SOPHOS - DNS
🌐🔥Configuración de DNS Interno en Sophos Firewall para el Dominio clockwork.lan
En esta práctica se implementa un sistema de resolución DNS interna en Sophos Firewall para el dominio corporativo de laboratorio clockwork.lan. El objetivo es permitir que los equipos de la red puedan resolver nombres internos de forma sencilla, organizada y coherente, evitando depender únicamente de direcciones IP.
En un entorno empresarial, trabajar solo con direcciones IP no es escalable ni cómodo. A medida que aumentan los servidores, servicios, redes y dispositivos, recordar manualmente cada dirección se vuelve poco eficiente y propenso a errores. Por este motivo, el DNS interno se convierte en una pieza clave de cualquier infraestructura, ya que permite asociar nombres comprensibles a direcciones IP concretas.
Durante la práctica se parte de una situación inicial donde los equipos no pueden resolver nombres internos como fw.clockwork.lan. A partir de ahí, se configuran registros DNS en Sophos Firewall para identificar distintos recursos del laboratorio, como el propio firewall, la red de servidores y el servidor web ubicado en la DMZ.
Además, se configura la resolución inversa, lo que permite obtener nombres a partir de direcciones IP. Posteriormente, se valida el funcionamiento desde sistemas Windows y Linux utilizando herramientas como nslookup, ping, ipconfig, dig, resolvectl y acceso web mediante navegador.
Finalmente, se configura el servidor DHCP de Sophos para entregar automáticamente el sufijo DNS clockwork.lan, permitiendo que los equipos puedan resolver nombres cortos como fw o web, sin necesidad de escribir siempre el dominio completo.
🧰 Tecnologías empleadas
Sophos Firewall
Sophos Firewall será el componente central encargado de proporcionar resolución DNS interna y servicio DHCP dentro del laboratorio.
Además de actuar como firewall perimetral y dispositivo de segmentación entre redes, Sophos también puede funcionar como punto central de resolución de nombres. Esto permite que los equipos internos consulten al firewall para resolver nombres asociados a recursos de la red, como servidores, interfaces, servicios o sistemas alojados en la DMZ.
En esta práctica, Sophos se utiliza para gestionar registros DNS locales, entregar parámetros de red mediante DHCP y distribuir el sufijo DNS corporativo a los clientes. Esta combinación permite centralizar la configuración de red y facilita la administración del entorno.
DNS interno
El DNS interno permite resolver nombres dentro de una organización o laboratorio privado. A diferencia del DNS público, que resuelve dominios de Internet como google.com o ubuntu.com, el DNS interno se utiliza para nombres propios de la infraestructura, como:
-
fw.clockwork.lan -
srv.clockwork.lan -
web.clockwork.lan
Esto permite que los usuarios y administradores puedan acceder a recursos internos utilizando nombres legibles en lugar de direcciones IP.
El DNS interno es especialmente importante en entornos con servidores, firewalls, servicios web, sistemas de monitorización o herramientas de administración. Su uso mejora la claridad, reduce errores y facilita la integración entre sistemas.
Dominio clockwork.lan
El dominio clockwork.lan se utilizará como dominio interno del laboratorio.
El sufijo .lan suele utilizarse en entornos locales o de laboratorio para diferenciar nombres internos de dominios públicos de Internet. En este caso, todos los recursos internos formarán parte del dominio clockwork.lan, lo que permite construir una nomenclatura ordenada y coherente.
Por ejemplo, el firewall podrá identificarse como:
fw.clockwork.lan
Y el servidor web de la DMZ como:
web.clockwork.lan
Este modelo facilita la documentación y hace que la infraestructura sea más comprensible.
Registros DNS directos
Los registros DNS directos permiten traducir un nombre a una dirección IP.
Por ejemplo, cuando un equipo pregunta por:
web.clockwork.lan
El servidor DNS responde con la dirección IP correspondiente al servidor web.
Este tipo de resolución es la más habitual y permite acceder a servicios mediante nombres. En la práctica, se crearán registros para identificar recursos importantes del laboratorio, como el firewall, servidores internos y sistemas ubicados en la DMZ.
Resolución inversa DNS
La resolución inversa funciona al contrario de la resolución directa. En lugar de preguntar qué IP tiene un nombre, se pregunta qué nombre corresponde a una IP.
