Cos'è il DNS (Domain Name System)?
Scopri l'importanza del DNS, come funziona e come scegliere una soluzione DNS per la tua organizzazione, se ne hai bisogno.
Sfondo nero e blu
Cos'è il DNS?

Il DNS (Domain Name System) è il sistema che permette agli utenti di collegarsi a siti web utilizzando nomi di dominio Internet e URL ricercabili, anziché indirizzi IP numerici. Piuttosto che dover ricordare un indirizzo IP con un formato simile a 93.184.216.34, gli utenti possono invece ricercare un URL del tipo www.example.com.

La tecnologia che supporta il DNS può essere paragonata al modo in cui vengono gestiti i contatti telefonici sugli smartphone. Invece di dover ricordare singoli numeri di telefono, gli utenti possono archiviare e individuare facilmente i numeri memorizzandoli nei loro elenchi di contatti, in cui possono essere agevolmente ricercati per nome e cognome.

La tecnologia di conversione alla base del DNS ha anche definito completamente il modo in cui le aziende utilizzano Internet, soprattutto quando creano la propria identità di marchio e si presentano ai propri clienti. Senza l'uso di un Domai Name System, i clienti potrebbero perdere rapidamente le tracce dei siti Web che stanno cercando. E, mentre gli indirizzi IP possono cambiare di tanto in tanto, i nomi di dominio sono facili da ricordare e rimangono costanti.

Come funziona il DNS?

E' importante differenziare tra l'utilizzo di un DNS pubblico e di un DNS privato.

  • DNS pubblico: i record IP di solito sono fornito all'azienda dall'ISP (Internet Service Provider) di riferimento. Questi record sono disponibili al pubblico e possono essere consultati da tutti, a prescindere dal dispositivo in uso o dalla rete a cui si è collegati.

  • DNS privato: un DNS privato è diverso da uno pubblico in quanto è protetto da un firewall aziendale e contiene solo record di siti interni. In questo caso, il DNS privato ha un ambito limitato alla memorizzazione degli indirizzi IP dei siti e dei servizi interni utilizzati e non è accessibile al di fuori della rete privata.

Nella maggior parte dei casi, gli utenti faranno affidamento sul DNS pubblico per la conversione dei nomi host in indirizzi IP. Ecco una panoramica di alto livello del funzionamento di tale processo:

  1. Un utente inserisce un nome del dominio o un URL (ad esempio, www.example.com) in un browser. Questo invia quindi una query a un server DNS locale, solitamente fornito da un sistema operativo locale o dal proprio Internet Service Provider. Questo intermediario tra il client e il server dei nomi DNS è noto come resolver ricorsivo ed è progettato per richiedere o ricevere informazioni sul server dei nomi oggetto della query al e dal client.

  2. Il resolver ricorsivo richiede una query, che viene passata ai server dei nomi root che rispondono con il server dei nomi TLD appropriato a cui eseguire l'indirizzamento, in base all'estensione del nome del dominio ricercato. I server dei nomi root sono anche supervisionati da ICANN (Internet Corporation for Assigned Names and Numbers). Il server dei nomi TLD è quello che contiene tutte le informazioni relative agli URL che terminano con estensioni comuni, ad esempio .com, .net, .edu e .gov.

  3. A causa del volume di ricerche DNS eseguite con frequenza regolare, un resolver ricorsivo viene utilizzato per raggruppare le richieste di ricerca in batch che identificano il DNS autorevole con l'indirizzo IP corretto in base alla query di ricerca eseguita. Il server dei nomi autorevole rappresenta solitamente l'ultimo passo in una ricerca DNS. Dopo che un resolver ricorsivo ottiene una risposta dal server dei nomi TLD, passa a un server dei nomi autorevole dove si trova l'indirizzo IP che va restituito al client.

Il DNS è diventato fondamentale per la funzionalità base di Internet, aiutando gli utenti a gestire facilmente numerosi indirizzi IP attraverso record di risorse. Senza questi processi essenziali, sarebbe praticamente impossibile supportare tutte le funzioni che utilizziamo quotidianamente e sarebbero limitate le nostre capacità quando si tratta di impostare servizi di posta, reindirizzamenti di siti web o di riconoscere indirizzi Web IPv4 e IPv6 complessi. Ma ciò che rende il DNS così formidabile è che, indipendentemente da quanto complesso possa essere il processo, tutte le query di ricerca e i reindirizzamenti di server avvengono in pochi millisecondi, senza influire sul lato client. 

Come scegliere un server DNS

Molte organizzazioni trovano vantaggioso possedere i propri server DNS. Questo approccio presenta diversi vantaggi, ma, in ultima analisi, tutto si riduce a una maggiore coerenza e controllo per quanto riguarda le proprie proprietà Web. In qualità di amministratore del server, è possibile impostare tutti i parametri per le proprie macchine, tra cui processi di ricerca, protocolli di sicurezza e capacità di prestazioni.

