La risoluzione dei nomi a dominio è il processo di “traduzione” di un nome a dominio (Es.: prosdo.com) in un indirizzo IP (Es.: 8.8.8.8).
Questo indirizzo IP renderà accessibile su internet un dispositivo di rete ad esso associato, che solitamante sarà un router o un firewall.
Nel caso questo indirizzo IP abbia dei dispositivi con dei servizi web esposti a internet (Es.: server web, server email, server ftp, server vpn, dispostivi IoT), sarà possibile richiedere per un client delle risorse da questi.
Questo fa anche capire quanto sia importante utilizzare sempre un firewall (software o meglio hardware) configurato e hardenizzato da un professionista qualificato, per evitare che degli hacker possano sfruttare questi servizi per effettuare attachi informatici che possono poi aprire una porta a furti di dati, spionaggio, ricatti monetari tramite cryptolocker, sabotaggi e interruzioni di servizio, botnet.
Se sei un titolare di azienda o un IT Manager e hai dubbi che la tua rete aziendale o i tuoi dispositivi siano vulnerabili a questi attachi, puoi contattarci, uno nostro esperto ti spiegherà come possiamo aiutarti.
Visita il sito Prosdo.com per un contatto diretto con noi.
Ora vediamo le due possibili modalità di risoluzione del nome a dominio.
Risoluzione in Cache.
Il sistema operativo, a seconda delle configurazioni, può mantenere una cache in memoria locale per la risoluzione dei domini che risolveremo tramite il nostro server recursor. Anche alcuni software, come ad esempio i browser, possono conservare una cache della risoluzione dei nomi a dominio.
Questo rende molto più veloce la risoluzione di uno stesso nome a dominio, in quanto molto spesso le risorse web richieste, ad esempio da un browser verso un sito web, sono molte, e tutte associate al medesimo dominio.
Quindi effettuare una risoluzione ogni volta che si richiede una risorsa web, sarebbe insostenibile per la struttura stessa del Domain Name Space.
Ovviamente le cache vengono refershate periodicamente, in quanto i nomi a dominio possono cambiare la propria associazione a un indirizzo IP nel corso del tempo.
Risoluzione in Real Time.
La risoluzione di un nome a dominio verso un indirizzo IP in real time avviene tramite Domain Name Space, ovvero un albero gerarchico di server, che parte dai server root, passa per i server di zona (Es.: i Top Level Domain come il .com o .it) e arriva al server che farà da recursor per il client.
Molto spesso il server utilizzato come recursor è quello fornito dall’ISP, questo perchè spesso i client sono configurati tramite protocollo automatico DHCP, ed è dunque il gateway (router o firewall) ad assegnare il server DNS che farà da recursor per i client connessi alla rete. In questo caso il recursor è quindi collocato sulla rete esterna, e dovremo inviare quindi i pacchetti DNS ad un server esterno gestito da un ISP.
L’ISP potrà essere il nostro fornitore di connettività internet, ma anche un fornitore di Public DNS, come ad esempio Cloudflare, Google, OpenDNS e altri.
Se vuoi saperne di più sui Public DNS, leggi: I 5 migliori Public DNS server.
E’ possibile però utilizzare un server recursor interno (su rete locale o client) che risolverà direttamente tutto l’albero del Domain Name Space dalla nostra rete interna.
Bisogna specificare però che il nostro server recursor interno, dovrà periodicamente aggiornare online alcuni dati (nello specifico la lista dei root server) e dialogare con gli altri server DNS dell’albero tramite il Domain Name Space, per poter dare un esito aggiornato e corretto della risoluzione.
Quindi, qual’è il problema?
Sia che si utilizzi un resolver esterno o uno interno, come potrete capire, dovremo sempre interrogare il Domain Name Space, tramite il protocollo DNS, che è nato molti anni fa ed è, come la maggior parte dei protocolli web delle origini, totalmente in chiaro.
Il protocollo DNS usa per standard la porta UDP 53 ed, essendo totalmente in chiaro, tutte le nostre richieste saranno leggibili da qualunque nodo di rete si trovi a far transitare questi pacchetti di rete.
Inoltre il protocollo è vulnerabile a numerose tipologie di attacco informatico come DNS Spoofing, DNS Forgery, DNS hijacking, DSN replay, DNS amplification, DNS rebinding, e altri.
Per ovviare a questo ed altri pericoli insiti nel protocollo DNS, nel corso degli anni sviluppatori, community e organizzazioni internazionali stanno sviluppando diverse tecnologie di sicurezza per creare nuove varianti del protocollo DNS originale, in grado di proteggere il web da queste vulnerabilità.
Se vuoi sapere quali sono queste tecnologie, leggi: le 5 migliori tecnologie di sicurezza DNS.
