Che cos'è una zona DNS?

Le zone DNS suddividono l'autorità su diversi segmenti dello spazio dei nomi DNS, ad esempio un dominio e un sottodominio, offrendo agli amministratori un controllo più preciso sui record DNS, sui nameserver DNS e su altri componenti. Questo partizionamento può aiutare a semplificare la gestione e l'orchestrazione del DNS e a distribuire i workload tra i name server.

Ad esempio, il dominio “example.com” può esistere nella stessa zona dei sottodomini “blog.example.com” e "community.example.com". Se gli amministratori necessitano di un controllo più granulare, magari a causa del numero di dispositivi connessi al sito della community e del volume dei record DNS associati, possono partizionare il sottodominio «community.example.com» nella propria zona con il proprio authoritative name server.

Una zona DNS specifica che un dominio, o parte di un dominio, è gestito da un amministratore specifico; tuttavia, una zona può comprendere più sottodomini e più zone possono coesistere.

Server DNS. Le zone DNS non implicano la separazione fisica ma vengono utilizzate per il controllo di diverse parti del namespace.

Le zone possono aiutare a ridurre il carico amministrativo associato a un dominio, distribuire il carico di query DNS e migliorare l'efficienza e la scalabilità complessive dei server DNS. Una gestione efficace delle zone che utilizza funzionalità di sicurezza come DNSSEC e aggiornamenti dinamici può rafforzare la sicurezza del DNS e ridurre le minacce alla sicurezza, come gli attacchi di spoofing e hijacking del DNS.

Per comprendere le zone DNS è importante avere una conoscenza di base del sistema dei nomi di dominio e del suo funzionamento.

Il DNS è un componente gerarchico e decentralizzato del protocollo standard di internet responsabile della conversione dei nomi di dominio human-friendly in indirizzi di Internet Protocol (IP) utilizzati dai computer per identificarsi reciprocamente sulla rete.¹

Spesso viene chiamato "l'elenco del telefono di internet" ma, volendo utilizzare un'analogia più moderna, si può dire che il DNS gestisce i nomi di dominio in modo molto simile a quello delle rubriche degli smartphone. I telefoni salvano i numeri di contatto in elenchi di contatti ricercabili ed eliminano la necessità per gli utenti di memorizzare i singoli numeri di telefono. Analogamente, il DNS consente agli utenti di connettersi ai siti web utilizzando nomi di dominio invece di complessi indirizzi IP.

Quando un utente inserisce un nome di dominio in un browser, inizia la query (spesso chiamata richiesta DNS o ricerca DNS). Un resolver ricorsivo (l'intermediario tra il dispositivo client e i server autoritativi) interroga quindi una serie di server per trovare le informazioni necessarie per connettere l'utente al sito web desiderato. Ognuno di questi server è responsabile di un segmento dello spazio dei nomi di dominio.

Il processo di query inizia con il root nameserver. I root nameserver sono in cima alla gerarchia DNS e sono responsabili della gestione della zona root. Questi server rispondono alle domande per i record archiviati nella zona root e indirizzano le richieste al nameserver del dominio di primo livello (TLD) appropriato.

I nameserver TLD indirizzano le query ai nameserver autoritativi per i domini specifici all'interno del loro TLD. Ad esempio, il nameserver TLD per ".com" indirizza i domini che terminano con ".com", il nameserver TLD per ".gov" indirizza i domini che terminano con ".gov", e così via.

Il nameserver di dominio (a volte indicato come nameserver di dominio di secondo livello) contiene il file di zona con l'indirizzo IP per il nome di dominio completo, ad esempio "ibm.com". Questo file di zona potrebbe contenere anche informazioni per un sottodominio (come blog.ibm.com/it-it), oppure tali informazioni potrebbero essere partizionate in una propria zona.

Ognuno di questi server memorizza i record DNS con informazioni sul dominio di cui il resolver ricorsivo ha bisogno per continuare e, infine, risolvere la query.

Un file di zona DNS è un file di testo normale archiviato nei server DNS che contiene tutti i record per i domini all'interno di tale zona.

