El reenvío de DNS ayuda a acelerar su red, y debería implementarlo si sus usuarios solicitan su nombre de dominio pero su servidor DNS no puede encontrar la dirección IP correspondiente en la caché. Las empresas con amplios espacios de nombres suelen utilizar este proceso.
Siga leyendo el blog para saber qué es el reenvío de DNS y cómo se utiliza para direcciones externas e internas.
¿Qué es el reenvío DNS?
El reenvío de DNS es un proceso en el que otro servidor designado (servidor raíz de sugerencias) gestiona las direcciones o consultas DNS no resolubles porque el servidor contactado inicialmente no tiene la respuesta. Generalmente, todos los servidores destinados a convertir nombres de dominio en direcciones IP tienen asignado un reenviador específico para reenviar todas las peticiones que no pueden resolver.
Esta técnica la utilizan las empresas que tienen espacios de nombres muy grandes o las empresas que colaboran, ya que pueden resolver los espacios de nombres de las demás.
¿Qué es un DNS Fowarder?
Un reenviador DNS es un servidor DNS configurado para reenviar las consultas que no pueden resolverse localmente a otro servidor DNS, normalmente uno externo. Este servidor DNS de reenvío suele actuar como un servidor intermediario que se encarga simplemente de pasar las peticiones DNS a un servidor DNS con más autoridad para la resolución efectiva de las consultas.
¿Cómo funciona el reenvío de DNS?
Ahora, veamos el procedimiento de funcionamiento del reenvío DNS.
Cuando la información DNS interna es privada, puede transmitirse en línea si el servidor raíz de sugerencias está expuesto al público porque no se utiliza ningún reenviador DNS en la red interna. También puede utilizarlo si las tarifas del ISP de su red son elevadas o la conexión no es rápida debido a la ausencia de un reenviador DNS interno. Esto se debe a que un reenviador DNS interno aumenta el tráfico externo, lo que complica su gestión.
El uso de un reenviador DNS ayudará a crear una caché interna para los datos DNS externos con el fin de reducir el tráfico DNS externo.
Tipos de reenvío DNS
Analicemos los 2 tipos principales de reenvío DNS y cómo funciona cada uno de ellos:
1. Reenvío condicional
El reenvío condicional DNS se realiza mediante servidores DNS que reenvían consultas para determinados nombres de dominio en lugar de reenviar todas las consultas. Envían las consultas a reenviadores específicos en función de los nombres de host mencionados en la consulta. El reenvío condicional DNS mejora el reenvío convencional añadiendo al proceso una condición basada en el nombre. El reenvío condicional DNS es beneficioso porque establece una conexión a Internet más segura, rápida y fiable. En este caso, el servidor DNS envía consultas recursivas al reenviador.
2. Reenvío recursivo
En este tipo de reenvío DNS, un servidor DNS reenvía una consulta a otro servidor DNS. El segundo servidor realiza una búsqueda recursiva para resolver la consulta. Un caso de uso es cuando un servidor DNS reenvía consultas a un servidor DNS central para su resolución.
Reenvío frente a almacenamiento en caché
En el reenvío DNS, un servidor DNS envía las consultas de un cliente que no puede resolver directamente a otro servidor DNS (un reenviador). Esto se utiliza para descargar las tareas de resolución de consultas o para implementar políticas específicas de enrutamiento de consultas.
La caché DNS consiste en almacenar temporalmente los resultados de consultas anteriores para reducir la latencia y mejorar el rendimiento. Cuando un servidor DNS tiene un registro en caché, sirve la consulta inmediatamente en lugar de reenviarla.
Ventajas del reenvío de DNS
Exploremos las distintas ventajas del reenvío de DNS:
1. Mejora de la eficacia de las consultas
El reenvío de consultas a un servidor DNS específico reduce significativamente los tiempos de consulta y favorece respuestas mucho más rápidas, reduciendo también la latencia.
2. Gestión centralizada
El reenvío de DNS simplifica la gestión de DNS. Esto es especialmente beneficioso en grandes organizaciones, ya que permite a los administradores centralizar y controlar la resolución de consultas DNS asignando unos pocos servidores DNS designados.
3. Seguridad
El reenvío de consultas DNS a un servidor DNS seguro y de confianza ayuda a prevenir ciberataques como los ataques de suplantación de DNS.
4. 4. Equilibrio de la carga
Al distribuir las tareas de resolución de consultas entre los servidores DNS designados, el reenvío DNS puede ayudar a equilibrar la carga en una red. En última instancia, esto evita que un único servidor DNS se sobrecargue.
5. Soporte multidominio
Para las organizaciones con varios dominios internos o externos, el reenvío condicional permite resolver consultas específicas de dominio sin problemas.
¿Cómo configurar los reenviadores DNS en Microsoft Windows Server 2008 R2 y 2016?
Antes de iniciar el procedimiento para configurar el reenvío DNS, anote la dirección IP de los servidores DNS recursivos SIA y asegúrese de que hay configurado un archivo raíz. En herramienta de búsqueda de direcciones IP puede ayudarle a localizar fácilmente la dirección IP de su propio dominio. El archivo raíz de sugerencias enumera los servidores DNS raíz con los que se pone en contacto el dominio de directorio activo para las consultas de recursión. Esto se puede hacer con la interfaz gráfica de usuario de Windows Server o la línea de comandos.
