Como configurar DNS Recursivo

Configuración de Server DNS Recursivo con BIND9 en

 Debian 10 (Buster).

Por: JMurga

En el siguiente diagrama muestro como funcionaria un DNS interno como recursivo.

1) EL computado con IP 192.168.6.100  le pregunta al DNS 192.168.5.19 si sabe la IP de www.itsecurity-hn.com

 

2) EL DNS Interno no sabe y no  tiene en su cache la IP que le solicito el computador 192.168.6.100,  así que el consulta a la IP que tenemos configurada  en los Forwarders, yo definí la IP de un DNS de Google esta es la 8.8.8.8 - 8.8.4.4

  

3) En DNS  de Google (8.8.8.8) responde al DNS de mi red Interna 192.168.5.19  que la IP del server donde está alojada la web del dominio itsecurity-hn.com es 1.1.1.1 .

4) EL DNS interno con IP 192.168.5.19 guarda esta información en su cache y le manda la IP de www.itsecurity-hn.com al host 192.168.6.100.

5) El Host 192.168.6.100 va al server web el cual ya conoce que su IP es 1.1.1.1 entregada por nuestro DNS interno, y hace la solicitud de la página web www.itsecurity-hn.com.

6) El server Web Publico con IP 1.1.1.1 envía la página web al host 192.168.6.100 para que esta sea visualizada en el navegador.

IMPORTANTE: Aquí asumimos que en la Red Interna no habrá ningún servidor que queramos que nuestro DNS interno resuelva su nombre a dirección IP, algunos se preguntaran que gano con tener un server DNS recursivo.

1) La navegación para los computadores será más eficiente ya que después de la primera vez que se consulta por una IP de una página web u otro sub dominio, la información quedara almacenada en nuestro servidor DNS Cache, y este será tráfico de  DNS interno.

   

2) Al no hacer más consultas a servidores  DNS de Internet, tendremos ahorro de Ancho de Banda, y por seguridad solo será nuestro DNS que hará consultas de DNS de nivel superior en Internet.

Bien ahora paso a enseñarles cómo se configura un  DNS Interno haciendo Recursión.

Para acceder a los ficheros de configuración de BIND9 vamos a la siguiente ruta.

root@ns1:~# cd /etc/bind/

Listamos estando en el directorio /etc/bind/

root@ns1:/etc/bind# ls

Ahora editamos con nuestro editor de texto preferido el fichero named.conf.options

root@ns1:/etc/bind# vi named.conf.options

Nota: por defecto la sentencia de Forwarders no viene activa.

 

Ahora vamos a configurar 2 DNS en el apartado de Forwarders y eliminaremos las “//” para activar esta sentencia.

TIPS: incluso por seguridad puede agregar múltiples DNS por si falla uno tal y como se lo muestro en la siguiente imagen, al final de la dirección IP no olvide escribir el “;”, ya que si le falta un “;” el servicio de DNS cuando lo reinicie no levantara y le mostrara un error.

Ahora reinicie el servicio de DNS.

TIPS: Recuerde que hay 3 comandos con los que podemos reiniciar los servicios, esto ya queda a decisión de usted que comando usan.

#systemctl start|stop|restart bind9

#service bind9 start|stop|restart

#/etc/init.d/bind9 start|stop|restart

 

Ahora Configure las propiedades del adaptador de red en un computador con Microsoft Windows y defina la IP del DNS Interno que configuro en su red LAN.

Y por último abra una ventana de MS-DOS y vacié el cache de los DNS de su Microsoft Windows con el comando.

ipconfig/flushdns

Ahora en su browser ya sea Google Chrome, Firefox, Opera, podrá navegar por Internet usando el DNS interno configuro para su red LAN como DNS recursivo.


Solo para reforzando los 6 pasos que se sigue desde que damos enter en el web browser para  obtener la direccion IP de una pagina web que el DNS interno no conoce, aqui les dejo este diagrama, donde explico visualizando todo el proceso desde  la topologia de red comun mente utilizada en la red de una empresa.

IMPORTANTE: 

Prácticamente con lo anteriormente explicado, hemos configurado un Servidor DNS recursivo, pero los que leyeron el Post que subí a mi Blog sobre que son los DNS Autoritativos y que son DNS recursivos, hablo sobre ataques de DoS (Denial of Service) que podemos recibir o ataques de Envenenamiento de Cache en nuestro Server DNS recursivo. Algunos dirán, mi DNS es interno no tendré problemas en no configurarle políticas de seguridad.

Quiero  decirles que esa sería una ideología errónea porque usted estaría siendo un Administrador de Redes irresponsable, sin valores éticos y morales como un profesional de alta calidad.

Mi idea es no enseñar malas prácticas, mi idea es que todo este contenido que preparo  para todas aquellas personas nuevas en el área de informática, puedan quedar claros que ser un administrador de redes de alto nivel no solo es instalar un Sistema Operativo u/o una aplicación, luego hay que mantener el sistema en óptimas condiciones tanto como para beneficio de la empresa en la que trabajamos como administradores de red, como para beneficio propio.

Así que yo soy temático con la seguridad informática, y quienes me siguen en mis videos tutoriales o Post deben acostumbrare a que siempre ira de la mano la implementación de seguridad a cualquier sistema que implementemos.

El siguiente Post explicare como convertir este DNS en autoritativo, que ya recomende en la explicacion de la diferencia entre un DNS recursivo con un DNS Autoritativo, lo recomendable es tenerlos separados, asi que ya quedara a disposicion de cada administrador si separa el DNS recursivo del Autoritativo o si los deja ambos en un mismo servidor.

Tambien esten pendientes que voy a crear un Post desdicado a la implementacion de politicas de seguridad en nuestro DNS para evitar ataques de envenamiento de cache, y ataques de DoS.

Espero que este artículo les sea de su utilidad, pueden colaborar con el simple gesto de compartirlo ya sea en sus páginas Web, Foros o Redes Sociales.

Si tiene dudas o consultas no duden en hacérmelas saber, que para mí será un placer responderlas.