O que é um DNS secundário?

Pergunta rápida: Você preferiria voar em um avião equipado com um ou dois motores? A maioria dos passageiros provavelmente escolheria instintivamente a aeronave com vários motores.

E esse é o objetivo de ter um DNS secundário. O que pode acontecer com uma empresa se um servidor primário ficar indisponível ou for comprometido de alguma forma? Essa empresa (ou qualquer outra) pode arcar com uma paralisação dos negócios durante esse período de downtime? Que mensagem negativa isso passaria aos usuários do serviço? Do ponto de vista econômico, perder o uso do servidor primário de uma organização pode ser tão catastrófico quanto uma falha de motor na aviação.

E isso não considera nem a outra grande vantagem de adotar um servidor DNS secundário, que é a maneira eficaz com que ele dá suporte ao balanceamento de carga dentro do servidor DNS primário.

Antes de avançar, precisamos primeiro definir uma questão mais básica: o que é um servidor DNS autoritativo? Um sistema de nomes de domínio (DNS autoritativo) funciona como um tradutor, convertendo endereços IP complexos em nomes de domínio mais compreensíveis.

Suponha que você tenha interesse em um assunto sobre um produto oferecido pela International Business Machines (IBM), mas não saiba ao certo qual é seu título. Você digita “IBM” no navegador web do seu provedor de serviços e isso o leva à página principal da empresa. Graças ao DNS autoritativo, não é preciso digitar o endereço IP completo da IBM. O DNS autoritativo presume que é esse seu destino com base no termo de pesquisa inserido.

Em alguns casos, o DNS é descrito como a “agenda telefônica” da internet, pois a função se assemelha, embora seja mais adequado compará-lo a uma telefonista tradicional. Em décadas passadas, a telefonista local atuava como um DNS autoritativo humano, recebendo o número solicitado e conectando você à central telefônica desejada. Agora, o DNS automatiza todo esse processo de tradução.

Um sistema de nomes de domínio (DNS) depende de uma hierarquia estabelecida, gerida por servidores raiz. Logo abaixo deles na hierarquia vêm os domínios de nível superior (TLDs), como os endereços que terminam em “.com” e “.org.” O restante da hierarquia é composto por servidores de nomes de domínio individuais.

Um sistema DNS é considerado um banco de dados distribuído, em que cada nó representa um “servidor de nomes,” a parte do sistema que fornece as traduções necessárias para aquele domínio específico. Todos os domínios nesse sistema incluem um ou mais “servidores de nomes autoritativos,” assim chamados porque publicam informações sobre aquele domínio, além de quaisquer servidores de nomes primários dos domínios subordinados.

O DNS opera de forma simples:

1. Você digita um nome de domínio no navegador web fornecido pelo seu provedor de serviços de Internet (ISP).
2. O dispositivo que você usa envia uma consulta de pesquisa a um servidor DNS.
3. O servidor DNS pesquisa em seus diversos recursos para encontrar o endereço IP que corresponde ao nome de domínio buscado.
4. O servidor DNS retorna o endereço IP encontrado ao dispositivo que você está usando.
5. Seu dispositivo acessa o endereço IP exato que você está procurando.

Agora, se houver um problema com o DNS primário, por estar indisponível tecnicamente ou sobrecarregado, o DNS secundário entra em ação, realizando as buscas necessárias e as traduções de endereços IP. Por conta da operação imediata do DNS secundário via processo de failover, os usuários conseguem acessar o site sem notar qualquer queda na funcionalidade.

De forma similar, o DNS secundário assume as funções do servidor de e-mail do DNS primário (incluindo o roteamento de e-mails e o gerenciamento dos registros de mail exchange (MX)), garantindo que o fluxo de mensagens não seja interrompido. E, assim, o site não sofre downtime devido a falhas, o que é a verdadeira medida de resiliência, isto é, manter tudo funcionando apesar das condições adversas.

Caso o servidor DNS secundário seja acionado, ele recebe informações diretamente do servidor DNS primário. Isso ocorre por meio de um processo conhecido como transferência de zona. As cópias de arquivos de zona compartilhadas com o servidor DNS secundário via transferência de zona são arquivos somente leitura que não podem ser modificados de nenhuma forma.

As interfaces de programação de aplicativos (APIs) sustentam em grande parte as transferências de zona, permitindo que os servidores DNS primários enviem automaticamente os dados da zona DNS para servidores secundários. Dessa forma, ambos os servidores DNS conseguem manter as mesmas informações. As APIs fornecem ao servidor primário um meio de entrar em contato com o secundário, garantindo que ambos operem em sincronia com registros DNS idênticos e transferências de zona alinhadas.

O processo de transferência de zona é precedido pela criação de registros de servidor de nomes (NS). Os registros NS ajudam a determinar quais servidores são designados como autoritativos para aquele domínio, definindo as prioridades do domínio. Desde que o endereço IP do servidor DNS secundário esteja nos registros NS, o site mantém sua funcionalidade, mesmo que o servidor primário fique fora do ar por qualquer motivo.

As transferências de zona começam com a emissão de um registro de início de autoridade (SOA), que fornece aos servidores DNS secundários os dados necessários para sincronizar a zona DNS, atuando como um controle de versão que aciona atualizações conforme o número de série do registro SOA.