Por ejemplo, si se consulta una dirección IP determinada, el DNS puede responder indicando que corresponde a:
web.clockwork.lan
Este tipo de resolución es muy útil en tareas de administración, auditoría, logs, monitorización y diagnóstico. Muchos sistemas de seguridad y herramientas de red utilizan resolución inversa para mostrar nombres en lugar de IPs, facilitando la interpretación de eventos.
DHCP y sufijo DNS
DHCP no solo entrega direcciones IP. También puede entregar otros parámetros esenciales de red, como:
- Puerta de enlace.
- Servidor DNS.
- Dominio de búsqueda.
- Sufijo DNS.
En esta práctica, Sophos DHCP entregará el sufijo clockwork.lan a los equipos cliente. Esto permite que un equipo pueda resolver nombres cortos.
Por ejemplo, si el usuario escribe:
web
El sistema automáticamente intentará resolver:
web.clockwork.lan
Esto mejora la comodidad de uso y reproduce el comportamiento habitual de redes corporativas reales.
Windows como cliente DNS
Windows se utilizará para validar la resolución DNS desde un equipo cliente.
Herramientas como nslookup, ping e ipconfig /all permiten comprobar qué DNS está usando el sistema, qué sufijo ha recibido por DHCP y si los nombres internos se resuelven correctamente.
También se utilizarán comandos de renovación DHCP para comprobar que los nuevos parámetros entregados por Sophos se aplican correctamente en el cliente.
Linux como cliente DNS
Linux también se utilizará para validar la resolución DNS, pero con herramientas propias del ecosistema Linux.
En sistemas modernos, la resolución DNS puede depender de varios componentes, como systemd-resolved, Netplan, NetworkManager o configuraciones DHCP. Por este motivo, no basta con revisar únicamente /etc/resolv.conf; también es importante comprobar el estado real con resolvectl status.
En esta práctica se ajustará Netplan para aceptar correctamente los DNS y dominios entregados por DHCP en un entorno IPv4 de laboratorio.
🎯 Objetivos de la práctica
El objetivo principal de esta práctica es configurar y validar un sistema de DNS interno funcional utilizando Sophos Firewall como punto central de resolución.
Se busca que los equipos de la red puedan resolver nombres internos completos, como fw.clockwork.lan o web.clockwork.lan, y también nombres cortos como fw o web, gracias a la entrega del sufijo DNS mediante DHCP.
También se pretende comprender la diferencia entre resolución directa e inversa, validar el comportamiento desde Windows y Linux, y comprobar cómo los clientes aplican los parámetros DNS recibidos desde Sophos.
Al finalizar, el laboratorio contará con una base de nombres interna más ordenada, preparada para futuras prácticas de publicación de servicios, monitorización, segmentación, integración con SIEM y administración centralizada.
🧩 Desarrollo de la práctica
🔎 Comprobación inicial de resolución DNS
El primer paso consiste en comprobar el estado inicial de la resolución DNS interna.
Antes de configurar registros en Sophos, los equipos no pueden resolver nombres como:
fw.clockwork.lan
Esto ocurre porque todavía no existe una base DNS interna que asocie ese nombre a una dirección IP concreta.
Esta comprobación inicial es importante porque permite demostrar el problema de partida. En redes mal documentadas o sin DNS interno, los administradores suelen depender de direcciones IP, lo que dificulta el mantenimiento y aumenta el riesgo de errores.
Al verificar que la resolución falla inicialmente, se establece una referencia clara para validar posteriormente que la configuración funciona.
🧱 Creación del dominio interno clockwork.lan
A continuación, se define el dominio interno del laboratorio:
clockwork.lan
Este dominio actuará como espacio de nombres local para los recursos internos. Todos los sistemas relevantes podrán registrarse bajo este dominio, permitiendo una nomenclatura clara.
Por ejemplo:
-
fw.clockwork.lanpara el firewall. -
srv.clockwork.lanpara la red o servidor de servidores. -
web.clockwork.lanpara el servidor web de la DMZ.
El uso de un dominio interno ayuda a separar claramente los recursos locales de los recursos públicos de Internet. También facilita la integración futura con otros servicios, como Active Directory, servidores web internos, herramientas de monitorización o sistemas SIEM.
