El sistema de nombres de dominio (DNS) es esencial en internet, pero su uso en infraestructuras TI internas introduce riesgos y complejidad innecesarios. Aunque facilita la interacción humana y permite cambiar direcciones IP sin afectar clientes, dentro de una red interna el DNS añade un punto de fallo adicional: los clientes cachean registros según el TTL, lo que dificulta actualizaciones inmediatas; distintos sistemas operativos gestionan la caché de forma heterogénea. Además, el DNS es vulnerable a ataques de suplantación y exfiltración de datos. Un atacante puede usar consultas DNS para extraer información sensible hacia un servidor autoritativo controlado, evadiendo filtros de salida. La alternativa es configurar direcciones IP directamente en los archivos de configuración o en /etc/hosts, prescindiendo de un servicio DNS interno. Herramientas como Ansible o pyinfra permiten gestionar esta configuración a escala. Aunque la legibilidad para humanos puede verse afectada, el uso de /etc/hosts ofrece los mismos nombres simbólicos sin depender de la resolución en red. El artículo también señala que el filtrado de tráfico saliente (egress filtering) es crucial para mitigar la exfiltración vía DNS, y sugiere que los servidores solo accedan a internet a través de proxies con listas blancas de dominios. En definitiva, prescindir del DNS interno puede aumentar la fiabilidad y reducir la superficie de ataque, siempre que se contrapesen las ventajas de comodidad frente al riesgo y la complejidad adicional.
Por qué conviene prescindir del DNS en infraestructuras internas
