En redes de computadoras , el DNS de horizonte dividido (también conocido como DNS de vista dividida , DNS de cerebro dividido o DNS dividido ) es la función de una implementación del Sistema de nombres de dominio (DNS) para proporcionar diferentes conjuntos de información de DNS, generalmente seleccionados por la dirección de origen de la solicitud de DNS.
Esta función puede proporcionar un mecanismo para la gestión de la seguridad y la privacidad mediante la separación lógica o física de la información de DNS para el acceso interno a la red (dentro de un dominio administrativo , por ejemplo, una empresa) y el acceso desde una red pública no segura (por ejemplo, Internet ).
La implementación de DNS de horizonte dividido se puede lograr con separación basada en hardware o mediante software. Las implementaciones basadas en hardware ejecutan dispositivos de servidor DNS distintos para la granularidad de acceso deseada dentro de las redes involucradas. Las soluciones de software utilizan múltiples procesos de servidor DNS en el mismo hardware o software de servidor especial con la capacidad incorporada de discriminar el acceso a los registros de zona DNS . Esta última es una característica común de muchas implementaciones de software de servidor del protocolo DNS (cf. Comparación de software de servidor DNS ) y, a veces, es el significado implícito del término DNS de horizonte dividido , ya que todas las demás formas de implementación se pueden lograr con cualquier software de servidor DNS.
El DNS de horizonte dividido puede proporcionar un mecanismo para la gestión de la seguridad y la privacidad mediante la separación lógica o física de la información del DNS para el acceso interno de la red (dentro de un dominio administrativo , por ejemplo, una empresa) y el acceso desde una red pública no segura (por ejemplo, Internet ).
Un caso de uso común para el DNS de horizonte dividido es cuando un servidor tiene una dirección IP privada en una red de área local (no accesible desde la mayor parte de Internet) y una dirección pública, es decir, una dirección accesible a través de Internet en general. Al utilizar el DNS de horizonte dividido, el mismo nombre puede conducir a la dirección IP privada o a la pública, según el cliente que envíe la consulta. Esto permite que las máquinas cliente locales críticas accedan a un servidor directamente a través de la red local, sin la necesidad de pasar por un enrutador. Pasar por menos dispositivos de red mejora la latencia de la red.
Por ejemplo, el servidor DNS podría configurarse para devolver dos conjuntos de registros diferentes para el host host1.example.net para los solicitantes internos y externos a una red corporativa. La respuesta interna podría ser similar a la siguiente:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; serial 1D ; actualizar 1H ; reintentar 1W ; expirar 3H ) ; mínimo @ IN NS ns ns IN A 203.0.113.2 host1 IN A 10.0.0.10 Mientras que la respuesta externa sería:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; serial 1D ; actualizar 1H ; reintentar 1W ; expirar 3H ) ; mínimo @ IN NS ns ns IN A 203.0.113.2 host1 IN A 203.0.113.10 El DNS de horizonte dividido está diseñado para proporcionar diferentes respuestas autorizadas a una consulta idéntica y DNSSEC se utiliza para garantizar la veracidad de los datos devueltos por el Sistema de nombres de dominio. Estos objetivos aparentemente contradictorios crean el potencial de confusión o alertas de seguridad falsas en redes mal construidas. Las investigaciones han producido recomendaciones para combinar adecuadamente estas dos características del DNS. [1]
La implementación de DNS de horizonte dividido se puede lograr con separación basada en hardware o mediante soluciones de software. Las implementaciones basadas en hardware ejecutan dispositivos de servidor DNS distintos para la granularidad de acceso deseada dentro de las redes involucradas. Las soluciones de software utilizan múltiples procesos de servidor DNS en el mismo hardware o software de servidor especial con la capacidad incorporada de discriminar el acceso a los registros de zona DNS . Esta última es una característica común de muchas implementaciones de software de servidor del protocolo DNS (cf. Comparación de software de servidor DNS ) y, a veces, es el significado implícito del término DNS de horizonte dividido , ya que todas las demás formas de implementación se pueden lograr con cualquier software de servidor DNS.