🔥 Creación del registro DNS para el firewall
Uno de los primeros registros creados será el correspondiente al propio Sophos Firewall.
Asignar un nombre como:
fw.clockwork.lan
permite identificar el firewall de forma sencilla. En lugar de recordar su dirección IP, los administradores podrán referirse a él mediante un nombre lógico.
Esto es útil para administración, documentación y pruebas de conectividad. Además, en laboratorios más avanzados, muchos servicios pueden necesitar apuntar al firewall como gateway, DNS, proxy o punto de salida.
La creación de este registro permite comprobar rápidamente que Sophos responde correctamente como servidor DNS interno.
🖥️ Creación de registros para la red de servidores
También se crean registros asociados a la red de servidores o a los servidores críticos alojados en ella.
La idea es que los activos internos no dependan únicamente de direcciones IP. Un servidor ubicado en la red LAN SRV puede tener un nombre que identifique claramente su función, por ejemplo:
srv.clockwork.lan
o cualquier otro nombre representativo del servicio.
Esto permite organizar mejor la infraestructura. En entornos empresariales reales, los nombres DNS suelen reflejar la función del sistema, su ubicación o su entorno. Por ejemplo, un servidor de base de datos, monitorización o ficheros debería tener un nombre estable y fácil de identificar.
🌐 Creación del registro DNS para el servidor web de la DMZ
Otro registro importante será el del servidor web ubicado en la DMZ.
Este servidor podrá identificarse como:
web.clockwork.lan
La DMZ suele alojar servicios expuestos o semiexpuestos, por lo que asignar nombres claros a estos sistemas resulta fundamental para su administración.
Aunque un servidor web pueda publicarse hacia el exterior mediante reglas DNAT o NAT, internamente también debe poder resolverse por nombre. Esto facilita pruebas internas, validaciones, monitorización y configuración de servicios.
Una vez creado el registro, los equipos internos podrán acceder al servidor web utilizando:
http://web.clockwork.lan
en lugar de escribir directamente su dirección IP.
🔁 Configuración de resolución inversa
Después de configurar la resolución directa, se configura también la resolución inversa.
La resolución inversa permite obtener el nombre asociado a una dirección IP. Esto es especialmente útil cuando se revisan logs o se realizan diagnósticos de red.
Por ejemplo, si un sistema detecta tráfico desde una dirección IP concreta, la resolución inversa puede ayudar a identificar rápidamente qué equipo es.
En entornos de seguridad, esta función es muy útil porque mejora la legibilidad de los eventos. No es lo mismo ver únicamente una IP que ver un nombre como:
web.clockwork.lan
La resolución inversa también ayuda a comprobar que la documentación DNS está bien mantenida y que las IPs importantes tienen una identidad asociada.
🪟 Validación desde Windows con nslookup
Una vez creados los registros, se valida la resolución desde un equipo Windows utilizando nslookup.
Esta herramienta permite consultar directamente al servidor DNS y comprobar si un nombre devuelve la IP esperada.
Con nslookup, se puede validar:
-
Que
fw.clockwork.lanresuelve correctamente. -
Que
web.clockwork.landevuelve la IP del servidor DMZ. - Que el servidor DNS consultado es Sophos Firewall.
- Que la resolución directa funciona correctamente.
Esta validación es importante porque separa los problemas DNS de otros problemas de red. Si nslookup responde correctamente, significa que la parte DNS está funcionando.
🪟 Validación desde Windows con ping
Después de validar con nslookup, se utiliza ping.
Aunque ping se asocia normalmente a conectividad, también permite validar resolución de nombres. Cuando se ejecuta un ping contra un nombre DNS, el sistema primero debe resolver ese nombre a una IP.
Si se hace ping a:
fw.clockwork.lan
y el sistema traduce correctamente el nombre a una IP, se confirma que Windows puede resolver el nombre usando su configuración DNS actual.
Es importante entender que ping valida dos cosas:
- Resolución del nombre.
- Conectividad hacia la IP resultante.
Si falla, hay que diferenciar si el problema está en DNS, conectividad, firewall o ICMP.
🪟 Revisión de configuración con ipconfig /all
La herramienta ipconfig /all permite revisar toda la configuración de red aplicada en Windows.
