultado el 28 de septiembre de 2013. http://www.icann.org/es/about/learning/factsheets/dnssec-qaa-09oct08-es.htm 19 DNS (Sistema de nombre de dominio).

ubicar de manera nica un equipo en la red de redes. Por lo tanto, es.kioskea.net. es una direccin FQDN. DNS rebinding DNS rebinding es un ataque informtico basado en DNS donde el atacante aprovecha una vulnerabilidad para transformar el equipo en un proxy de red. 20 Para esto utiliza cdigo embebido en pginas web aprovechndose de la poltica del mismo origen de los navegadores. Normalmente las peticiones del cdigo incorporado en las pginas web (Javascript, Java, Flash.) estn limitadas al sitio web desde el que se han originado, lo que se conoce como "poltica del mismo origen". DNS rebinding puede mejorar la habilidad de malware basado en javascript para penetrar en redes privadas trastornando la poltica del mismo origen. Usando DNS rebinding un atacante puede sortear firewalls, navegar en intranets corporativas, mostrar documentos sensibles y comprometer mquinas internas sin parchear. 21 Cmo funciona el DNS rebinding22 El atacante registra un dominio el cual delega a un servidor DNS que l controla. El servidor est configurado para responder con un parmetro TTL muy corto, que previene que la respuesta sea cacheada. La primera respuesta contiene la direccin IP del servidor con el cdigo malicioso. Las consiguientes respuestas contienen direcciones IP de redes privadas falsas (RFC 1918) presumiblemente detrs de un firewall que es la meta del atacante. Dado que las dos son respuestas DNS completamente vlidas, autorizan al script el acceso a hosts dentro de la red privada. Devolviendo mltiples direcciones IP, el servidor DNS habilita al script para escanear la red local o realizar actividades maliciosas. Las siguientes tcnicas pueden ser utilizadas para prevenir ataques de DNS rebinding:

DNS pinning - fijando una direccin IP al valor recibido en la primera respuesta DNS. Esta tcnica puede bloquear algunos usos legtimos de DNS dinmico23.

20

Jackson, Collin; et al. (2009). Protecting Browsers from DNS Rebinding Attacks. ACM Transactions on the Web (TWEB) 3 (1). 21 Ibid. 22 DNS rebinding. Consultado el 27 de septiembre de 2013. http://es.wikipedia.org/wiki/DNS_rebinding

Bloqueando la resolucin de nombres externos en direcciones internas en los servidores de nombres locales de la organizacin. Los servidores pueden rechazar peticiones HTTP con una cabecera de Host irreconocible.

Con el tiempo, los fabricantes han tomado medidas para proteger del problema.

Flash player Firefox. Proteccin adicional con el plugin NoScript, desde la versin 2.0rc5.

DNS cache poisoning24 DNS cache poisoning / DNS Poisoning / Pharming es una situacin creada de manera maliciosa o no deseada que provee datos de un Servidor de Nombres de Dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseo inapropiado de software, falta de configuracin de nombres de servidores y escenarios maliciosamente diseados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeo, es considerado envenenado, extendiendo el efecto de la situacin a los clientes del servidor. Ataques de Envenenamiento de Cach25 Normalmente, una computadora conectada a Internet utiliza un servidor DNS proporcionado por el proveedor de servicios de Internet (ISP). Este DNS generalmente atiende solamente a los propios clientes del ISP y contiene una pequea cantidad de informacin sobre DNS almacenada temporalmente por usuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos
23

Es un sistema que permite la actualizacin en tiempo real de la informacin sobre nombres de dominio situada en un servidor de nombres. El uso ms comn que se le da es permitir la asignacin de un nombre de dominio de Internet a un ordenador con direccin IP variable (dinmica). Esto permite conectarse con la mquina en cuestin sin necesidad de tener que rastrear las direcciones IP. El DNS dinmico hace posible, siendo de uso frecuente gracias a lo descrito, utilizar software de servidor en una computadora con direccin IP dinmica, como la suelen facilitar muchos proveedores de Internet para particulares (por ejemplo para alojar un sitio web en el ordenador de nuestra casa, sin necesidad de contratar un hosting de terceros). Otro uso til que posibilita el DNS dinmico es poder acceder al ordenador en cuestin por medio del escritorio remoto. Este servicio es ofrecido, incluso de forma gratuita, por No-IP, CDmon y FreeDNS. Tomado de DNS Dinmico. Consultado el 26 septiembre. http://es.wikipedia.org/wiki/DNS_din%C3%A1mico 24 DNS cache poisoning. Consultado el 26 septiembre. http://es.wikipedia.org/wiki/DNS_cache_poisoning 25 Ibid.

directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor.

Para realizar un ataque de envenenamiento de cach, el atacante explota una vulnerabilidad en el software de DNS que puede hacer que ste acepte informacin incorrecta. Si el servidor no valido correctamente las respuestas DNS para asegurarse de que ellas provienen de una fuente autoritativa, el servidor puede terminar almacenando localmente informacin incorrecta y envindola a los usuarios para que hagan la misma peticin. Esta tcnica puede ser usada para reemplazar arbitrariamente contenido de una serie de vctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio web objetivo, reemplazndolas con la direccin IP de un servidor que l controla. Luego, el atacante crea entradas falsas para archivos en el servidor que l controla con nombres que coinciden con los archivos del servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o un gusano. Un usuario cuya computadora ha referenciado al servidor DNS envenenado puede ser engaado al creer que el contenido proviene del servidor objetivo y sin saberlo descarga contenido malicioso. Como parte del proyecto Golden Shield, China, de forma regular hace uso de envenenamiento de DNS para redes o sitios especficos que violan las polticas bajo las cuales el proyecto opera. Variantes En las siguientes variantes, las entradas del servidor ns.wikipedia.org pueden ser envenenadas y redirigidas al servidor de nombres del atacante en la direccin w.x.y.z. Estos ataques asumen que el servidor para wikipedia.org es ns.wikipedia.org. Para conseguir xito en el ataque, el atacante debe forzar que el servidor DNS objetivo haga una peticin hacia un dominio controlado por uno de los servidores de nombres del atacante. Redireccin al servidor de nombres del dominio objetivo

La primera variante del envenenamiento de cach de DNS involucra redirigir el nombre del servidor del atacante del dominio hacia el servidor de nombres del dominio objetivo, luego se asigna a dicho servidor de nombres una direccin IP especificada por el atacante. Peticin del servidor DNS: cules son los registros de direcciones para subdominio.ejemplo.com?
subdominio.ejemplo.com. IN A

Respuesta del atacante:

Answer: (no response) Authority section: example.com. 3600 IN NS ns.wikipedia.org Additional section: ns.wikipedia.org. IN A w.x.y.z

Un servidor vulnerable puede almacenar en cach el registro A adicional (la direccin IP) para ns.wikipedia.org, permitiendo al atacante resolver consultas para todo el dominio wikipedia.org. Redirigir el registro DNS a otro dominio objetivo La segunda variante de envenenamiento de cach DNS involucra redirigir el servidor de nombres de otro dominio hacia otro dominio no relacionado a la peticin original de una direccin IP especificada por el atacante. Peticin del servidor DNS: cules son los registros de direccin para subdominio.ejemplo.com? subdominio.ejemplo.com. IN A Respuesta del atacante:
Answer: (no response) Authority section: wikipedia.org. 3600 IN NS ns.ejemplo.com. Additional section: ns.ejemplo.com. IN A w.x.y.z

Un servidor vulnerable puede almacenar la informacin de autoridad no relacionada de los registros de servidor de nombres de wikipedia.org, permitiendo al atacante resolver consultas para todo el dominio wikipedia.org. Prevencin y mitigacin Muchos ataques de envenenamiento de cach puede ser prevenidos simplemente por servidores DNS siendo menos confiables que la informacin pasada por ello por otros servidores DNS, e ignorando cualquier registro DNS retornado y que no sea directamente relevante a la consulta. Por ejemplo, versiones recientes de BIND ahora contienen cdigo que evala estos casos. Como se mencion anteriormente, la seleccin aleatoria del puerto origen de consultas DNS, combinadas con el uso de nmeros aleatorios criptogrficamente seguros para elegir el puerto y el nmero identificador de 16 bits puede reducir grandemente la probabilidad de ataques de carrera DNS exitosos.

