Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es DNS y cómo funciona?

[30/07/2022] El Sistema de nombres de dominio (DNS) es una de las bases de Internet; funciona en segundo plano para hacer coincidir los nombres de los sitios web que las personas escriben en un cuadro de búsqueda con la dirección IP correspondiente, una cadena larga de números que nadie podría recordar.

Todavía es posible que alguien escriba una dirección IP en un navegador para llegar a un sitio web, pero la mayoría de la gente quiere que una dirección de Internet esté formada por palabras fáciles de recordar, llamadas nombres de dominio. (Por ejemplo, CIO Perú).

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

En los años 70 y principios de los 80, la tarea de hacer coincidir los nombres de dominio y las direcciones IP se asignó a una persona: Elizabeth Feinler del Instituto de Investigación de Stanford, que mantenía una lista maestra de todas las computadoras conectadas a Internet. Obviamente esto era insostenible, dado el rápido crecimiento de Internet y, en 1983, Paul Mockapetris desarrolló DNS, un sistema automatizado y escalable que se encarga de la traducción de nombres de dominio a direcciones IP.

Actualmente hay más de 342 millones de dominios registrados, por lo que mantener todos esos nombres en un solo directorio sería engorroso. Al igual que Internet, el directorio está distribuido por todo el mundo en servidores de nombres de dominio que se comunican entre sí periódicamente para proporcionar actualizaciones y eliminar redundancias.

Otra razón para la creación de un sistema distribuido es aumentar el rendimiento. Por ejemplo, imagine que todas las solicitudes que ingresan al mismo tiempo en todo el mundo, para resolver el nombre de dominio Google con la dirección IP subyacente, se manejaran en una sola ubicación. Para abordar este problema, la información de DNS se comparte entre muchos servidores.

Eso significa que un solo dominio puede tener más de una dirección IP. Por ejemplo, el servidor físico al que llega su laptop o smartphone cuando ingresa a www.google.com es diferente del servidor al que llegaría alguien en otro país al escribir el mismo nombre en su navegador. Aun así, el DNS lo lleva al lugar correcto, sin importar en qué parte del mundo se encuentre.

¿Cómo funciona el DNS?

Cuando su computadora quiere encontrar la dirección IP asociada con un nombre de dominio, primero realiza su consulta DNS a través de un cliente DNS, generalmente en un navegador web. Luego la consulta va a un servidor DNS recursivo, también conocido como resolutor recursivo. Un resolutor recursivo generalmente es operado por un proveedor de servicios de Internet (ISP), como AT&T o Verizon (o algún otro tercero), y sabe qué otros servidores DNS necesita solicitar para resolver el nombre de un sitio con su dirección IP. Los servidores que realmente tienen la información necesaria se denominan servidores de nombres autoritativos.

El DNS está organizado en una jerarquía. Se realiza una consulta DNS inicial para una dirección IP a un resolutor recursivo. Esta búsqueda conduce primero a un servidor raíz, que tiene información sobre dominios de nivel superior (.com, .net, .org) y dominios de países. Los servidores raíz están ubicados en todo el mundo, por lo que el sistema DNS enruta la solicitud al más cercano.

[7 tipos de ataques DNS y cómo mitigarlos]

Una vez que la solicitud llega al servidor raíz correcto, se dirige hacia un servidor de dominio de nivel superior (servidor de nombres TLD), que almacena información para el dominio de segundo nivel, que son las palabras que se escriben en un cuadro de búsqueda. Luego, la solicitud va a un servidor de nombres de dominio, que busca la dirección IP y la envía de regreso al dispositivo del cliente DNS para que pueda visitar el sitio web apropiado. Todo esto tarda apenas unos milisegundos.

¿Qué es el almacenamiento en caché de DNS?

Lo más probable es que utilice Google varias veces al día. En lugar de que su computadora consulte el servidor de nombres DNS para la dirección IP cada vez que ingresa el nombre de dominio, esa información se guarda en su dispositivo personal para que no tenga que acceder a un servidor DNS para resolver el nombre con la dirección IP.

El almacenamiento en caché adicional puede ocurrir en los routers utilizados para conectar clientes a Internet, así como en los servidores del ISP del usuario. Con tanto almacenamiento en caché, la cantidad de consultas que realmente llegan a los servidores de nombres DNS se reduce significativamente, y esto ayuda con la velocidad y la eficiencia del sistema.

¿Cómo funciona el sistema de numeración DNS?

Cada dispositivo que se conecta a Internet debe tener una dirección IP única para que el tráfico se dirija correctamente hacia éste. El DNS traduce las consultas humanas en números mediante un sistema conocido como IPv4 o IPv6. Con IPv4, los números son enteros de 32 bits expresados en notación decimal.

La cadena de números se divide en secciones, que incluyen el componente de red, el host y la subred, similar a un número de teléfono que puede tener un código de país, un código de área, etc. La parte del número asociada a la red determina la clase y categoría de red que se asigna a ese número. El host identifica la máquina específica en la red. La parte del número asociada a la subred es opcional, pero se utiliza para navegar por la cantidad, a veces extremadamente grande, de subredes y otras particiones dentro de una red local.

IPv6, que se creó para abordar la preocupación de que Internet se pudiera quedar sin direcciones IPv4, utiliza números de 128 bits, en comparación con los números de 32 bits de IPv4. Hay 340 trillones de posibles direcciones IPv6.

¿Quién asigna las direcciones IP?

