En nuestro anterior blog, discutimos los fundamentos de un DNS. Ahora, explicaremos técnicas avanzadas para la redundancia de DNS.
DNS primario
El servidor DNS primario, que aloja una o varias zonas, actúa como DNS autoritativo. A través de este, los administradores de DNS gestionan los archivos de zona y realizan cambios en el DNS. Estos incluyen añadir, eliminar y actualizar registros DNS.
Zonas y archivos de zona
El dominio alojado en el servidor DNS se denomina zona. El archivo de zona es un texto legible por humanos que contiene diferentes tipos de registros DNS.
- Registro SOA: representa el inicio de autoridad
- Registro A: direcciones IPv4 asignadas a un dominio o subdominio
- Registro AAAA: direcciones IPv6 asignadas a un dominio o subdominio
- Registro CNAME: registro canónico dirigido a un nombre canónico
- Registro MX: registros de intercambio de correo dirigidos a servidores de correo
- Registro TXT: utilizado para diversas verificaciones
- Registro PTR: registro de búsqueda DNS inversa
El archivo de zona alojado y gestionado por el servidor primario se denomina zona DNS primaria. El DNS es un componente esencial de la infraestructura y requiere atención constante. Para una mayor escalabilidad, seguridad y disponibilidad, se utilizan servidores secundarios.
DNS secundario
El DNS secundario se aprovisiona en la misma red que el primario. También puede ser un proveedor DNS de terceros. El DNS secundario aloja una copia idéntica de las zonas alojadas en el DNS primario en formato de sólo lectura. Los archivos de zona del DNS primario se sincronizan con el secundario mediante una transferencia de zona.
Transferencia de zona
Una transferencia de zona es un mecanismo que se utiliza para sincronizar la información actualizada de los servidores primarios con los secundarios. La transferencia de zona consta de dos tipos:
-
Transferencia de zona completa (AXFR): El servidor DNS primario notifica a los servidores secundarios que se han realizado cambios en una zona concreta. El DNS secundario se pone en contacto con el primario para comprobar el número de serie en el registro SOA de la zona en la que se han producido los cambios. Si el número de serie del DNS primario es mayor que el del servidor secundario de esa zona, se copia todo el archivo de zona a los servidores secundarios desde el servidor primario.
-
Transferencia de zona incremental (IXFR): El servidor DNS primario notifica a los secundarios que se han realizado cambios en una zona concreta. El DNS secundario se pone en contacto con el primario para comprobar el número de serie en el registro SOA de la zona en la que se han producido cambios. Si el número de serie en el DNS primario es mayor que el de los servidores secundarios de esa zona, estos comparan los últimos cambios con la versión existente y copian sólo los registros modificados del DNS primario.
Los servidores secundarios comprueban periódicamente los primarios en busca de cambios y copian los archivos de zona actualizados. Las comprobaciones periódicas de los servidores secundarios se basan en los intervalos de actualización establecidos en el registro SOA de la zona.
Protección de las transferencias de zona
Los atacantes pueden descargar las zonas habilitadas con transferencia de zona mediante solicitudes AXFR a los servidores DNS primarios. Los siguientes métodos ayudan a realizar transferencias de zona seguras entre los servidores primarios y secundarios:
- Restricción de direcciones IP: Permitir la solicitud de transferencia de zona a los servidores primarios sólo desde las IP de los servidores secundarios.
- Firma de transferencia DNS (TSIG): Permitir la TSIG DNS para las zonas habilitadas para transferencia de zona. Las TSIG son claves de cifrado simétricas precompartidas entre los servidores primarios y secundarios. Siempre que se inician transferencias de zona (AXFR/IXFR) entre servidores primarios y secundarios habilitados con TSIG, la comunicación entre los servidores que participan en la transferencia de zona se valida mediante claves TSIG y se realiza de forma segura.
ManageEngine CloudDNS
ManageEngine CloudDNS es un servicio DNS autoritativo con propiedades avanzadas y soporte para la funcionalidad de DNS primario y secundario. Conozca más de CloudDNS y vea cuán fácil es gestionar la infraestructura DNS.