DNSSEC (extensiones de nombres de dominio de seguridad del sistema) implementa la firma digital de los datos de DNS (Domain Name System), que son vulnerables a los ataques. Los DNS son vulnerables a una serie de amenazas y ataques, como el man-in-the-middle y envenenamiento de la cach. Estas amenazas utilizar informacin falsa para redirigir a los usuarios a sitios engaosos de Internet. Los registros DNSSEC introducen una firma digital en el DNS de datos, verifica la fuente y confirma su autenticidad, mientras que se mueven dentro de internet. Esto significa que cuando un usuario introduce una direccin con DNSSEC habilitado, la respuesta recibida, es decir, el sitio en el que se redirige, tiene su autoridad verificado la autenticidad. Figura tomada de. http://www.papaki.gr/en/dnssec-records.htm%20

Una versin segura de DNS, DNSSEC, utiliza firmas criptogrficas electrnicas validadas con un certificado digital confiable para determinar la autenticidad de los datos. DNSSEC puede contener ataques de envenenamiento de cach, pero hasta 2008 an no estaba difundido ampliamente. Este tipo de ataque puede ser mitigado tambin por las capas de transporte o aplicacin para conseguir validacin extremo a extremo (end-to-end validation) una vez que una conexin es establecida en extremo. Un ejemplo comn de esto es el uso de Seguridad de Capa de Transporte y firmas digitales. Por ejemplo, usando la versin segura de HTTP, HTTPS, los usuarios pueden verificar si el certificado digital es vlido y pertenece al dueo esperado de un sitio web. De manera similar, el programa de inicio de sesin remoto SSH verifica certificados digitales en los extremos (si los conoce) antes de proseguir con una sesin. Para aplicaciones que descargan actualizaciones automticamente, la aplicacin puede alojar una copia local del certificado digital de los datos y validar el certificado almacenado en la actualizacin de software contra el certificado alojado. Domain Name System Security Extensions 26 Profundizando ms sobre este sistema, las Extensiones de seguridad para el Sistema de Nombres de Dominio ( del ingls Domain Name System Security Extensions, o DNSSEC) es un conjunto de especificaciones de la Internet Engineering Task Force (IETF) para asegurar cierto tipo de informacin proporcionada por el sistema de nombre de dominio (DNS) que se usa en el protocolo de Internet (IP). Se trata de un conjunto de extensiones al DNS que proporcionan a los clientes DNS (o resolvers) la autenticacin del origen de datos DNS, la negacin autenticada de la existencia e integridad de datos, pero no disponibilidad o confidencialidad. DNSSEC trabaja firmando digitalmente estos registros para la bsqueda de DNS mediante criptografa de clave pblica. El registro DNSKEY correcto se autentica a travs de una cadena de confianza, que comienza en un conjunto de claves pblicas de la zona raz del DNS, que es la tercera parte de confianza. Registros El DNS se implementa mediante el uso de varios registros de recursos. Para implementar DNSSEC, varios de los nuevos tipos de registro DNS se han creado o adaptado para su uso con DNSSEC:

26

RRSIG DNSKEY

Domain Name System Security Extensions. Consultado http://es.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

el

26

septiembre.

DS NSEC NSEC3 NSEC3PARAM

Cuando se usa DNSSEC, cada respuesta a una bsqueda de DNS contendr un registro RRSIG DNS adems del tipo de registro que se solicit. El registro RRSIG es una firma digital de la respuesta de DNS registro de recursos conjunto. La firma digital puede ser verificada localizando la clave pblica correcta se encuentra en un registro DNSKEY. El registro DS se utiliza en la autenticacin de DNSKEYs en el procedimiento de bsqueda usando la cadena de confianza. Los registros NSEC y NSEC3 se utilizan para una resistencia fuerte contra la suplantacin de identidad. DNSSEC fue diseado para ser extensible y para que cuando se descubran ataques contra los algoritmos existentes, nuevos pueden ser introducidos en una forma compatible con versiones anteriores. A julio de 2009, se definieron los siguientes algoritmos de seguridad que son utilizados con mayor frecuencia: 27 DNSSEC fue diseado para ser extensible y para que cuando se descubran ataques contra los algoritmos existentes, nuevos pueden ser introducidos en una forma compatible con versiones anteriores. En la siguiente tabla se citan los algoritmos de seguridad que son utilizados con mayor frecuencia:

Campo del Algoritmo

Algoritmo

Fuente

Reservado

RSA/MD5 RFC 4034

DSA/SHA-1

RSA/SHA-1

27

Domain Name System Security (DNSSEC) Algorithm Numbers. IANA (12 de julio de 2010). Consultado el 17 de julio de 2010.

RSASHA1-NSEC3SHA1

RFC 5155

RSA/SHA-256 RFC 5702

10

RSA/SHA-512

12

GOST R 34.10-2001

RFC 5933

Nota: Se debe tener precaucin con los servidores DNS que usamos: Es recomendado regularmente verificar que los servidores DNS que se usan para conexin de red, son los que se han configurado. Existe malware en internet capaz de modificar la configuracin de red y lograr que inocentemente se est usando servidores DNS diferentes, el objetivo es llevarnos a sitios web diseados especficamente para prcticas fraudulentas. Si en algn momento se infesta el equipo con un virus informtico, despus de eliminarlo con el programa antivirus, verifique inmediatamente los servidores DNS asignados. Use el archivo batch citado en este trabajo y selo regularmente. Tipos de registros28 Un DNS es una base de datos distribuida que contiene registros que se conocen como RR (Registros de Recursos), relacionados con nombres de dominio. La siguiente informacin slo es til para las personas responsables de la administracin de un dominio, dado que el funcionamiento de los servidores de nombre de dominio es completamente transparente para los usuarios. El sistema de memoria cach permite que el sistema DNS sea distribuido, los registros para cada dominio tienen una duracin de vida que se conoce como TTL (Tiempo de vida). Esto permite que los servidores intermediarios conozcan la fecha de caducidad de la informacin y por lo tanto que sepan si es necesario verificarla o no.

28

DNS (Sistema de nombre de dominio). Consultado el 27 http://es.kioskea.net/contents/262-dns-sistema-de-nombre-de-dominio

de

septiembre

de

2013.

