Gestionar efectivamente las dinámicas de las búsquedas de los nombres de dominio mediante el DNS es crucial para aumentar la velocidad y seguridad de las conexiones de red. Las búsquedas de DNS directas e inversas traducen los nombres de dominio legibles para humanos en direcciones IP legibles para equipos y viceversa. Esto garantiza conexiones seguras dentro de redes públicas y privadas. Entremos más en detalle sobre cómo DDI Central faculta a las organizaciones para aprovechar las búsquedas de DNS directas e inversas, mejorando así la fiabilidad, la seguridad y el rendimiento de la red.
Búsqueda de DNS directa
Una búsqueda de DNS directa es el proceso de convertir un nombre de dominio en su correspondiente dirección IP. Este es el tipo de consulta más común de DNS.
¿Qué es una zona de búsqueda de DNS directa?
Una zona de búsqueda de DNS directa es una zona de DNS configurada para facilitar el mapeo entre nombres de dominio y direcciones IP. Es esencial para el uso de internet diario, ya que permite a los usuarios acceder a sitios web mediante nombres de dominio.
IPv4 e IPv6
Se puede mapear ambos tipos de direcciones en un archivo de zona de DNS usando registros de direcciones. A registra para IPv4 y AAAA, para IPv6.
Ejemplo
Para acceder a clouddns.manageengine.com, se consulta un registro A. Este resuelve a la dirección IPv4 203.0.113.45.
Para acceder a blog.zylkercorp.com, se consulta un registro AAAA. Este resuelve a la dirección IPv6 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
Búsqueda de DNS inversa
Las búsquedas de DNS inverso realizan la función opuesta a las búsquedas de DNS directa: traducen direcciones IP a nombres de dominio. Este proceso es crucial para varios servicios de red. Lo anterior incluye el filtrado de spam de correo electrónico.
IPv4 e IPv6
Las búsquedas inversas usan registros de puntero, o registros PTR, en un dominio especial: in-addr.arpa para IPv4 e ip6.arpa para IPv6.
¿Qué es una zona de búsqueda de DNS inversa?
Las zonas de búsqueda inversa en el DNS se usan para resolver direcciones IP de vuelta a nombres de dominio. Básicamente realiza la función opuesta a las más comunes zonas de búsqueda directa, que mapea dominios a direcciones IP. Este proceso se conoce como una búsqueda de DNS inversa o rDNS. Esto es muy importante para servicios como correo electrónico, donde verificar el dominio del remitente con respecto a la dirección IP puede ayudar a reducir el spam.
Las zonas de búsqueda inversa requieren un entorno cuidadoso para garantizar búsquedas inversas precisas y usar registros de PTR en las zonas inversas designadas. Cada registro correlacionará una dirección IP a un nombre de host, con la porción de dirección de bloque de IP escrita a la inversa.
Mientras que no todas las direcciones IP tienen entornos de DNS inverso, para muchas aplicaciones —especialmente en los entornos corporativos o empresariales— establecer zonas de búsqueda inversa es una parte crucial de la gestión de la infraestructura de la red.
Zonas inversas y registros de PTR para direcciones IPv4
Digamos que en el bloque de red IPv4 192.168.1.0/24 hay un usuario llamado John. Su ID de empleado es 12345. Una búsqueda de DNS directa normal para el nombre de host de John —usando el formato [nombre de host].[nombre de dominio].[TLD], donde TLD significa dominio de nivel superior como .com—resolvería a una dirección IPv4 como se muestra a continuación:
john-12345.zylkercorp.com > 192.168.1.26
Para crear una zona de búsqueda de DNS inversa para la dirección IP de John, empezaría con la porción de red de su bloque de IP. Luego se invertiría y añadiría .in-addr.arpa. Así, para el bloque de dirección /24, 192.168.1 es la dirección de red y la zona de búsqueda inversa sería:
1.168.192.in-addr.arpa
Dentro de esta zona de búsqueda inversa, un registro de PTR para la dirección IP de John sería:
26.1.168.192.in-addr.arpa
La respuesta para el registro de PTR debe apuntar correctamente de nuevo al nombre de host de John:
john-12345.zylkercorp.com
Zonas inversas y registros de PTR para direcciones IPv6
Para direcciones Ipv6, el proceso es similar a IPv4. No obstante, la notación y el dominio empleados para la delegación de DNS inverso son diferentes. El dominio usado para el DNS inverso de IPv6 es .ip6.arpa. Para el bloque de dirección IPv6 2001:0db8:85a3::/48, debe primero construir el nombre de zona inversa al invertir el bloque de direcciones y darle formato de acuerdo con las convenciones de nombrado para búsquedas inversas para IPv6 en el DNS. Para una subred /48, la dirección de la red involucra solo los primeros tres grupos de números hexadecimales.
