Che cos'è un DNS secondario?

Domanda veloce: preferiresti volare su un aereo dotato di uno o due motori? La maggior parte dei passeggeri probabilmente sceglierebbe istintivamente l'aereo con più motori.

Questo è il motivo per cui avere un DNS secondario. Cosa potrebbe accadere a un'azienda se un server primario non fosse più disponibile o fosse compromesso in qualche modo? L'azienda può permettersi di lasciare che l'attività si fermi durante quel tempo di inattività? Quale messaggio negativo invierebbe agli utenti del servizio? Da un punto di vista economico, perdere l'uso del server principale di un'organizzazione potrebbe rivelarsi catastrofico quanto un guasto al motore nel campo dell'aviazione.

E questo senza nemmeno considerare l'altro grande vantaggio offerto dall'adattamento di un DNS secondario, ovvero il modo magistrale in cui supporta le attività di bilanciamento del carico all'interno del server DNS primario.

Prima di procedere ulteriormente, dobbiamo rispondere una domanda più semplice: cos'è un DNS? Un domain name system funge da traduttore, prendendo indirizzi IP complessi e trasformandoli in nomi di dominio più comprensibili.

Supponiamo che tu sia interessato a un argomento che riguarda un prodotto offerto da International Business Machines (IBM), ma non sia sicuro del suo titolo. Digiti "IBM" nel browser web del tuo provider di servizi e ti ritrovi sulla pagina principale dell'azienda. Grazie al DNS, non è necessario digitare l'indirizzo IP completo di IBM. Il DNS presume che tu voglia andare lì in base al termine di ricerca inserito.

A volte un DNS viene descritto come la "rubrica telefonica" di Internet, perché è simile alla funzionalità che viene utilizzata, anche se potrebbe essere meglio equiparato a un operatore telefonico dei vecchi tempi. Nei decenni passati, l'operatore telefonico locale fungeva da DNS umano, prendendo il numero richiesto e collegandolo alla centrale telefonica desiderata. Il DNS automatizza ora l'intero processo di traduzione.

Un domain name system dipende da una gerarchia stabilita che è governata dai root server. Al di sotto di questi, nella gerarchia, ci sono i domini di primo livello (TLD), come gli indirizzi che terminano con ".com" e ".org". Il resto della gerarchia è costituito da singoli domain name server.

Un sistema DNS è considerato un sistema di database distribuito, in cui ogni nodo rappresenta un "name server", che è la parte del sistema che fornisce le traduzioni necessarie per quel particolare nome di dominio. Tutti i domini all'interno di quel sistema contengono uno o più "name server autorevoli", così chiamati perché questo server pubblica informazioni su quel dominio, così come tutti i name server primari dei domini subordinati contenuti all'interno.

Un DNS funziona in modo semplice:

1. Digiti un nome di dominio nel browser web offerto dal tuo provider di servizi Internet (ISP).
2. Il dispositivo informatico in uso invia una query di ricerca a un server DNS.
3. Il server DNS cerca, nella sua moltitudine di risorse, l'indirizzo IP che corrisponde al nome di dominio della tua ricerca sul web.
4. Il server DNS invia l'indirizzo IP individuato al dispositivo in uso.
5. Il tuo dispositivo chiama l'indirizzo IP esatto che stai cercando.

Ora, se c'è un problema con il server DNS primario, ad esempio se è diventato tecnicamente non disponibile o è attualmente sovraccarico, il server DNS secondario entra in azione, eseguendo le ricerche e le traduzioni degli indirizzi IP necessarie. Grazie al funzionamento immediato del DNS secondario tramite il processo di failover, gli utenti sono in grado di accedere al sito web senza subire alcun calo evidente delle funzionalità.

Allo stesso modo, un DNS secondario assume le funzioni del server di posta del server DNS primario (incluso il routing della posta elettronica e la gestione dei record di scambio di posta, o MX), quindi il DNS secondario può contribuire a garantire che il flusso e riflusso del traffico di e-mail non sia interrotto. In questo modo, il sito non subisce tempi di inattività dovuti alle interruzioni, che è la misura della vera resilienza, ovvero il mantenimento del funzionamento nonostante le condizioni avverse.

Se il server DNS secondario viene chiamato in servizio, le informazioni sono fornite dal server DNS primario. Ciò avviene attraverso un processo noto come trasferimento di zona. Le copie dei file di zona condivise con il server DNS secondario tramite il trasferimento di zona sono file di sola lettura che non possono essere modificati in alcun modo.

I trasferimenti di zona dipendono molto dall'uso delle application programming interface (API), che consentono ai server DNS primari di trasferire automaticamente i dati della zona DNS ai server secondari. In questo modo, entrambi i server DNS possono conservare le stesse informazioni. Le API offrono al server primario un modo per contattare il server secondario, in modo da assicurarsi che si stiano muovendo di pari passo con record DNS identici e trasferimenti di zona annotati.

Il processo di trasferimento di zona è basato sulla creazione di record del name server (NS). I record NS aiutano a stabilire quali server sono designati come autorevoli per quel dominio, il che definisce le priorità del dominio. A condizione che l'indirizzo IP del server DNS secondario sia contenuto nei record NS, il sito web mantiene la sua funzionalità anche se il server primario è inattivo per qualsiasi motivo.

I trasferimenti di zona sono avviati dall'emissione di un record SOA (Start of Authority), che fornisce ai server DNS secondari i dati necessari affinché sincronizzino i dati della zona DNS, lavorando in un tipo di controllo di versione che attiva gli aggiornamenti in base al numero di serie del record SOA.

