Em nosso blog anterior, discutimos os fundamentos de um DNS. Neste blog, explicaremos algumas técnicas avançadas para redundância de DNS.
DNS primário
O servidor DNS primário que hospeda uma zona ou várias zonas atua como um DNS autoritativo por meio do qual os administradores de DNS gerenciam arquivos de zona e realizam alterações de DNS, como adicionar, excluir e atualizar registros DNS.
Zonas e arquivos de zona
O domínio hospedado no servidor DNS é chamado de zona. O arquivo de zona é um arquivo de texto legível por humanos que contém diferentes tipos de registros DNS.
-
Registro SOA: representa o início da autoridade
-
Registros A: endereços IPv4 mapeados para um domínio ou subdomínio
-
Registros AAAA: endereços IPv6 mapeados para um domínio ou subdomínio
-
Registros CNAME: registro canônico apontado para nome canônico
-
Registros MX: registros de troca de correio apontados para servidores de correio
-
Registros TXT: usados para várias verificações
-
Registros PTR: registro de pesquisa de DNS reverso
O arquivo de zona hospedado e gerenciado pelo servidor DNS primário é chamado de zona DNS primária. O DNS é um componente central da infraestrutura e requer 100% de disponibilidade. Para maior escalabilidade, segurança e disponibilidade, são usados servidores DNS secundários.
DNS secundário
O DNS secundário é provisionado na mesma rede que o DNS primário; também pode ser um provedor de DNS terceirizado. O DNS secundário hospeda uma cópia idêntica das zonas hospedadas no DNS primário em formato somente leitura. Os arquivos de zona do DNS primário são sincronizados com o DNS secundário por meio de uma transferência de zona.
Transferência de zona
Uma transferência de zona é um mecanismo usado para sincronizar informações atualizadas dos servidores DNS primários que hospedam as zonas para o DNS secundário. A transferência de zona consiste em dois tipos:
1. Full zone transfer (AXFR): o servidor DNS primário notifica os servidores DNS secundários que foram feitas alterações em uma zona específica, e o DNS secundário entra em contato com o DNS primário para verificar o número de série no registro SOA da zona em que as alterações ocorreram Lugar, colocar. Se o número de série no DNS primário for maior que o número de série do servidor DNS secundário dessa zona, todo o arquivo de zona será copiado para os servidores DNS secundários do servidor DNS primário.
2. Transferência de zona incremental (IXFR): o servidor DNS primário notifica os servidores DNS secundários que as alterações foram feitas em uma zona específica, e o DNS secundário entra em contato com o DNS primário para verificar o número de série no registro SOA da zona em que as alterações ocorreram Lugar, colocar. Se o número de série no DNS primário for maior que o número de série dos servidores DNS secundários dessa zona, os servidores DNS secundários comparam as últimas alterações com a versão existente e copiam apenas os registros alterados do DNS primário.
Os servidores secundários verificam periodicamente os servidores DNS primários quanto a quaisquer alterações e copiam os arquivos de zona atualizados. As verificações periódicas dos servidores DNS secundários são baseadas nos intervalos de atualização definidos no registro SOA da zona.
Protegendo transferências de zona
As zonas habilitadas com transferência de zona podem ser baixadas por invasores usando solicitações AXFR para os servidores DNS primários. Os métodos a seguir ajudam a fazer transferências de zona segura entre servidores DNS primários e secundários:
-
Restrição de endereço IP: Permitir a solicitação de transferência de zona para os servidores DNS primários apenas dos IPs dos servidores DNS secundários.
-
Assinatura de transferência de DNS (TSIG): ative DNS TSIG para zonas habilitadas para transferência de zona. TSIGs são chaves de criptografia simétrica pré-compartilhadas entre servidores DNS primários e secundários. Sempre que as transferências de zona (AXFR/IXFR) são iniciadas entre servidores DNS primários e secundários habilitados com TSIG, a comunicação entre dois servidores participantes da transferência de zona é validada usando chaves TSIG e a transferência de zona é feita com segurança.
ManageEngine CloudDNS
O ManageEngine CloudDNS é um serviço de DNS autorizado com recursos avançados e suporte para DNS primário e funcionalidade de DNS secundário. Inscreva-se para uma avaliação gratuita de 30 dias do ManageEngine CloudDNS e experimente você mesmo o gerenciamento fácil da infraestrutura de DNS.
