Bem-vindo, este é o Blog do Nomer.com - O objetivo deste blog é fornecer as últimas notícias do Nomer.com, informações relevantes sobre o mercado de registro de domínios e Links Patrocinados. Visite-nos regularmente!

quarta-feira, outubro 03, 2007

Entenda como funciona o DNS, servidor Raiz e o DNSSEC

Quando você visita um site através do seu navegador ou quando você envia um email, a Internet precisa saber em qual servidor o site e o e-mail estão armazenados para poder responder a sua solicitação. A informação da localização destes servidores está em um servidor chamado DNS (Domain Name Server).

Cada domínio possui um registro no DNS que define qual o endereço IP do servidor de hospedagem e o IP do servidor de e-mail que responderão por este domínio. O processo para a descoberta dos servidores que respondem por um domínio é denominado “resolução do nome” ou “resolução do domínio”.

O navegadores e os sistemas clientes de e-mail solicitam que a Internet faça a resolução do domínio para apresentar um site, ou enviar um e-mail. Esse processo é totalmente transparente para o Internauta, o usuário apenas digita o site que quer visitar e o navegador descobre em qual servidor o site está hospedado e em seguida solicita para o servidor de hospedagem que envie a página inicial do mesmo.

Por segurança, um domínio pode definir vários servidores DNS. O DNS primário é o primeiro sistema a ser consultado no momento da resolução do nome, caso o servidor DNS primário esteja em manutenção, o servidor DNS secundário é consultado, e assim sucessivamente.
Devido ao intenso tráfego da Internet e devido a segurança da rede, a estrutura do banco de dados DNS é distribuida e hierárquica, ou seja, ao invés de um banco de dados central e único com informações de todos os domínios, a resolução ocorre consultando-se diversos servirdores DNS e sua resolução é hierárquica, ou seja, um servidor DNS pode apontar para outro servidor DNS e assim sucessivamente.

A estrutura hierárquica equivale a uma árvore invertida, ou seja, existe um servidor principal que aponta para um secundário que aponta para um terceiro e assim sucessivamente. O servidor DNS que está no topo da Internet é o SERVIDOR RAIZ.



Servidor Raiz

O servidor Raiz da Internet possue uma tabela que indica qual DNS será responsável pela resolução dos domínios para cada extensão de domínio (Top Level Domain) diferente. A tabela em si é muito pequena, possui apenas uma entrada para cada Top Level Domain existente. Os Top Level Domains são de dois tipos: gTLD’s (Generic Top Level Domains) domínio genéricos usados no mundo todo, ou ccTLD’s (Country Code Top Level Domains) extensões de domínios administrados pelos países.

Por exemplo: todos os domínios terminados em .COM serão respondidos pelos servidores da VeriSign, .BR serão respondidos pelos servidores do Registro.br e assim sucessivamente. Cada gTLD ou ccTLD tem apenas uma entrada neste banco de dados.

Por segurança, o servidor raiz foi replicado em 13 servidores raizes diferentes espalhados pelo mundo e 2 vezes ao dia seu conteúdo é automaticamente replicado.

Foi convencionado que cada servidor raiz seria chamado por uma letra do alfabeto (Servidor A, Servidor B e etc...). Mesmo um determinado servidor raiz, o SERVIDOR RAIZ A, por exemplo, pode ser replicado em várias regiões do mundo, para assegurar que o tempo para a resolução de um domínio seja rápido (baixa latência).

Bem, então na verdade existem 13 servidores raiz principais e dezenas de cópias espalhadas pelo mundo. Veja na imagem abaixo a plotagem dos servidores raizes e suas cópias em funcionamento no mundo.


Os grandes provedores de acesso e empresas de Telecomunicações arquivam em seus caches (mémória temporária) a tabela dos servidores raiz, portanto, a cada e-mail enviado ou site visitado os servidores raiz NÃO É OBRIGATORIAMENTE consultado. Na verdade o volume de consultas a estes servidores é muito pequeno já que sua tabela é alterada apenas quando um novo top level domain é criado. Quem realmente processa o maior volume de queries para resolução de nomes, são os servidores dos TLD'S (Top Level Domains).

Por exemplo: Um servidor raiz normalmente recebe 500 queries por dia... porém os servidores da VeriSign (responsável pela resolução dos domínios .COM) recebem bilhões de queries diariamente.

DNSSEC

A estrutura hierárquica de resolução de nomes, onde um DNS aponta para outro DNS possui um problema intrínseco de segurança. Imagine a hipótese que um provedor de acesso capture uma querie para resolução de um nome e inadvertidamente responda com um endereço errado de onde o site está hospedado. Neste exemplo, você poderia solicitar no seu navegador o site http://www.itau.com.br/ e o provedor forneceria http://www.brasdeco.com.br/, ou pior, um site phishing, que simula o site do banco Itaú.

Um dos maiores problemas desta hipótese é que realmente seria impossível identificar que o provedor de acesso fez isso. Portanto, para dar segurança a estrutura de resolução de nomes a IETF (Internet Engineering Task Force) criou uma extensão do uso atual do DNS denominado DNSSEC.

A extensão DNSSEC autentica as informações do DNS e garante que estas informações são autênticas e íntegras. Sua adoção depende de cada Top Level Domain. O Registro.br, responsável pela administração dos domínios .BR já começou a permitir o registro de domínios com o DNSSEC para algumas extensões como: .BLOG.BR, .ENG.BR e etc.

O mercado aguarda a liberação do uso do DNSSEC para a extensão .COM.BR, de longe a mais utilizada no país. O mercado bancário e financeiro devem ser os primeiros a aderir ao DNSSEC e devem solicitar para que as empresas responsáveis pela sua hospedagem façam esta implementação extra de segurança.

Marcadores: ,

terça-feira, outubro 02, 2007

Manutenção preventiva dia 05 de outubro

Caros clientes:

Faremos uma manutenção preventiva dia 05 de outubro das 00:01 até às 02:00 da madrugada. O serviço de e-mail e hospedagem funcionarão normalmente. Obrigado pela compreensão !

Marcadores: