¿Qué es el DNS (Domain Name System)?

El Domain Name System forma parte del día a día de nuestra na­ve­ga­ción por Internet sin que siquiera nos demos cuenta. Con la ayuda del DNS, los nombres de dominio que los usuarios escriben en el navegador se traducen en di­re­c­cio­nes IP de servidor con las que el ordenador puede trabajar.

Las siglas DNS si­g­ni­fi­can “Domain Name System”. Con la ayuda del DNS, los nombres de dominio que son fá­ci­l­me­n­te ide­n­ti­fi­ca­bles por el ser humano se tra­n­s­fo­r­man en di­re­c­cio­nes IP del servidor. En cuanto escribes en tu navegador el dominio que quieres, como por ejemplo www.ionos.es, este busca el nombre del dominio en varios se­r­vi­do­res DNS. Se suele empezar a buscar en el servidor DNS del router. A partir de ahí, se busca el nombre de dominio deseado en otros se­r­vi­do­res DNS hasta en­co­n­trar­lo.

Una vez tu navegador recibe la dirección IP co­rre­s­po­n­die­n­te, puede fi­na­l­me­n­te es­ta­ble­cer una conexión con la página web deseada. Así pues, el Domain Name System permite co­mu­ni­car­se en una red sin conocer las re­s­pe­c­ti­vas di­re­c­cio­nes IP.

El Domain Name System se conoce a menudo como la “guía te­le­fó­ni­ca de Internet”. Esto no es una ca­sua­li­dad, sino que está di­re­c­ta­me­n­te re­la­cio­na­do con el modo de fu­n­cio­na­mie­n­to del DNS, que las di­re­c­cio­nes IP co­rre­s­po­n­die­n­tes a un de­te­r­mi­na­do nombre de dominio. Este proceso se denomina re­so­lu­ción de nombres DNS y puede de­s­co­m­po­ne­r­se en varios pasos:

1. Introduce cualquier dirección web en el buscador de tu navegador.
2. La consulta se remite a un DNS-Resolver, que suele estar ge­s­tio­na­do por tu proveedor de servicios de Internet.
3. El DNS resolver reenvía la consulta a un servidor DNS que, a su vez, es remitida a otro servidor DNS.
4. El DNS resolver redirige la consulta a di­fe­re­n­tes se­r­vi­do­res DNS hasta que encuentra el nombre de la dirección web.
5. El servidor final busca en su registro hasta que encuentra la dirección IP co­rre­s­po­n­die­n­te y la transmite al DNS resolver.
6. El DNS resolver pro­po­r­cio­na la dirección IP al navegador web y este accede a la página web co­rre­s­po­n­die­n­te.

En la re­so­lu­ción de nombres in­te­r­vie­nen varios co­m­po­ne­n­tes, como el DNS resolver y los di­fe­re­n­tes se­r­vi­do­res de nombres. A grandes rasgos, el DNS resolver es el programa que controla el proceso de re­so­lu­ción de nombres y obtiene la in­fo­r­ma­ción necesaria del Domain Name System. La he­rra­mie­n­ta de línea de comandos nslookup puede re­su­l­tar­te útil para comprobar si la re­so­lu­ción de nombres funciona co­rre­c­ta­me­n­te.

Se puede di­s­ti­n­guir fá­ci­l­me­n­te entre los di­fe­re­n­tes se­r­vi­do­res de nombres que juegan un papel en la re­so­lu­ción de nombres:

• Root server DNS: los se­r­vi­do­res root son se­r­vi­do­res de nombres au­to­ri­ta­ti­vos que no­r­ma­l­me­n­te retornan una lista de otros se­r­vi­do­res de nombres au­to­ri­ta­ti­vos para un de­te­r­mi­na­do TLD.
• Servidor de nombres TLD: el servidor TLD responde en función del Top-Level Domain co­rre­s­po­n­die­n­te. Si buscas la página www.ionos.es, re­s­po­n­de­rá un servidor de nombres TLD para la extensión de dominio .es.
• Se­r­vi­do­res de nombres au­to­ri­ta­ti­vos: los se­r­vi­do­res de nombres au­to­ri­ta­ti­vos son re­s­po­n­sa­bles de una zona DNS, es decir, de un dominio o su­b­do­mi­nio concreto. La in­fo­r­ma­ción que pro­po­r­cio­nan los se­r­vi­do­res de nombres au­to­ri­ta­ti­vos es vi­n­cu­la­n­te. Se distingue entre DNS se­cu­n­da­rio y primario.
• Se­r­vi­do­res de nombres no au­to­ri­ta­ti­vos: los se­r­vi­do­res de nombres no au­to­ri­ta­ti­vos obtienen su in­fo­r­ma­ción de otros se­r­vi­do­res de nombres que sí son au­to­ri­ta­ti­vos.

Aunque el DNS desempeña un papel im­po­r­ta­n­te en el tráfico diario de la red, el sistema también tiene vu­l­ne­ra­bi­li­da­des. Uno de los mayores problemas del DNS son sus de­fi­cie­n­cias de seguridad. Dado que los se­r­vi­do­res DNS almacenan las di­re­c­cio­nes IP pe­r­te­ne­cie­n­tes a un dominio sin cifrar y bá­si­ca­me­n­te las pasan a cua­l­quie­ra que las solicite, son el objetivo ideal para los ci­be­r­de­li­n­cue­n­tes.

