O reencaminhamento de DNS ajuda a acelerar a sua rede e deve ser implementado se os seus utilizadores solicitarem o seu nome de domínio mas o servidor DNS não conseguir encontrar o endereço IP correspondente na cache. As empresas com espaços de nomes extensos utilizam frequentemente este processo.
Continue a ler o blogue para saber o que é o reencaminhamento de DNS e como é utilizado para endereços externos e internos.
O que é o DNS Forwarding?
O reencaminhamento DNS é um processo em que outro servidor designado (root hint server) trata de endereços não-resolvíveis ou consultas DNS porque o servidor inicialmente contactado não tem a resposta. Geralmente, a todos os servidores destinados a converter nomes de domínio em endereços IP é atribuído um reencaminhador específico para reencaminhar todos os pedidos que não conseguem resolver.
Esta técnica é utilizada por empresas com espaços de nomes muito grandes ou empresas que colaboram entre si, pois podem resolver os espaços de nomes uns dos outros.
O que é um DNS Fowarder?
Um reencaminhador DNS é um servidor DNS configurado para reencaminhar as consultas que não podem ser resolvidas localmente para outro servidor DNS, normalmente um servidor externo. Este servidor DNS de reencaminhamento actua normalmente como um servidor intermediário que é responsável por simplesmente passar os pedidos DNS para um servidor DNS mais autoritário para uma resolução eficaz da consulta.
Como funciona o DNS Forwarding?
Agora, vejamos o procedimento de trabalho do encaminhamento DNS.
Quando as informações internas do DNS são privadas, podem ser transmitidas em linha se o servidor de sugestões raiz for exposto ao público, porque não é utilizado nenhum reencaminhador DNS na rede interna. Também pode utilizá-lo se os encargos do ISP da sua rede forem pesados ou se a ligação não for rápida devido à ausência de um reencaminhador DNS interno. Isto porque um reencaminhador DNS interno aumenta o tráfego externo, o que torna complicado o seu tratamento.
A utilização de um reencaminhador DNS ajudará a construir um cache interno para os dados DNS externos, a fim de reduzir o tráfego DNS externo.
Tipos de encaminhamento de DNS
Vamos discutir os dois tipos principais de encaminhamento de DNS e como cada um deles funciona:
1. Reencaminhamento condicional
O reencaminhamento condicional do DNS é efectuado utilizando servidores DNS que reencaminham consultas para determinados nomes de domínio em vez de reencaminharem todas as consultas. Enviam as consultas para reencaminhadores específicos, dependendo dos nomes de anfitrião mencionados na consulta. O reencaminhamento condicional do DNS melhora o reencaminhamento convencional, acrescentando ao processo uma condição baseada no nome. O reencaminhamento condicional do DNS é benéfico porque estabelece uma ligação à Internet mais segura, mais rápida e mais fiável. Neste caso, o servidor DNS envia consultas recursivas para o reencaminhador.
2. Reencaminhamento recursivo
Neste tipo de reencaminhamento de DNS, um servidor DNS reencaminha uma consulta para outro servidor DNS. O segundo servidor efectua uma pesquisa recursiva para resolver a consulta. Um caso de utilização é quando um servidor DNS reencaminha consultas para um servidor DNS central para resolução.
Reencaminhamento vs. Caching
No reencaminhamento de DNS, um servidor DNS envia consultas de clientes que não pode resolver diretamente para outro servidor DNS (um reencaminhador). Isto é utilizado para descarregar tarefas de resolução de consultas ou para implementar políticas específicas de encaminhamento de consultas.
O armazenamento em cache do DNS envolve o armazenamento temporário dos resultados de consultas anteriores para reduzir a latência e melhorar o desempenho. Quando um servidor DNS tem um registo em cache, serve a consulta imediatamente em vez de a reencaminhar.
Vantagens do reencaminhamento de DNS
Vamos explorar as várias vantagens do reencaminhamento de DNS:
1. Melhoria da eficiência das consultas
O encaminhamento de consultas para um servidor DNS específico reduz significativamente os tempos de consulta e promove respostas muito mais rápidas, reduzindo também a latência.
2. Gestão centralizada
O reencaminhamento de DNS simplifica a gestão do DNS. Isto é especialmente benéfico em grandes organizações, permitindo aos administradores centralizar e controlar a resolução de consultas DNS atribuindo alguns servidores DNS designados.
3. Segurança
O reencaminhamento de consultas DNS para um servidor DNS seguro e fiável ajuda a evitar ciberataques, como os ataques de falsificação de DNS.
4. Balanceamento de carga
Ao distribuir as tarefas de resolução de consultas por servidores DNS designados, o reencaminhamento de DNS pode ajudar a equilibrar a carga numa rede. Isto acaba por evitar que um único servidor DNS fique sobrecarregado.
5. Suporte multi-domínio
Para organizações com vários domínios internos ou externos, o reencaminhamento condicional permite a resolução de consultas específicas de domínio sem problemas.
Como configurar os encaminhadores DNS no Microsoft Windows Server 2008 R2 e 2016?
Antes de iniciar o procedimento para configurar o reencaminhamento DNS, anote o endereço IP dos servidores DNS recursivos SIA e certifique-se de que está configurado um ficheiro raiz. Uma pesquisa de endereço IP pode ajudá-lo a localizar facilmente o endereço IP do seu próprio domínio. O ficheiro de sugestões de raiz lista os servidores DNS de raiz que o domínio do Active Directory contacta para consultas recursivas. Isto pode ser feito com a interface gráfica do utilizador do Windows Server ou com a linha de comandos.
Interface gráfica do utilizador
Pode seguir os passos abaixo para configurar reencaminhadores DNS no Windows utilizando a interface gráfica do utilizador.