En 1998, el gobierno de Estados Unidos cedió la tarea de asignar direcciones IP a la Corporación de Internet para la Asignación de Nombres y Números (Internet Corporation for Assigned Names and Numbers (ICANN)). La organización sin fines de lucro ha manejado esa función desde ese momento sin interrupciones notables. La ICANN elabora y desarrolla políticas sobre aspectos como la creación de nuevos dominios de nivel superior (tales como .io).

En su mayor parte, la ICANN asume un papel neutral y de asesoramiento. Por ejemplo, hoy en día si una persona quiere registrar un dominio en Internet puede acudir a cualquier número de registradores acreditados por la ICANN, que básicamente descentraliza el ya descentralizado sistema DNS. Una vez registrados, los nuevos dominios pueden poblarse y llegar a todo el mundo a través de los servidores DNS en cuestión de minutos.

[8 pasos para mejorar el DNS]

¿DNS es seguro?

Los ciberdelincuentes son extremadamente inteligentes cuando se trata de identificar vulnerabilidades que pueden ser explotadas en casi cualquier sistema, y DNS ciertamente ha sido objeto de una buena cantidad de ataques. Una encuesta realizada por IDC en el 2021 a más de 1.100 organizaciones en Norteamérica, Europa y Asia-Pacífico mostró que el 87% había sufrido ataques DNS.

El costo promedio de cada ataque fue de alrededor de 950 mil dólares en todas las regiones, y de un millón de dólares en las organizaciones de Norteamérica. El informe señaló que las organizaciones de todos los sectores promediaron un total de 7,6 ataques durante el año previo.

Según el informe, el cambio relacionado con el COVID hacia el trabajo remoto, y la respuesta de las empresas de trasladar recursos a la nube para hacerlos más accesibles, han proporcionado nuevos objetivos para los atacantes.

Los investigadores también encontraron un aumento significativo en el robo de datos a través de DNS, pues 26% de las organizaciones informaron que fue robada información confidencial de los clientes, en comparación con un 16% en el 2020.

Los tipos comunes de ataques DNS incluyen la amplificación de DNS, suplantación o envenenamiento de caché de DNS, tunelización de DNS y secuestro de DNS o redirección de DNS.

¿Qué es DNSSec?

DNSSec es un protocolo de seguridad diseñado por la ICANN para ayudar a que la comunicación entre los distintos niveles de servidores involucrados en las búsquedas de DNS sea más segura. Aborda los puntos débiles de la comunicación entre los servidores de directorio de nivel superior, de segundo nivel y tercer nivel de DNS que permitirían a los hackers secuestrar las búsquedas.

El secuestro permite a los atacantes responder a las solicitudes de búsqueda de sitios legítimos dirigiendo a los usuarios a un sitio malicioso. Estos sitios podrían cargar de malware a los usuarios o realizar ataques de phishing.

DNSSec aborda esta situación haciendo que cada nivel del servidor DNS firme digitalmente sus solicitudes, lo que garantiza que los atacantes no se apoderen de las solicitudes enviadas por los usuarios finales. Esto crea una cadena de confianza que valida la integridad de la solicitud en cada nivel de la búsqueda.

DNSSec también puede determinar si un nombre de dominio realmente existe y, si no, evita que un dominio fraudulento sea entregado a solicitantes inocentes que buscan resolver un nombre de dominio.

¿Qué es DNS sobre HTTPS (DoH)?

Si bien DNSSec aborda las vulnerabilidades potenciales dentro de la red distribuida de servidores DNS, ciertamente no ha detenido los ataques cibernéticos basados en DNS que utilizan alguna forma de engaño para inyectar código malicioso en el sistema DNS.

Se está viendo uno de los mayores cambios en la larga historia de DNS: Google, Mozilla y otros están alentando el paso a DNS sobre HTTPS o DoH, un estándar IETF que cifra las solicitudes de DNS de la misma manera que el protocolo HTTPS protege la mayor parte del tráfico web.

Sin embargo, el cambio a DoH no está exento de controversia. Al cifrar las solicitudes de DNS, DoH podría obstaculizar que la TI empresarial pueda monitorear la actividad web de los empleados, y los padres se han quejado de que podría impedirles aplicar controles parentales sobre el uso de Internet de sus hijos.

La adopción de DNS sobre HTTPS ha sido lenta. Del lado del cliente, DoH viene con la última versión de Google Chrome y Mozilla Firefox, pero puede ser desactivada por el usuario final. Las organizaciones, que intentan tener cierto control sobre los navegadores y versiones de navegadores que sus empleados utilizan, tienen la opción de simplemente desactivarlo. Del lado del ISP, muchos de los principales ISP todavía no han habilitado DoH.

Cómo encontrar mi servidor DNS

En términos generales, el servidor DNS que utilice será establecido automáticamente por su ISP cuando se conecte a Internet. Si desea ver qué servidores son sus servidores de nombres principales, existen utilidades web que pueden proporcionar información sobre su conexión de red actual, como browserleaks.com.

Si bien su ISP establecerá un servidor DNS predeterminado, usted no tiene la obligación de usarlo. Algunos usuarios pueden tener motivos para evitar el DNS de su ISP, por ejemplo, si este usa sus servidores DNS para redirigir solicitudes de direcciones inexistentes a páginas con publicidad.

Como alternativa, puede apuntar su computadora hacia un servidor DNS público que actuará como un resolutor recursivo. Uno de los servidores DNS públicos más destacados es el de Google. La dirección IP es 8.8.8.8.

Primer Contacto

Más »

Casos de éxito

Más »