DNS — Avanzado

Dirigido a profesionales con dominio sólido de DNS que operan o diseñan infraestructuras en entornos productivos complejos, este curso aborda los retos de escala, resiliencia y seguridad que aparecen cuando la simplicidad operativa ya no es suficiente. A lo largo de las ocho horas, el participante explorará cómo diseñar arquitecturas DNS de alta disponibilidad para escenarios multi-región, cómo medir y optimizar el rendimiento de una infraestructura existente y cómo blindar las zonas autoritativas mediante DNSSEC y protocolos de transporte cifrado. El curso incorpora además una perspectiva de ingeniería de plataforma: el alumno aprenderá a gestionar el ciclo de vida de los registros DNS como código dentro de pipelines CI/CD, a detectar inconsistencias en entornos multi-proveedor de forma automatizada y a anticipar y documentar los vectores de fallo más críticos del sistema. Al finalizar, el participante será capaz de tomar decisiones de diseño justificadas, implementar controles de seguridad avanzados y entregar una infraestructura DNS observable, automatizada y resistente a fallos en producción.

1. Identificar las métricas cuantitativas clave del rendimiento DNS —latencia de resolución, hit rate de caché y tasa de NXDOMAIN— y explicar cómo cada una revela un cuello de botella específico en la cadena de resolución.
2. Comparar las implicaciones de seguridad, privacidad y compatibilidad operativa de DNS-over-HTTPS y DNS-over-TLS para fundamentar la elección del protocolo de transporte cifrado más adecuado a un contexto organizativo dado.
3. Diseñar una arquitectura DNS de alta disponibilidad multi-región, seleccionando y justificando el uso de anycast, split-horizon y DNS secundario externo en función de los requisitos de resiliencia y latencia.
4. Construir una estrategia de TTL adaptada a un proceso de migración de proveedor, argumentando los valores elegidos frente al tiempo de propagación aceptable y el impacto en la carga de los resolvers.
5. Implementar DNSSEC en una zona autoritativa, definiendo la generación, publicación y rotación automatizada de claves KSK/ZSK y verificando la cadena de confianza completa.
6. Automatizar la gestión del ciclo de vida de registros DNS mediante IaC o API de proveedor, asegurando idempotencia y trazabilidad de cambios en un pipeline CI/CD.
7. Integrar un sistema de auditoría programática que detecte inconsistencias DNS en entornos multi-proveedor —registros obsoletos, delegaciones rotas y TTLs conflictivos— y genere alertas en la plataforma de monitorización existente.
8. Elaborar un documento de análisis de riesgos que anticipe los principales vectores de fallo de una arquitectura DNS —envenenamiento de caché, amplification DDoS, zonas huérfanas y expiración de firma DNSSEC— e incluya controles preventivos y procedimientos de respuesta para cada uno.

Bloque 1 — Diagnóstico y optimización del rendimiento DNS El punto de partida del curso es aprender a leer una infraestructura DNS con ojos críticos. Se estudian las métricas cuantitativas que permiten evaluar el estado real del servicio: latencia de resolución extremo a extremo, hit rate de caché en resolvers recursivos y tasa de respuestas NXDOMAIN como indicador de configuración errónea o abuso. A partir de esos datos, se trabaja la identificación y priorización de cuellos de botella. El bloque concluye con la optimización de la estrategia de TTL en escenarios de migración de proveedor, donde se analiza la tensión entre propagación rápida de cambios y reducción de la carga sobre los resolvers, y se definen criterios objetivos para elegir valores adecuados en cada fase del proceso.

Bloque 2 — Arquitectura de alta disponibilidad multi-región Con la capacidad de diagnóstico asentada, el curso avanza hacia el diseño de soluciones que soporten fallos a escala de región. Se examinan en profundidad los patrones arquitectónicos de mayor impacto: anycast para distribuir geográficamente la autoridad y reducir latencia, split-horizon para servir respuestas diferentes según el origen de la consulta, y DNS secundario externo como mecanismo de continuidad ante la caída del autoritativo primario. El participante practica la toma de decisiones de diseño justificadas a partir de requisitos explícitos de resiliencia y latencia, y aprende a documentar esas decisiones de forma que sean auditables y reproducibles.

Bloque 3 — Seguridad avanzada: DNSSEC y transporte cifrado Este bloque aborda los dos pilares de seguridad que toda infraestructura DNS madura debe contemplar. En el plano de la integridad de los datos, se diseña la implementación completa de DNSSEC en una zona autoritativa: generación de pares de claves KSK y ZSK, publicación de registros DS en la zona padre, y estrategia de rotación automatizada que evite la expiración de firmas. Se valida la cadena de confianza de extremo a extremo. En el plano de la confidencialidad del transporte, se evalúan críticamente DNS-over-HTTPS y DNS-over-TLS, comparando ambas alternativas desde los ejes de privacidad del usuario, visibilidad para el equipo de seguridad de red y compatibilidad con la pila tecnológica existente.

Bloque 4 — Automatización, observabilidad y gestión de riesgos El curso cierra con un enfoque de ingeniería de plataforma. Se automatiza el ciclo de vida completo de los registros DNS —creación, actualización y borrado— a través de IaC o la API del proveedor, integrando los cambios en un pipeline CI/CD con garantías de idempotencia y trazabilidad. Se complementa esta automatización con herramientas de auditoría programática capaces de detectar inconsistencias en entornos multi-proveedor: registros obsoletos, delegaciones rotas y TTLs conflictivos, con alertas integradas en la plataforma de monitorización corporativa. El bloque final, y el curso en su conjunto, culminan con un ejercicio de análisis de riesgos: anticipar y documentar los vectores de fallo más críticos de una arquitectura DNS real —envenenamiento de caché, amplification DDoS, zonas huérfanas y expiración de firma DNSSEC— definiendo controles preventivos y procedimientos de respuesta accionables para cada escenario.

• Acceso a un terminal con las utilidades dig, drill o kdig instaladas (cualquier distribución Linux o macOS con Homebrew).
• Cuenta activa en al menos un proveedor DNS con API disponible (Route 53, Cloudflare, Azure DNS o equivalente) con permisos suficientes para crear y modificar zonas y registros en un entorno de pruebas.
• Entorno de ejecución de IaC: Terraform ≥ 1.5 o Pulumi ≥ 3.x instalado y configurado localmente, o acceso a un runner CI/CD (GitHub Actions, GitLab CI o similar) donde ejecutar los pipelines de los ejercicios.
• Acceso de lectura/escritura a un repositorio Git para los ejercicios de trazabilidad de cambios.
• Para los ejercicios de DNSSEC: un dominio de pruebas con soporte DS en la zona padre (o un entorno de laboratorio con BIND/NSD que permita simular la cadena completa).
• Conexión a Internet sin restricciones de salida en los puertos 53/UDP, 53/TCP, 853/TCP (DoT) y 443/TCP (DoH) para las prácticas de transporte cifrado.

El participante debe llegar al curso con dominio operativo de DNS a nivel intermedio-avanzado, equivalente al contenido cubierto en DNS02. Se presupone familiaridad con la administración de zonas autoritativas, la configuración de resolvers recursivos, los tipos de registro más habituales (A, AAAA, CNAME, MX, NS, SOA, TXT, SRV) y su semántica, así como con el proceso de delegación y la propagación de cambios. Es igualmente necesario tener experiencia práctica con alguna herramienta de diagnóstico DNS en línea de comandos (dig, drill o equivalente) y comprensión básica de los mecanismos de caché y TTL. Sin esa base, los bloques de diagnóstico de rendimiento y arquitectura multi-región resultarán de difícil seguimiento.