Recapitulando la temtica tratada al inicio de este documento, por lo general, un registro de DNS contiene la siguiente informacin: Nombre de dominio (FQDN) es.kioskea.net

TTL 3600

Tipo Clase A IN

RData 163.5.255.85

Nombre de dominio: el nombre de dominio debe ser un nombre FQDN, es decir, debe terminar con un punto. En caso de que falte el punto, el nombre de dominio es relativo, es decir, el nombre de dominio principal incluir un sufijo en el dominio introducido; Tipo: un valor sobre 16 bits que define el tipo de recurso descrito por el registro. El tipo de recurso puede ser uno de los siguientes:

A: este es un tipo de base que hace coincidir el nombre cannico con la direccin IP. Adems, pueden existir varios registros A relacionados con diferentes equipos de la red (servidores). CNAME (Nombre Cannico): Permite definir un alias para el nombre cannico. Es particularmente til para suministrar nombres alternativos relacionados con diferentes servicios en el mismo equipo. HINFO: ste es un campo solamente descriptivo que permite la descripcin en particular del hardware del ordenador (CPU) y del sistema operativo (OS). Generalmente se recomienda no completarlo para evitar suministrar informacin que pueda ser til a piratas informticos. MX (Mail eXchange): es el servidor de correo electrnico. Cuando un usuario enva un correo electrnico a una direccin (user@domain), el servidor de correo saliente interroga al servidor de nombre de dominio con autoridad sobre el dominio para obtener el registro MX. Pueden existir varios registros MX por dominio, para as suministrar una repeticin en caso de fallas en el servidor principal de correo electrnico. De este modo, el registro MX permite definir una prioridad con un valor entre 0 y 65,535: es.kioskea.net. IN MX 10 mail.commentcamarche.net. NS: es el servidor de nombres de dominio con autoridad sobre el dominio. PTR: es un puntero hacia otra parte del espacio de nombres del dominio. SOA (Start Of Authority (Inicio de autoridad)): el campo SOA permite la descripcin del servidor de nombre de dominio con autoridad en la zona,

as como la direccin de correo electrnico del contacto tcnico (en donde el carcter "@" es reemplazado por un punto).

Clase: la clase puede ser IN (relacionada a protocolos de Internet, y por lo tanto, ste es el sistema que utilizaremos en nuestro caso), o CH (para el sistema catico); RDATA: estos son los datos relacionados con el registro. Aqu se encuentra la informacin esperada segn el tipo de registro:

A: la direccin IP de 32 bits: CNAME: el nombre de dominio; MX: la prioridad de 16 bits, seguida del nombre del ordenador; NS: el nombre del ordenador; PTR: el nombre de dominio PTR: el nombre de dominio; SOA: varios campos.

DNS conexin a un sitio de internet Primer ejemplo, conexin directa:

Consiste bsicamente lo que hacemos normalmente, se escribe en el navegador la direccin de una pgina web, por ejemplo: http://www.mamma.com Si en otras ocasiones se ha entrado a esta pgina, en la cache del equipo o la del servidor del que depende nuestra conexin, tenemos registrada la direccin IP que le corresponde, por lo que la conexin ser directa sin intermediarios.

Segundo ejemplo, solicitud a un servidor DNS:29 Se digita la direccin http://www.pagina.com/poco-comun/, que es una pgina poco conocida, con escaso trfico y que queda en un pas remoto, automticamente nuestro servidor hace la peticin al servidor DNS que tiene configurada nuestra conexin. Si ese servidor DNS no posee en su base de datos el nombre de dominio de esa pgina (nombre de dominio es el dato que est antes de la primera barra, seria en este caso www.pagina.com), har la peticin a otro servidor DNS y as sucesivamente y devolver al final la direccin IP solicitada con la demora lgica que eso significa. Conocer los servidores DNS Los servidores DNS asignados a su conexin actualmente, fueron asignados al crear dicha conexin por el proveedor de acceso a internet, su uso es opcional, se pueden cambiar en cualquier momento por otros que considere ms eficientes. Hay varias formas de conocer cules son los establecidos en este momento. Hay una aplicacin en HTA que usa el navegador Internet Explorer que muestra en pantalla los servidores DNS asignados actualmente a la conexin de red de nuestro equipo. As:

Conocer los servidores DNS usando la consola de CMD - Ejecutar (WINDOWS+R), cmd, y pegar: CMD /k ipconfig /all|FINDSTR /C:"Servidores DNS"

29

Ibid.

Tambin puede usar el comando NSLOOKUP, para eso abrir la consola de CMD, y digitarlo:

La primera lnea de la respuesta es el nombre del servidor asignado y la segunda su direccin IP. Conocer los servidores DNS usando una aplicacin o archivo batch Al ejecutarlo la aplicacin crear un archivo de texto llamado: ServidoresDNS.txt, en su interior ver la direccin IP correspondiente a los dos servidores DNS usados por el equipo. Guarde el script para utilizarlo regularmente y as comprobar que su configuracin de red no ha sido afectada. :: (c) Servidores DNS -2013 :: Seguridad en redes. :: Guardar con extensin cmd @echo off WMIC /Output:ServidoresDNS.txt Path Win32_NetworkAdapterConfiguration Where IPEnabled=TRUE Get DNSServerSearchOrder /format:LIST msg * Hecho, lee el archivo: ServidoresDNS.txt Conocer los servidores DNS manualmente en tu conexin de red

Los servidores DNS aparecen en las propiedades del protocolo TCP/IP de la conexin con la cual se conectas a internet. Para ver dicha opcin realizar los siguientes pasos: En el Panel de control abrir Centro de redes En el panel de la izquierda escoger: Cambiar configuracin del adaptador. Dar un clic derecho en la red con la cual se conectas a internet y en el men escoger: Propiedades Seleccionar: Protocolo de internet versin 4 TCP/IPv4 Usar el botn Propiedades Ver la direccin IP de los dos servidores, el primario y el secundario. Rendimiento y eficiencia de los servidores DNS Algunas veces las conexiones entre los servidores estn cadas o saturadas por el trfico, por lo que el navegador quede esperando la conexin, y que tras determinado tiempo aparezca el mensaje que la pgina web solicitada no est disponible. Esto se debe a que el DNS al estar basado en UDP (protocolo de transporte, no garantiza la recepcin de la informacin enviada), tanto las consultas como las respuestas pueden "perderse" (por ejemplo, a causa de congestionamiento en algn enlace de la red). Como podr deducir no todos los mensajes que ofrece el navegador son ciertos, simplemente se deben a errores en las conexiones y a servidores DNS ineficientes. Investigaciones sugieren que actualmente un 60% de los usuarios de internet, en caso de cambiar sus servidores DNS por otros ms eficientes, incrementaran el rendimiento de su conexin en un 40%.30 Configuracin manual de los servidores DNS Para cambiar de forma manual sus servidores DNS siga los siguientes pasos: Ante todo tenga precaucin de anotar las direcciones de servidor actual y la configuracin. En el Panel de control abrir el "Centro de redes", en el panel de la izquierda escoger: "Cambiar configuracin del adaptador".

30

Ibdem.

Dar un clic encima de la conexin que usa para conectarse a internet y escoger "Propiedades". Seleccionar "Protocolo Internet versin 4 (TCP/IPv4)", botn "Propiedades". clic en el

All marcar la casilla "Usar las siguientes direcciones de servidor DNS". Digite: 8.8.8.8 en el primer campo y 8.8.4.4 en el segundo. Presione Aceptar en todas las ventanas para guardar los cambios.

Ahora las peticiones se harn a los servidores DNS de Google, por lo que el rendimiento de la conexin mejorar considerablemente. De una forma similar puede configurar y usar cualquier otro servidor DNS. Que es la tareta entre otras que deben hacer! Direcciones de los servidores DNS ms rpidos y eficientes de internet31 Los servidores asignados a nuestra conexin de forma predeterminada, Generalmente no son los ms eficientes. Se pueden sustituir por esa y por muchas otras razones, como son:

31

Tomado de http://norfipc.com/redes/como-configurar-optimizar-servidores-dns-windows.html

Hacer la navegacin ms rpida. Usar servicios que ofrecen compaas que poseen una red buena de comunicacin, puede mejorar hasta un 40% la velocidad a la que navegamos en la red. Se conocen por las mediciones y el monitoreo de trfico que realizan constantemente otros servicios especializados. Los que se indican en este trabajo son pblicos o gratuitos. Hacer la navegacin ms segura. Se puede escoger servicios prestigiosos de seguridad que filtran e impiden que se carguen pginas de sitios catalogados como peligros porque tienen o estn cargados de virus o malware que impiden que se carguen pginas de sitios con contenido solo para adultos. Esta opcin es muy til si nuestra conexin de internet la usan menores de edad.

