¿Qué es DNS?

El Sistema de Nombres de Dominio es un sistema de nombres jerárquico y distribuido para computadoras, servicios o cualquier otro recurso conectado a Internet o a una red privada. Siempre que necesita que su navegador localice y se conecte a un servicio o dispositivo informático, el DNS trabaja detrás de escena para traducir un nombre de dominio fácil de memorizar en la dirección numérica del Protocolo de Internet (IP) para ese recurso. Podríamos pensar en el DNS como la guía telefónica de Internet: Fue creado para permitir a las personas identificar fácilmente por nombre todos los dispositivos y servicios conectados a Internet.

Un nombre de dominio es un nombre fácil de usar asociado a una fuente de Internet. Por ejemplo, www.f5.com es un nombre de dominio y la URL está asociada con los servidores propiedad de F5.

La subdivisión de un dominio se conoce como subdominio. Por ejemplo, support.f5.com es el subdominio para soporte en F5.com. Un subdominio es cualquier cosa que esté a la izquierda del nombre de dominio, seguido de un punto.

La búsqueda de DNS es un proceso mediante el cual un cliente (como un navegador web) consulta a un servidor DNS para un dominio particular. El servidor DNS luego responde con una dirección IP, que luego lleva al cliente al destino deseado.

El espacio de nombres de dominio define la estructura general de nombres de Internet. Es una estructura de nombres de dominio en forma de árbol, con un nombre de dominio raíz en la parte superior. A partir de ese dominio raíz se ramifican dominios importantes como .com, .net, .org y otros dominios.

Un árbol de espacio de nombres se subdivide en zonas. Define los recursos disponibles bajo un dominio específico.

Los servidores de nombres almacenan información sobre una zona. Hay dos tipos de servidores de nombres: Primaria y Secundaria. Cada zona tiene sus datos almacenados en servidores de nombres primarios y secundarios.

Un solucionador de DNS es el lado del cliente del DNS. Es responsable de iniciar y secuenciar las consultas que finalmente conducen a la traducción de un nombre de dominio en una dirección IP.

La versión corta es que un nombre de dominio escrito por un usuario en un navegador (como www.f5.com) es traducido por un servidor DNS en una dirección IP (104.219.105.148). Esto permite que el dispositivo encuentre el recurso que está buscando en Internet; en este caso, la página de inicio de F5.

Veamos este proceso con más detalle:

Digamos que un usuario escribe el nombre de dominio www.f5.com en un navegador. Como el navegador no tiene idea de dónde está www.F5.com, envía una solicitud al servidor DNS local (LDNS) preguntando si tiene el registro del sitio web. Si el LDNS no tiene registros de ese sitio en particular, inicia una búsqueda recursiva de los dominios de Internet para averiguar quién es el propietario de www.F5.com.

Primero, el LDNS va a uno de los servidores raíz, que lo dirige al servidor DNS .com. Luego, el servidor .com determina el propietario de www.F5.com y notifica al LDNS con un registro de servidor de nombres (NS) para F5.com.

Luego, el LDNS consulta el registro NS del servidor DNS de F5.com. El servidor DNS de f5.com busca el nombre www.F5.com. Si encuentra el nombre, devuelve un registro de Dirección (A) al LDNS. Este registro A contiene el nombre de la solicitud, la dirección IP asignada a ese nombre en el LDNS y el tiempo de vida (o TTL) del nombre. El TTL le dice al LDNS cuánto tiempo debe mantener el registro A antes de preguntarle nuevamente al servidor DNS de F5.com.

Cuando el LDNS recibe el registro A, almacena en caché la información de la dirección IP durante el tiempo especificado en el TTL; si cualquier otro cliente necesita la misma información, el LDNS responderá la consulta desde su propio caché de nombres antes de enviarla. Como puede conservar la información localmente, no necesita seguir preguntando al servidor DNS de f5.com, lo que hace que las futuras conexiones a ese recurso sean más rápidas.

Luego, el navegador utiliza la dirección IP para abrir una conexión a www.F5.com :80 y envía un GET /…. que luego lleva al servidor web a devolver la respuesta de la página web.

Ahora bien, en la práctica, el DNS es mucho más complicado que lo que muestra el ejemplo anterior, pero debería darle una idea bastante clara de cómo funciona.

Los registros DNS son archivos de mapeo que le indican al servidor DNS qué dirección IP está asociada con qué nombre de dominio. También le dice al servidor DNS cómo manejar esas solicitudes. Hay varios tipos de registros DNS, pero todos los registros DNS de un dominio específico están contenidos en algo llamado Zona DNS. Piense en la zona DNS como un contenedor que permite a Internet buscar la dirección IP de un solo dominio en particular.

Los tipos de registros DNS comunes son los siguientes:

Los registros de dirección o A (también conocidos como registros de host) son los registros centrales del DNS. Estos registros vinculan un dominio a una dirección IP. El registro AAAA es igual que el registro A, pero en lugar de una dirección IP IPv4 de 32 bits, devuelve una dirección IPv6 de 128 bits.

Los registros de servidor de nombres (NS) determinan qué servidores comunican información de DNS para un dominio. Generalmente, tendrá registros de servidor de nombres primario y secundario para su dominio.

Mail Exchange registra mensajes de correo electrónico directos a los servidores de un dominio particular. Se pueden definir varios registros MX para un dominio, cada uno con una prioridad diferente. El número más bajo es la prioridad más alta. Si no se puede entregar el correo utilizando el primer registro de prioridad, se utiliza el segundo registro de prioridad, y así sucesivamente.

Los registros de texto o TXT pueden contener texto arbitrario, pero también pueden usarse para definir texto legible por máquina.

Los registros NOMBRE canónico o CNAME vinculan un nombre de alias a otro nombre de dominio canónico. Por ejemplo, alias.example.com podría vincularse a example.com.

El DNS es una de las principales tecnologías que hacen posible Internet. También es un componente vital en la infraestructura de red. Porque disponer de una infraestructura DNS disponible, inteligente, segura y escalable es fundamental, el DNS no se limita a entregar contenidos y aplicações: gestiona una arquitectura distribuida y redundante, garantizando una alta disponibilidad y un tiempo de respuesta de calidad al usuario. Si falla el DNS, la mayoría de las aplicações web no funcionarán correctamente. Esto no sólo hace que el DNS sea crítico, sino también un objetivo principal para los ataques. Si no cuenta con una infraestructura de DNS adecuada, los clientes no podrán acceder a sus aplicações ni a su contenido, lo que podría llevarlos a buscar en otro lado sus necesidades.

Sin embargo, existen ciertas limitaciones en los servicios DNS estándar. En primer lugar, si bien el DNS hace que su aplicação/sitio web/contenido esté disponible, al DNS realmente no le importa si está en funcionamiento o incluso si existe.

Además, el DNS no tiene capacidad real para distribuir la carga. Continuará utilizando todas las direcciones IP, incluso si la aplicação respaldada por esa IP está sobrecargada o inactiva.

El DNS tampoco tiene el concepto de aplicação con estado: no puede garantizar que un usuario regrese a la misma dirección IP. Por ejemplo, si va a un centro de datos particular y crea un carrito de compras que se mantiene en ese centro de datos, no hay garantía de que la próxima vez que resuelva el nombre, obtendrá la misma IP.

Por último, los servidores DNS estándar sólo pueden responder a una cantidad limitada de consultas DNS por segundo, lo que los hace vulnerables a ataques distribuidos de denegación de servicio (DDoS).

El DNS es la columna vertebral de Internet, pero también es uno de los puntos más vulnerables de su red, lo que lo convierte en un objetivo de gran valor. Los ataques DDoS pueden inundar sus servidores DNS hasta el punto de secuestrarlos o fallar, lo que lleva a redirigir las solicitudes a un servidor malicioso. Para evitar esto, se debe integrar en la red una arquitectura distribuida, segura y de alto rendimiento. Las empresas también deberían agregar más servidores DNS durante las sobrecargas de DNS y los ataques DDoS.

Si bien los servidores DNS y los servicios en la nube pueden manejar distintas cantidades de solicitudes por segundo, y los costos aumentan a medida que aumentan las consultas, esta solución a menudo requiere intervención manual cuando se necesitan cambios. Y como siguen apareciendo nuevas vulnerabilidades, los servidores DNS tradicionales requieren mantenimiento y parches frecuentes, lo que los hace aún más costosos.

Ahora que hemos establecido que el DNS es propenso a ataques graves, hablemos de cómo los controladores de entrega de aplicação (ADC) ayudan a proteger la infraestructura del DNS. Los ADC pueden equilibrar las cargas de múltiples servidores DNS y almacenar en caché las respuestas, lo que proporciona escala y permite que los servidores DNS manejen grandes cantidades de tráfico y ataques masivos. Esta funcionalidad permite a los clientes implementar muchos servidores DNS al mismo tiempo, lo que les permite maximizar la disponibilidad de las aplicação , proporcionar mayor velocidad y mejorar el rendimiento. Los ADC también detectan rápidamente ataques DDoS y enrutan esas conexiones lejos de los servidores, o las rechazan por completo. Los ADC admiten DNSSEC y permiten a las organizaciones defenderse contra amenazas como el envenenamiento de caché y los ataques del tipo "man-in-the-middle". Debido a todo esto, los ADC reducen el costo total de propiedad de los clientes al reducir la necesidad de contar con servidores DNS adicionales como respaldo en caso de sobrecarga o ataque.

En resumen, un ADC de alto rendimiento no solo puede proteger a los servidores DNS de diversos ataques, sino que también puede proporcionar escala, mejorar el rendimiento y reducir el TCO, al tiempo que permite a los servidores DNS manejar grandes cargas de tráfico.

Con el crecimiento de las aplicaciones móviles y las tecnologías más nuevas, como los dispositivos de Internet de las cosas (IoT), el DNS también está creciendo. Además, el número de aplicações está aumentando rápidamente, al igual que el volumen de tráfico que accede a aplicações. En los últimos 5 años, el volumen de consultas DNS se ha duplicado para .com y otras direcciones. En 2016 se agregaron más de 10 millones de nombres de dominio a Internet, y a medida que se implementan cada vez más la nube, los dispositivos móviles y la IoT, se espera que el DNS crezca a un ritmo aún más rápido. Algunos estudios recientes realizados sobre el tráfico global de Internet muestran que el número de usuarios de Internet aumentará a 4.100 millones a finales de 2020. Debido a que los servidores DNS son tan importantes para Internet, sin un DNS que funcione bien, Internet sería prácticamente inútil.

Al igual que la IoT, la popularidad de los servicios en la nube ha aumentado enormemente en los últimos años. Como resultado, es más importante que nunca pensar en su infraestructura de DNS y los beneficios y amenazas asociadas a ella. Por un lado, el DNS autorizado basado en la nube ofrece mejor rendimiento, alta disponibilidad, seguridad y escalabilidad. Por otro lado, también es vulnerable a amenazas como la infraestructura DNS y los ataques DDoS.

Estas amenazas tienen el potencial de interrumpir significativamente el acceso a sitios web, aplicações, servicios en la nube y otros recursos. Planificar y gestionar su infraestructura de TI de manera eficaz es absolutamente vital para mantener a raya estos ataques y seguir brindando a sus empleados y clientes acceso a los recursos que necesitan, cuando y donde los necesiten.