L'inoltro DNS aiuta a velocizzare la rete e dovrebbe essere implementato se i vostri utenti richiedono il vostro nome di dominio ma il loro server DNS non riesce a trovare l'indirizzo IP corrispondente nella cache. Le aziende con ampi spazi dei nomi utilizzano spesso questo processo.
Continuate a leggere il blog per sapere cos'è l'inoltro DNS e come si usa per gli indirizzi esterni e interni.
Che cos'è l'inoltro DNS?
L'inoltro DNS è un processo in cui un altro server designato (root hint server) gestisce gli indirizzi non risolvibili o le query DNS perché il server inizialmente contattato non ha la risposta. In genere, a tutti i server destinati a convertire i nomi di dominio in indirizzi IP viene assegnato un forwarder specifico per inoltrare tutte le richieste che non riescono a risolvere.
Questa tecnica è utilizzata dalle aziende che hanno spazi dei nomi molto ampi o dalle aziende che collaborano tra loro in quanto possono risolvere gli spazi dei nomi degli altri.
Che cos'è un DNS Fowarder?
Un DNS forwarder è un server DNS configurato per inoltrare le query che non possono essere risolte localmente a un altro server DNS, solitamente esterno. Questo server DNS di inoltro agisce solitamente come un server intermedio, responsabile del semplice passaggio delle richieste DNS a un server DNS più autorevole per la risoluzione effettiva delle query.
Come funziona l'inoltro DNS?
Vediamo ora la procedura di funzionamento dell'inoltro DNS.
Quando le informazioni DNS interne sono private, possono essere trasmesse online se il root hint server è esposto al pubblico, perché nella rete interna non viene utilizzato alcun DNS forwarder. Si può utilizzare anche se i costi dell'ISP della rete sono elevati o la connessione non è veloce a causa dell'assenza di un DNS forwarder interno. Questo perché un DNS forwarder interno aumenta il traffico esterno, rendendolo complicato da gestire.
L'utilizzo di un DNS forwarder consente di creare una cache interna per i dati DNS esterni e di ridurre il traffico DNS esterno.
Tipi di inoltro DNS
Vediamo i due tipi principali di inoltro DNS e il funzionamento di ciascuno di essi:
1. Inoltro condizionato
L'inoltro condizionato DNS viene effettuato utilizzando server DNS che inoltrano le query per determinati nomi di dominio invece di inoltrare tutte le query. Essi inviano le query a specifici forwarder a seconda dei nomi host menzionati nella query. L'inoltro condizionato DNS migliora l'inoltro convenzionale aggiungendo al processo una condizione basata sul nome. L'inoltro condizionato DNS è vantaggioso perché stabilisce una connessione a Internet più sicura, più veloce e più affidabile. In questo caso, il server DNS invia query ricorsive al forwarder.
2. Inoltro ricorsivo
In questo tipo di inoltro DNS, un server DNS inoltra una query a un altro server DNS. Il secondo server esegue una ricerca ricorsiva per risolvere la query. Un caso d'uso è quello in cui un server DNS inoltra le query a un server DNS centrale per la risoluzione.
Inoltro e caching
Nel DNS forwarding, un server DNS invia le query dei client che non può risolvere direttamente a un altro server DNS (un forwarder). Questo viene utilizzato per scaricare le attività di risoluzione delle query o per implementare specifiche politiche di instradamento delle query.
La cache DNS consiste nel memorizzare temporaneamente i risultati di query precedenti per ridurre la latenza e migliorare le prestazioni. Quando un server DNS dispone di un record nella cache, serve immediatamente la query invece di inoltrarla.
Vantaggi dell'inoltro DNS
Esploriamo i vari vantaggi dell'inoltro DNS:
1. Miglioramento dell'efficienza delle query
L'inoltro delle query a un server DNS specifico riduce significativamente i tempi di interrogazione e favorisce risposte molto più rapide, riducendo anche la latenza.
2. Gestione centralizzata
L'inoltro DNS semplifica la gestione del DNS. Ciò è particolarmente vantaggioso nelle grandi organizzazioni, in quanto consente agli amministratori di centralizzare e controllare la risoluzione delle query DNS assegnando pochi server DNS designati.
3. Sicurezza
L'inoltro delle query DNS a un server DNS sicuro e affidabile aiuta a prevenire attacchi informatici come gli attacchi di spoofing DNS.
4. Bilanciamento del carico
Distribuendo le attività di risoluzione delle query su server DNS designati, l'inoltro DNS può contribuire a bilanciare il carico su una rete. In questo modo si evita di sovraccaricare un singolo server DNS.
5. Supporto multidominio
Per le organizzazioni con più domini interni o esterni, l'inoltro condizionale consente di risolvere senza problemi le query specifiche del dominio.
Come configurare gli inoltri DNS su Microsoft Windows Server 2008 R2 e 2016?
Prima di iniziare la procedura di configurazione dell'inoltro DNS, prendere nota dell'indirizzo IP dei server DNS ricorsivi SIA e assicurarsi che sia configurato un file root. Un strumento di ricerca dell'indirizzo IP può aiutare a individuare facilmente l'indirizzo IP del proprio dominio. Il file root hint elenca i server DNS root che il dominio Active Directory contatta per le query di ricorsione. Questa operazione può essere eseguita con l'interfaccia grafica di Windows Server o con la riga di comando.
Interfaccia grafica utente
Per configurare gli inoltri DNS su Windows è possibile seguire la seguente procedura utilizzando l'interfaccia grafica.