En esta práctica se utiliza para comprobar:
- Dirección IP del equipo.
- Puerta de enlace.
- Servidor DNS configurado.
- Sufijo DNS recibido.
- Parámetros entregados por DHCP.
Esto es fundamental porque, aunque Sophos esté correctamente configurado, el cliente debe estar usando realmente ese DNS y debe recibir el sufijo correcto.
Si Windows no apunta al DNS de Sophos, no podrá resolver los nombres internos. Por eso, revisar ipconfig /all permite confirmar la configuración real del cliente.
📡 Configuración del servidor DHCP de Sophos con sufijo DNS
Una vez validados los registros DNS completos, se configura el servidor DHCP de Sophos para entregar el sufijo:
clockwork.lan
Este paso es clave para permitir la resolución de nombres cortos.
Sin sufijo DNS, el usuario tendría que escribir siempre:
web.clockwork.lan
Con el sufijo correctamente entregado por DHCP, el sistema puede resolver simplemente:
web
porque automáticamente añadirá el dominio de búsqueda clockwork.lan.
Esto mejora la experiencia del usuario y reproduce el funcionamiento habitual de una red empresarial.
🔄 Renovación DHCP en Windows
Después de modificar los parámetros DHCP, el cliente Windows debe renovar su concesión para recibir la nueva configuración.
Esto se realiza liberando primero la configuración actual y solicitando después una nueva concesión DHCP.
Tras renovar DHCP, Windows recibe los nuevos parámetros, incluyendo el sufijo DNS clockwork.lan.
Este paso demuestra algo importante: los cambios en DHCP no siempre se aplican inmediatamente en los clientes. Muchas veces es necesario renovar la concesión o reiniciar la interfaz de red para recibir los nuevos valores.
🧪 Resolución de nombres cortos en Windows
Una vez renovado DHCP, se valida que Windows puede resolver nombres cortos como:
fw
o:
web
Esto significa que el sistema está aplicando correctamente el sufijo DNS entregado por Sophos.
Cuando Windows recibe el nombre web, internamente prueba la resolución como:
web.clockwork.lan
Si la respuesta es correcta, se confirma que el DNS interno y el sufijo de búsqueda funcionan correctamente.
Este comportamiento facilita mucho el trabajo diario, ya que los administradores pueden usar nombres simples en lugar de FQDN completos.
🐧 Revisión de DNS en Linux con /etc/resolv.conf
En Linux se revisa inicialmente el archivo:
/etc/resolv.conf
Este archivo ha sido tradicionalmente el punto donde se consulta qué servidores DNS utiliza el sistema.
Sin embargo, en distribuciones modernas este archivo puede estar gestionado automáticamente por systemd-resolved, NetworkManager o Netplan. Por eso, aunque sigue siendo útil revisarlo, no siempre representa toda la configuración real del sistema.
En esta práctica se utiliza como primera comprobación, pero no como única fuente de verdad.
🐧 Comprobación real con resolvectl status
Para entender qué DNS está usando realmente Linux, se utiliza:
resolvectl status
Esta herramienta permite comprobar:
- Servidores DNS aplicados.
- Dominios de búsqueda.
- Interfaz asociada.
- Estado de resolución.
- Configuración recibida por DHCP.
Esto es especialmente importante en entornos modernos, donde la resolución DNS puede variar según la interfaz de red activa.
Si resolvectl status muestra Sophos como DNS y clockwork.lan como dominio de búsqueda, significa que Linux está recibiendo correctamente los parámetros esperados.
⚙️ Ajuste de Netplan para aceptar DNS y dominios por DHCP
En Linux, especialmente en Ubuntu, la configuración de red puede gestionarse mediante Netplan.
En esta práctica se ajusta Netplan para permitir que el sistema acepte los DNS y dominios entregados por DHCP en un entorno IPv4 de laboratorio.
Esto es importante porque, dependiendo de la configuración, el sistema puede recibir IP por DHCP pero ignorar parámetros adicionales como DNS o dominios de búsqueda.
Ajustar Netplan garantiza que Linux no solo obtenga dirección IP, sino también la configuración DNS necesaria para integrarse correctamente en el dominio interno clockwork.lan.