É assim que ele registra novas versões. Ao atualizar o serviço DNS secundário com os novos dados do registro SOA, o domínio permanece ativo caso o servidor primário falhe, impedindo que a indisponibilidade afete o tempo de atividade.

A Transferência de Zona Autoritativa (AXFR) é outro protocolo que permite a troca de arquivos de zona entre servidores DNS. O AXFR sincroniza esses dados entre todos os servidores conectados, garantindo que operem com as informações mais atualizadas.

O uso de servidores DNS secundários oferece inúmeras vantagens, incluindo as seguintes considerações.

O principal benefício de implementar um DNS secundário envolve a mesma lógica que nos leva a contratar seguros e estocar suprimentos de emergência antes de condições climáticas perigosas. Ao incluir um servidor DNS secundário, reconhecemos um fato infeliz porém inevitável: máquinas e sistemas às vezes falham.

Um servidor DNS secundário lida com esse fato fornecendo uma solução paliativa que proporciona a redundância necessária quando um servidor DNS primário falha por qualquer motivo. Contar com uma solução de backup proporciona às organizações a tranquilidade de saber que os serviços de DNS da empresa permanecerão acessíveis aos usuários.

Outro benefício útil de um sistema DNS é a possibilidade de distribuir a carga de trabalho. Isso é feito ao fornecer múltiplos endereços IP para um único nome de domínio. Assim, o servidor DNS distribui o tráfego de entrada por diferentes servidores, conforme diversos algoritmos.

Por exemplo, se o servidor DNS segue uma configuração de algoritmo round-robin, o servidor DNS percorre toda a sua lista de endereços IP e distribui a carga uniformemente entre vários dispositivos.

O sistema DNS também pode ser usado para reforçar a segurança geral. Ao instalar um firewall no sistema, o tráfego de entrada pode ser aceito normalmente, filtrado conforme necessário ou completamente bloqueado. Além disso, é possível configurar firewalls que permitam apenas requisições DNS autorizadas aos servidores secundários.

Outra forma de o DNS fortalecer a segurança é por meio do desenvolvimento de um “primário oculto”, que é um servidor DNS primário mantido fora do alcance da internet pública. O endereço IP dele não consta nos registros de recursos desse sistema. Os servidores de nomes secundários respondem às consultas em vez do servidor primário. A ideia é manter o servidor primário mais protegido contra ataques cibernéticos, ocultando sua presença o máximo possível.

A segurança pode ser reforçada com a adoção de extensões Domain Name System Security (DNSSEC), que filtram e validam as requisições DNS. Essas extensões ajudam a confirmar a veracidade das consultas de nomes de domínio. Elas também auxiliam na prevenção de ciberataques, como o DNS spoofing, quando um site recebe tantas requisições DNS falsas que o sistema fica sobrecarregado e inoperante.

Um DNS secundário pode melhorar o desempenho ao resolver problemas de nome de domínio mais rapidamente, o que se traduz em entrega mais rápida de informações. Portanto, ao implementar um DNS secundário, problemas de latência podem ser reduzidos.

Embora os benefícios de usar um DNS secundário superem muito qualquer uma de suas desvantagens, há alguns problemas que um DNS secundário pode gerar. Tratam-se de questões de pequena magnitude.

Podem ocorrer pequenos impactos nas atualizações do servidor secundário. Além disso, embora os servidores secundários sejam projetados para entrar em operação quando necessário, pode haver uma pequena falha de desempenho ao iniciarem o trabalho.

Os sistemas precisam estar sincronizados para garantir operação ideal. O servidor secundário sempre precisa dos registros DNS mais recentes, o que pode gerar problemas conforme a frequência das alterações.

É possível que o uso de um DNS secundário adicione complexidade e exija mão de obra dedicada para administrar os servidores DNS. Contudo, gerenciar vários servidores DNS com sucesso é fundamental para preservar a integridade geral do domínio.

Embora existam muitos fornecedores de serviços de DNS secundário, aqui estão alguns dos mais renomados:

• Google Public DNS: o Google Public DNS apresenta recursos de pesquisa rápida para ajudar a resolver consultas de DNS. Além disso, o serviço é fácil de configurar, até mesmo para novatos, e tem um conjunto completo de protocolos de segurança no local. Além disso, o Google Public DNS tem o benefício da ampla rede de data centers globais do Google.

• Cloudflare: o serviço DNS da Cloudflare utiliza sua configuração de roteamento Anycast, permitindo que um mesmo endereço IP envie tráfego para diversos data centers distribuídos por várias áreas. Os usuários conectam-se ao servidor mais próximo, garantindo maior velocidade e proteção contra ataques distribuídos de distributed denial-of-service(DDoS). O resolvedor DNS público 1.1.1.1 da Cloudflare é considerado o mais rápido disponível.

• Quad9: o Quad9 se destaca por oferecer mais funcionalidades de segurança, como filtrar malware e bloquear tentativas de phishing. A empresa funciona como organização sem fins lucrativos e é tão comprometida com a privacidade dos usuários que se recusa a armazenar dados de navegação ou informações pessoais.