Proteger la privacidad. Burlar la censura, o sea el acceso a determinados sitios o pases e impedir que quede registrado el historial de nuestra navegacin web. Errores de resolucin. Acceder a dominios y sitios no registrados correctamente, por lo que ocasionalmente se recibe mensajes de error al estilo de: "el sitio web no est disponible", sabiendo que funciona perfectamente. Con base en lo anterior, existen servicios gratis que permiten mejorar la calidad de la navegacin en internet, funcionando como puntos intermedios de resolucin de nombres de dominio y que al mismo tiempo filtran las direcciones IP que estn catalogadas como peligrosas o indeseables. Lo cual permite impedir que los nios puedan entrar a pginas de contenido pornogrfico, sexo, violencia u otro contenido no adecuado. Todo usuario al estar conectado a la red usa servidores DNS, que son servicios a los que su navegador en segundo plano consulta la direccin IP de las pginas que se solicita.

Cundo utiliza Windows los servidores DNS? 32 Windows se rige por una configuracin estndar para manejar y administrar las peticiones enviadas y las respuestas recibidas de los servidores DNS. La optimizacin de estos dos factores, DNS-Windows representar un incremento en el rendimiento de la navegacin web en general. En Windows al iniciarse el servicio Cliente DNS (Dnscache) la correspondencia entre nombre de dominio/direccin IP que existen en el archivo hosts es cargada en la cache, a esta se agregan los recursos obtenidos en las respuestas de consultas DNS anteriores y se mantienen durante un periodo determinado. Al introducir una direccin URL en el navegador web Windows tiene registrado que hacer, donde buscar y con qu prioridad.

Optimizar estos pasos mejorar considerablemente el rendimiento de la navegacin web. El objetivo y la razn de existir de los servidores DNS, es la de resolver los nombres de host o nombres de dominio y entregar la direccin IP que les corresponde al equipo. Pero estos servidores no son los nicos involucrados en esta tarea, Windows de forma predeterminada tiene el orden de los factores involucrados y la prioridad de cada uno, es la siguiente: LocalPriority = 499, prioridad predeterminada (Cache de nombres local) HostPriority = 500, prioridad predeterminada (El archivo hosts) DnsPriority = 2000, prioridad predeterminada (Servidores DNS) NetbtPriority = 2001, prioridad predeterminada (Resolucin de nombres NetBT y WINS)

32

Ibidem

Es posible optimizar estos valores lo que traer consigo ms rapidez en la carga de las pginas web y mayor rendimiento en general en la navegacin en la red. En el siguiente ajuste se mantiene el mismo orden, pero se eleva considerablemente la prioridad de la peticin al servidor DNS configurado en la conexin, la diferencia de algunos milisegundos parece insignificante pero representa un incremento en el rendimiento general bastante significativo. Para eso es necesario ajustar los valores correspondientes en la siguiente clave del registro. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Service Provider LocalPriority= DWORD, 4 (Cache de nombres local) HostsPriority= DWORD, 5 (El archivo hosts) DnsPriority= DWORD, 6 (Servidores DNS) NetbtPriority= DWORD, 7 (Resolucin de nombres NetBT y WINS) El ajuste anterior es posible hacerlo manualmente, pero si no se tiene la suficiente experiencia y conocimiento, es recomendado descargar una clave y agregarla al registro.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ServiceProvid er] "DnsPriority"=dword:00000006 "HostsPriority"=dword:00000005 "LocalPriority"=dword:00000004 "NetbtPriority"=dword:00000007

Guardar con extensin .reg Nota: los espacios deben respetarse si quieren que funcione. Configurar el tiempo que almacena Windows en cache las entradas DNS 33 Windows almacena en cache las entradas de host DNS un tiempo determinado, antiguamente este intervalo era de 24 horas pero en muchos casos esto es demasiado tiempo. Durante este perodo, algunas entradas de host dejan de funcionar debido al cambio de la direccin IP del servidor remoto que se resolvi inicialmente.

33

Ibid.

En la actualidad el valor es de 24 minutos solamente, es decir pasado ese tiempo si se hace la peticin de la misma direccin web al navegador, Windows nuevamente efecta la peticin al servidor DNS. Es posible cambiar ese valor e incrementar o disminuir el tiempo que permanezca la resolucin de host en cache, modificando la clave del registro que lo establece. El beneficio que proporcionara el incremento del valor, es solo a usuarios que naveguen de forma bastante activa en la red y que accedan a varios sitios alternativamente. En ese caso se lograra un incremento efectivo en el rendimiento de la navegacin web, al no tener que estar consultando regularmente los servidores DNS. La clave del registro que establece el valor que se comenta es la siguiente:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Es necesario agregar un Nuevo valor DWORD de nombre: DnsCacheTimeout y establece el Valor decimal del tiempo necesario en segundos. Ejemplos: Para configurar el tiempo de espera a 10 minutos, utiliza un valor de 600 segundos. Para configurar el tiempo de espera a 24 horas, utiliza un valor de 86400 segundos. Reiniciar el equipo posteriormente. Como vaciar la cache de resolucin DNS almacenada en Windows En caso de sitios que utilicen una direccin IP dinmica, por lo que no puedan ser accedidos despus de un corto intervalo de tiempo, es necesario en ese caso liberar el cache, lo que se puede realizar utilizando el comando IPCONFIG. Se hace de la siguiente forma. Introducir en la consola de cmd: ipconfig /flushdns y Enter. Recibir el siguiente mensaje:

Puede hacerlo tambin de otra forma, para eso copie y pegue la siguiente lnea de cdigo en el cuadro de Inicio y Enter:
cmd.exe /k ipconfig /flushdns

Es posible crear un acceso directo con el cdigo anterior, en caso que se vaya a utilizar frecuentemente. Se conoce que en ocasiones cuando la cache est muy recargada, liberarla usando /flushdns puede acelerar la navegacin. Como ver la cache almacenada actualmente en Windows Para ver la cache almacenada actualmente por Windows copie y pegue en cmd:
ipconfig /displaydns

O digite en Inicio y presione Enter:

cmd.exe /k ipconfig /displaydns

Este comando puede ser til en ocasiones para conocer o verificar la direccin IP almacenada de los sitios habituales a los que se accede. Es posible tambin usar una lnea de cdigo, que permita guardar en un archivo de texto el contenido de la cache para verlo de forma ms detenida, para eso copie y pegue en el cuadro de Inicio la siguiente lnea y oprima Enter:
cmd.exe /c ipconfig /displaydns>%userprofile%\Desktop\cache.txt

Se crear en el escritorio un documento de texto de nombre "cache.txt" que entre otros datos mostrar: El Nombre de registro (la direccin web), el Periodo de vida cuyo valor predeterminado es de 1440 segundos como se explic anteriormente y registro (host) que contiene la direccin IP del host. Si por alguna razn necesita detener el servicio de Dnscache puede hacerlo utilizando cualquiera de los siguientes comandos: sc stop Dnscache net stop dnscache DNS en Linux Para el caso de Linux o Unix, se archivo /etc/resolv.conf del siguiente modo:
$ vi /etc/resolv.conf nameserver 80.58.0.33 nameserver 80.58.32.97

procede

listar

dentro

del

No es necesario reiniciar la red para que los cambios surtan efecto. Simplemente se tiene que hacer ping a un dominio para ver si el funcionamiento de resolucin de nombres es correcto:
$ ping google.com PING google.com (74.125.53.100) 56(84) bytes of data. 64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=1 ttl=46 time=541 ms 64 bytes from pw-in-f100.1e100.net (74.125.53.100): icmp_seq=2 ttl=46 time=263 ms

