Product SiteDocumentation Site

10.7. Servidores de nombres de dominio (DNS)

El servicio de nombres de dominio (DNS: «Domain Name Service») es un componente fundamental de Internet: asocia nombres de equipo con direcciones IP (y viceversa), lo que permite utilizar www.debian.org en lugar de 130.89.148.77 o 2001:67c:2564:a119::77.
Los registros DNS se organizan en zonas; cada zona coincide con un dominio (o subdominio) o un rango de direcciones IP (ya que generalmente se proveen direcciones IP en rangos consecutivos). Un servidor primario es autoridad sobre los contenidos de una zona; los servidores secundarios, generalmente en otras máquinas, proveen copias de la zona primaria actualizadas regularmente.
Cada zona puede contener registros de varios tipos (registros de recursos: «Resource Records»), estos son algunos de los más comunes:

10.7.1. Software DNS

El servidor de nombres de referencia, Bind, lo desarrolló y es mantiene el ISC (Consorcio de Software de Internet: «Internet Software Consortium»). Está disponible en Debian en el paquete bind9. La versión 9 provee dos cambios importantes comparados con versiones anteriores. Primero, el servidor DNS ahora se puede ejecutar como un usuario sin privilegios para que una vulnerabilidad de seguridad en el servidor no provea permisos de root al atacante (como pasaba frecuentemente con las versiones 8.X).
Lo que es más, Bind es compatible con el estándar DNSSEC para firmar (y, por lo tanto, autenticar) registros DNS, lo que permite bloquear datos apócrifos durante ataques con intermediarios («man-in-the-middle»).

CULTURA DNSSEC

La normativa DNSSEC es bastante compleja; esto explica parcialmente por qué no es utilizada ampliamente aún (aún si puede coexistir perfectamente con servidores DNS que no conozcan de DNSSEC). Para entender los recovecos debería revisar el siguiente artículo.
→ https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

10.7.2. Configurando bind

Archivos de configuración de bind, sin importar su versión, tienen la misma estructura.
Los administradores de Falcot crearon una zona primaria falcot.com para almacenar información relacionada con este dominio y una zona 168.192.in-addr.arpa para la asociación inversa de direcciones IP en las redes locales.

PRECAUCIÓN Nombres de zonas inversas

Las zonas inversas tiene un nombre particular. La zona que cubre la red 192.168.0.0/16 necesita llamarse 168.192.in-addr.arpa: se invierten los componentes de la dirección IP seguidos del sufijo in-addr.arpa.
Para redes IPv6, el sufijo es ip6.arpa y los componentes de la dirección IP, invertidos, son cada caracter de la dirección IP en su representación hexadecimal completa. Por ejemplo, la red 2001:0bc8:31a0::/48 podría utilizar una red llamada 0.a.1.3.8.c.b.0.1.0.0.2.ip6.arpa.

SUGERENCIA Pruebas del servidor DNS

El programa host (en el paquete bind9-host) consulta un servidor DNS y puede utilizarse para probar la configuración del servidor. Por ejemplo, host maquina.falcot.com localhost revisa la respuesta del servidor local a la consulta por maquina.falcot.com. host direccion.ip localhost prueba la resolución inversa.
Los siguientes extractos de configuración, de los archivos de Falcot, pueden servirle como punto de partida para configurar un servidor DNS:

Ejemplo 10.12. Extracto de /etc/bind/named.conf.local

zone "falcot.com" {
        type master;
        file "/etc/bind/db.falcot.com";
        allow-query { any; };
        allow-transfer {
                195.20.105.149/32 ; // ns0.xname.org
                193.23.158.13/32 ; // ns1.xname.org
        };
};

zone "internal.falcot.com" {
        type master;
        file "/etc/bind/db.internal.falcot.com";
        allow-query { 192.168.0.0/16; };
};

zone "168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.192.168";
        allow-query { 192.168.0.0/16; };
};

Ejemplo 10.13. Extracto de /etc/bind/db.falcot.com

; Zona falcot.com 
; admin.falcot.com. => contacto de la zona: admin@falcot.com
$TTL    604800
@       IN      SOA     falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresco
                          86400         ; Reintento
                        2419200         ; Expiración
                         604800 )       ; TTL de caché negativo
;
; El @ hace referencia al nombre de la zona («falcot.com» aquí)
; o a $ORIGIN (origen) si se utilizó esta directiva
;
@       IN      NS      ns
@       IN      NS      ns0.xname.org.

internal IN      NS      192.168.0.2

@       IN      A       212.94.201.10
@       IN      MX      5 mail
@       IN      MX      10 mail2

ns      IN      A       212.94.201.10
mail    IN      A       212.94.201.10
mail2   IN      A       212.94.201.11
www     IN      A       212.94.201.11

dns     IN      CNAME   ns

PRECAUCIÓN Sintaxis de un nombre

La sintaxis de los nombres de máquinas deben adherirse a reglas estrictas. Por ejemplo, maquina implica maquina.dominio. Si no se debe agregar el nombre de dominio a un nombre, debe escribir dicho nombre como maquina. (con un punto de sufijo). Por lo tanto, indicar un nombre DNS fuera del dominio actual necesita una sintaxis como maquina.otrodominio.com. (con el punto final).

Ejemplo 10.14. Extracto de /etc/bind/db.192.168

; Zona inversa para 192.168.0.0/16
; admin.falcot.com. => contacto de la zona: admin@falcot.com
$TTL    604800
@       IN      SOA     ns.internal.falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresco
                          86400         ; Reintento
                        2419200         ; Expiración
                         604800 )       ; TTL de caché negativo

        IN      NS      ns.internal.falcot.com.

; 192.168.0.1 -> arrakis
1.0     IN      PTR     arrakis.internal.falcot.com.
; 192.168.0.2 -> neptune
2.0     IN      PTR     neptune.internal.falcot.com.

; 192.168.3.1 -> pau
1.3     IN      PTR     pau.internal.falcot.com.