8.6 Configuración del servidor DNS

El servidor puede configurarse para ofrecer servicio de tres formas diferentes:

Servidor de nombres autorizado del dominio X:

Si almacena los registros de resolución para los hosts del dominio X.

Servidor de nombres réplica:

Si mantiene una copia de los registros de otro servidor DNS.

Servidor sólo caché:

Cuando no almacena ningún registro, excepto los adquiridos en las consultas.

La primera configuración es la que utilizaría el administrador de una nueva red que desea que sus hosts tengan nombres de dominio asignados. En dicha configuración se generarían los registros de resolución para cada uno de estos hosts y se almacenarían en el servidor de nombres autorizado. Además, el servidor DNS del ISP debería tener en cuenta el servidor DNS instalado. Por desgracia, esto último es imposible llevarlo a la práctica si no se adquiere legalmente un dominio, previo pago al correspondiente ISP.

Auque parezca que se esto se hace así por motivos económicos, en realidad no es así. Si este tema no estuviera controlado, un usuario malicioso puede inventarse un dominio con el objetivo de introducir “ruido” en el DNS, y hacer otras cosas peores como veremos más tarde. Por estos motivos, en esta ocasión no vamos a instalar un servidor DNS autorizado. Sin embargo, bastaría con modificar el fichero de configuración correspondiente y construir los registros DNS utilizando alguna herramienta como system-config-bind de Red Hat Linux.

La segunda configuración sirve para aumentar la fiabilidad del DNS ya que permite replicar los registros de resolución. Así, si el servidor de nombres autorizado fallase, el otro pasaría a resolver las consultas. Por ejemplo, en la Universidad de Almería hay un servidor DNS autorizado para el dominio ual.es (filabres.ual.es, 150.214.156.2) y otro réplica (150.214.35.10). Instalar un servidor DNS réplica plantea los mismos problemas de seguridad que instalar uno autorizado y además, una replicación sin control constituye un buen ataque por denegación de servicio. Por estos motivos, desistiremos de realizar dicha opción.

Finalmente, la tercera y última configuración, en la que instalamos un servidor DNS que funciona en realidad como un proxy DNS, sí que es posible en cualquier situación y tiene sentido si queremos reducir el tráfico a través del gateway de la red y el tiempo de resolución para las máquinas a las que servimos. Por suerte, esta configuración es la que por defecto se instala con BIND.

8.6.1 Configuración como servidor caché

Como hemos indicado anteriormente, en principio no es necesario hacer ninguna modificación en el fichero named.conf para conseguir que el servidor DNS funcione como un proxy DNS. Sin embargo, sí que vamos a hacer un pequeño cambio para que BIND utilice los servidores DNS más próximos cuando la caché falle.^† Para evitar esto hay que modificar el fichero named.conf insertando el código:

en su sección options. Veamos exactamente qué hacer en cada distribución:

Debian Linux:

La instalación de bind crea el fichero /etc/bind/named.conf y otros dos ficheros asociados /etc/bind/named.conf.local y /etc/bind/named.conf.options. El código anterior debe insertarse en este último fichero.

Fedora Core Linux:

El fichero que configura el servidor es /etc/named.conf. Para configurarlo como un servidor DNS cache ejecutar:

root# system-config-bind # Salir sin hacer ninguna modificación

A continuación insertar el código anterior en el fichero.

Gentoo Linux:

La instalación de BIND crea el fichero /etc/bind/named.conf para que funcione como un DNS caché. Simplemente insertaremos el código anterior en este fichero.

Finalmente hay que modificar el fichero /etc/resolv.conf indicando que ahora es localhost el servidor DNS. Si tuviéramos más hosts en nuestra red local, dicha modificación debería realizarse en todos ellos._____________________________

• En este punto, ¿están utilizando ya las aplicaciones el nuevo servidor DNS? Razone su respuesta.