Nota: Para instalar un servidor DNS ms completo, se puede utilizar el paquete bind9. Para ello, se hace con apt-get desde la consola de root:
// Instalacin del servidor DNS bind # apt-get install bind9

De esta forma se instalan los programas necesarios para disponer de un completo servidor DNS con bind. Tan solo ser necesario configurarlo y ponerlo en marcha. Para ello, el servidor DNS bind admite tres modos de funcionamiento:

Servidor DNS maestro Servidor DNS esclavo Servidor cach DNS

Servidor DNS maestro En este modo de funcionamiento, el servidor se comporta como un autntico servidor DNS para nuestra red local. Atender directamente a las peticiones de resolucin de direcciones pertenecientes a la red local y reenviar a servidores DNS externos las peticiones del resto de direcciones de Internet. Servidor DNS esclavo Un servidor esclavo actuar como un servidor espejo de un servidor DNS maestro. Permanecer sincronizado con el maestro. Se utilizan para repartir las peticiones entre varios servidores aunque las modificaciones solo se realicen en el maestro. En redes locales salvo por razones de disponibilidad, es raro que exista la necesidad de tener dos servidores DNS ya que con uno ser suficiente. Servidor cach DNS34 En este modo de funcionamiento, el servidor se comporta como si fuera un autntico servidor DNS para nuestra red local aunque realmente no sea un servidor DNS propiamente dicho. Cuando recibe una peticin de DNS por parte de un cliente de nuestra red, la trasladar a un DNS maestro que puede estar en nuestra red o fuera, almacenar en una memoria cach la respuesta y a la vez la comunicar a quien hizo la peticin. Si un segundo cliente vuelve a realizar la misma peticin, como nuestro servidor tiene la respuesta almacenada en su memoria cach, responder inmediatamente sin tener que cursar la peticin a ningn servidor DNS de Internet. Disponer de un servidor cach DNS en nuestra red local aumenta la velocidad de la conexin a Internet pues cuando navegamos por diferentes lugares, continuamente se estn realizando peticiones DNS. Si nuestro cach DNS almacena la gran mayora de peticiones que se realizan desde la red local, las
34

Servidor DNS bind9. Consultado el 28 de septiembre de http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m2/servidor_dns_bind9.html

2013.

respuestas de los clientes se satisfarn prcticamente de forma instantnea proporcionando al usuario una sensacin de velocidad en la conexin. Es un modo de funcionamiento de sencilla configuracin ya que prcticamente lo nico que hay que configurar son las direcciones IP de un DNS primario y de un DNS secundario, equivalente a lo que se hace con windows. Muchos routers ADSL ofrecen ya este servicio de cach, tan solo hay que activarlo y configurar una o dos IPs de servidores DNS en Internet. En los PC de nuestra red local podramos poner como DNS primario la IP de nuestro router y como DNS secundario una IP de un DNS de Internet. Archivos de configuracion del DNS El archivo de configuracin del DNS es el archivo /etc/bind/named.conf, pero este hace referencia a otros cuantos archivos como por ejemplo:

Archivo named.conf: Archivo principal de configuracin Archivo named.conf.options: Opciones genricas Archivo named.conf.local: Especificacin particular de este servidor DNS Archivo db.127:Especificacin direccin de retorno Archivo db.root: DNSs de nivel superior Otros archivos: db.0, db.255, db.empty, db.local, rndc.conf, rndc.key, zones.rfc1918

Configuracin como cach DNS Por defecto, al instalar el paquete bind est preconfigurado como servidor cach DNS. Tan solo ser necesario editar el archivo /etc/bind/named.conf.options y en la seccin forwarders aadir las IPs de dos servidores DNS donde redirigir las peticiones DNS:
// Configuracin como cach DNS // Aadir IP de los DNS de nuestro proveedor en /etc/bind/named.conf.options options { forwarders { 80.58.0.33; 80.58.32.97; }; };

Configuracin DNS maestro Por razones de acceso y organizacin se desea asignar un nombre a todos los equipos de la red, se instala un servidor DNS privado con un dominio ficticio, por ejemplo misitio.com. Todos los PC de la red pertenecern a dicho dominio ficticio que funcionar solo en esta red interna, no en Internet. En tal caso el

nombre completo de los PC terminar con misitio.com, por ejemplo: aula1pc5.misitio.com. Lo ideal en una situacin as es disponer de un servidor DNS que sea maestro del dominio, es decir, maestro del dominio interno misitio.com. El servidor DNS maestro para nuestro dominio ficticio interno misitio.com ser capaz de resolver peticiones internas de nombres de este dominio, tanto de forma directa como de forma inversa, es decir, si recibe una consulta acerca de quin es aula1pc5.misitio.com deber devolver su IP, por ejemplo 192.168.0.107. Si la consulta es una consulta DNS inversa acerca de quin es 192.168.0.107, deber responder aula1pc1.misitio.com. Por ello se debe aadir en el archivo /etc/bind/named.conf.local la especificacin de maestro para el dominio y para la resolucin inversa, por ejemplo:
// Aadir en /etc/bind/named.conf.local // Archivo para bsquedas directas zone "misitio.com" { type master; file "/etc/bind/misitio.db"; }; // Archivo para bsquedas inversas zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/192.rev"; };

Es claro que es necesario crear los archivos misitio.db y 192.rev que especificarn la asociacin entre nombres y direcciones IP de nuestra red en un sentido y en otro respectivamente. Archivo de zona de bsqueda directa Supongamos que en nuestra red local tenemos un aula llamada aula5 con 12 PC con IP que van desde la 192.168.0.101 hasta 112 y cuyos nombres van desde aula5pc1 hasta aula5pc10, luego un servidor web (pc11) y un servidor de correo electrnico que adems es servidor DNS (pc12). El archivo de configuracin DNS de nuestro dominio podra ser as:
// Archivo /etc/bind/misitio.db ; ; BIND data file for misitio.com ; @ IN SOA misitio.com. root. misitio.com. (

1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Default TTL IN NS dns.misitio.com. IN MX 10 mail.misitio.com. aula5pc1 IN A 192.168.0.101 aula5pc2 IN A 192.168.0.102 aula5pc3 IN A 192.168.0.103 aula5pc4 IN A 192.168.0.104 aula5pc5 IN A 192.168.0.105 aula5pc6 IN A 192.168.0.106 aula5pc7 IN A 192.168.0.107 aula5pc8 IN A 192.168.0.108 aula5pc9 IN A 192.168.0.109 aula5pc10 IN A 192.168.0.110 www IN A 192.168.0.111 dns IN A 192.168.0.112 mail IN A 192.168.0.112

Las primeras lneas son unos parmetros relacionados con la actualizacin del DNS (nmero de serie y periodos de actuacin). Las dos siguientes lneas indican quin es el servidor primario (NS = Name Server) y quien procesa el correo electrnico del dominio (MX = Mail eXchange). Las siguientes lneas especifican las IP de los distintos PC componentes del dominio (A = Address). Si se olvida algn punto y coma, dar errores y no funcionar correctamente. Para revisar los archivos se dispone de los comandos named-checkconf y namedcheckzone que analizan que est correcta la sintaxis de los mismos. Archivo de zona de bsqueda inversa Para poder realizar consultas inversas (de IP a nombre) ser necesario crear el siguiente archivo:
// Archivo /etc/bind/192.rev ; ; BIND reverse data file for 192.168.0.0 ; @ IN SOA misitio.com. root. misitio.com. ( 1 ; Serial

604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Default TTL IN NS dns.v 101 IN PTR aula5pc1.misitio.com. 102 IN PTR aula5pc2.misitio.com. 103 IN PTR aula5pc3.misitio.com. 104 IN PTR aula5pc4.misitio.com. 105 IN PTR aula5pc5.misitio.com. 106 IN PTR aula5pc6.misitio.com. 107 IN PTR aula5pc7.misitio.com. 108 IN PTR aula5pc8.misitio.com. 109 IN PTR aula5pc9.misitio.com. 110 IN PTR aula5pc10.misitio.com. 111 IN PTR www.misitio.com. 112 IN PTR dns.misitio.com. 112 IN PTR mail.misitio.com.

