DNS — Intermedio

Dirigido a profesionales con conocimientos básicos de DNS que necesitan profundizar en el diseño, operación y diagnóstico de infraestructuras de nombres de dominio en entornos reales. A lo largo de las 8 horas del curso, el participante comprenderá los roles diferenciales del servidor autoritativo y el resolver recursivo, diseñará zonas DNS completas con múltiples tipos de registro y sus políticas de TTL, configurará delegaciones de subdominios con glue records correctos, implementará los registros de soporte a correo electrónico (MX, SPF, DKIM y DMARC) y adaptará un resolver para escenarios split-horizon. Además, aplicará un proceso sistemático de depuración con herramientas de línea de comandos (dig, host, nslookup) para identificar y corregir fallos de resolución y problemas de propagación. Al finalizar, el participante será capaz de diseñar y mantener una infraestructura DNS intermedia de forma autónoma, justificando cada decisión de configuración con criterios técnicos y de estándar.

1. Explicar el rol complementario del servidor autoritativo y el resolver recursivo a partir del análisis de una traza de resolución completa, distinguiendo en qué punto de la cadena actúa cada componente.
2. Diseñar una zona DNS completa para un dominio ficticio que incluya los tipos de registro fundamentales (A, AAAA, CNAME, MX, TXT, PTR), asignando valores de TTL justificados para cada tipo.
3. Configurar la delegación de un subdominio a un servidor NS secundario, incorporando los glue records necesarios para evitar referencias circulares.
4. Integrar los registros DNS requeridos por un servicio de correo electrónico (MX, SPF, DKIM y DMARC), argumentando el propósito de cada registro en la cadena de autenticación.
5. Justificar la elección entre un registro CNAME y un registro A/ALIAS en el apex de un dominio, considerando requisitos de balanceo o failover y las restricciones del estándar RFC.
6. Adaptar la configuración de un resolver recursivo para implementar split-horizon DNS, diferenciando las respuestas servidas a clientes internos y externos para el mismo FQDN.
7. Depurar escenarios de fallo de resolución y problemas de propagación DNS mediante consultas dirigidas al servidor autoritativo, distinguiendo entre datos desactualizados en caché y errores en la zona autoritativa, e identificando la causa raíz con su corrección.

Bloque 1 — Arquitectura DNS: autoritativo vs. resolver recursivo Se analiza en detalle la diferencia funcional entre el servidor autoritativo y el resolver recursivo, recorriendo el ciclo de vida completo de una consulta DNS mediante dig +trace. Se estudia cómo el resolver itera a través de los servidores raíz, TLD y autoritativos, y qué información retorna cada uno, sentando las bases conceptuales necesarias para los bloques siguientes.

Bloque 2 — Diseño de zonas DNS y política de TTL El participante diseña una zona DNS completa para un dominio ficticio, incluyendo registros A, AAAA, CNAME, MX, TXT y PTR. Se discute la semántica de cada tipo de registro y se establece una política de TTL razonada: valores bajos para registros sujetos a cambios frecuentes, valores altos para registros estables, y sus implicaciones sobre la propagación y la carga de consultas.

Bloque 3 — Delegación de subdominios y glue records Se aborda el mecanismo de delegación de un subdominio a un servidor NS secundario, prestando especial atención a los glue records como solución a las referencias circulares. Mediante un ejercicio práctico de diseño, se valida que la delegación sea funcional y no genere dependencias irresolubles.

Bloque 4 — DNS y correo electrónico: MX, SPF, DKIM y DMARC Se estudia el conjunto de registros DNS que dan soporte a la entrega autenticada de correo electrónico. El participante integra y verifica registros MX para enrutamiento, SPF mediante TXT para autorización de remitentes, DKIM mediante TXT para firma criptográfica y DMARC para política de alineación, justificando el propósito de cada pieza en la cadena de autenticación.

Bloque 5 — CNAME vs. A/ALIAS en el apex: análisis RFC y casos de uso Se examinan las limitaciones que el estándar RFC impone al uso de CNAME en el apex de un dominio (zona raíz), contraponiendo la solución ALIAS/ANAME adoptada por distintos proveedores. A partir de requisitos concretos de balanceo de carga y failover, el participante argumenta y documenta la elección más adecuada para cada escenario.

Bloque 6 — Split-horizon DNS: configuración de resolver con vistas Se explora el patrón split-horizon, que permite servir respuestas distintas para el mismo FQDN según el origen de la consulta. El participante adapta la configuración de Unbound o BIND en modo caché para definir vistas internas y externas, verificando el comportamiento diferencial mediante consultas de prueba.

Bloque 7 — Diagnóstico y depuración de fallos DNS Se trabajan dos familias de problemas: fallos de resolución (registro inexistente, CNAME circular, delegación rota, TTL expirado) y problemas de propagación tras un cambio de zona. Utilizando dig, host y nslookup con consultas directas al servidor autoritativo, el participante aprende a distinguir respuestas cacheadas desactualizadas de errores reales en la zona, identificar la causa raíz y aplicar la corrección correspondiente.

• Sistema operativo Linux (Ubuntu 22.04 LTS o equivalente) con acceso a terminal.
• Herramientas de consulta DNS instaladas: dig (paquete dnsutils), host y nslookup.
• Acceso a un entorno de laboratorio con al menos una instancia de Unbound o BIND9 configurable (puede ser una máquina virtual local o un contenedor Docker proporcionado por el curso).
• Permisos suficientes para editar archivos de configuración del servidor DNS y reiniciar el servicio.
• Editor de texto plano (vim, nano, VS Code o equivalente).
• Conexión a Internet para verificar comportamientos de propagación real y consultar documentación RFC en línea.

• Conocimiento del modelo jerárquico del DNS: zonas, delegación y jerarquía de servidores raíz, TLD y autoritativos.
• Familiaridad con los tipos de registro básicos: A, AAAA, CNAME, MX y TXT.
• Capacidad para realizar consultas DNS desde línea de comandos con dig o nslookup.
• Comprensión del concepto de TTL y su efecto en la caché de resolución.
• Estos conocimientos se adquieren en el curso DNS01 (prerrequisito obligatorio).