Qué es el reenvío de DNS y sus 5 principales ventajas

Blog

Siga leyendo para comprender el reenvío de DNS, sus tipos y las mejores prácticas para mejorar el rendimiento, la eficiencia y la seguridad de la red.

por Ahona Rudra

Última actualización:
7 Tiempo de lectura: 7 minutos
Qué es el reenvío de DNS y sus 5 principales ventajas
Índice-

El reenvío de DNS ayuda a acelerar su red, y debería implementarlo si sus usuarios solicitan su nombre de dominio pero su servidor DNS no puede encontrar la dirección IP correspondiente en la caché. Las empresas con amplios espacios de nombres suelen utilizar este proceso.

Siga leyendo el blog para saber qué es el reenvío de DNS y cómo se utiliza para direcciones externas e internas. 

Puntos clave

  1. El reenvío de DNS envía las consultas no resueltas a otro servidor para su resolución, ideal para redes grandes o de colaboración.
  2. El reenvío condicional se dirige a dominios específicos, mientras que el reenvío recursivo pasa las consultas para su resolución a otro servidor.
  3. Aumenta la eficacia de las consultas, centraliza la gestión, mejora la seguridad, equilibra la carga y admite configuraciones multidominio.
  4. Reduce el tráfico externo y mejora la eficacia reenviando consultas específicas a servidores dedicados.
  5. Desactive la recursividad, active DNSSEC, supervise los servidores, cree configuraciones alternativas y haga copias de seguridad periódicas de los datos DNS.

¿Qué es el reenvío DNS?

El reenvío de DNS es un proceso en el que otro servidor designado (servidor raíz de sugerencias) gestiona las direcciones o consultas DNS no resolubles porque el servidor contactado inicialmente no tiene la respuesta. Generalmente, todos los servidores destinados a convertir nombres de dominio en direcciones IP tienen asignado un reenviador específico para reenviar todas las peticiones que no pueden resolver. 

Esta técnica la utilizan las empresas que tienen espacios de nombres muy grandes o las empresas que colaboran, ya que pueden resolver los espacios de nombres de las demás. 

¡Simplifique DMARC con PowerDMARC!

Prueba de 15 díasAgendar demo

¿Qué es un reenviador DNS?

Un reenviador DNS es un servidor DNS configurado para reenviar las consultas que no pueden resolverse localmente a otro servidor DNS, normalmente uno externo. Este servidor DNS de reenvío suele actuar como un servidor intermediario que se encarga simplemente de pasar las peticiones DNS a un servidor DNS con más autoridad para la resolución efectiva de las consultas. 

¿Cómo funciona el reenvío de DNS?

Ahora, veamos el procedimiento de funcionamiento del reenvío DNS.

Cuando la información DNS interna es privada, puede transmitirse en línea si el servidor raíz de sugerencias está expuesto al público porque no se utiliza ningún reenviador DNS en la red interna. También puede utilizarlo si las tarifas del ISP de su red son elevadas o la conexión no es rápida debido a la ausencia de un reenviador DNS interno. Esto se debe a que un reenviador DNS interno aumenta el tráfico externo, lo que complica su gestión. 

El uso de un reenviador DNS ayudará a crear una caché interna para los datos DNS externos con el fin de reducir el tráfico DNS externo. 

Tipos de reenvío DNS

Analicemos los 2 tipos principales de reenvío DNS y cómo funciona cada uno de ellos: 

1. Reenvío condicional

El reenvío condicional DNS se realiza mediante servidores DNS que reenvían consultas para determinados nombres de dominio en lugar de reenviar todas las consultas. Envían las consultas a reenviadores específicos en función de los nombres de host mencionados en la consulta. El reenvío condicional DNS mejora el reenvío convencional añadiendo al proceso una condición basada en el nombre. El reenvío condicional DNS es beneficioso porque establece una conexión a Internet más segura, rápida y fiable. En este caso, el servidor DNS envía consultas recursivas al reenviador.

2. Reenvío recursivo

En este tipo de reenvío DNS, un servidor DNS reenvía una consulta a otro servidor DNS. El segundo servidor realiza una búsqueda recursiva para resolver la consulta. Un caso de uso es cuando un servidor DNS reenvía consultas a un servidor DNS central para su resolución.