- Cliccate su Start e andate su Strumenti di amministrazione > DNS.
- Fate clic con il tasto destro del mouse sul server DNS che volete configurare come forwarder.
- Passare al menu Azione e fare clic sulla scheda "Proprietà".
- Selezionare la scheda Inoltratori.
- Fare clic su Modifica.
- Nella finestra di dialogo Modifica inoltri, inserire l'indirizzo IP primario del server DNS ricorsivo SIA e premere Invio.
- Aggiungere l'indirizzo IP secondario del server DNS ricorsivo SIA e premere Invio.
- Eliminare gli altri server elencati come forwarder. Mantenere solo i server DNS ricorsivi primari e secondari nell'elenco dei forwarder.
- Aggiungete un valore nella sezione Numero di secondi prima che le query di inoltro scadano per assegnare il numero di secondi in cui il server DNS attende una risposta.
- Fare clic su OK.
- Abilitare l'opzione "Usa il suggerimento di root se non sono disponibili forwarder". Questa opzione garantisce che i server DNS in un file di suggerimenti radice risolvano il nome localmente.
- Nella finestra di dialogo delle proprietà, fare clic su OK.
Interfaccia a riga di comando
Seguite questi passaggi per configurare l'inoltro DNS su Windows usando l'interfaccia della riga di comando.
- Aprire il seguente prompt dei comandi. Si noti che questo deve essere eseguito come amministratore.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Dove:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- È necessario separare ogni indirizzo IP con uno spazio.
- <Time> refers to the time-out settings time. It is calculated in seconds.
Inoltro DNS per indirizzi esterni
L'inoltro DNS è importante perché se non c'è un server DNS designato come forwarder verso il quale indirizzare tutte le query esterne, tutti i server DNS interni interni devono gestire le richieste. Questo non è auspicabile perché:
- Se il DNS non è separato in modo netto tra esterno e interno, è possibile che i dati del DNS interno trapelino.
- Il carico di traffico aumenta se non si è implementato l'inoltro DNS. Quando si designa un server DNS come forwarder, questo gestisce tutte le risoluzioni DNS esterne e crea una cache di indirizzi esterni per ridurre al minimo il numero di query ricorsive, riducendo così il traffico.
Se la vostra azienda è piccola e ha una larghezza di banda limitata, l'inoltro del DNS può rendere la rete più efficiente e veloce.
Inoltro DNS per indirizzi interni
Gli esperti consigliano di gestire un sottoinsieme di indirizzi interni attraverso l'inoltro DNS. Inoltre, per le intranet più estese, che includono diversi domini e sottodomini, è pratico avere le richieste DNS per un sottoinsieme di tali domini controllate da un server dedicato. Queste richieste vengono generalmente inoltrate con il principio dell'inoltro condizionale del DNS.
Migliori pratiche per l'inoltro DNS
Il DNS è fondamentale per il mondo odierno guidato da Internet. Se avete un solo server DNS, questo deve essere configurato come forwarder. Se ne avete più di uno, potete configurarne uno, alcuni o tutti come forwarder. Oltre a questo, potete seguire le pratiche elencate di seguito per garantire che gli inoltri DNS funzionino in modo ottimale.
Disabilitare la ricorsione
La ricorsione consente ai server DNS di interrogare altri server per conto del client. Questo aiuta nel processo di inoltro del DNS, ma espone la rete a rischi di sicurezza. Pertanto, se la si disabilita, la possibilità di subire attacchi diminuisce. Ridurrà inoltre il carico di traffico e la rete diventerà più veloce.
Abilitare la convalida DNSSEC
DNSSEC o Domain Name System Security Extensions sono protocolli di sicurezza che proteggono da spoofing DNS e attacchi di avvelenamento della cache. Se è abilitato, gli spedizionieri DNS controllano le firme digitali. Se la firma non corrisponde, la risposta viene scartata e al client viene inviato un messaggio di errore.
Tuttavia, è necessario utilizzarlo solo attraverso una connessione sicura. In caso contrario, gli hacker possono intercettare e modificare i dati scambiati.
Monitoraggio dei server DNS
Il monitoraggio regolare dei server DNS vi avvisa di potenziali problemi tecnici, consentendovi di intervenire rapidamente. In questo modo si riducono i tempi di inattività che possono avere un forte impatto sulla vostra attività.
Dovreste anche controllare i registri dei DNS forwarder per notare attività sospette o comportamenti irresponsabili degli utenti, per evitare potenziali rischi per la sicurezza.
Creare e testare la configurazione alternativa
Una configurazione alternativa consente di passare a un altro forwarder in caso di guasto. In questo modo si riducono i tempi di inattività e si mantengono accessibili le risorse. Non tralasciate di testare la configurazione alternativa prima di stabilire una nuova configurazione.
Eseguite regolarmente il backup dei dati del server DNS
I malintenzionati attaccano il server e cercano di modificare o eliminare i dati. Il backup dei dati del server DNS consente di ripristinarli rapidamente senza interrompere il flusso di traffico sulla rete. Senza backup, ci vorranno ore o addirittura giorni per ripristinare tutto, con un forte impatto sulla vostra attività.
- L'ascesa delle truffe con pretesto negli attacchi di phishing potenziati - 15 gennaio 2025
- Il DMARC diventa obbligatorio per il settore delle carte di pagamento a partire dal 2025 - 12 gennaio 2025
- Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito - 11 gennaio 2025