Ogni riga di un file di zona specifica un record di risorse (un singolo tipo di informazioni sulla natura, solitamente organizzate per tipo di dati). I record delle risorse assicurano che, quando un utente avvia una query, il DNS possa indirizzare rapidamente gli utenti al server corretto.

I file di zona DNS iniziano con due record obbligatori: l'inizio dell'autorità (record SOA), che specifica il name server autoritativo primario per la zona DNS, e il time to live globale (TTL), che indica come archiviare i record nella cache DNS locale.

Un file di zona può contenere diversi tipi di record, tra cui:

• Record A, che sono associati agli indirizzi IPv4, e i record AAAA, che sono associati agli indirizzi IPv6.
  
  
• Record mail exchanger (record MX), che specificano un server di e-mail SMTP per un dominio.
  
  
• Record canonical name (record CNAME), che reindirizzano i nomi host da un alias a un altro dominio (il "dominio canonico").
  
  
• Record name server (record NS), che indicano che un server DNS è associato a uno specifico authoritative name server.
  
  
• Record pointer (record PTR), che specificano un reverse DNS lookup.
  
  
• Record TXT (record di testo), che indicano il record del framework dei criteri del mittente per l'autenticazione delle e-mail.

La zona DNS primaria memorizza il file della zona primaria con tutti i record DNS per quella zona. È una copia in lettura/scrittura e gli aggiornamenti delle zone vengono effettuati nella zona principale e poi copiati nelle zone secondarie. Su un server DNS può essere presente una sola zona primaria alla volta.

Una zona secondaria è una copia di sola lettura della zona primaria, utilizzata per creare una ridondanza e implementare il bilanciamento del carico per le query DNS.

Le richieste DNS vengono solitamente distribuite tra i server primari e secondari. Se il server primario è inattivo, i server secondari possono assumere tutto o parte del carico utilizzando i trasferimenti di zona, una transazione che consente ai server primario e secondario di scambiarsi le zone. Le zone secondarie eseguono inoltre il check-in con i server primari per assicurarsi che le repliche siano aggiornate.

La zona di ricerca diretta traduce i nomi di dominio in indirizzi IP. Quando un resolver DNS riceve una richiesta per un nome di dominio leggibile dall'uomo, consulta i record di mappatura A o AAAA nella zona di ricerca diretta per trovare l'indirizzo IP corrispondente.

Al contrario delle zone di forward lookup, le zone di reverse lookup collegano gli indirizzi IP ai nomi di dominio utilizzando record PTR (pointer).

Questo processo può essere utile per la distribuzione di servizi che richiedono la verifica del dominio o per scopi di registrazione quando i team devono comprendere il dominio associato a un indirizzo IP (ad esempio la risoluzione dei problemi e il filtro della posta indesiderata). Le query nelle zone di ricerca DNS inversa utilizzano domini in-addr.arpa o ip6.arpa.

Le zone stub contengono solo i record necessari al sistema per identificare i nameserver autoritativi per una zona. Servono da puntatore, riducendo la dipendenza dai server ricorsivi per interrogare le zone di livello superiore per localizzare il server autoritativo. La vicinanza delle zone di stub ai server autoritativi consente di ridurre il traffico delle query DNS e di abbreviare i tempi di risoluzione.

I trasferimenti di zona DNS mantengono una funzionalità ottimale del sistema, soprattutto in ambienti in cui la ridondanza e l'alta disponibilità sono priorità.

Un trasferimento di zona completa copia l'intero contenuto di un file di zona dal server DNS primario ai server secondari, creando una replica esatta della zona. I trasferimenti di zona completi vengono comunemente utilizzati durante la configurazione iniziale dei server secondari o quando i server secondari devono essere nuovamente sincronizzati dopo lunghi tempi di inattività. 

I trasferimenti incrementali di zona comprendono solo le modifiche alla zona dopo l'ultimo trasferimento. Poiché richiedono meno larghezza di banda e potenza di elaborazione per mantenere i processi di sincronizzazione, i trasferimenti di zona incrementali possono essere utili nelle zone dinamiche che subiscono frequenti modifiche.