Una vez configurado nuestro servidor DNS, se debe indicar a nuestro servidor Linux que el servidor DNS es l mismo, lo cual se especifica en el archivo /etc/resolv.conf.
// Indicamos que nosotros mismos somos servidores DNS // y por defecto buscamos en nuestro dominio // Editar /etc/resolv.conf del servidor DNS nameserver 127.0.0.1 search misitio.com

En el resto de PC de la red, indicaremos que el servidor DNS es 192.168.0.112

// En el resto de PC de la red indicamos quin es el DNS // Editar /etc/resolv.conf del resto de PCs de la red nameserver 192.168.0.112

Tan solo faltar poner en marcha el servidor de nombres ejecutando en el servidor el script de inicio correspondiente:

// Arranque del servidor DNS # /etc/init.d/bind9 restart

Mediante el comando host, el comando dig o el comando nslookup hacer alguna consulta de prueba. Configuracin DNS esclavo Si deseamos configurar nuestro servidor DNS para que acte como esclavo de un servidor DNS maestro, la configuracin es mucho ms sencilla que en el caso anterior ya que nicamente ser necesario indicar en el DNS esclavo quin es el servidor DNS maestro, y en el DNS maestro, la IP del DNS esclavo. Ejemplo, supongamos que el nombre del DNS maestro es dns.misitio.com (IP 192.168.0.112) y que el nombre del DNS esclavo es dns2.ieslapaloma.com. En el archivo misitio.db de zona de bsqueda directa aadiremos la lnea del segundo DNS justo debajo de donde est la del primero:
// Aadir lnea en /etc/bind/ misitio.db del maestro .... IN NS dns.misitio.com. IN NS dns2.misitio.com. // Nueva lnea ....

De esta forma se indicar que existen ms servidores DNS para dicha zona. Lo mismo se hace en el archivo 192.rev de la zona inversa:
// Aadir lnea en /etc/bind/192.rev del maestro .... IN NS dns.misitio.com. IN NS dns2.misitio.com. // Nueva lnea ....

En el archivo /etc/bind/named.conf.local del servidor DNS esclavo debemos indicar que se trata de un servidor esclavo y tambin debemos indicar quin es el maestro:
// Aadir en /etc/bind/named.conf.local del esclavo zone " misitio.com" { type slave; file "/etc/bind/ misitio.db"; masters { 192.168.0.112; }; };

zone "0.168.192.in-addr.arpa" { type slave; file "/etc/bind/192.rev"; masters { 192.168.0.112; }; };

En el archivo /etc/bind/named.conf.local del servidor DNS maestro podemos utilizar also-notify para mantener los DNS sincronizados. Con also-notify pasamos los cambios de zonas en el maestro al esclavo:
// Archivo /etc/bind/named.conf.local del maestro zone " misitio.com." { type master; file "/etc/bind/ misitio.db"; also-notify {ip_del_esclavo;} }; zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/192.rev"; also-notify {ip_del_esclavo;} };

De esta forma dispondremos en la red de un servidor DNS esclavo que podr satisfacer las peticiones DNS al igual que lo hara el maestro. Es interesante si el nmero de peticiones es muy elevado y se requiere distribuir la carga entre los dos servidores, o si deseamos disponer de servicio DNS de alta disponibilidad de forma que aunque el servidor maestro deje de funcionar, el servidor esclavo podr seguir ofreciendo el servicio. Cada vez que se haga un cambio en los archivos /etc/bind/misitio.db y /etc/bind/192.rev del maestro, debemos acordarnos de actualizar el parmetro serial (incrementar en una unidad) para que los DNS dependientes del maestro sepan que ha cambiado y actualicen su informacin para mantenerse sincronizados. Arranque y parada manual del servidor DNS El servidor DNS, al igual que todos los servicios en Debian, dispone de un script de arranque y parada en la carpeta /etc/init.d.
// Arranque del servidor DNS sudo /etc/init.d/bind9 start // Parada del servidor DNS sudo /etc/init.d/bind9 stop

// Reinicio del servidor DNS sudo /etc/init.d/bind9 restart

Arranque automtico del servidor DNS al iniciar el sistema: Para un arranque automtico del servicio al iniciar el servidor, se crean los enlaces simblicos correspondientes tal y como se indica en el apartado Trucos > Arranque automtico de servicios al iniciar el sistema.

CAMBIAR LOS SERVIDORES DNS De forma predeterminada nuestro ISP nos asigna los servidores DNS que usar nuestra conexin, pero es opcional cambiarlos por otros ms eficientes. No obstante, en algunos casos pueden resultar ms apropiados, dependiendo de nuestra ubicacin geogrfica. Servidores DNS ms eficientes para la conexin de red Existen algunos servicios y aplicaciones para buscar y probar servidores DNS alternos. Permiten medir el tiempo de respuesta y saber el rendimiento de los servidores DNS cuya direccin IP se introduzcan manualmente o las que se encuentren en su base de datos. Namebench Esta aplicacin est disponible gratis en el repositorio Google Code, la cual mide los tiempos de respuesta de cada DNS que muestra en una base de datos, los compara con los nuestros y sugiere la mejor opcin que podemos adoptar. Se puede descargar gratis, solo asegrese que la versin es segn su sistema operativo, Windows, Linux o MaxOS e instlelo. https://code.google.com/p/namebench/. Instale la aplicacin, crrala y espere un momento, luego arrojar la respuesta en la cual le aparecer la mejor opcin de configuracin de esta manera:

Namehelp Namehelp es otra opcin, es una aplicacin disponible gratis en Aqualab para encontrar los mejores DNS para nuestra conexin. Despus de descargarla e instalarla es necesario configurar nuestra conexin de red para usar como servidor DNS la direccin: 127.0.0.1. De esta forma la aplicacin hace de intermediario entre nuestro equipo y la red. Acceda al panel de control usando la direccin http://localhost:53533/ (guarde el vnculo en los marcadores). Entonces vaya probando los servidores que la aplicacin sugiere, haga comparaciones hasta que se decida que servidor DNS usar. Namehelp puede aumentar la velocidad de las peticiones hasta 10 veces. http://www.northwestern.edu/projects/151-namehelp Propagacin de la direccin IP en los servidores DNS Al cambiar los archivos de un sitio web de un hosting o compaa de alojamiento a uno diferente, si se mantiene el nombre de dominio o sea la direccin URL original, esto no traer ninguna consecuencia daina en su posicionamiento web, ya que todos los links seguirn apuntando al mismo sitio. El trauma consiste en la demora necesaria para actualizarse los servidores DNS, con la nueva direccin IP. Es lo que se llama como Propagacin, puede demorar entre 24 y 72 horas.

