Transferencias de zona(Volver al índice General) servidores DNSesclavos o secundarios obtienen los ficheros de zonas (los registros de recursos, RR) de otros servidores DNS autorizados para esas zonas. A este proceso se le conoce como transferencia de zona. Existen diferentes formas de realizar este proceso y es posible configurarlo en los servidores DNS. La finalidad de esto es que todos los servidores DNS autorizados para una zona tengan la misma información para esa zona. Haz clic en la imagen para aumentarla
Una transferencia de zona utiliza el protocolo TCP para el transporte. Los servidores DNSmaestros utilizan el puerto 53/TCP para el intercambio de datos en las transferencias de zona. Típicamente el protocolo DNS transporta las peticiones y respuestas entre cliente y servidor usando el protocolo UDP y el puerto 53/UDP, ya que es mucho más rápido.
La transferencia de zona es un proceso necesario para el buen funcionamiento del servicio DNS, pero por otro lado, dicho proceso es una fuente de amenazas de seguridad. Mediante una transferencia de zona, un servidor DNS esclavo puede recibir registros de recurso de una fuente maliciosa, envenenando así su fichero de zona. Tras envenenar el fichero de zona, los clientes DNS obtendrán las direcciones que haya puesto el atacante y por esto, hay que tener cuidado a la hora de configurar los servidores DNS esclavos para que solo acepten transferencias de fuentes conocidas.
Transferencia de zona completa (AXFR)(Volver al índice General)
En este tipo de transferencia, el servidor DNS maestro envía al servidor DNS esclavo toda la información de la zona. Una petición AXFR de un servidor DNS esclavo a un servidor DNS maestro es una solicitud para una transferencia de zona completa. En un principio, las especificaciones originales del servicio DNS (RFC 1034 y RFC 1035) solo contemplaban este tipo de transferencia.
Transferencia de zona incremental (IXFR)(Volver al índice General)
Las transferencias completas de zona con muchos registros de recursos consumen ancho de banda y pueden llegar a tardar mucho tiempo dependiendo de las condiciones de la red y del tamaño de la zona. Para evitar esto, en la RFC 1995 se introdujeron las transferencias de zona incrementales.
En una transferencia de zona incremental, el servidor DNS maestro envía al servidor DNS esclavo solo aquellos datos que han cambiado desde la última transferencia de zona. Una petición IXFR de un servidor DNS esclavo a un servidor DNS maestro es una solicitud para una transferencia de zona incremental.
Las transferencias de zona incremental disminuyen el consumo de ancho de banda y el tiempo de transferencia.
Proceso de transferencia de zona(Volver al índice General)
El proceso de transferencia de zona se inicia por dos razones:
El servidor DNS esclavo pregunta al servidor DNS maestro para comprobar si hay cambios en los ficheros de zona. Lo hace cuando se inicia o reinicia el servicio y posteriormente, cada cierto tiempo de forma periódica.
El servidor DNS esclavo, cuando se inicia o reinicia, o cada cierto tiempo (especificado en el campo refresh del registro de recurso SOA que obtuvo del servidor DNS maestro), solicita al servidor DNS maestro su registro SOA.
El servidor DNS maestro responde enviando el registro de recurso SOA de la zona.
El servidor DNS esclavo compara el número de serie (campo serial del registro de recurso SOA) enviado con el que tiene de la zona. Si el valor del número de serie enviado por el servidor DNS maestro para la zona es superior al suyo propio, entonces, la base de datos del servidor DNS esclavo no está actualizada.
El servidor DNS esclavo envía una petición AXFR para solicitar una transferencia de zona completa o una petición IXFR para solicitar una transferencia de zona incremental.
El servidor DNS maestro envía los datos de la zona al servidor DNS esclavo.
El servidor DNS maestro notifica (NOTIFY)(Volver al índice General)
Con el método anterior, si se produjese una modificación en el fichero de zona del servidor DNS maestro, el o los servidores DNS esclavos no se enterarían, y por lo tanto, no actualizarían sus archivos de zona hasta transcurrido el tiempo indicado en el campo refresh del registro de recurso SOA que obtuvo del servidor DNS maestro, que volverían a preguntar.
Por ejemplo, si cada 10 horas el servidor DNS esclavo pregunta al servidor DNS maestro si ha habido cambios, y se produce un cambio transcurrida una hora desde la última pregunta, el servidor DNS esclavo estaría 9 horas con la zona desactualizada.
Por ello, en la RFC 1996 de introdujo el mecanismo por el cual el servidor DNS maestro envía una notificación (NOTIFY) a los servidores DNS esclavos cada vez que hay una modificación en su fichero de zona.
Cuando hay una modificación en el fichero de zona del servidor DNS maestro, este envía una notificación a los servidores DNS esclavos.
El servidor DNS esclavo solicita al servidor DNS maestro su registro de recurso SOA para la zona.
El servidor DNS maestro responde enviando el registro de recurso SOA para la zona.
El servidor DNS esclavo compara el número de serie recibido en el registro de recurso SOA con el suyo propio para la zona. Si el número de serie que envía el servidor DNS maestro para la zona es mayor que el suyo propio, la base de datos del servidor DNS esclavo no está actualizada.
El servidor DNS esclavo envía una petición AXFR para solicitar una transferencia de zona completa o una petición IXFR para solicitar una transferencia de zona incremental.
El servidor DNS maestro envía los datos de la zona al servidor DNS esclavo.
La notificación (NOTIFY) ayuda a mejorar la coherencia de los datos entre servidores DNS autorizdos para una zona.
Espero que este artículo os haya sido de utilidad. Si pensáis que podéis colaborar para mejorar este artículo, que hay algo erróneo en él o simplemente deseáis comentarlo, por favor, dejad vuestra opinión más abajo.
Configuración de privacidad y de cookies.
Deja una respuesta