L’acronimo DNS sta per “Domain Name System”, un servizio fondamentale per il corretto funzionamento di Internet. Quando esso, o parti di esso, fallisce, Internet non funziona (o smettono di funzionare parti di Internet). È un sistema poco noto al grande pubblico, spesso dato per scontato da molti tecnici, ma molto delicato. Se si “rompe” (poco importa per quale ragione), Internet o sue parti si bloccano di conseguenza.
Indice degli argomenti
Cosa è e cosa fa di base il DNS
Il DNS è un sistema distribuito su molte macchine che collaborano fra loro per tradurre nomi di dominio leggibili da un essere umano (es. example.com) in indirizzi IP (es. 93.184.216.34) e viceversa. Sarebbe difficile e macchinoso per un utente usare direttamente un indirizzo IP per collegarsi a un server (web, posta elettronica o altro). Tuttavia Internet usa “numeri”, cioè indirizzi IP, per stabilire collegamenti: un nome (es. example.com) per la rete è inutilizzabile finché il DNS non lo traduce in un numero (es. 93.184.216.34). Nella sua forma più semplice, si può pensare al DNS come a una rubrica telefonica: dato un nome fornisce un numero e, dato un numero, fornisce un nome.
Architettura generale del DNS
L’architettura generale del DNS non sarà qui approfondita. Quel che conta per l’utente finale è quali informazioni il “suo” DNS (di norma quello del suo ISP) gli fornisce in base alle domande che l’utente pone. Le interrogazioni non sono visibili all’utente. Quando si chiede al browser di connettersi al sito example.com, sarà il sistema a interrogare il DNS per ottenere l’indirizzo IP di quel sito.
Per far funzionare questo sistema su scala mondiale esiste un’architettura di server DNS specializzati che si scambiano informazioni, in modo da permettere al DNS dell’utente (di norma quello dell’ISP) di rispondere. Alla fine della catena ci sono i c.d. “authoritative nameserver”: essi contengono la risposta ufficiale e rispondono direttamente all’utente per il o i domini di loro competenza.
Informazioni di base fornite dal DNS
In origine il DNS traduceva “nomi” in “numeri” e viceversa: ed ancora lo fa. Oggigiorno fornisce molte altre informazioni. Le principali, non esaustive, sono:
CNAME: alias e nome canonico (più host possono condividere lo stesso IP);
MX: mail exchanger (il server di posta elettronica per il dominio);
TTL: “Time To Live” tempo di validità della risposta (ad evitare troppe richieste);
DNSSEC: firma delle risposte per garantirne l’autenticità.
La sicurezza del DNS per l’utente finale
Nulla impedisce a un’organizzazione, piccola o grande che sia, di avere un proprio DNS locale. Questo ha due scopi: interrogare indirettamente gli authoritative nameservers per i domini esterni/ufficiali e gestire internamente nomi locali (es. stampante2.qualcosa.lan), cui corrisponderà un indirizzo IP della rete locale aziendale.
Nel caso di utenti domestici, il modem/router (Wi-Fi e/o cablato) fornito dall’ISP ha già configurati i server DNS, di norma almeno due per ridondanza, che vengono interrogati per risolvere i nomi in numeri e viceversa. In questo modo il vostro ISP può analizzare[¹] quali nomi/indirizzi interrogate. Di fatto è il router che fornisce le risposte ai PC e agli altri dispositivi della rete locale; i DNS configurati nel router sono, normalmente, quelli dell’ISP. E sempre di norma, molti router consentono di cambiare questa configurazione, cioè interrogare altri DNS.
Tuttavia molti software, specie quelli degli smartphone, interrogano i DNS (di norma quelli preferiti dalle “solite” Big Tech) indipendentemente dalle impostazioni del vostro smartphone e del router. In tal caso saranno quasi certamente le Big Tech ad analizzare[¹] quali nomi/indirizzi interrogate.
