Internet MéxicoLos misterios del DNS

Daniel Alejandro Hernandez Felix4 semanas atrás28012 min

Tal vez alguna vez te ha pasado que mientras visitas una página web en la computadora ésta deja de funcionar de repente.

Entonces, probablemente hayas intentado visitar esa misma página desde tu celular utilizando los datos de tu proveedor móvil y accediendo a la página sin ningún problema.

Entre las posibles causas de lo que pudo haber provocado ese acontecimiento es que el Sistema de Nombres de Dominio (DNS) de tu proveedor de internet haya fallado en resolver el dominio de la página web y por lo tanto solamente fallara en tu computadora.

Pero, ¿qué es un DNS y cuál es su relación con los nombres de dominio? Primero, algo a tener en cuenta es que los nombres de dominio solo tienen significado para las personas.

Cuando se visita una página web, lo que hace la computadora es traducir la dirección de la página a números. Éstos números son las direcciones IP y cada computadora conectada a internet es localizable mediante una. Por lo tanto, con la dirección IP la computadora puede preguntar por la página web que el usuario desea acceder y así mostrar a éste la página web en la que decidió navegar.

El directorio a donde la computadora va a preguntar “¿qué dirección IP tiene tal nombre de dominio?” se le llama DNS (Domain Name System – Sistema de nombre de dominio). Todo el sistema de directorios de nombres de dominios está descentralizado, lo que significa que un servidor de DNS no tendrá todas las direcciones de todo el mundo.

Para poner un ejemplo, cuando se intenta resolver la página www.nic.mx, la computadora interpreta las palabras separadas por los puntos del nombre de dominio de derecha a izquierda. Es decir, primero va a preguntar quién tiene la información de .mx y cuando le respondan, le preguntará a .mx  quién tiene la información de Nic. Posteriormente, preguntará a NIC quién tiene la información de www y así sucesivamente hasta terminar todo el nombre de dominio.

Cada uno de estos servidores de DNS se le conocen como DNS autoritativos, y todo lo que contenga ese DNS autoritativo se le denomina zona.

Por ejemplo, para el DNS autoritativo Nic México (nic.mx), él podrá responder todos los dominios que estén antes de “nic.mx”, es decir, los dominios que estén en tu zona (ejemplo: www.nic.mx, correo.nic.mx, tienda.nic.mx, www.tienda.nic.mx, etc.).

El tema de DNS autoritativo le podría interesar si usted contrató recientemente un nombre de dominio y le gustaría o tiene la necesidad de administrar personalmente su zona. Algunos Registrars, donde se contrata el nombre de dominio, proporcionan sus propios DNS autoritativos y de esta manera el usuario no tiene que comprar el hardware o buscar el software para tener su propio DNS autoritativo.

El otro tipo de servidor DNS que se utiliza al navegar en internet es el DNS recursivo. En términos simples, este sistema se encarga de resolver el nombre de dominio para conseguir una dirección IP por medio de consultas a los DNS autoritativos.

Los DNS recursivos normalmente los provee de manera automática el proveedor de servicios de internet (ISP) contratado. Además, éstos guardan una copia local de lo que el usuario preguntó y lo que el DNS autoritativo respondió. De esta forma, no se tiene que volver a reformular la pregunta.

El tiempo que un DNS recursivo tarda en guardar la información que solicitó a un DNS autoritativo depende de cómo se haya configurado en el DNS autoritativo por cada registro. Sin embargo, es posible configurar el DNS recursivo para que mantenga la copia local durante más o menos tiempo.

Una mala configuración de un DNS autoritativo puede perjudicar a los directorios (zonas) que maneje ese servidor DNS, haciendo que sea imposible que el DNS recursivo logre resolver el nombre de dominio y por lo tanto el usuario no pueda entrar al servicio web que solicita.

Algo parecido podría pasar con un DNS recursivo infectado. Lo que ocurre en esta situación es que se modifiquen o agreguen resoluciones de nombres de dominio a direcciones IP de servidores falsos. Por ejemplo, si usted quiere visitar la página de un banco, el DNS resolverá la dirección IP del banco al que desea acceder. Si en el DNS recursivo modificaron su copia local de nombres de dominio cambiando la dirección IP de la página del banco, el resultado es que quizás se visite una página web falsa del banco y si usted interactúa en ella, es probable que sus credenciales vayan a ser robadas.

El envenenamiento de DNS suele suceder cuando un atacante modifica la copia local, intercepta las peticionas y envía una respuesta falsa de un DNS recursivo

Si usted tiene configurado en su negocio o hogar un DNS recursivo y quiere prevenir este tipo de ataques, lo recomendable es habilitar la opción de hacer validaciones “DNSSEC” (más adelante se profundizará en el tema). Además, debe mantener actualizado su software de DNS, ya que las actualizaciones suelen tener parches de seguridad para evitar otro tipo de ataques.

También pueden instalar el DNS dentro de tu red interna y que no sea visible desde “Internet” para que no pueda ser utilizado para realizar actividades ilegales de las que podrías no darte cuenta y tener problemas en el futuro.

Si cuentas con un nombre de dominio y un DNS autoritativo para tus servicios web, debería considerar utilizar DNSSEC. De esta manera evitarás o harás más difícil que los hackers realicen el envenenamiento del DNS.

A grandes rasgos, la tecnología DNSSEC hace que firmes de forma digital los registros en tu DNS autoritativo y después envíe cierta información requerida para la validación de la firma al Registrar/Registry. De esta forma logrará crear una cadena de confianza digital para que los DNS recursivos puedan validar que la información que reciben viene de una fuente confiable. Finalmente, para poder habilitar DNSSEC es importante verificar que el Registrar (la entidad donde obtuvo su nombre de dominio) te permita realizar este paso de agregar DNSSEC a su zona.

El Top Level Domain .MX soporta esta tecnología de DNSSEC así que si cuentas con otros dominios bajo otros Top Level Domain te sugerimos investigar si soportan esta tecnología. De esta forma te aseguras que cualquier DNS recursivo que busque resolver tus dominios, obtenga los registros que ingresaste.

Referencias

Kaspersky. n.d. 20 06 2018. <https://www.kaspersky.com/resource-center/definitions/dns>.

Mockapetris, P. “RFC1034: DOMAIN NAMES – CONCEPTS AND FACILITIES.” (1987): 55.

Registry .MX. 17 Jul 2015. 20 06 2018. <https://www.registry.mx/jsf/news_list/search/info.jsf?Id=1224&type=1>.

 

Daniel Alejandro Hernandez Felix

¡Comenta!

Tu correo no será publicado. Los campos requeridos se encuentran marcados con un asterisco (*).

Artículos relacionados