En internet existen 13 servidores DNS raz, de ellos se conectan y dependen todos los restantes servidores locales. Cmo saber cundo es actualizada la direccin IP en los servidores DNS? Para estar al tanto de la propagacin de los nuevos datos en los servidores DNS, se puede usar dos mtodos, uno manual muy efectivo que se explicar a continuacin y el otro es usar el servicio en la red de Whatsmydns. Para hacerlo manualmente es necesario hacer la peticin al servidor DNS de Google y despus hacerlo al servidor DNS de la compaa de hosting que se va a utilizar. Cuando coincidan las dos direcciones, significar que ya se ha propagado correctamente. En el siguiente ejemplo hipottico, se utiliza el dominio norfipc.com para conocer si ya se ha propagado a los DNS, la nueva direccin del sitio que es la 209.190.61.44, para eso primero se hace la peticin a los DNS de Google y despus a los que corresponden a la compaa. El resultado en este ejemplo, indica que Google y los otros DNS, an estn enviando los visitantes a la direccin IP 209.190.61.21, que es la anterior. NSLOOKUP server 8.8.8.8 sitio.com 209.190.61.21 server ns1.byethost36.org sitio.com 209.190.61.44 Para el caso de tener una configuracin predeterminada con el DNS de google, arroja la siguiente data:

Verificar en Whatsmydns el estado de la propagacin de una direccin IP. Whatsmydns es un servicio fcil de usar, que da una perspectiva visual de la propagacin de una direccin IP en los principales servidores de internet. Para usarlo acceder a: http://www.whatsmydns.net/ y digite el nombre de dominio.

A continuacin se cargar una tabla y un mapa mostrando en ellos la direccin IP que corresponde al nombre de dominio usado.

Nota: Pruebe esta aplicacin con la URL de cinco metabuscadores. Esta es la interfaz, en la que se digita el dominio, que en este caso particular el metabuscador ixquick. Otras herramientas en la red alternas a la anterior son: DNS traversal Checker: http://dns.squish.net/ Network-tools.com www.internic.net:

Acelerar la propagacin de la direccin IP en los servidores DNS Los especialistas aconsejan antes de mover un sitio a otra direccin IP, disminuir el valor de los TTL con la herramienta Edit DNS Zones, disponible en Cpanel, en el caso que el servicio de hosting permita esta opcin. TTL (Time-To-Live) es el tiempo expresado en segundos, que ser guardado en cache el registro DNS en el cliente. Sustituya el valor predeterminado que puede ser 86400 (24 horas) o aun superior, por 500 (5 minutos). Cmo acceder a un sitio web antes de completarse la propagacin DNS? Inserte al final del archivo hosts la siguiente lnea:
190.45.45.34 www.sitio.com

Sustituya:

 190.45.45.34 = La direccin IP de los servidores DNS del sitio www.sitio.com = El nombre de dominio del sitio El archivo hosts se encuentra en la siguiente ruta: C:\Windows\System32\drivers\etc

LISTA DE DIRECCIONES IP DE LOS SERVIDORES DNS PBLICOS MS EFICIENTES Y SEGUROS.35 Servidores pblicos DNS de Google Es el servicio DNS ms popular actualmente. Usa una vasta red de servidores distribuidos geogrficamente en todo el mundo. Desde Diciembre del 2009 en que comenz a funcionar el servicio de los servidores pblicos DNS de Google, han contribuido a que internet sea ms rpido. Google presta dicho servicio de forma gratuita, a nivel mundial, en la que actualmente sirven ms de 70 peticiones diarias, de ese mismo servicio se valen productos de Google como el navegador Google Chrome, lo que permite que sea el ms rpido disponible en la red. Direccin IP de los servidores DNS de Google La disponibilidad del servicio es prcticamente el 100%. Usar las siguientes direcciones IP: Para el protocolo IPv4 (actual) Servidor primario: 8.8.8.8 Servidor secundario: 8.8.4.4 Para el protocolo IPv6 (nuevo protocolo) Servidor primario: 2001:4860:4860::8888 Servidor secundario: 2001:4860:4860::8844 Puede utilizar cualquiera de los nmeros como su servidor DNS primario o secundario. Tambin puede especificar ambos nmeros y configurar las

35

Direcciones de los servidores DNS ms rpidos y eficientes de internet. Consultado el 28 de septiembre de 2013. http://norfipc.com/redes/direcciones-servidores-dns-mas-rapidos-eficientes-internet.html

direcciones DNS pblicas de google para conexiones IPv4 o IPv6, o ambas cosas.36 Ms informacin en Google: https://developers.google.com/speed/publicdns/docs/using?hl=es&csw=1 https://developers.google.com/speed/public-dns/

Servicio de OpenDNS Servicio tradicional muy confiable, de gran autoridad. Adicional a la velocidad, tiene un filtro de phishing y un corrector ortogrfico. Brinda la opcin de instalar dos servicios adicionales gratuitos en la PC: "OpenDNS Home" y "OpenDNS FamilyShield", que revisan todas las peticiones hechas por el navegador y nos ofrece estadsticas y proteccin contra sitios fraudulentos. Adems est incluido el Control parental para la proteccin a menores. Descarga: http://www.opendns.com/home-solutions/parental-controls/

Hay que tener en cuenta que aunque este y otros servicios que se listan, proporcionan proteccin contra contenido indeseado y peligroso, todas las peticiones que se hacen en el navegador no llegan al servidor DNS. Algunas de estas peticiones usan la cache que guarda Windows para hacer la navegacin ms rpida. Al instalar en la PC algunos de los servicios de OpenDNS, se tiene una proteccin ms efectiva. 208.67.222.222 208.67.220.220
36

NA.

Ms informacin: http://www.opendns.com/ Norton ConnectSafe Maneja "Norton ConnectSafe" un servicio que opera desde la nube ofreciendo soluciones de seguridad y filtrado en sus servidores DNS. Quienes se conectan a travs de estos servidores, prcticamente pueden navegar a salvo en la red. El servicio es gratis para el uso personal ya sea desde la PC, Laptop, pero tambin desde el telfono celular o tableta.

Ofrece tres tipos de servicios, para usarlos de acuerdo a la necesidad y propsito. 1- Seguridad. Bloqueo de sitios catalogados como malware, pginas que se dedican al phishing y sitios web fraudulentos. Para eso use las siguientes direcciones IP: Servidor DNS primario = 198.153.192.40 Servidor DNS secundario = 198.153.194.40 2- Seguridad y pornografa. Adicionalmente a las funciones anteriores, se puede bloquear sitios web de contenido de adultos. 198.153.192.50 198.153.194.50 3- Seguridad, pornografa y contenido no apto para la familia. Adicionalmente a las funciones anteriores, se puede usar un filtro an ms restrictivo, bloqueando las peticiones a pginas web catalogadas como "no aptas" para "ver en familia".

