En las redes informáticas , el DNS de horizonte dividido (también conocido como DNS de vista dividida , DNS de cerebro dividido o DNS dividido ) es la función de una implementación del Sistema de nombres de dominio (DNS) para proporcionar diferentes conjuntos de información de DNS, generalmente seleccionados por el dirección de origen de la solicitud de DNS.
Esta función puede proporcionar un mecanismo para la gestión de la seguridad y la privacidad mediante la separación lógica o física de la información del DNS para el acceso interno de la red (dentro de un dominio administrativo , por ejemplo, una empresa) y el acceso desde una red pública no segura (por ejemplo, Internet ).
La implementación de DNS de horizonte dividido se puede lograr con separación basada en hardware o mediante soluciones de software. Las implementaciones basadas en hardware ejecutan distintos dispositivos de servidor DNS para la granularidad de acceso deseada dentro de las redes involucradas. Las soluciones de software utilizan varios procesos de servidor DNS en el mismo hardware o un software de servidor especial con la capacidad incorporada de discriminar el acceso a los registros de la zona DNS . Esta última es una característica común de muchas implementaciones de software de servidor del protocolo DNS (cf. Comparación de software de servidor DNS ) y, a veces, es el significado implícito del término DNS de horizonte dividido , ya que todas las demás formas de implementación se pueden lograr con cualquier DNS. software de servidor.
Razón fundamental
El DNS de horizonte dividido puede proporcionar un mecanismo para la gestión de la seguridad y la privacidad mediante la separación lógica o física de la información del DNS para el acceso interno a la red (dentro de un dominio administrativo , por ejemplo, una empresa) y el acceso desde una red pública no segura (por ejemplo, Internet ).
Un caso de uso común para DNS de horizonte dividido es cuando un servidor tiene una dirección IP privada en una red de área local (no accesible desde la mayor parte de Internet) y una dirección pública, es decir, una dirección accesible a través de Internet en general. Al usar DNS de horizonte dividido, el mismo nombre puede conducir a la dirección IP privada o pública, según el cliente que envíe la consulta. Esto permite que las máquinas cliente locales críticas accedan a un servidor directamente a través de la red local, sin la necesidad de pasar por un enrutador. Pasar a través de menos dispositivos de red mejora la latencia de la red.
Por ejemplo, el servidor DNS podría configurarse para devolver dos conjuntos diferentes de registros para el host host1.example.net para los solicitantes internos y externos a una red corporativa. La respuesta interna podría verse así:
@ IN SOA ns.example.net admin.example.net. ( 2010010101; de serie 1D; actualizar 1H; rever 1W; expirar 3H); mínimo@ IN NS nsns EN A 203.0.113.2host1 EN UN 10.0.0.10
Mientras que la respuesta externa sería:
@ IN SOA ns.example.net admin.example.net. ( 2010010101; de serie 1D; actualizar 1H; rever 1W; expirar 3H); mínimo@ IN NS nsns EN A 203.0.113.2host1 EN UN 203.0.113.10
Interacción con DNSSEC
El DNS de horizonte dividido está diseñado para proporcionar diferentes respuestas autorizadas a una consulta idéntica y DNSSEC se utiliza para garantizar la veracidad de los datos devueltos por el Sistema de nombres de dominio. Estos objetivos aparentemente conflictivos crean la posibilidad de confusión o falsas alertas de seguridad en redes mal construidas. La investigación ha producido recomendaciones para combinar correctamente estas dos características de DNS. [1]
Implementaciones
La implementación de DNS de horizonte dividido se puede lograr con separación basada en hardware o mediante soluciones de software. Las implementaciones basadas en hardware ejecutan distintos dispositivos de servidor DNS para la granularidad de acceso deseada dentro de las redes involucradas. Las soluciones de software utilizan varios procesos de servidor DNS en el mismo hardware o un software de servidor especial con la capacidad incorporada de discriminar el acceso a los registros de la zona DNS . Esta última es una característica común de muchas implementaciones de software de servidor del protocolo DNS (cf. Comparación de software de servidor DNS ) y, a veces, es el significado implícito del término DNS de horizonte dividido , ya que todas las demás formas de implementación se pueden lograr con cualquier DNS. software de servidor.