In questo modo vengono registrate le nuove versioni. Aggiornando il servizio DNS secondario con nuovi dati dal record SOA, un dominio può rimanere operativo in caso di guasto del server primario, impedendo ai server inattivi di avere un impatto sul tempo di attività.

Authoritative Zone Transfer (AXFR) è un altro protocollo che consente ai server DNS di scambiare file di zona. AXFR sincronizza i dati su tutti i server connessi, in modo che tutti possano operare con le informazioni più aggiornate ottenibili.

L'utilizzo di server DNS secondari offre numerosi vantaggi, tra cui le seguenti considerazioni.

Il beneficio principale dell'implementazione di un server DNS secondario implica lo stesso tipo di logica che ci spinge ad acquistare polizze assicurative e forniture di emergenza prima che si verifichino condizioni meteorologiche pericolose. Con l'aggiunta di un server DNS secondario, riconosciamo un fatto spiacevole ma inevitabile, ovvero che le macchine e i sistemi a volte si guastano.

Un server DNS secondario risolve questo problema fornendo una soluzione temporanea che offre la ridondanza necessaria quando un server DNS primario si guasta per qualsiasi motivo. La disponibilità di una soluzione di backup offre alle organizzazioni la sicurezza mentale di sapere che i servizi DNS dell'azienda rimarranno accessibili agli utenti.

Un altro beneficio utile dell'utilizzo di un sistema DNS è la possibilità di distribuire il carico. Ciò si ottiene fornendo più indirizzi IP per un singolo nome di dominio. A sua volta, questo consente a un server DNS di distribuire il traffico in entrata attraverso diversi server, in base all'utilizzo di vari algoritmi.

Ad esempio, se il server DNS segue una configurazione dell'algoritmo round-robin, il server DNS esamina l'intero elenco di indirizzi IP e distribuisce il carico in modo uniforme su più dispositivi.

Un sistema DNS può essere utilizzato anche per migliorare la sicurezza generale. Installando un firewall in quel sistema, il traffico in entrata può essere autorizzato così com'è, filtrato in base alle necessità o vietato completamente. Inoltre, è possibile stabilire firewall che consentano solo alle richieste DNS autorizzate di raggiungere i server DNS secondari.

Un altro modo in cui un DNS può supportare le iniziative di sicurezza è attraverso lo sviluppo di un "server DNS primario nascosto", ovvero un server DNS primario che viene tenuto nascosto dalla rete internet pubblica. Il suo indirizzo IP non è registrato tra i record delle risorse di quel sistema. I name server secondari gestiscono le risposte alle query al posto del server primario. L'idea è quella di proteggere meglio il server primario dagli attacchi informatici nascondendone il più possibile la presenza.

La sicurezza può essere ulteriormente rafforzata utilizzando le estensioni di Domain Name System Security (DNSSEC), che aiutano a selezionare e convalidare le richieste DNS. Queste estensioni aiutano a confermare la natura lecita delle ricerche di nomi di dominio. Aiutano anche a prevenire gli attacchi informatici, come lo spoofing DNS, in cui un sito è inondato da così tante richieste DNS contraffatte che il sistema diventa sopraffatto e non funzionante.

Un DNS secondario può persino migliorare le prestazioni, perché può risolvere più velocemente i problemi relativi ai nomi di dominio, il che si traduce in una distribuzione più rapida delle informazioni. Pertanto, implementando un DNS secondario, i problemi di latenza possono essere ridotti.

Sebbene i benefici dell'utilizzo di un DNS secondario superino di gran lunga tutti gli svantaggi, ci sono alcuni problemi che un DNS secondario può introdurre, sebbene siano di natura minore.

Gli aggiornamenti al server secondario potrebbero subire un lieve impatto. Inoltre, anche se i server secondari sono progettati per avviare le operazioni quando necessario, potrebbero verificarsi dei piccoli rallentamenti nella loro operatività quando iniziano a lavorare.

Per garantire un funzionamento ottimale, i sistemi devono essere sincronizzati. Il server secondario richiede sempre i record DNS più recenti e questo può diventare problematico, a seconda della frequenza delle modifiche.

È possibile che l'utilizzo di un DNS secondario aggiunga complessità e richieda manodopera dedicata per gestire i server DNS. Tuttavia, la corretta gestione di più server DNS è fondamentale per mantenere lo stato di salute del dominio.

Sebbene esistano numerosi fornitori di servizi DNS, ecco alcuni dei più importanti:

• Google Public DNS: Google Public DNS offre funzionalità di ricerca rapida per aiutare a risolvere le query DNS. Inoltre, il servizio è facile da configurare, anche per i principianti, e dispone di un set completo di protocolli di sicurezza in loco. Oltre a ciò, Google Public DNS beneficia dell'ampia rete di data center globali di Google.

• Cloudflare: il servizio DNS di Cloudflare si basa sulla sua configurazione DNS di routing di rete Anycast, in cui un indirizzo può inviare il traffico a più data center in aree diverse. Gli utenti si connettono al server più vicino a loro, garantendo velocità più elevate e protezione contro attacchi DDoS (distributed denial-of-service). Si ritiene che il resolver DNS pubblico 1.1.1.1 di Cloudflare sia il più veloce disponibile.

• Quad9: Quad9 è noto per le sue funzionalità di sicurezza aggiuntive, come la capacità di filtrare il malware e bloccare i tentativi di phishing. L'azienda opera come organizzazione senza scopo di lucro ed è così dedicata alla privacy degli utenti da rifiutarsi di conservare i dati di navigazione o le informazioni sugli utenti.