DNS é um sistema que simplifica os endereços de sites na internet e torna a navegação mais fácil ao permitir o uso de um domínio em lugar de um IP.

Originalmente, os sites são identificados por meio de um número complexo chamado IP (Internet Protocol), porém o DNS (Domain Name System) nos permite acessar o site através do seu domínio (nome). Ao invés de ter que lembrar um endereço de um site com o IP 93.184.216.34, por exemplo, os usuários podem procurar por www.exemplo.com.

A tecnologia por trás do DNS pode ser comparada à maneira como os contatos telefone são gerenciados em smartphones. Em vez de precisar lembrar números de telefone individuais, os usuários podem armazenar e localizar números facilmente, armazenando-os em suas listas de contatos, facilmente pesquisáveis por nome e sobrenome.

É importante saber a diferença entre usar um DNS público e um DNS privado.

• DNS público: Os registros de IP geralmente são fornecidos à sua empresa por seu provedor de serviços de Internet (ISP). Esses registros estão disponíveis ao público e podem ser acessados por qualquer pessoa, independentemente do dispositivo que usam ou da rede à qual estão conectados.
  
  
• DNS privado: Um DNS privado é diferente de um público pois reside atrás de um firewall da empresa e mantém registros apenas de sites internos. Neste caso, o DNS privado fica limitado em seu escopo em lembrar endereços IP dos sites e serviços internos em uso e não pode ser acessado fora da rede privada.

Na maioria dos casos, os usuários utilizam DNS público ao converter nomes de host em endereços IP. Aqui está uma visão geral de como funciona esse processo:

1. Um usuário digita um nome de domínio ou URL (por exemplo, www.exemplo.com) em um navegador. Este então envia uma consulta para um servidor DNS local, geralmente fornecido por um sistema operacional local ou seu provedor de serviços de Internet. Esse intermediário entre o cliente e o servidor de nomes DNS é conhecido como um resolvedor recursivo e foi projetado para solicitar ou receber informações do servidor de nomes consultadas de e para o cliente.
   
   
2. O resolvedor recursivo solicita uma consulta, que é passada para os servidores raiz, que respondem com o servidor de nomes TLD apropriado para direcionamento, com base na extensão do nome de domínio sendo procurado. Os servidores raiz também são supervisionados pela Internet Corporation for Assigned Names and Numbers (ICANN). O servidor de nomes TLD é o que guarda todos as informações de URLs que possuem extensões como .com, .net, .edu e .gov.
   
   
3. Devido ao volume de procuras de DNS realizadas regularmente, um resolvedor recursivo é usado para procurar solicitações em lotes que identificam o DNS autoritativo com o endereço IP correto, com base na consulta de procura realizada. O servidor de nomes autoritativo geralmente é a última etapa em uma consulta de DNS. Após um resolvedor recursivo receber uma resposta do servidor de nomes TLD, ele passa para um servidor de nomes autoritativo, onde o endereço IP está localizado, para ser transmitido de volta para o cliente.

O DNS tornou-se crítico para a funcionalidade básica da Internet, ajudando usuários a navegar facilmente por um mar de endereços IP por meio de registro de recursos. Sem esses processos essenciais, seria praticamente impossível suportar todos os recursos que usamos diariamente online; além disso, teríamos limitações em nossa capacidade em configurar serviços de e-mail, no redirecionamentos de Websites ou no reconhecimento de endereços da Web IPv4 e IPv6 complexos. Mas o que torna as procuras de DNS tão surpreendentes é que, independentemente de quão complexo seja o processo, todas as consultas de procura e redirecionamentos de servidor ocorrem em meros milissegundos, sem afetar o cliente. 

Muitas organizações preferem ter seus próprios servidores DNS. Existem várias vantagens para esta abordagem mas, em última análise, trata-se de ter melhor consistência e controle sobre suas propriedades na Web. Como você é o administrador do servidor, é possível configurar todos os parâmetros para suas máquinas, incluindo processos de consulta, protocolos de segurança e recursos de desempenho.

Ao decidir sobre qual tipo de servidor DNS usar, duas das considerações mais importantes são a escalabilidade e o desempenho oferecidos pelo servidor. A velocidade do tempo de resposta de um servidor DNS às consultas depende de diversas variáveis, incluindo a localização geográfica do usuário em relação ao servidor, configurações de balanceamento de carga  e filtragem de consultas.

Outra opção para os usuários é contar com uma solução DDI, uma plataforma centralizada que integra e gerencia todos os serviços DNS, DHCP e serviços IPAM. O DDI dá às empresas a capacidade de simplificar e automatizar o gerenciamento de volumes crescentes de endereços IP, enquanto provisiona e integra adequadamente outros sistemas de orquestração de cloud.

Embora a maioria dos servidores de DNS modernos sejam bastante seguros, sistemas mais antigos, projetados há muitos anos, podem apresentar seus próprios desafios de segurança de negócios. Aqui estão alguns riscos comuns associados ao uso desses servidores DNS.

Interceptação de DNS
 

Também conhecido como ataque de redirecionamento, a interceptação de DNS ocorre quando as consultas de DNS são resolvidas incorretamente e redirecionam usuários para sites falsos e maliciosos. Isso é possível com a instalação de malware nos computadores dos usuários que assumem o controle de roteadores ou interceptam as comunicações de DNS à medida que ocorrem.

Envenenamento de cache
 

O envenenamento de cache de DNS ocorre quando um hacker toma o controle de um servidor DNS em si e compromete as entradas dos endereços IP. Essas entradas falsas são então transmitidas globalmente para os provedores de serviços da Internet, onde são armazenadas em cache e usadas em pesquisas de DNSs públicos.

Uma forma eficaz de combater esses riscos é por meio do uso do DNSSec. O DNSSec usa um sistema de nome de domínio seguro e atribui assinaturas criptográficas aos registros DNS, garantindo que os registros não possam ser alterados em relação ao seu estado original. Semelhante ao HTTPS, o DNSSec inclui uma camada adicional de segurança para acesso de registros DNS, sem a necessidade de criptografia pesada que torna mais lento o processo de consultas.

Independentemente do tipo de serviço de DNS que escolher, existem algumas práticas recomendadas que podem ser seguidas para evitar apresentar uma superfície de ataque e para minimizar quaisquer questões de segurança em potencial:

1. Limpeza de DNS: A limpeza frequente de seu cache de DNS removerá todas as entradas de seu sistema local. Este processo é útil para excluir quaisquer registros DNS inválidos ou comprometidos que possam estar direcionando você para sites maliciosos.
   
   
2. nslookup: nslookup  é um programa e código de comando que pode ser usado por administradores de servidor para descobrir o endereço IP de um nome de host especificado. Isso permite que os usuários se protejam contra ataques de phishing e confirmem, sob demanda, a validade dos sites que estão visitando.
   
   
3. Teste de vazamento de DNS: Existem vários serviços sem custo disponíveis para executar um teste de vazamento de DNS (link externo a ibm.com). Ao usar VPNs seguras ou serviços de privacidade, ocasionalmente, você pode perceber que estão mal configuradas e os servidores DNS padrão ainda estão em uso. Isto significa que qualquer um monitorando o tráfego de rede ainda poderá registrar suas atividades para fins maliciosos. A execução de um teste de vazamento de DNS irá assegurar que você tem um túnel de VPN fechado e que seu tráfego de rede se manterá seguro.