DNS leaks son también un problema al que se enfrentan los usuarios que quieren mantener su na­ve­ga­ción privada. En caso de haber un DNS leak, en lugar de enviar una solicitud de DNS a través del VPN, se envía sin pro­te­c­ción a un servidor de nombres.

El DNS también puede causar problemas a la hora de tener un Internet libre y sin censura. Re­cie­n­te­me­n­te, por ejemplo, el Mi­ni­s­te­rio de Di­gi­ta­li­za­ción ruso ordenó que todos los servicios de Internet di­s­po­ni­bles en el país se di­ri­gie­ran a través de se­r­vi­do­res DNS rusos, blo­quea­n­do así las webs ex­tra­n­je­ras. Esto permite a los gobiernos au­to­ri­ta­rios controlar todo el tráfico de la red. También se puede censurar a través del DNS, por ejemplo, si se bloquea un de­te­r­mi­na­do TLD. Los pro­vee­do­res de Internet también pueden bloquear el acceso a de­te­r­mi­na­das páginas web en cu­m­pli­mie­n­to con la le­gi­s­la­ción de censura del gobierno.

Hay una serie de ex­te­n­sio­nes DNS que pueden uti­li­zar­se para dotar al Domain Name System de funciones adi­cio­na­les:

• DDNS o DynDNS: DynDNS o DNS dinámico tiene por objeto ga­ra­n­ti­zar que los dominios del Domain Name System se ac­tua­li­cen au­to­má­ti­ca­me­n­te y de forma periódica. Tan pronto como un ordenador cambie su dirección IP, este cambio debe ser re­gi­s­tra­do en el registro DNS co­rre­s­po­n­die­n­te.
• Extended DNS: varias ex­te­n­sio­nes de protocolo del DNS se han combinado en el extended DNS. La extensión es es­pe­cia­l­me­n­te im­po­r­ta­n­te para el tra­n­s­po­r­te de paquetes UDP.
• DNSSEC: DNSSEC ofrece una mejora en términos de seguridad. El objetivo de DNSSEC es evitar que los hackers in­te­r­fie­ran en la re­so­lu­ción de nombres del DNS. Para ello, la extensión utiliza un cifrado asi­mé­tri­co.

Para la seguridad de la red, un DNS anticuado o mal mantenido puede ser pro­ble­má­ti­co. Una es­tra­te­gia de ataque muy popular es el DNS hijacking. En este caso, el servidor de nombres es co­n­tro­la­do por los hackers, que redirigen a los usuarios a una página que no querían visitar ori­gi­na­l­me­n­te. En co­m­bi­na­ción con el pharming o phishing, los atacantes suelen intentar capturar datos sensibles. También es posible que las páginas a los usuarios son dirigidos estén de­s­ti­na­das a infectar sus or­de­na­do­res con software malicioso.

Una consulta DNS también corre el peligro de verse afectada por DNS spoofing. En ese caso no se controla todo el servidor de nombres, sino que solo se manipula la re­so­lu­ción de nombres. Esto significa que no se obtiene la dirección IP correcta, sino que el registro DNS ha sido alterado para devolver una dirección IP co­n­tro­la­da por los atacantes. La página a la que se llega parece legítima a primera vista. Lo único que le falta a dicha página es un ce­r­ti­fi­ca­do de seguridad.

Di­fe­re­n­tes tipos de consultas DNS ga­ra­n­ti­zan que se recupere la in­fo­r­ma­ción correcta durante la re­so­lu­ción de nombres:

• Consulta recursiva: el ordenador solicita una dirección IP o la co­n­fi­r­ma­ción de que el servidor de nombres no conoce dicha dirección IP.
• Consulta iterativa: las consultas ite­ra­ti­vas son las más fre­cue­n­tes. Aquí, el ordenador solicita al servidor DNS la mejor respuesta posible. Si el servidor no conoce la dirección co­rre­s­po­n­die­n­te, este remite a la persona que realiza la solicitud a los se­r­vi­do­res de nombres au­to­ri­ta­ti­vos.

Los DNS records son im­po­r­ta­n­tes entradas de in­fo­r­ma­ción para un servidor DNS. Indican a qué dirección de destino pertenece un de­te­r­mi­na­do nombre de dominio. Se di­s­ti­n­guen di­fe­re­n­tes tipos de registros DNS:

• Registros A: los registros A son los registros DNS más comunes. Asignan una dirección IPv4 a un dominio y se utilizan para asignar un dominio a un servidor web.
• Registros CNAME: este tipo de registro se utiliza para asignar un su­b­do­mi­nio a un dominio principal.
• Registros TXT: los registros TXT pueden uti­li­zar­se para asignar cualquier texto a un dominio.
• Registros MX: los registros MX se utilizan para asignar cualquier dominio a un servicio de correo ele­c­tró­ni­co.