Reenvío frente a almacenamiento en caché

En el reenvío DNS, un servidor DNS envía las consultas de un cliente que no puede resolver directamente a otro servidor DNS (un reenviador). Esto se utiliza para descargar las tareas de resolución de consultas o para implementar políticas específicas de enrutamiento de consultas.

La caché DNS consiste en almacenar temporalmente los resultados de consultas anteriores para reducir la latencia y mejorar el rendimiento. Cuando un servidor DNS tiene un registro en caché, sirve la consulta inmediatamente en lugar de reenviarla. 

Ventajas del reenvío de DNS

Exploremos las distintas ventajas del reenvío de DNS: 

1. Mejora de la eficacia de las consultas

El reenvío de consultas a un servidor DNS específico reduce significativamente los tiempos de consulta y favorece respuestas mucho más rápidas, reduciendo también la latencia. 

2. Gestión centralizada

El reenvío de DNS simplifica la gestión de DNS. Esto es especialmente beneficioso en grandes organizaciones, ya que permite a los administradores centralizar y controlar la resolución de consultas DNS asignando unos pocos servidores DNS designados.

3. Seguridad

El reenvío de consultas DNS a un servidor DNS seguro y de confianza ayuda a prevenir ciberataques como los ataques de suplantación de DNS. 

4. 4. Equilibrio de la carga

Al distribuir las tareas de resolución de consultas entre los servidores DNS designados, el reenvío DNS puede ayudar a equilibrar la carga en una red. En última instancia, esto evita que un único servidor DNS se sobrecargue. 

5. Soporte multidominio

Para las organizaciones con varios dominios internos o externos, el reenvío condicional permite resolver consultas específicas de dominio sin problemas. 

Cómo configurar los reenviadores DNS en Microsoft Windows Server 2008 R2 y 2016

Antes de iniciar el procedimiento para configurar el reenvío DNS, anote la dirección IP de los servidores DNS recursivos SIA y asegúrese de que hay configurado un archivo raíz. En herramienta de búsqueda de direcciones IP puede ayudarle a localizar fácilmente la dirección IP de su propio dominio. El archivo raíz de sugerencias enumera los servidores DNS raíz que tienen contactos de dominio de directorio activo para las consultas de recursión. Esto puede hacerse con la interfaz gráfica de usuario de Windows Server o con la línea de comandos.

Interfaz gráfica de usuario

Puede seguir los siguientes pasos para configurar los reenviadores DNS en Windows utilizando la interfaz gráfica de usuario.

  1. Haga clic en Inicio y vaya a Herramientas administrativas > DNS.
  2. Haga clic con el botón derecho del ratón en el servidor DNS que desea configurar como reenviador.
  3. Vaya al menú Acción y haga clic en la pestaña "Propiedades".
  4. Seleccione la pestaña Reenviadores.
  5. Haga clic en Editar.
  6. En el cuadro de diálogo Editar reenviadores, introduzca la dirección IP principal del servidor DNS recursivo SIA y pulse Intro.
  7. Añada la dirección IP secundaria del servidor DNS recursivo SIA y pulse Intro.
  8. Comprueba tu lista de reenviadores DNS y elimina otros servidores que aparezcan como reenviadores. Mantenga sólo los servidores recursivos primario y secundario en la lista de reenviadores DNS.
  9. Añada un valor en la sección Número de segundos antes de que se agote el tiempo de espera de las consultas de reenvío para asignar el número de segundos que un servidor DNS espera una respuesta.
  10. Haga clic en Aceptar.
  11. Active la opción "Usar pista raíz si no hay reenviadores disponibles". Esta opción garantiza que los servidores DNS de un archivo de sugerencias raíz resuelvan el nombre localmente.
  12. En el cuadro de diálogo de propiedades, haga clic en Aceptar.

Interfaz de línea de comandos

Siga estos pasos para configurar el reenvío DNS en Windows utilizando la interfaz de línea de comandos. 

