¿Qué es el reenvío DNS?

El reenvío de DNS ayuda a acelerar su red, y debería implementarlo si sus usuarios solicitan su nombre de dominio pero su servidor DNS no puede encontrar la dirección IP correspondiente en la caché. Este proceso lo suelen utilizar las empresas que tienen espacios de nombres extensos.

Siga leyendo el blog para saber qué es el reenvío DNS y cómo se utiliza para direcciones externas e internas. 

¿Qué es el reenvío DNS?

El reenvío de DNS es un proceso en el que otro servidor designado (servidor raíz de sugerencias) gestiona las direcciones o consultas DNS no resolubles porque el servidor contactado inicialmente no tiene la respuesta. Generalmente, todos los servidores destinados a convertir nombres de dominio en direcciones IP tienen asignado un reenviador específico para reenviar todas las peticiones que no pueden resolver. 

Esta técnica la utilizan las empresas que tienen espacios de nombres muy grandes o las empresas que colaboran, ya que pueden resolver los espacios de nombres de las demás. 

¿Cómo funciona el reenvío de DNS?

Ahora, veamos el procedimiento de funcionamiento del reenvío DNS.

Cuando la información DNS interna es privada, puede transmitirse en línea si el servidor raíz de sugerencias está expuesto al público porque no se utiliza ningún reenviador DNS en la red interna. También puede utilizarlo si las tarifas del ISP de su red son elevadas o la conexión no es rápida debido a la ausencia de un reenviador DNS interno. Esto se debe a que un reenviador DNS interno aumenta el tráfico externo, lo que complica su gestión. 

El uso de un reenviador DNS ayudará a crear una caché interna para los datos DNS externos con el fin de reducir el tráfico DNS externo. 

¿Cómo configurar los reenviadores DNS en Microsoft Windows Server 2008 R2 y 2016?

Antes de iniciar el procedimiento para configurar el reenvío DNS, anote la dirección IP de los servidores DNS recursivos de SIA y asegúrese de que hay configurado un archivo raíz. Puede utilizar la búsqueda de direcciones IP para encontrar la dirección IP de su dominio. El archivo raíz de sugerencias enumera los servidores DNS raíz con los que se pone en contacto el dominio de directorio activo para las consultas de recursión. Esto se puede hacer con la interfaz gráfica de usuario de Windows Server o la línea de comandos.

Interfaz gráfica de usuario

Siga estos pasos para configurar los reenviadores DNS en Windows utilizando la interfaz gráfica de usuario.

1. Haga clic en Inicio > Herramientas administrativas > DNS.
2. Haga clic con el botón derecho del ratón en el servidor DNS que desea configurar como reenviador.
3. Vaya al menú Acción y seleccione Propiedades.
4. Seleccione la pestaña Reenviadores.
5. Haga clic en Editar.
6. En el cuadro de diálogo Editar reenviadores, introduzca la dirección IP principal del servidor DNS recursivo SIA y pulse Intro.
7. Añada la dirección IP secundaria del servidor DNS recursivo SIA y pulse Intro.
8. Elimina otros servidores que aparezcan en la lista de reenviadores. Mantenga sólo los servidores DNS recursivos primario y secundario en la lista de reenviadores.
9. Añada un valor en la sección Número de segundos antes de que se agote el tiempo de espera de las consultas de reenvío para asignar el número de segundos que un servidor DNS espera una respuesta.
10. Haga clic en Aceptar.
11. Active la opción Utilizar sugerencias raíz si no hay reenviadores disponibles. Esta opción garantiza que los servidores DNS de un archivo de sugerencias raíz resuelvan el nombre localmente.
12. En el cuadro de diálogo de propiedades, haga clic en Aceptar.

Interfaz de línea de comandos

Siga estos pasos para configurar el reenvío DNS en Windows utilizando la interfaz de línea de comandos. 

1. Abra un símbolo del sistema y ejecútelo como administrador. 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Dónde: 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

Reenvío condicional

El reenvío condicional DNS se realiza mediante servidores DNS que reenvían consultas para determinados nombres de dominio en lugar de reenviar todas las consultas. Envían las consultas a reenviadores específicos en función de los nombres de host mencionados en la consulta. 