- Clique em Iniciar e aceda a Ferramentas administrativas > DNS.
- Clique com o botão direito do rato no servidor DNS que pretende configurar como um reencaminhador.
- Navegue até ao menu Ação e clique no separador "Propriedades".
- Seleccionar o separador Forwarders.
- Clique em Editar.
- Na caixa de diálogo Edit Forwarders, introduza o endereço IP primário do servidor DNS recursivo SIA e prima Enter.
- Adicione o endereço IP secundário do servidor DNS recursivo da SIA e prima Enter.
- Eliminar outros servidores que estejam listados como reencaminhadores. Manter apenas os servidores DNS primários e secundários recursivos na lista de forwarders.
- Acrescentar um valor na secção Número de segundos antes do tempo de saída das consultas forward para atribuir o número de segundos que um servidor DNS espera por uma resposta.
- Clique OK.
- Active a opção "Utilizar Sugestão de Raiz se não existirem reencaminhadores disponíveis". Esta opção assegura que os servidores DNS num ficheiro de sugestões de raiz resolvem o nome localmente.
- No diálogo de propriedades, clicar em OK.
Interface de Linha de Comando
Siga estes passos para configurar o reencaminhamento DNS no Windows utilizando a interface de linha de comando.
- Abra a seguinte linha de comandos. Note que este comando deve ser executado como administrador.
Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.
Onde:
- <ServerName> is the DNS server’s domain name or IP address.
- <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries.
- É necessário separar cada endereço IP com um espaço.
- <Time> refers to the time-out settings time. It is calculated in seconds.
Encaminhamento DNS para Endereços Externos
O reencaminhamento do DNS é importante porque, se não existir um servidor DNS designado como reencaminhador para o qual todas as consultas externas sejam encaminhadas, todos os servidores DNS internos têm de tratar os pedidos. Isto é indesejável porque:
- Se o DNS não estiver distintamente separado como externo e interno, é perfeitamente possível que os dados do DNS interno sejam divulgados.
- A carga de tráfego aumenta se não tiver implicado o reencaminhamento DNS. Quando se designa um servidor DNS como reencaminhador, este trata todas as resoluções DNS externas e cria uma cache de endereços externos para minimizar o número de consultas recursivas, reduzindo assim o tráfego.
Se a sua empresa for pequena e tiver uma largura de banda limitada, o redireccionamento DNS pode tornar a rede mais eficiente e rápida.
Encaminhamento DNS para Endereços Internos
Os especialistas recomendam que um subconjunto de endereços internos seja tratado através do reencaminhamento do DNS. Além disso, para intranets extensas, incluindo vários domínios e subdomínios, é prático ter pedidos de DNS para um subconjunto desses domínios controlados por um servidor dedicado. Estes pedidos são geralmente reencaminhados com o princípio do reencaminhamento condicional do DNS.
Melhores Práticas para o Encaminhamento DNS
O DNS é crucial para o mundo actual orientado para a Internet. Se tiver apenas um servidor DNS, este deve ser configurado como um reencaminhador. Se tiver mais do que um, então pode configurar um deles, alguns deles, ou todos eles como reencaminhadores. Além disso, pode seguir as práticas abaixo listadas para garantir que os reencaminhadores DNS têm um desempenho óptimo.
Desactivar a Recurssão
A recorrência permite aos servidores DNS consultar outros servidores em nome do cliente. Isto ajuda no processo de encaminhamento DNS, mas também expõe a sua rede a riscos de segurança. Assim, se o desactivar, a possibilidade de ser atacado diminui. Reduzirá também a carga de tráfego, e a sua rede tornar-se-á mais rápida.
Activar a Validação DNSSEC
DNSSEC ou Extensões de Segurança do Sistema de Nomes de Domínio são protocolos de segurança que protegem contra falsificação de DNS e ataques de envenenamento de cache. Se estiver ativado, os reencaminhadores DNS verificam as assinaturas digitais. A resposta é rejeitada se a assinatura não corresponder e é enviada uma mensagem de erro ao cliente.
No entanto, deve utilizá-lo apenas através de uma ligação segura. Caso contrário, os hackers podem interceptar e modificar os dados que estão a ser trocados.
Servidores DNS Monitor
A monitorização regular dos servidores DNS alerta-o sobre potenciais problemas técnicos, permitindo-lhe tomar medidas rápidas. Isto reduz o tempo de inactividade que pode ter um forte impacto no seu negócio, caso contrário.
Também deve verificar os registos do reencaminhador DNS para detetar actividades suspeitas ou comportamentos irresponsáveis dos utilizadores, para se manter à frente de potenciais riscos de segurança.
Criar e testar configuração alternativa
Uma configuração alternativa permitir-lhe-á mudar para um forwarder diferente em caso de falha. Isto reduzirá novamente o tempo de paragem e manterá os seus recursos acessíveis. Não salte o teste da configuração alternativa antes de estabelecer uma nova configuração.
Cópia de Segurança Regular dos Dados do Servidor DNS
Os actores maliciosos atacam o seu servidor e tentam modificar ou apagar dados. O backup dos dados do servidor DNS ajuda a restaurá-los rapidamente sem perturbar o fluxo de tráfego na sua rede. Sem backups, levará horas ou mesmo dias a restaurar tudo, o que terá um forte impacto no seu negócio.
- A ascensão de esquemas de pretexto em ataques de phishing reforçados - 15 de janeiro de 2025
- DMARC torna-se obrigatório para a indústria de cartões de pagamento a partir de 2025 - 12 de janeiro de 2025
- Alterações do NCSC Mail Check e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido - 11 de janeiro de 2025