Zona DNS

El sistema de nombres de dominio (DNS) es un sistema jerárquico extendido por todo el mundo que se encarga de gestionar los datos asociados a los dominios de Internet. Un dominio es un nombre que las personas pueden leer, recordar y utilizar con facilidad. Una de las principales tareas del DNS es la resolución de nombres, esto es, asignar nombres de dominio a direcciones IP. El DNS es, por lo tanto, un pilar fundamental en la estructura técnica de Internet. A continuación, puedes ver un ejemplo de la resolución de nombres:

A nivel técnico, el DNS está formado por una red de servidores de nombres. Pero ¿qué conexión hay entre los nombres de dominio y los servidores de nombres?, ¿dónde se encuentra realmente la información y cómo se limita para los diferentes dominios? Para ayudarte a entenderlo, te explicamos a continuación el concepto de zona DNS.

El término zona DNS, en inglés DNS zone, procede de una especificación publicada por el Grupo de Trabajo de Ingeniería de Internet (IETF, de Internet Engineering Task Force) en 1987. En el documento RFC 1035 “Domain Names - Implementation And Specification” se explica la relación entre los servidores de nombres y las zonas DNS:

Una zona DNS es una parte del espacio de nombres de DNS que gestiona una organización concreta o una persona específica. Por lo tanto, se trata de una unidad administrativa y no debe equipararse con el concepto de dominio ni con un servidor de nombres específico. Una zona DNS incluye al menos un dominio y, si existen, otros subdominios. Sin embargo, los subdominios también pueden concebirse como zonas separadas.

El archivo de zona DNS es la base técnica para almacenar la información DNS de una zona. Se trata de un archivo de texto que se almacena en el sistema de archivos de un servidor. En el documento RFC 1035 se define también la estructura de un archivo de zona DNS. Por definición, un archivo de zona está basado en líneas formadas cada una por directivas o registros de recurso.

Las directivas, que suelen enumerarse al principio del archivo de zona, empiezan con el signo de dólar ‘$’. Sirven para ordenar al servidor realizar una acción o aplicar una configuración a la zona. Por ejemplo, con la directiva “$INCLUDE” se pueden integrar distintos archivos de zona subordinados, lo que resulta muy útil para modularizar los registros del archivo de zona.

A las directivas les siguen los registros DNS (registros de recursos) para la zona descrita. Para ello se debe disponer de un registro SOA por cada zona DNS, que debe conformar el primer registro en un archivo de zona. Además sirve para definir la estructura de la zona, así como el intercambio de los datos de zona entre servidores de nombres. Al registro SOA le siguen otros registros de recursos, entre los que destacan: los registros “A” para establecer las direcciones IP del servidor, los registros “MX” para definir los servidores de correo y los registros “NS”, que incluyen los servidores de nombres con autoridad para la zona.

Poniendo el foco en un servidor de nombres específico, puede existir un archivo de zona como un original con posibilidad de ser reescrito. En este caso, el servidor de alojamiento es un servidor DNS primario. Si el archivo de zona es una copia de una fuente externa que no se puede reescribir, el servidor de alojamiento se denomina servidor DNS secundario. Un archivo de zona puede describir con autoridad una zona DNS o almacenar el contenido de la caché de DNS. De nuevo, vamos a ver la definición que aparece en RFC 1035:

Si no se puede encontrar una zona, por ejemplo, debido a un error técnico en el archivo de zona, el servidor de nombres responde a la solicitud con el error NXDOMAIN.

El término zona DNS se utiliza para varios conceptos, en ocasiones muy diferentes. Aquí presentamos una selección de los términos más comunes.

La zona raíz del DNS es el nivel superior del espacio jerárquico del DNS. En el nombre de dominio está representada por un punto final. Si un nombre de dominio muestra un punto final, también recibe el nombre de Fully Qualified Domain Name (FQDN). Por ejemplo, “example.com.” es el FQDN para el dominio “example.com”. Como se puede apreciar en el FQDN, .com va precedido de un punto.

La zona raíz del DNS se reproduce en los trece servidores raíz de nombres de dominio del DNS y contiene información sobre los servidores de nombres autoritativos para los dominios de nivel superior (TLD, Top-Level-Domains). Por ejemplo, con una solicitud a uno de los servidores raíz de nombres de dominio puedes encontrar un servidor de nombres autoritativo para uno de los dominios de nivel superior de código de país (ccTLDs, country code Top Level Domains). En la actualidad, la zona raíz del DNS utiliza el mecanismo DNSSEC y, por lo tanto, está protegida de la falsificación de las respuestas del DNS.

La restricción de los servidores raíz de nombres de dominio a un total de trece es de naturaleza técnica. A los servidores raíz se les asignan los nombres de dominio de “a.root-servers.net” a “m.root-servers.net”. Gracias a la tecnología anycast, se dispone de un número mucho mayor de servidores físicos para responder a las consultas de la zona raíz del DNS. La página web oficial de Root Server Technical Operations Association presenta un listado de los servidores raíz e indica su ubicación geográfica.

El concepto de la zona DNS y del correspondiente archivo de zona tratado hasta ahora se utiliza para “Forward DNS Lookup” o, lo que es lo mismo, para la resolución de DNS hacia adelante, es decir, cuando los nombres de dominio se resuelven en direcciones IP. Los registros “A” en el archivo de zona se usan con este propósito. No obstante, el término “forward zone” se utiliza también en ocasiones para describir un concepto completamente diferente: reenviar las consultas DNS desde un resolver DNS en caché a un servidor de nombres autoritativo.

“Reverse DNS lookup” se opone a “forward lookup”. El adjetivo “reverse” indica que el mecanismo funciona exactamente al revés: las direcciones IP de los servidores se traducen en sus correspondientes nombres de dominio.

A “reverse lookup zone” es un archivo de zona de búsqueda inversa que permite la resolución de las direcciones IP en los nombres de dominio. Un archivo de zona DNS de búsqueda inversa contiene también los registros SOA y NS (como el archivo de zona forward-lookup). Sin embargo, en lugar de los registros “A”, se recurre a los registros “PTR”, que se encargan de vincular una dirección IP de formato ‘z.y.x.w.in-addr.arpa.’ con el nombre de dominio correspondiente.

Como ya se ha indicado, los términos “zona DNS” y “archivo de zona” a menudo se emplean como sinónimos. Del mismo modo, en el contexto de los servidores DNS primario y secundario también se usan los conceptos de zonas DNS primarias y secundarias. Esto hace referencia al archivo de zona que está almacenado en el servidor DNS primario o secundario.

Una zona DNS es un concepto administrativo. A modo de resumen, una zona DNS define una parte del espacio de nombres DNS que una organización o una persona específica gestiona. En cambio, un servidor DNS es un componente físico de la infraestructura técnica de Internet. Un servidor puede ser autoritativo para una o más zonas. Sin embargo, también puede ser un resolver de DNS, que no es autoritativo en ninguna zona y que se limita a almacenar en caché las consultas de DNS ya respondidas. Por lo tanto, una zona DNS no puede existir sin un servidor de nombres, mientras que un servidor de nombres no necesariamente define una zona DNS.