it-swarm-es.com

¿Cómo se actualizan los servidores raíz con mi servidor de nombres? ¿La información WhoIS está siempre sincronizada con la raíz?

Nunca he entendido lo que sucede detrás de escena cuando voy a mi registrador e ingreso la información de mi servidor de nombres.

¿Alguien puede explicar qué sucede cuando se realiza una actualización y cómo se aplica de manera consistente al resultado de Whois?

  • ¿Qué tan seguro es este proceso?
  • ¿Puede cualquier registrador actualizar la raíz de mi servidor de nombres?
  • ¿Qué disposiciones de seguridad existen?
11
goodguys_activate

Su registrador tiene derecho a administrar una subzona del espacio de nombres DNS. Para ccTLD (dominio de nivel superior con código de país, por ejemplo .us), esto es principalmente uno, para gTLDS (TLD globales como .com) hay varios.

Si le dice a su registrador su propio DNS, el registrador definirá una nueva subzona para el dominio y delegará la resolución de DNS. Cada vez que se actualiza la información en el DNS, sondea el DNS que está encima de él para indicar que la información ha cambiado. Esto será principalmente el DNS de los registradores. El registrador, a su vez, reenviará esta información a los diferentes DNS raíz.

Ahora a tus preguntas:

  • ¿Qué tan seguro es este proceso?

Este proceso no es muy seguro, ya que el sistema no se diseñó teniendo en cuenta la seguridad. Básicamente confía en que cualquier información que se le dé es correcta. Entonces, si un registrador deshonesto quiere hacerse cargo de un dominio, solo tiene que asegurarse de que los servidores raíz tengan la información falsa y no la correcta. Esta información se puede falsificar fácilmente. Normalmente, un registrador debe verificar esto y solo actualizar los registros de su propia subzona.

Peores son las respuestas, ya que, cuando el servidor raíz recibe información, cada DNS acepta cada respuesta que recibe. Lo que significa que no es tan difícil redirigir, por ejemplo, Google a una IP falsa. Esta es la razón por la que se inventó DNSSEC, por lo que las respuestas se pueden firmar criptográficamente.

  • ¿Puede cualquier registrador actualizar la raíz de mi servidor de nombres?

¿Quiere decir que cualquier registrador puede pretender ser su servidor maestro de DNS? Cada DNS debería poder sondear datos de su DNS, pero eso no debería ser un problema (menos la suplantación de identidad mencionada anteriormente).

  • ¿Qué disposiciones de seguridad existen?

Confíe, si puede llamar a eso una disposición de seguridad. :) Si no cree en la confianza, la implementación de DNSSEC está en marcha. No resuelve todos los problemas que tiene el DNS, pero al menos algunos. Principalmente permite firmar las respuestas DNS, por lo que ya no es tan fácil falsificar la IP correspondiente. Hasta donde yo sé, todavía es posible envenenar el caché de los DNS individuales.

8
Andreas Arnold

Depende del registrador. Cada uno ofrece una API personalizada, y la documentación para ello suele estar detrás de una página de inicio de sesión para revendedores.

Así que realmente la respuesta a qué tan seguro es y qué disposiciones existen es "Depende". Sin embargo, solo el registrador que controla el dominio puede actualizar los servidores de nombres raíz.

1
blowdart