dns inversa - Redes y Seguridad

COMO FUNCIONA EL DNS REVERSO
Cita:El DNS reverso es un registro dentro de los DNS del ISP propietario de la RED (o
a quien este delegue) el cual asigna a una dirección de IP un nombre de servidor - por
ejemplo, podrÃa asignar pa la IP 200.176.3.142 el nombre ejemplo.hipotético.com.ar
Para sus dominios, el DNS directo (que asigna un nombre de servidor para una
dirección de IP como cuando se asigna ejemplohipotetico.com.ar para 200.176.3.142)
comienza en la institución (registro.ar para los dominios registrados en Argentina)
donde usted registró sus dominios. En ese registro, usted debe decir cuáles son los
servidores de DNS que responden por los nombres en su dominio, y el nic.ar enviará
esa información para los root servers. Entonces, cualquiera en el mundo puede acceder
a sus dominios y usted puede encaminarlos para cualquier IP que usted quiera. Usted
tiene total control sobre sus dominios, y puede conducir a las personas hacia cualquier
IP (teniendo o no el control sobre esas IP, usted no deberá conducirlos para IP’s
que no son suyas, sin permiso).
El DNS reverso funciona de forma parecida. Para su IP’s, el DNS reverso (que
asigna 200.176.3.145 de vuelta para el ejemplo.hipotético.com.ar) comienza en su
proveedor de acceso o de medio fÃsico (o con quien quiera que le diga cuál es su
dirección de IP). Usted debe decirle qué servidores de DNS que responden por los
direccionamientos de DNS reversos para sus IP’s (o ellos pueden configurar esos
direccionamientos en sus propios servidores de DNS), y su proveedor pasará esta
información adelante cuando los servidores de DNS de ellos fueran consultados sobre
sus direccionamientos de DNS reverso. Entonces, cualquiera en el mundo puede
consultar los direccionamientos de DNS reverso de sus IP’s, y usted puede
responder con cualquier nombre que quiera (teniendo o no control sobre los dominios
de esos nombres, de forma que usted no deba direccionar para nombres que no son de
sus dominios, sin permiso).
Entonces, tanto para DNS directo como para DNS reverso, hay dos pasos [1] Usted
necesita servidores de DNS, y [2] Usted necesita informar la cantidad correcta (el nic.ar
para consultas de DNS directo, o su proveedor para consultas de DNS reverso) cuales
son sus servidores de DNS. Sin el paso 2, nadie va a conseguir alcanzar sus servidores
de DNS.
Si usted puede comprender los párrafos de arriba (lo que puede llevar algún tiempo),
usted entenderá el mayor problema que las personas tiene con direccionamientos de
DNS reverso. El mayor problema que las personas tienen es que ellas tienen servidores
de DNS que funcionan perfectamente paras sus dominios (DNS directo), ellas entonces
incluyen direccionamientos de DNS reverso en esos servidores y el DNS reverso no
funciona. Si usted entendió los párrafos de arriba, ya entendió el problema: si su
proveedor no sabe que usted tiene servidores de DNS para responder por el DNS
reversos de sus IP’s, el no va a propagar esa información para los root servers y
nadie tampoco va a llegar a sus servidores de DNS para consultar el DNS reverso.
Conceptos básicos:
. El DNS reverso asigna 200.176.3.142 para ejemplo.hipotetico.com.ar (una dirección
de IP para un nombre de servidor).
. El camino de una consulta tÃpica de DNS reverso: Resolver de DNS “root
servers†LACNIC (Organo que distribuye direcciones de IP en América Latina y
el Caribe) nic.ar /responsable por la distribución de IP’s en Argentina). Proveedor
de acceso o de medio fÃsico. Servidores de DNS del usuario de la IP.
. Quienquiera que provea esas direcciones de IP (normalmente su proveedor) debe (1)
configurar sus direccionamientos de DNS reverso en los servidores de ellos o (2)
“delegar la autoridad†de sus direccionamientos de DNS reverso para sus
servidores de DNS.