  1. Abra el siguiente símbolo del sistema. Tenga en cuenta que debe ejecutarse como administrador. 

Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Dónde: 

  • <ServerName> is the DNS server’s domain name or IP address.
  • <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. 
  • Debe separar cada dirección IP con un espacio.
  • <Time> refers to the time-out settings time. It is calculated in seconds.

Rutas de reenvío DNS para direcciones externas

El reenvío de DNS es importante porque si no hay un servidor DNS designado como reenviador para que todas las consultas externas se dirijan a él, todos los servidores DNS internos internos tendrán que gestionar las peticiones. Esto no es deseable porque:

  1. Si las rutas de reenvío de DNS no están claramente separadas como externas e internas, es muy posible que se filtren los datos del DNS interno. 
  2. La carga de tráfico aumenta si no has implementado el reenvío de DNS. Cuando designas un servidor DNS como reenviador, éste gestiona todas las resoluciones DNS externas y crea una caché de direcciones externas para minimizar el número de consultas recursivas, reduciendo así el tráfico. 

Si su empresa es pequeña y tiene un ancho de banda limitado, implicar el reenvío de DNS puede hacer que la red sea más eficiente y rápida.

Reenvío de DNS para direcciones internas

Los expertos recomiendan tener un subconjunto de direcciones internas gestionadas a través del reenvío DNS. Además, para las intranets extensas, que incluyen varios dominios y subdominios, es práctico tener las solicitudes DNS para un subconjunto de esos dominios controlados por un servidor dedicado. Por lo general, estas solicitudes se reenvían con el principio DNS de reenvío condicional.

Prácticas recomendadas para el reenvío de DNS

Los DNS son cruciales en el mundo actual de Internet. Si sólo tienes un servidor DNS, debería estar configurado como redireccionador. Si tiene más de uno, puede configurar uno de ellos, algunos o todos como reenviadores. Aparte de esto, puede seguir las siguientes prácticas para asegurarse de que los reenviadores DNS funcionan de forma óptima. 

Desactivar la recursión

La recursión permite a los servidores DNS consultar a otros servidores en nombre del cliente. Esto ayuda en el proceso de reenvío de DNS, pero también expone tu red a riesgos de seguridad. Por eso, si la desactivas, la posibilidad de ser atacado disminuye. También reducirá la carga de tráfico y tu red será más rápida. 

Activar la validación DNSSEC

DNSSEC o Extensiones de Seguridad del Sistema de Nombres de Dominio son protocolos de seguridad que protegen contra suplantación de DNS y ataques de envenenamiento de caché. Si está activado, los reenviadores DNS comprueban las firmas digitales. La respuesta se descarta si la firma no coincide, y se envía un mensaje de error al cliente.

Sin embargo, sólo debes utilizarlo a través de una conexión segura. De lo contrario, los piratas informáticos pueden interceptar y modificar los datos que se intercambian.

Compruebe si DNSSEC está activado con nuestro Comprobador de DNSSEC.

Supervisar servidores DNS

La supervisión periódica de los servidores DNS le avisa de posibles problemas técnicos, lo que le permite actuar con rapidez. Esto reduce el tiempo de inactividad que, de otro modo, podría afectar gravemente a su negocio. 

También deberías comprobar los registros del reenviador DNS para detectar actividades sospechosas o comportamientos irresponsables de los usuarios y adelantarte así a posibles riesgos de seguridad. 

Crear y probar una configuración alternativa

Una configuración alternativa le permitirá cambiar a un reenviador diferente en caso de fallo. Esto reducirá de nuevo el tiempo de inactividad y mantendrá sus recursos accesibles. No dejes de probar la configuración alternativa antes de establecer una nueva configuración. 

Copia de seguridad periódica de los datos del servidor DNS

Actores malintencionados atacan su servidor e intentan modificar o borrar datos. Hacer copias de seguridad de los datos del servidor DNS ayuda a restaurarlos rápidamente sin interrumpir el flujo de tráfico en su red. Sin copias de seguridad, tardará horas o incluso días en restaurarlo todo, lo que afectará gravemente a su negocio.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
La vida después de p=reject: Por qué su viaje DMARC está lejos de terminarLas 10 mejores alternativas a DMARCLY para optimizar la seguridad de su correo electrónico