-
Construcción del nombre para la zona de búsqueda de DNS inversa:
o Empiece con el prefijo de IPv6: 2001:0db8:85a3
o Invierta los grupos hexadecimales de la dirección de red y separe cada dígito con un punto: 3.a.5.8.8.b.d.0.1.0.0.2
o Añada el sufijo estándar para la búsqueda inversa para IPv6: .ip6.arpa
o Así, el nombre de la zona inversa es: 3.a.5.8.8.b.d.0.1.0.0.2.ip6.arpa
-
Registros de PTR de muestra dentro de esta zona:
Creemos registros de PTR para una dirección IPv6 en este bloque:
2001:0db8:85a3:0000:0000:0000:0000:abcd
Para crear un registro de PTR, necesitamos invertir la parte única de la dirección (más allá del prefijo /48). Son los últimos cuatro dígitos hexadecimales (abcd), omitiendo los ceros, pues de otra forma tendrá que invertir toda la parte única. Siguiendo las convenciones de la búsqueda de DNS inversa para IPv6:
-
Invierta los dígitos hexadecimales únicos: d, c, b, a
-
Separe cada dígito con un punto: d.c.b.a
-
Añada el nombre de zona inversa construido del prefijo /48: 3.a.5.8.8.b.d.0.1.0.0.2.ip6.arpa
Por tanto, el registro de PTR completo para 2001:0db8:85a3::abcd sería:
d.c.b.a.3.a.5.8.8.b.d.0.1.0.0.2.ip6.arpa
El registro de PTR anterior indica que la dirección IP debe resolverse a la inversa al nombre de host jade-56789.zylkercorp.com, que tiene el formato nombredehost.nombrededominio.tld en referencia al nombre de dominio de nivel superior .com. Nota: generalmente, una dirección IP mapea a un nombre de host. Sin embargo, el estándar de DNS no prohíbe tener varios registros de PTR para una sola IP.
¿Cuándo se usan las zonas de búsqueda de DNS directa?
Las zonas de búsqueda directa son un componente vital de los DNS. Garantizan un funcionamiento sin problemas de internet y las redes privadas al facilitar a los humanos el acceso y uso de recursos de red mediante nombres de dominio memorables en lugar de hilos exhaustivos de direcciones IP. Los servidores de DNS usan estas zonas alrededor del mundo para resolver consultas de clientes y dirigir el tráfico.
Las zonas de búsqueda directa se usan en una variedad de situaciones:
∙ Acceder a sitios web: cuando escribe una dirección de sitio web (por ejemplo, www.clouddns.manageengine.com) en su navegador, se hace una consulta de DNS en una zona de búsqueda directa para resolver el nombre de hosts a su dirección IP. Esto permite al navegador conectarse con el servidor del sitio web.
∙ Servicios de correo electrónico: los clientes de correo electrónico y los servidores usan el DNS para resolver nombres de dominio en direcciones de correo electrónico para las direcciones IP de los servidores de correo. Esto garantiza que los correos electrónicos se enruten y entreguen correctamente a su destino.
∙ Conexión a servicios de red: ya sea sus servicios de red, bases de datos remotas o API en línea, los clientes usan búsquedas de DNS directa para encontrar direcciones IP de los servidores que alojan dichos servicios, con base en sus nombres de host.
∙ Administración y operaciones de red: en entornos empresariales, las zonas de búsqueda directa facilitan las conexiones a servidores internos, impresoras en redes, archivos compartidos y otros recursos al traducir nombres de dominio legibles para humanos a direcciones IP que solo los equipos en la red pueden entender.
∙ Equilibrio de carga y redundancia: las zonas de búsqueda directa se pueden configurar para devolver varias direcciones IP para un solo nombre de host. Lo anterior permite que el tráfico se distribuya en varios servidores o se reenrute en caso de un fallo del servidor. Esto mejora la disponibilidad y fiabilidad de los servicios.
¿Cuándo se usan las zonas de búsqueda de DNS inversa?
Las zonas de búsqueda de DNS inversa se usan generalmente para abordar problemas de seguridad en los servidores de correos para verificar el nombre de dominio de los mensajes de correo entrantes. También se usan para registrar y monitorear la red con el fin de resolver direcciones IP a nombres de dominio más legibles.
Las zonas de búsqueda inversa son importantes para lo siguiente:
-
Resolución de problemas de seguridad y de red: las zonas de búsqueda de DNS inversa ayudan a identificar y verificar los nombres de host asociados con conexiones entrantes. Estos pueden ser útiles para auditorías de seguridad, registro o control de problemas de red.
-
Servidores de correo electrónico: muchos servidores de correos realizan una búsqueda de DNS inversa en conexiones entrantes para verificar que la dirección IP del correo electrónico entrante concuerde con el dominio del que dice provenir. Si no se autentican, estos servidores de correo rechazan los correos de IP sin búsquedas de DNS inversas. Esta es una medida que se usa para combatir el spam y los ataques de phishing.
-
Cumplimiento de requisitos y políticas: ciertas políticas de redes o requisitos de cumplimiento empresariales podrían exigir búsquedas de DNS inversas para auditar y garantizar que solo se permita a direcciones IP legítimas y reconocidas conectarse o realizar transacciones con su red o servidores.
-
Logs e informes legibles para humanos: cuando se analizan logs de tráfico de red, tener información de DNS inverso puede hacer que los datos de IP sean más entendibles al mostrar nombres de host en lugar de solo direcciones IP.
En conjunto, las zonas de búsqueda directa e inversa garantizan que el DNS cumpla su misión como el directorio de la red en que se implementa —no importa si es pública o privada— manteniendo toda conexión de red posible y práctica. Ya sea que navegue por sitios web, envíe correos electrónicos o se conecte con servicios en la nube, estas funciones de DNS funcionan constantemente tras bambalinas para mantener la conectividad y seguridad de nuestros esfuerzos en línea. Descargue una prueba gratuita de 30 días para ver cómo una navegación eficiente de DNS con DDI Central llevará sus funciones de gestión a nuevas alturas.