Interfaz gráfica de usuario
Puede seguir los siguientes pasos para configurar los reenviadores DNS en Windows utilizando la interfaz gráfica de usuario.
- Haga clic en Inicio y vaya a Herramientas administrativas > DNS.
- Haga clic con el botón derecho del ratón en el servidor DNS que desea configurar como reenviador.
- Vaya al menú Acción y haga clic en la pestaña "Propiedades".
- Seleccione la pestaña Reenviadores.
- Haga clic en Editar.
- En el cuadro de diálogo Editar reenviadores, introduzca la dirección IP principal del servidor DNS recursivo SIA y pulse Intro.
- Añada la dirección IP secundaria del servidor DNS recursivo SIA y pulse Intro.
- Elimina otros servidores que aparezcan en la lista de reenviadores. Mantenga sólo los servidores DNS recursivos primario y secundario en la lista de reenviadores.
- Añada un valor en la sección Número de segundos antes de que se agote el tiempo de espera de las consultas de reenvío para asignar el número de segundos que un servidor DNS espera una respuesta.
- Haga clic en Aceptar.
- Active la opción "Usar pista raíz si no hay reenviadores disponibles". Esta opción garantiza que los servidores DNS de un archivo de sugerencias raíz resuelvan el nombre localmente.
- En el cuadro de diálogo de propiedades, haga clic en Aceptar.
Interfaz de línea de comandos
Siga estos pasos para configurar el reenvío DNS en Windows utilizando la interfaz de línea de comandos.
- Abra el siguiente símbolo del sistema. Tenga en cuenta que debe ejecutarse como administrador.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Dónde:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- Debe separar cada dirección IP con un espacio.
- <Time> refers to the time-out settings time. It is calculated in seconds.
Reenvío de DNS para direcciones externas
El reenvío de DNS es importante porque si no hay un servidor DNS designado como reenviador para que todas las consultas externas se dirijan a él, todos los servidores DNS internos internos tendrán que gestionar las peticiones. Esto no es deseable porque:
- Si el DNS no está claramente separado como externo e interno, es muy posible que los datos del DNS interno se filtren.
- La carga de tráfico aumenta si no has implementado el reenvío de DNS. Cuando designas un servidor DNS como reenviador, éste gestiona todas las resoluciones DNS externas y crea una caché de direcciones externas para minimizar el número de consultas recursivas, reduciendo así el tráfico.
Si su empresa es pequeña y tiene un ancho de banda limitado, implicar el reenvío de DNS puede hacer que la red sea más eficiente y rápida.
Reenvío de DNS para direcciones internas
Los expertos recomiendan tener un subconjunto de direcciones internas gestionadas a través del reenvío DNS. Además, para las intranets extensas, que incluyen varios dominios y subdominios, es práctico tener las solicitudes DNS para un subconjunto de esos dominios controlados por un servidor dedicado. Por lo general, estas solicitudes se reenvían con el principio DNS de reenvío condicional.
Prácticas recomendadas para el reenvío de DNS
Los DNS son cruciales en el mundo actual de Internet. Si sólo tienes un servidor DNS, debería estar configurado como redireccionador. Si tiene más de uno, puede configurar uno de ellos, algunos o todos como reenviadores. Aparte de esto, puede seguir las siguientes prácticas para asegurarse de que los reenviadores DNS funcionan de forma óptima.
Desactivar la recursión
La recursión permite a los servidores DNS consultar a otros servidores en nombre del cliente. Esto ayuda en el proceso de reenvío de DNS, pero también expone tu red a riesgos de seguridad. Por eso, si la desactivas, la posibilidad de ser atacado disminuye. También reducirá la carga de tráfico y tu red será más rápida.
Activar la validación DNSSEC
DNSSEC o Extensiones de Seguridad del Sistema de Nombres de Dominio son protocolos de seguridad que protegen contra suplantación de DNS y ataques de envenenamiento de caché. Si está activado, los reenviadores DNS comprueban las firmas digitales. La respuesta se descarta si la firma no coincide, y se envía un mensaje de error al cliente.
Sin embargo, sólo debes utilizarlo a través de una conexión segura. De lo contrario, los piratas informáticos pueden interceptar y modificar los datos que se intercambian.
Supervisar servidores DNS
La supervisión periódica de los servidores DNS le avisa de posibles problemas técnicos, lo que le permite actuar con rapidez. Esto reduce el tiempo de inactividad que, de otro modo, podría afectar gravemente a su negocio.
También deberías comprobar los registros del reenviador DNS para detectar actividades sospechosas o comportamientos irresponsables de los usuarios y adelantarte así a posibles riesgos de seguridad.
Crear y probar una configuración alternativa
Una configuración alternativa le permitirá cambiar a un reenviador diferente en caso de fallo. Esto reducirá de nuevo el tiempo de inactividad y mantendrá sus recursos accesibles. No dejes de probar la configuración alternativa antes de establecer una nueva configuración.
Copia de seguridad periódica de los datos del servidor DNS
Actores malintencionados atacan su servidor e intentan modificar o borrar datos. Hacer copias de seguridad de los datos del servidor DNS ayuda a restaurarlos rápidamente sin interrumpir el flujo de tráfico en su red. Sin copias de seguridad, tardará horas o incluso días en restaurarlo todo, lo que afectará gravemente a su negocio.
- El auge de las estafas de pretexto en los ataques de phishing mejorados - 15 de enero de 2025
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025