En el mundo de la tecnología, existen ciertos términos que pueden parecer confusos e incluso intimidantes. Split-Brain, Split-Horizon y Split-DNS son algunos de ellos. Estos conceptos son fundamentales para entender el funcionamiento de las redes y cómo se comunican los dispositivos conectados a ellas. En este artículo, descubre qué son y cómo funcionan estas técnicas de red, y cómo pueden afectar a tu entorno. ¡No te lo pierdas!
DNS de cerebro dividido, DNS de horizonte divididoo DNS dividido son términos utilizados para describir cuando se crean dos zonas para el mismo dominio, una para ser utilizada por el red internael otro utilizado por el red externa (normalmente Internet). Prefiero el término “DNS dividido”, así que continuaremos con ese.
Se utiliza una infraestructura de DNS dividido para anfitriones internos directos a un servidor de nombres de dominio interno para la resolución de nombres y hosts externos a un servidor de nombres de dominio externo para la resolución de nombres. Este tipo de configuración de DNS es muy común en redes que han establecido un nombre de dominio de directorio activo que es lo mismo que el nombre de dominio público externo. Empecemos por echar un vistazo a un ejemplo en el que No se utiliza DNS dividido.
Este diagrama representa un diseño de red con solo una infraestructura DNS que está siendo alojado en la red interna para atender solicitudes tanto internas como externas. Si bien este diseño funcionará técnicamente, es posible que no sea apropiado para el negocio debido a seguridad y otras preocupaciones. Aquí hay algunos problemas y preocupaciones que pueden necesitar ser abordados mediante la implementación de un diseño de DNS dividido.
- El la zona DNS interna está expuesta a los internautas. Un usuario de Internet puede resolver TODOS los nombres de host internos.
- Uno o más servidores internos están expuestos a Internet. Esto puede llevar a exponiendo datos debido a vulnerabilidades de seguridad en otros servicios que se ejecutan en los servidores.
- Si la organización tiene un sitio web de Internet e intranet, la resolución de nombres para el sitio web utilizando un nombre de host es extremadamente complejo sin componentes adicionales. Por ejemplo, la URL, http://corp.net, apuntaría al mismo recurso aunque se hubiera establecido una intranet y un sitio web de Internet.
Este segundo ejemplo (DNS dividido) muestra dos conjuntos de sistemas DNS. Un par de servidores DNS están ubicados en la intranet, mientras que otro par de servidores DNS están ubicados en la DMZ que da servicio a Internet. en un DNS dividido diseño, estos dos conjuntos de grupos DNS no replicar la zona corp.net entre ellos.
Cada conjunto de servidores DNS tiene una zona PRIMARIA/SECUNDARIA para corp.net. Este diseño mitiga cada una de las preocupaciones enumeradas anteriormente. Sin embargo, presenta un problema para los usuarios de la intranet, relacionado con resolución de nombres. ¿Qué pasa si la zona DNS de Internet tiene un nombre de host llamado FTP.CORP.NET y un usuario de la intranet necesita acceder a ese recurso desde dentro de la red?
Bueno, si este nombre de host solo se publica en la zona de Internet, el el usuario de la intranet no podrá resolver el nombre de host. Esto se debe a que los servidores DNS de la intranet no tienen este registro en su zona. Los servidores DNS de la intranet no intentar resolver este nombre de host utilizando sugerencias de raíz, reenviadores o cualquier otro servidor DNS en Internet, a pesar de la respuesta a la consulta puede ser resuelta por los servidores DNS de Internet ubicados en la DMZ.
El razón es que los servidores DNS de la intranet alojan una zona AUTORIZADA para corp.net. Desde su perspectiva, si ellos no tengo el registro, no hay razón para buscar una respuesta en otro lugar, ya que los servidores DNS de la intranet son los “dueños” de la zona. Entonces, ¿cómo se puede resolver esto? Simplemente cree un registro en el servidores DNS intranet para el nombre de host “FTP” en la zona corp.net y apunte ese registro al recurso de Internet.
Ahora que el mismo registro está alojado en ambos conjuntos de infraestructuras DNSlos usuarios de intranet e Internet podrán acceder al mismo recurso utilizando el mismo nombre de host. Tenga en cuenta que si la IP del registro FTP alguna vez cambia, deberá actualizarse en los servidores DNS de Internet e intranet de forma independiente.