Soy curioso. Sigo leyendo sobre cómo nuestros ISP e intermediarios de Internet registran y realizan un seguimiento de todas las solicitudes de DNS, básicamente, dejando un rastro de migas de pan en muchos registros, y también permitiendo el secuestro de DNS con fines publicitarios (¡lo estoy mirando Cox Communications!).
Independientemente de otros métodos de privacidad / seguridad, me gustaría saber específicamente si es posible ejecutar un servidor DNS en su propia red local, que realmente tenga la información de zona de los servidores DNS raíz (para .com, .net ,. org) dominios.
Sé que puede configurar DNS que básicamente solo mapea máquinas en su dominio, pero es posible solicitar básicamente una copia / transferencia de la información de DNS raíz para almacenarla en su propio servidor DNS para que pueda evitar el acceso a Internet para DNS información en absoluto para la navegación web?
Espero ser claro. No quiero que mi servidor DNS solo tenga información sobre mi red interna; quiero que tenga información duplicada que tienen los grandes servidores DNS de Internet, pero me gustaría esa información localmente en mi servidor DNS.
¿Hay algo como las transferencias de la zona BGP pero para DNS?
Actualización: ¿Hay algún producto / software OSS que básicamente pueda "raspar" esta información de la cadena de DNS externa en la memoria caché local en grandes cantidades para que estén listos cuando los necesite, en lugar de almacenarlos en caché cuando solicite explícitamente los registros de dominio?
fuente
Unas pocas cosas:
Si configura su servidor para usar las sugerencias de raíz en lugar de usar reenviadores, entonces no tiene que preocuparse por los problemas de MITM (al menos de los secuestradores de ISP y DNS). Para todas las resoluciones de DNS externas, su servidor consultaría las sugerencias de raíz, que lo remitirían a los servidores de gTLD para el dominio de nivel superior en cuestión (.com, etc.), que luego lo remitiría a los servidores NS para el dominio en cuestión .
Si realmente desea crear su propio servidor raíz, ciertamente puede hacerlo, aunque no veo cómo le haría mucho bien. Así es como lo haces en un servidor DNS de Windows:
Descargue el archivo de zona raíz DNS y guárdelo como root.dns en el directorio% systemroot% \ system32 \ dns en su servidor DNS de Windows, use el asistente de creación de zona DNS para crear una nueva zona de búsqueda directa primaria llamada "." (sin las comillas), anule la selección de la opción para crear una zona integrada de AD, escriba "." para el nombre de la zona (sin las comillas), seleccione la opción para usar un archivo existente y el campo del nombre del archivo de la zona se completará automáticamente con el nombre root.dns (si no lo está), deje la opción para no permita actualizaciones dinámicas tal cual, haga clic en el botón Finalizar después de haber recorrido cada paso del asistente. Ahora tiene un servidor raíz con zonas y registros de zona para todos los servidores de gTLD.
Tenga en cuenta que esto deshabilitará las opciones de reenvío y sugerencias de raíz en el servidor (ya que su servidor ahora es un servidor raíz) y también tenga en cuenta que si cambia la información de gTLD, no hay forma de que su servidor reciba notificación de esos cambios.
fuente
Para servidores estrechamente relacionados hay transferencias de zona. Estos funcionan de manera muy similar a los anuncios BGP. Por razones de seguridad, estos generalmente están bloqueados para otros servidores.
Si ejecuta un servidor de nombres en caché, copiará la lista de servidores raíz y muy pronto tendrá las raíces de .com, .net, etc. Hay una muy buena razón por la que se distribuye DNS. De lo contrario, todos estarían trabajando con datos obsoletos. El tamaño de la base de datos sería bastante grande y la mayoría de los datos no le interesarían.
Hay opciones para disminuir el riesgo de envenenamiento de DNS y un buen software trata los problemas a medida que se conocen. Hay organizaciones que trabajan para proporcionar datos desinfectados que se pueden utilizar como proveedores ascendentes. Estos filtrarán algunos intentos de envenenamiento. Mire el uso de OpenDNS o google como proveedores ascendentes.
Las zonas DNS raíz ahora están firmadas, y veo cada vez más que mi servidor de correo informa que los datos DNS fueron firmados. La firma de DNS se ha informado como un requisito para IPV6. El DNS firmado hace que el envenenamiento de caché sea muy difícil, pero se suma a la dificultad de administrar DNS.
fuente
Ciertamente, puede configurar su propio servidor y hacerlo autoritario para la raíz, pero no sé de qué manera puede completarlo previamente con los archivos de zona de los servidores raíz. No puede simplemente solicitar una transferencia de zona, así que supongo que tendrá que llenarla guardando sus cachés.
Modifique los root.hints en sus otros servidores de nombres para apuntarlos a su servidor raíz privado y deje que comience la prueba.
Pero tenga en cuenta que los servidores raíz solo saben qué servidores son autorizados para los TLD, nada más. Esencialmente necesitará recrear toda la jerarquía de servidores, lo que parece una tarea imposible.
fuente
Sí, una de las características de los servidores DNS es el almacenamiento en caché local de las consultas solicitadas con frecuencia, sin pasar por alto el ttl especificado.
Ciertamente puede ejecutar su propio dns, no hay problema. Pero los servidores raíz y los servidores de dominio de nivel superior, tendrá que preguntarle al tío Sam.
Es posible registrar todas las solicitudes de dns, pero sería una locura.
fuente
Puede ejecutar sus propios servidores raíz si lo desea, simplemente no son lo que cree que son. Mira esto http://en.wikipedia.org/wiki/Alternative_DNS_root
fuente