. Los direccionamientos de DNS reverso son hechos con nombres que son la dirección
de IP invertido con un “.in-addr.arpa†agregado al final –por ejemplo
“142.3.176.200.in-addr.arpa†.
. Los direccionamientos de DNS reverso son configurados con registros PTR (en cuanto
que en el DNS directo se usan registros A) hechos de esta forma: “142.3.176.200.inaddr.arpa. PTR ejemplo.hipotetico.com.ar, (en tanto que en los DNS directos, serÃan
asÃ: “ejemplo.hipotetico.com.ar A 200.176.3.142").
.Todos los servidores de Internet deben tener un direccionamiento de DNS reverso (vea
RFC 1912, sección 2.1).
. Servidores de correo electrónico que no tengan correctamente configurado los
registros de DNS reverso tendrán dificultades para entregar mails hacia algunos
grandes proveedores de correo.
Un mito muy común:
. Mito: Si usted tiene un direccionamiento de DNS reverso registrado en su servidor de
DNS, su DNS reverso está correctamente configurado.
. Hecho: Eso generalmente no es asÃ. Usted precisa de LAS DOS cosas para tener un
DNS correctamente configurado:
1. Sus servidores de DNS (o los de su proveedor) DEBEN tener los direccionamientos
de DNS configurados (“142.3.176.200.in-addr.arpa. PTR
ejemplo.hipotetico.com.ar.†).
2. Y su proveedor de acceso al medio fÃsico DEBEN configurar el DNS reverso de su
lado, de forma que los resolvedores de DNS por todo el mundo sepan que sus servidores
de DNS son los que deben ser consultados cuando quisieran resolver el DNS reverso de
sus direcciones de IP.
Cuando una consulta de DNS reverso es efectuada:
Un resolver de DNS invierte la IP y agrega “.in-addr.arpa†en el final,
transformando 200.176.3.142 en 142.3.176.200. in-addr.arpa.
El resolver de DNS consulta entonces el registro PTR para 142.3.176.200.in-addr.arpa.
Los root servers encaminan el resolver de DNS para los servidores de DNS encargados
de la fase “Clase A†(200.in-addr.arpa que cubre todos los IPs que comienzan con
200).
En casi todos los casos, los root servers encaminarán el resolver de DNS para un RIR
(“Registro de Internet Regional†). Estas son las organizaciones que distribuyen
los Ips. Usualmente, LACNIC controla los IPs de America Latina y el Caribe, ARIN
controla los IPs de América del Norte, APNIC controla los IPs de Asia y el PacÃfico
y RIPE controla los IPs de Europa.
El resolver de DNS preguntará a los servidores de DNS del “RIR†indicado por
los root servers por el registro PTR del 142.3.176.200.in-addr.arpa.
Dependiendo del “RIR†, la respuesta puede ser un encaminamiento directo para la
entidad que recibió el rango de IPs (como hace la ARIN), o como en nuestro caso, un
encaminamiento para una organización nacional que controla los IPs en el paÃs dentro
de la región de cobertura del “RIR†. Por ejemplo, la LACNIC responderÃa que
los servidores de DNS encargados de la fase “Clase B†(176.200.in-addr.arpa)
son los del registro.br, que controla la distribución de los IPs en Brasil.
En este segundo caso, le resolver de DNS preguntará ahora a los servidores del
registro.br por el registro PTR del 142.3.176.200.in-addr.arpa.
Los servidores de DNS del registro.br van a encaminar el resolver de DNS para la
entidad que recibió el rango de IPs. Estos son normalmente los servidores de DNS de
su proveedor de acceso o del medio fÃsico.
El resolver de DNS preguntará a los servidores de DNS del proveedor por el registro
PTR del 142.3.176.200.in-addr.arpa.
Los servidores de DNS del proveedor encaminarán el resolver de DNS para los
servidores de DNS de la organización que de hecho está usando el IP.