Cambiare DNS del router e limiti del controllo
Cambiare i DNS del router fornito dall’ISP nella maggioranza dei casi è un’operazione semplice e fattibile anche per un utente domestico. Esistono molti DNS pubblici interrogabili dal vostro indirizzo IP; li troverete facilmente con qualsiasi motore di ricerca su Internet. Ciò non impedisce però agli operatori di questi DNS di analizzare quali nomi/indirizzi interrogate. Molti dichiarano di conservare i log delle interrogazioni per 24 ore a soli fini di debugging; verificare tale affermazione può comunque essere difficile.
Impedire l’interrogazione dei DNS preferiti dalle “solite” Big Tech è più complesso. Qualunque sia il DNS configurato nel vostro router, alcuni dispositivi e alcuni software continueranno a interrogare i server DNS a loro graditi. Impedire che ciò avvenga mantenendo al contempo il normale funzionamento dei dispositivi richiede soluzioni più raffinate, come per esempio “rimappare” / “redirigere” verso il vostro firewall personale o aziendale le richieste DNS. Ciò indipendentemente dalla destinazione originale della richiesta DNS. Tale funzione si chiama “dst-nat” (destination.nat). È una soluzione più raffinata della precedente e gestibile solo da utenti esperti.
DNS over TLS e DNS over HTTPS
Esiste un altro protocollo chiamato “DNS over TLS” (DoT) che cripta, e quindi rende più sicure, le interrogazioni DNS, ma le rende anche più insidiose in termini di controllo. Redirigere (fare destination.nat) di queste interrogazioni DNS è ancora più complicato. C’è anche da sottolineare che questo protocollo è raramente usato e se fallisce le macchine e i software usano come seconda opzione il DNS “tradizionale”. Proprio per eccesso di zelo, si può aggiungere al firewall la regola “drop udp:853 DNS over TLS”, per essere certi che questo tipo di interrogazioni DNS non passino e software e macchine usino come backup il vostro DNS interno o quello esterno prescelto.
Un altro protocollo DNS criptato è il c.d. “DNS over HTTPS” (DoH). Questo protocollo è molto difficile, praticamente impossibile, da controllare e/o redirigere perché al firewall appare come regolare traffico HTTPS (Web). Quasi tutti i maggiori browser permettono comunque di disabilitare questa opzione ed usare il DNS da voi prescelto coi “protocolli normali”. In altre parole, questo è un controllo che non avviene più a livello di firewall ma di browser. Per questo motivo è opinione dell’autore che il “DNS over HTTPS” (DoH), che lo vogliate usare o disabilitare, sia la scelta migliore almeno per i browser: anche se il dibattito fra gli esperti è ancora aperto.
Perché il DNS resta invisibile ma decisivo
In conclusione: le anomalie, i guasti, gli attacchi ai DNS possono portare a malfunzionamenti ai servizi internet. Senza che l’utente medio se ne accorga, essendo il DNS un servizio “importante” quanto “invisibile” / “ignoto” all’utente medio. Per parafrasare una vecchia pubblicità: «no DNS, no party!».
[¹]
nota bene
“analizzare a quali indirizzi IP vi collegate” / “controllare le interrogazioni”, non equivale ad analizzare il contenuto del traffico che ne segue. Per due motivi: una volta che il DNS ha risposto il traffico non passerà dal DNS e quasi tutti i protocolli oggi sono criptati: come HTTPS, DNS over HTTPS e VPN).
Riferimenti
RFC 1034 e RFC 1035 — specifiche storiche del DNS
https://datatracker.ietf.org/doc/html/rfc1034
https://datatracker.ietf.org/doc/html/rfc1035
lo standard DNS-over-TLS (DoT) è il RFC 7858
https://datatracker.ietf.org/doc/html/rfc7858
lo standard DNS over HTTPS (DoH) è il RFC 8484
https://datatracker.ietf.org/doc/html/rfc8484
Un articolo “aulico” quanto istruttivo sul funzionamento del DNS e le sue debolezze
(by Antonio Ieranò, in arte AI)
Il DNS come “libertà” di espressione, non come strumento di censura
Partecipa alla community