🐧 Validación con dig
La herramienta dig permite realizar consultas DNS detalladas.
Se utiliza para comprobar de forma precisa si un nombre interno resuelve correctamente. A diferencia de herramientas más simples, dig muestra información detallada sobre la consulta, el servidor que responde y el tipo de registro recibido.
Con dig se puede validar, por ejemplo:
web.clockwork.lan
y confirmar que devuelve la IP esperada del servidor web de la DMZ.
Esta herramienta es muy útil para diagnóstico avanzado porque permite ver si el problema está en el cliente, en el servidor DNS o en el propio registro.
🐧 Validación con resolvectl query
Además de dig, se utiliza:
resolvectl query
Esta herramienta permite consultar nombres usando el resolvedor real del sistema Linux. Es decir, no solo comprueba el DNS de forma directa, sino cómo el sistema resolvería ese nombre en condiciones normales.
Esto resulta muy útil para validar que las aplicaciones del sistema también podrán resolver correctamente los nombres internos.
🧪 Validación con ping
Al igual que en Windows, ping se utiliza en Linux para validar tanto resolución como conectividad.
Si se ejecuta un ping contra:
web.clockwork.lan
y el sistema resuelve el nombre correctamente, se confirma que DNS funciona. Si además responde el destino, se valida también conectividad entre redes.
Si no responde, puede deberse a firewall, ICMP bloqueado o falta de conectividad, pero la resolución DNS puede seguir funcionando. Por eso conviene combinar varias herramientas.
🌐 Validación con acceso web a http://web.clockwork.lan
Finalmente, se valida el acceso web al servidor de la DMZ mediante el nombre DNS:
http://web.clockwork.lan
Esta prueba representa el caso más realista, ya que el objetivo final del DNS interno es que los usuarios y sistemas puedan acceder a servicios mediante nombres.
Si el navegador carga correctamente la página web, significa que:
- El registro DNS funciona.
- El cliente usa el DNS correcto.
- La red permite llegar al servidor.
- El servicio web está operativo.
- La resolución interna está correctamente integrada.
Esta es la validación funcional más completa del laboratorio.
🔍 ¿Por qué es importante esta práctica?
Esta práctica es importante porque el DNS interno es una de las bases fundamentales de cualquier red profesional.
Una infraestructura sin DNS interno suele ser más difícil de administrar, más propensa a errores y menos escalable. Trabajar con nombres permite documentar mejor los servicios, automatizar configuraciones, simplificar accesos y mejorar la integración entre sistemas.
Además, esta práctica demuestra que DNS no consiste únicamente en crear registros. También es necesario configurar correctamente DHCP, sufijos de búsqueda, resolución inversa y clientes Windows/Linux.
La resolución de nombres es crítica para muchos servicios empresariales, como Active Directory, servidores web, bases de datos, SIEM, monitorización, autenticación, backups y herramientas de administración.
Comprender cómo funciona DNS en un entorno controlado permite construir redes más profesionales, mantenibles y preparadas para crecer.
✅ Resultados esperados
Al finalizar la práctica, Sophos Firewall estará configurado como servidor DNS interno para el dominio:
clockwork.lan
Los equipos Windows y Linux podrán resolver nombres completos como:
-
fw.clockwork.lan -
web.clockwork.lan
También podrán resolver nombres cortos como:
-
fw -
web
gracias a la entrega del sufijo DNS mediante DHCP.
Además, la resolución inversa permitirá asociar direcciones IP con nombres internos, mejorando la visibilidad y el diagnóstico.
El sistema quedará validado mediante herramientas de Windows y Linux, incluyendo resolución directa, resolución inversa, renovación DHCP, comprobación de DNS aplicado y acceso web al servidor de la DMZ.
El flujo completo conseguido será:
DNS interno → Registros directos → Resolución inversa → DHCP con sufijo → Validación Windows/Linux → Acceso por nombre
🏢 Propuesta empresarial
La empresa Clockwork Computer necesita mejorar la administración de su red interna mediante la implantación de un sistema de DNS interno centralizado. Actualmente, los administradores acceden a los recursos críticos utilizando direcciones IP, lo que dificulta la gestión, aumenta la probabilidad de errores y complica la documentación de la infraestructura.
