Gestión de Recursos

Resolución Reversa

La resolución DNS más común es la hecha para traducir un nombre para una dirección IP. Pero esa no es el único tipo de resolución DNS. Hay también la resolución denominada inversa, que hace la traducción de una dirección IP para un nombre.

Entre las ventajas o necesidades de tener configurada resolución inversa, podemos destacar las siguientes:

Inicialmente se utilizaba resolución inversa como mecanismo auxiliar de seguridad para los servidores en la Internet. Ese mecanismo comparaba los resultados de una resolución inversa con la resolución directa (de nombre para dirección IP). En el caso de los resultados iguales, se permitía, por ejemplo, el acceso remoto al servidor.

Actualmente algunos servidores de FTP no permiten conexión a partir de direcciones IP que no tengan resolución inversa configurada.

Es posible encontrar también servidores HTTP (web), configurados para hacer la resolución inversa cuando una computadora inicia una conexión. Esa información es almacenada en archivos de registros (logs) para futuro procesamiento o para generación de estadísticas. En estos casos, cuando la dirección IP de la computadora no posee resolución inversa habrá un atraso en la conexión debido al tempo gasto en el intento de hacer la resolución inversa.

Recientemente es cada vez más común encontrar servidores de email configurados para hacer la resolución inversa como parte de los procedimientos de control de spam y de vírus.

Hay también el caso de herramientas para solución de problemas de red, tal como "traceroute" que traza el camino entre dos puntos en la Internet. Esta herramienta muestra los puntos intermediarios entre el punto inicial y final, y en caso que este configurada la resolución inversa para las direcciones IP, será posible ver el nombre de cada uno de estos puntos. Lo que facilita la identificación de las redes intermediarias y posibles puntos con problema.

Por lo tanto, LACNIC recomienda a las organizaciones que configuren la resolución inversa para los bloques IP bajo su responsabilidad.

Para la resolución inversa fueron creados nombres de dominio especiales: in-addr.arpa para bloques IPv4 y ip6.arpa para bloques IPv6.

Para poner la dirección IP dentro de la jerarquía de nombres DNS, es necesario hacer una operación para crear un nombre que represente la dirección IP dentro de esta estructura.

Como mencionamos anteriormente, en la jerarquía de nombres del sistema DNS la parte más a la izquierda es la más específica y la parte a la derecha la menos específica. Pero en la numeración de direcciones IP eso está al contrario, o sea, lo más específico es lo que está más a la derecha en una dirección IP.

Para resolver eso, se debe hacer una operación invirtiendo cada parte de la dirección IP y luego añadir el nombre de dominio reservado para la resolución inversa (in-addr.arpa o ip6.arpa)

Por ejemplo, considerando la dirección IPv4 10.0.0.1; para colocarla en el formato necesario, se debe invertir cada byte (Un byte es lo mismo que 8 bits) y añdirse el dominio para resolución inversa al final ej.: 1.0.0.10.in-addr.arpa

Una información importante es que la delegación DNS inversa para direcciones IPv4 debe ser hecha respetandose los limites de bytes de cada parte de la dirección IP. O sea, es posible hacer la delegación del primer byte, lo que representa un bloque de prefijo /8. O la delegación del segundo byte lo que representa un bloque de prefijo /16. O del tercer byte que representa un bloque de prefijo /24.

Es por esa razón que en los servidores DNS de LACNIC se registran solamente delegaciones para bloques /24 o bloques /16.

De esa manera, organizaciones que reciban bloques de direcciones IP de prefijo /24 hasta /17 pueden hacer la delegación DNS de cada bloque /24, contenido en el prefijo asignado, directamente en el servidor de LACNIC. A su vez, una organización que reciba bloques de prefijo /16 o más corto podrán registrar solamente la delegación DNS para los bloques /16 contenidos en el prefijo asignado. La delegación de bloques /24 contenido en cada uno de los bloques /16 debe ser hecha en el propio servidor DNS de la organización.

En el caso de direcciones IPv6 no existe esa restricción. Siendo por lo tanto posible delegar cada conjunto de 4 bits de la dirección IPv6. Lo cual contiene 128 bits representados en notación hexadecimal separados en 8 grupos de 16 bits cada uno.

Un ejemplo considerando la dirección IPv6 2001:0DB8:0000:0000:0000:0000:0000:0001 tendriámos la siguiente representación en la jerarquía DNS para resolución inversa:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.B.D.0.1.0.0.2.ip6.arpa