Se bloquea el contenido que trata sobre los abortos, alcohol, crmenes, cultos, drogas, odio, orientacin sexual, suicidio y violencia. 198.153.192.60 198.153.194.60 Ms informacin: https://dns.norton.com/dnsweb/ Comodo Secure DNS Comodo es otra empresa de seguridad informtica que ofrece un servicio de servidores DNS con proteccin contra el malware y la publicidad. 8.26.56.26 156.154.70.22 Ms informacin: http://www.comodo.com/secure-dns/

Servidores DNS de Level 3 y Verizon Level 3 Communications es una compaa de comunicaciones con una gran infraestructura de redes de fibra ptica y cables submarinos en todo el mundo. Provee a la mayora de los ISP en los Estados Unidos el acceso a los principales nodos de internet. Level 3 y Verizon (gtei.net) operan un conjunto de servidores DNS que estn entre los ms rpidos de internet. Se pueden usar cualquiera de los siguientes seis servidores DNS: 4.2.2.1 4.2.2.2 4.2.2.3 4.2.2.4 4.2.2.5 4.2.2.6

Se dice que los siguientes servidores automticamente redireccionan a los servidores DNS ms cercanos operados por Level 3: 209.244.0.3 209.244.0.4 Consultar http://www.level3.com/en/ OpenNIC Es un proyecto alternativo al ICANN (Internet Corporation for Assigned Names and Numbers), que es el organismo que administra los nmeros IP y los TLD de manera oficial. OpenNIC es mantenida y administrada por usuarios sin depender de ningn pas. Ofrecen otros dominios como son: .dyn, .free, .ing, etc. Posee una serie de servidores DNS libres, que no guardan los registros de las consultas que realizan los usuarios (se borran a las 24 horas). Para probar o usar el servicio acceder a la siguiente a la URL citada en la que se indica automticamente las direcciones IP del servidor ms cercano, como se muestra en la imagen: http://www.opennicproject.org/ Pueden buscar una aplicacin que permite configurar la DNS directamente. http://sourceforge.net/projects/opennicwizard/files/

DNSResolvers.com Servidores pblicos, gratuitos y seguros sin ningn tipo de filtrado ni limitacin.

205.210.42.205 64.68.200.200 http://dnsresolvers.com/ Dyn Internet Guide Dyn ofrece servidores DNS gratuitos con resultados de su funcionamiento muy buenos. Los tiempos de respuesta estn entre los mejores, de acuerdo a los benchmarks realizados. Ofrece otros servicios adicionales. Permite crear dominios para poderlos usar en una PC local que utilice una direccin dinmica o sea que cambia regularmente su direccin. Los servidores DNS son los siguientes: 216.146.35.35 216.146.36.36 Para probar si estn pgina: http://dyn.com/ configurados correctamente cargar la siguiente

SmartViper (Servidores DNS pblicos) 208.76.50.50 208.76.51.51 Ms informacin: http://www.markosweb.com/free-dns/

Public-Root (Servidores pblicos raz) Otra opcin es establecer como servidor DNS uno de los 13 servidores raz de internet.Para eso acceder a la pgina donde se puede conocer la localizacin y

comprobar el estatus de cada servidor. Solo escoger el servidor ms cercano geogrficamente: http://public-root.com/root-server-check/index.htm

Los usuarios ms cercanos a Latinoamrica son los siguientes: Chicago, Illinois, USA = 199.5.157.131 Des Moines, Iowa, USA = 208.71.35.137 Chimbote, Peru = 200.37.61.62 Los de Espaa: Paris, France = 46.244.10.70 London, UK = 80.252.121.2

Otros servicios DNS puntCAT Servidores DNS localizados en Barcelona, Espaa. 109.69.8.51 http://www.servidordenoms.cat/ Securly Filtrado 2.0 de contenido especialmente creado para escuelas. No bloquea totalmente los sitios, pero filtra de forma inteligente pginas con contenido

inadecuado en los buscadores, las redes sociales, Permite a los maestros o padres crear y administrar las reglas. Es un servicio de pago. http://www.securly.com/

YouTube,

etc.

Censurfridns.dk Servidor DNS independiente sin censura localizado en Dinamarca. Mantenido por una persona que est totalmente en contra del filtrado de contenido en los DNS. No se guarda informacin privada alguna del acceso.

Esta es la interfaz del portal, que como se notar al contrario de las citadas anteriormente es prcticamente inexistente pero el servicio es bueno.

89.233.43.71 89.104.194.142 Consultar: http://www.censurfridns.dk/ Nota: Debemos cambiar los servidores DNS si no podemos navegar correctamente, o si el computador tarda mucho en cargar pginas nuevas. Estas son otras pginas alternativas a las ya citadas.

Arrakis 212.59.199.2 212.59.199.6 Arsys 217.76.128.4 217.76.129.4 Comunitel 212.145.4.97 212.145.4.98 Opendns 208.67.222.222 208.67.220.220 Euskatel 212.55.8.132 212.55.8.133 212.142.144.66 212.142.144.98 Jazztel 87.216.1.65 87.216.1.66 Metrored 80.251.75.5 80.251.75.6 Ono 62.42.230.24 62.42.63.52 62.81.29.254 Ya.com 62.151.2.8

Orange 62.36.225.150 62.37.228.20 Superbanda 212.4.96.22 212.4.96.21 Telefnica (Argentina) 200.51.254.254 200.51.254.251 Movistar (Espaa) 80.58.0.33 80.58.61.250 80.58.61.254 194.179.1.100 194.179.1.101 194.224.52.36 (Terra) 194.224.52.37 (Terra) 195.235.113.3 (Terra) 195.235.96.90 (Terra) 217.76.128.4 Telefnica (Per) 200.48.225.130 Tiscali (mismas Telefnica/Terra) 194.224.52.36 194.224.52.37 Uni2 195.130.224.18 195.130.225.129 DNS que

62.151.4.21

Nota: Existen 13 servidores DNS raz, guardan la informacin de los servidores para cada una de las zonas de ms alto nivel y constituyen el centro de la red. Se identifican con las siete primeras letras del alfabeto, varios de ellos se encuentra divididos fsicamente y dispersos geogrficamente (anycast), con el propsito de incrementar el rendimiento. Solo estn representados en el mapa algunos de los 123 servidores DNS funcionando a nivel mundial.

En el siguiente mapa se representan todos los servidores raz, incluyendo los servidores distribuidos, que usan anycast. Mapa con los servidores raz de internet

Tabla con datos de los servidores DNS raz de internet

Los datos son de: Wikipedia y root-servers.org/

Principales servidores DNS de internet Como se ha notado reiteradas veces, existen 13 servidores DNS en internet que son conocidos como los servidores raz, guardan la informacin de los servidores para cada una de las zonas de ms alto nivel y constituyen el centro de la red. Se identifican con las siete primeras letras del alfabeto, varios de ellos se encuentra divididos fsicamente y dispersos geogrficamente, tcnica conocida como "anycast", con el propsito de incrementar el rendimiento y la seguridad. Para acceder a la pgina de informacin y chequeo de los 13 servidores raz de internet es: http://public-root.com/

Mapa de cables submarinos de internet Consultar el sitio http://telegeography.com/, en la que puede encontrarse una serie de mapas interactivos referidos a las comunicaciones, siendo posible aumentar y desplazarse por cualquiera seccin como si se tratara de Google Maps. Dos de ellos son muy interesantes, Submarine Cable Map (Mapa de cables submarinos de internet) y el mapa de comunicaciones de Latino Amrica.

Los mapas tienen insertados otros grficos, infografas e informacin relacionada con la actividad de los cables. Los mapas es posible comprarlos fsicamente con todos los datos incluidos, pero por una enorme suma de dinero. No obstante la navegacin es gratis. Usar el siguiente vnculo para cargar los mapas: http://latin-america-map-2012.telegeography.com/

Taller. 1. Realizar un estudio breve sobre los algoritmos de encriptacin que emplea DNSSEC. 2. Probar todas y cada una de las herramientas citadas para la gestin y/o administracin del DNS (desde la pgina 26 en adelante), que incluye probar los scripts dados para la gestin del DNS. 3. Para el caso de Linux, realizar las mismas pruebas de configuracin de DNS, bsico.

4. Realizar el anlisis respectivo de cada herramienta de software y adjuntar las respectivas pruebas de ello (pros y contras, etc). 5. Estudiar para la evaluacin.