Protección de la implementación de DNS

Cuando diseñe la implementación del servidor de Sistema de nombres de dominio (DNS), use las siguientes instrucciones de seguridad de DNS.

• Si los hosts de la red no son necesarios para resolver los nombres en Internet, elimine la comunicación de DNS con Internet.
  
  En este diseño de DNS, puede usar un espacio de nombres DNS privado que se hospede en su totalidad en la red. El espacio de nombres DNS privado se distribuye como el espacio de nombres DNS de Internet, en el que los servidores DNS internos hospedan zonas para el dominio raíz y los dominios de nivel superior.
  
  
• Divida el espacio de nombres DNS de la organización entre servidores DNS internos detrás del firewall y servidores DNS externos delante del firewall.
  
  En este diseño de DNS, el espacio de nombres DNS interno es un subdominio del espacio de nombres DNS externo. Por ejemplo, si el espacio de nombres DNS de Internet de la organización es tailspintoys.com, el espacio de nombres DNS interno de la red es corp.tailspintoys.com.
  
  
• Hospede el espacio de nombres DNS interno en servidores DNS internos y hospede el espacio de nombres DNS externo en servidores DNS externos que estén expuestos a Internet.
  
  Para resolver las consultas de nombres externos que realizan los hosts internos, los servidores DNS internos de este diseño de DNS reenvían consultas de nombres externos a los servidores DNS externos. Los hosts externos sólo usan servidores DNS externos para la resolución de nombres de Internet.
  
  
• Configure el firewall de filtrado de paquetes para que únicamente permita la comunicación por el puerto UDP y TCP 53 entre el servidor DNS externo y un solo servidor DNS interno.
  
  Este diseño de DNS facilita la comunicación entre los servidores DNS internos y externos e impide que cualquier otro equipo externo obtenga acceso al espacio de nombres DNS interno.
  
  

Para obtener más información, vea Información de seguridad para DNS.