El protocolo DNS (Domain Name System, sistema de dominio de nombres) es uno de los más desconocidos para la inmensa mayoría de los usuarios.

Muchos han oído hablar de un servidor web, de correo, FTP… pero de un servidor DNS pocos se plantean siquiera su existencia.

Teniendo en cuenta que es el encargado de traducir nombres de dominio como www.portalmundos.com a direcciones numéricas (direcciones IP del tipo a.b.c.d donde cada letra es un entero entre 0 y 255) su importancia está más que justificada. Sin él, en vez de navegar hacia www.portalmundos.com, tendríamos que acordarnos de su dirección IP, que es la 216.17.103.38… ¿qué resulta más fácil de recordar? A los ordenadores no les gusta trabajar con letras, siempre han preferido los números. En los sesenta, en los tiempos de ARPAnet (la “protoInternet”), bastaba con un fichero central llamado servers.txt al que se conectaban todos para asociar cada dominio con su dirección IP. Era una red pequeña, con pocos sistemas conectados y, como si de una aldea se tratara, con un fichero de texto actualizado manualmente cada día era más que suficiente. Pronto, especialmente cuando el protocolo base pasó a ser el TCP/IP, tremendamente extensible y flexible, demasiados host entraron en Internet, de manera que un fichero se convertía en algo arcaico, poco manejable y con grandes problemas de coherencia y redundancias conflictivas. Se comenzó a pensar en un nuevo sistema que permitiera la administración local de la información y la disponibilidad global de esos datos. En 1984 se diseñó la arquitectura que sería la base del actual sistema de nombres de dominio (DNS). El sistema DNS en realidad es una base de datos distribuida. Permite la administración local de segmentos que juntos componen toda la base de datos local. Los datos de cada segmento están disponibles para toda la Red a través de un esquema cliente-servidor jerárquico.

Es prácticamente imposible pretender que trabajemos con direcciones IP, pero también complicado que la misma información esté disponible para todo el mundo. Es necesario un sistema automático que ligue a cada IP con un nombre fácil de recordar (y al revés), y además que sea único y esté disponible para todo el que se conecte a Internet. Por otro lado, no sólo los ordenadores, los programas tampoco pueden trabajar con nombres, así que hay que proporcionarles un mecanismo para que antes de acceder a un dominio, lo conviertan en dirección IP. Es por esto que, cuando nos conectamos a Internet, nuestro ISP nos suele proporcionar unas direcciones de DNS. Todo programa las consulta antes de conectarse a, por ejemplo, www.portalmundos.com. Una vez que le han respondido con la dirección IP, es cuando el programa cliente realiza la conexión real, pero en un principio, es imprescindible la traducción.

DNS es un protocolo cliente-servidor que usa el puerto 53 UDP. El cliente, en este protocolo, no está demasiado bien definido, no es un programa concreto, sino que muchos programas hacen uso de la librería que se conecta al servidor. Por ejemplo, ping, whois, nslookup, el navegador… etc. para realizar consultas. En general, son llamados “resolvers” o “resolvedores”. La función principal del servidor es proporcionar la información sobre la relación dirección IP – dominio. Se basa en un sistema jerárquico de dominios y subdominios en forma de árbol invertido. Así, una vez que un servidor ha sido configurado para usar los servidores DNS raíz, puede utilizar recursivamente el protocolo DNS para comunicarse con otros y llegar a conocer cualquier dominio asociado a cualquier dirección IP.

El servidor más famoso de nombres es BIND, que viene de The Berkeley Internet Name Domain, porque fue ideado por un estudiante de esa universidad, que tantos progresos ha brindado a la informática. Distintas organizaciones se han estado ocupando de este programa hasta su versión 4.9, pero en Mayo de 1997, se pegó el salto hacia la versión 8, porque la 4 había quedado excesivamente anticuada. La versión 4 ya no se desarrolla más, excepto para parches de seguridad. Y es que la seguridad ha sido siempre el punto débil de este protocolo, protagonista de grandes delitos cibernéticos. La excesiva confianza en el momento de su diseño lo han vuelto débil y fácilmente quebradizo con la tecnología actual en la Internet de hoy. Es por ello que, según Hispasec, desde Enero de 2004 el grupo de trabajo de la IETF responsable de la definición de las extensiones de seguridad en el protocolo DNS, solicita a la comunidad su opinión sobre los cambios propuestos en el protocolo orientados a subsanar los problemas de seguridad que acarrea desde hace años. Se estableció un grupo de trabajo de la IETF (Internet Engineering Task Force, el “brazo armado” de Internet encargado de la definición de los protocolos utilizados en Internet). Este grupo ha trabajado durante el último lustro en el desarrollo de un conjunto de extensiones de seguridad para el DNS que mejoren las peligrosas condiciones actuales.

Otro importante avance ocurrió en Febrero de 2003, cuando España fue elegido como país para alojar un servidor raíz. Esto no es algo demasiado común, teniendo en cuenta que sólo existen catorce servidores raíz en el mundo. Según nos informaba elmundo.es “El nuevo root server o Servidor Primario de Dominios, que funcionará en Madrid, a cargo de la asociación Espanix, es una de las dos copias de uno de los trece grandes controladores de la Red en todo el mundo. Son los llamados ‘root servers’, grandes entramados de cables y circuitos que hacen posible navegar por la Red. Diez están en Estados Unidos, y el resto, en Japón, Reino Unido y Suecia.”

¿Qué supone que uno de ellos llegue a España? “Lo primero es que en nuestro país va a concentrar gran parte del tráfico de la Red” explica Cristóbal López, gerente de Espanix. “Al tener un ‘root’ aquí se tarda menos tiempo y hay mejor respuesta en la navegación. Se incrementa la disponibilidad, se reducen costes porque no hay que ir fuera para acceder a un servidor raíz”.

...por Sergio de los Santos