La empresa dispone de un firewall Sophos que actúa como punto central de red y desea utilizarlo también como servidor DNS interno para el dominio corporativo de laboratorio:
clockwork.lan
El objetivo es que los equipos de la organización puedan resolver nombres internos asociados a recursos importantes, como el firewall, la red de servidores y el servidor web ubicado en la DMZ.
📌 Escenario propuesto
Clockwork Computer cuenta con varios recursos internos que deben ser identificables mediante nombres DNS:
-
El firewall Sophos, que deberá resolverse como
fw.clockwork.lan. - Sistemas o servicios ubicados en la red de servidores.
-
Un servidor web en la DMZ, que deberá resolverse como
web.clockwork.lan.
Inicialmente, los equipos no pueden resolver estos nombres, por lo que será necesario configurar registros DNS internos en Sophos Firewall.
Además, la empresa quiere que los clientes puedan resolver nombres cortos, como fw o web, sin necesidad de escribir siempre el dominio completo. Para ello, Sophos DHCP deberá entregar automáticamente el sufijo DNS clockwork.lan.
🎯 Requisitos técnicos solicitados por la empresa
La empresa solicita implementar las siguientes tareas:
-
Configurar Sophos Firewall como servidor DNS interno para el dominio
clockwork.lan. -
Crear un registro DNS para el firewall con el nombre
fw.clockwork.lan. - Crear registros DNS para los servidores o recursos ubicados en la red LAN SRV.
-
Crear un registro DNS para el servidor web de la DMZ con el nombre
web.clockwork.lan. - Configurar resolución inversa para poder obtener nombres a partir de direcciones IP.
-
Validar desde Windows la resolución usando herramientas como
nslookup,pingeipconfig /all. -
Configurar el servidor DHCP de Sophos para entregar el sufijo DNS
clockwork.lan. - Renovar la configuración DHCP de los equipos Windows para recibir los nuevos parámetros.
-
Validar que Windows puede resolver nombres cortos como
fwyweb. -
Validar desde Linux qué DNS está siendo aplicado realmente mediante
/etc/resolv.confyresolvectl status. - Ajustar Netplan para aceptar DNS y dominios entregados por DHCP en un entorno IPv4.
-
Validar la resolución desde Linux con
dig,resolvectl query,pingy acceso web ahttp://web.clockwork.lan.
🔐 Justificación técnica y de seguridad
Clockwork Computer necesita una infraestructura DNS interna porque los servicios críticos deben ser accesibles mediante nombres estables y comprensibles.
El uso de nombres DNS permite evitar configuraciones basadas únicamente en direcciones IP. Esto facilita la administración, reduce errores y mejora la escalabilidad.
Además, centralizar DNS en Sophos Firewall permite mantener el control de los registros internos desde un único punto, alineado con la segmentación de red y la configuración DHCP existente.
La resolución inversa también aporta valor en tareas de auditoría, diagnóstico y análisis de logs, ya que permite interpretar direcciones IP como nombres de sistemas concretos.
🧪 Validación esperada
Al finalizar la práctica, Clockwork Computer deberá comprobar que:
-
Los nombres completos bajo
clockwork.lanresuelven correctamente. - Los nombres cortos funcionan tras recibir el sufijo DNS por DHCP.
- Los clientes Windows muestran correctamente el sufijo DNS en su configuración.
- Los clientes Linux utilizan realmente Sophos como DNS.
- La resolución directa e inversa funcionan correctamente.
-
El servidor web de la DMZ es accesible mediante
http://web.clockwork.lan.
✅ Resultado empresarial esperado
Como resultado final, Clockwork Computer dispondrá de un sistema de resolución DNS interno funcional, centralizado y preparado para crecer.
Los administradores podrán acceder a recursos internos mediante nombres claros en lugar de direcciones IP, los clientes recibirán automáticamente el sufijo DNS mediante DHCP y la infraestructura quedará preparada para futuras integraciones con servicios internos, monitorización, publicación de aplicaciones y herramientas de seguridad.
Esta práctica representa un escenario empresarial real en el que se evalúa la capacidad de diseñar, configurar y validar un sistema DNS interno sobre Sophos Firewall, integrando correctamente DNS, DHCP, clientes Windows, clientes Linux y servicios alojados en DMZ.
Comentarios
Publicar un comentario