El reenvío condicional DNS mejora el reenvío convencional al establecer una condición basada en el nombre en el proceso de reenvío.

El reenvío condicional de DNS es beneficioso porque establece una conexión a Internet más segura, rápida y fiable. En este caso, el servidor DNS envía consultas recursivas al reenviador.

Reenvío de DNS para direcciones externas

El reenvío de DNS es importante porque si no hay un servidor DNS designado como reenviador para todas las consultas externas, todos los servidores DNS internos tendrán que gestionar las peticiones. Esto no es deseable porque:

1. Los datos del DNS interno pueden filtrarse si no se distingue entre DNS externo e interno. Se trata de una preocupante vulnerabilidad potencial de seguridad y privacidad.
2. La carga de tráfico aumenta si no has implementado el reenvío de DNS. Cuando designas un servidor DNS como reenviador, éste gestiona todas las resoluciones DNS externas y crea una caché de direcciones externas para minimizar el número de consultas recursivas, reduciendo así el tráfico. 

Si su empresa es pequeña y tiene un ancho de banda limitado, implicar el reenvío de DNS puede hacer que la red sea más eficiente y rápida.

Reenvío de DNS para direcciones internas

Los expertos recomiendan tener un subconjunto de direcciones internas gestionadas a través del reenvío DNS. Además, para las intranets extensas, que incluyen varios dominios y subdominios, es práctico que las solicitudes DNS para un subconjunto de esos dominios sean controladas por un servidor dedicado. Por lo general, estas solicitudes se reenvían con el principio DNS de reenvío condicional.

Prácticas recomendadas para el reenvío de DNS

Los DNS son cruciales en el mundo actual de Internet. Si sólo tienes un servidor DNS, debería estar configurado como redireccionador. Si tiene más de uno, puede configurar uno de ellos, algunos o todos como reenviadores. Aparte de esto, puede seguir las siguientes prácticas para asegurarse de que los reenviadores DNS funcionan de forma óptima. 

Desactivar la recursión

La recursión permite a los servidores DNS consultar a otros servidores en nombre del cliente. Esto ayuda en el proceso de reenvío de DNS, pero también expone tu red a riesgos de seguridad. Por eso, si la desactivas, la posibilidad de ser atacado disminuye. También reducirá la carga de tráfico y tu red será más rápida. 

Activar la validación DNSSEC

DNSSEC o Extensiones de seguridad del sistema de nombres de dominio son protocolos de seguridad que protegen contra suplantación de DNS y ataques de envenenamiento de caché. Si está activado, los reenviadores DNS comprueban las firmas digitales. La respuesta se descarta si la firma no coincide, y se envía un mensaje de error al cliente.

Sin embargo, sólo debes utilizarlo a través de una conexión segura. De lo contrario, los piratas informáticos pueden interceptar y modificar los datos que se intercambian.

Supervisar servidores DNS

La supervisión periódica de los servidores DNS le avisa de posibles problemas técnicos, lo que le permite actuar con rapidez. Esto reduce el tiempo de inactividad que, de otro modo, podría afectar gravemente a su negocio. 

También deberías comprobar los registros del reenviador DNS para detectar actividades sospechosas o comportamientos irresponsables de los usuarios y adelantarte así a posibles riesgos de seguridad. 

Crear y probar una configuración alternativa

Una configuración alternativa le permitirá cambiar a un reenviador diferente en caso de fallo. Esto reducirá de nuevo el tiempo de inactividad y mantendrá sus recursos accesibles. No dejes de probar la configuración alternativa antes de establecer una nueva configuración. 

Copia de seguridad periódica de los datos del servidor DNS

Actores malintencionados atacan su servidor e intentan modificar o borrar datos. Hacer copias de seguridad de los datos del servidor DNS ayuda a restaurarlos rápidamente sin interrumpir el flujo de tráfico en su red. Sin copias de seguridad, tardará horas o incluso días en restaurarlo todo, lo que afectará gravemente a su negocio.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024
• Seguridad del correo electrónico 101 para combatir las criptoestafas - 30 de abril de 2024
• ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024