Al momento di decidere che tipo di server DNS utilizzare, due delle considerazioni più importanti da fare riguardano la scalabilità e le prestazioni che il server fornisce. La velocità con cui un server DNS risponde alle query dipende da un numero di variabili, tra cui l'ubicazione geografica dell'utente in relazione al server, le configurazioni di bilanciamento del carico e i filtri delle query.

Un'altra opzione a disposizione degli utenti è quella di affidarsi a una soluzione DDI, una piattaforma centralizzata che integra e gestisce tutti i servizi DNS, DHCP e IPAM. La soluzione DDI offre alle aziende la possibilità di semplificare e automatizzare la gestione di volumi crescenti di indirizzi IP mentre effettuano in modo adeguato il provisioning e l'integrazione di altri sistemi di orchestrazione di cloud.

Server DNS e sicurezza informatica

Mentre la maggior parte dei server DNS moderni sono abbastanza sicuri, i sistemi meno recenti, che sono stati progettati molti anni fa, possono presentare sfide specifiche per la sicurezza aziendale. Ecco un paio di rischi comuni associati all'uso di questi server DNS.

Hijacking del DNS
 

Noto anche come attacco di reindirizzamento, l'hijacking del DNS si verifica quando le query al DNS vengono risolte in modo errato e reindirizzano gli utenti a siti Web fittizi e pericolosi. Ciò avviene mediante l'installazione di malware sui computer degli utenti che subentrano ai router o eseguono l'hijacking delle comunicazioni DNS man mano che si verificano.

Cache poisoning
 

Un attacco di DNS cache poisoning si verifica quando un hacker prende effettivamente il controllo del server DNS stesso e compromette le voci degli indirizzi IP. Queste false voci vengono poi diffuse a livello globale agli Internet Service Provider, dove vengono memorizzate nella cache e utilizzate in ricerche di DNS pubblico.

Un modo per combattere efficacemente questi rischi è attraverso l'uso di DNSSec. DNSSec utilizza un DNS sicuro e assegna firme crittografate ai record DNS, assicurando che lo stato originale di tali record non possa venire alterato. In modo analogo a HTTPS, DNSSec aggiunge un livello supplementare di sicurezza per l'accesso ai record DNS, senza l'esigenza di una complessa crittografia che rallenta il processo di esecuzione di query.

Best practice per la sicurezza del DNS

Indipendentemente dal tipo di servizi DNS che si sceglie di utilizzare, si possono seguire alcune best practice per evitare di esporre una superficie di attacco e ridurre al minimo potenziali problemi di sicurezza:

  1. Svuotamento del DNS: lo svuotamento regolare della cache del DNS rimuoverà tutte le voci presenti nel sistema locale. Questo processo è utile per eliminare tutti i record non validi o compromessi del DNS, che potrebbero indirizzarti a siti pericolosi.

  2. nslookup: nslookup è un programma e codice di comando che può essere utilizzato dagli amministratori del server per trovare l'indirizzo IP di un nome host specificato. Ciò consente agli utenti di proteggersi dagli attacchi di phishing e confermare su richiesta la validità dei siti che stanno visitando.

  3. Test delle perdite di dati del DNS: sono disponibili diversi servizi gratuiti per l'esecuzione di un test della perdita dei dati del DNS (link esterno a ibm.com). Quando si utilizzano VPN sicure o servizi di privacy, occasionalmente, si può scoprire che sono mal configurati e che sono ancora in uso i server DNS predefiniti. Questo farà sì che chiunque stia monitorando il traffico di rete sarà comunque in grado di registrare l'attività in corso per scopi malevoli. L'esecuzione di un test della perdita di dati del DNS garantirà la presenza di un tunnel VPN chiuso che il traffico di rete continuerà ad essere sicuro.
Soluzioni correlate
IBM Cloud® Internet Services

IBM® Cloud Internet Services offre funzionalità di sicurezza, affidabilità e prestazioni progettate per proteggere applicazioni e contenuto web pubblici.

Esplora IBM® Cloud Internet Services
Risorse Cos'è la rete?

In questa introduzione alla rete scoprirai come funzionano le reti informatiche, l'architettura utilizzata per progettare le reti e come mantenerle protette.

Cos'è il bilanciamento del carico?

In questa guida, scopri in che modo il bilanciamento del carico ottimizza le prestazioni di siti web e applicazioni.

Passa alla fase successiva

IBM® CIS (Cloud Internet Services), con tecnologia Cloudflare, offre alle aziende accesso a una suite di servizi di gestione dominio, completa di personale di supporto dedicato reperibile 24 ore al giorno, il tutto distribuito su una rete sicura. Utilizzando i server DNS autorevoli insieme al bilanciamento del carico globale e locale, i clienti possono avvalersi dell'utilizzo di una singola interfaccia per effettuare query DNS multiregionali, evitando latenza e tempi di inattività, accelerando al contempo notevolmente la fase di risoluzione.

Ulteriori informazioni su IBM® Cloud Internet Services