Principal não listado (também conhecido como shadow principal, unlisted / shadow master) é uma configuração geralmente encontrada em intranets estritamente seguras. Em resumo, este é um servidor primário que não possui registro NS no domínio pai. Em outras palavras, servidor primário sem delegação. A delegação deve apontar para um ou mais servidores escravos .
Cenário: Sua empresa ACME possui uma intranet e o servidor DNS principal, usado pela maioria dos clientes. Ele hospeda a zona "intranet.acme.com". Agora, você está configurando uma sub-rede estritamente segura, com um servidor DNS e um domínio "finances.intranet.acme.com" separados.
- Você deseja que toda a organização possa consultar os registros DNS.
- Você não deseja que toda a organização tenha tráfego de rede em seu servidor DNS.
- Você quer ser o único a alterar os registros DNS.
Solução: não especifique seu servidor como NS para "finances.intranet.acme.com". Em vez disso, especifique algum outro servidor como NS, contanto que você possa convencer o administrador a hospedar "finances.intranet.acme.com" como escravo. (O servidor DNS principal da organização, que delegaria o subdomínio para você, surpreendentemente é uma boa escolha para esse escravo.) Seu precioso servidor local agora ficará praticamente invisível na hierarquia do DNS. Ele só fornece transferências de zona para o escravo e (opcionalmente) responde a consultas de um conjunto de clientes de sua escolha.
NB: cabe a você qual servidor você especifica no registro SOA. Pode ser o seu servidor "não listado", pois o registro SOA não é usado para percorrer a hierarquia do DNS.
Da mesma forma, você também pode criar um servidor escravo não listado - um servidor escravo para um domínio, que não está listado nos registros NS do domínio. Novamente, este servidor receberá apenas tráfego de clientes que conhecem o endereço IP, pois seu endereço não pode ser obtido de nenhum outro servidor DNS. Ele responderá às consultas como qualquer outro escravo: com autoridade e rapidez (ou seja, usando apenas o arquivo de disco local).
Outro esquema, que é um pouco incompatível com o conceito "servidor não listado" acima, mas vale a pena conhecer.
O autor do dnscache e tinydns recomenda que os servidores DNS sejam estritamente divididos em dois tipos:
-
Cache DNS (também conhecido como servidor recursivo somente , mas acho que isso é um nome impróprio) - um servidor que não possui dados autoritativos, mas realiza consultas recursivas e iterativas em nome do clientes; armazena as respostas em cache;
-
servidor somente de autoridade (também conhecido como servidor não-recursivo ) - um servidor que responde a consultas apenas sobre seus dados oficiais, mas não executa consultas recursivas nem iterativas em nome de ninguém. Este servidor não precisa implementar o cache, pois ele nunca precisa responder de maneira não autorizada. Esse servidor é inútil para clientes normais, porque eles precisam que suas perguntas sejam respondidas completamente (recursivamente). Os "clientes" que devem consultá-lo são outros servidores DNS - para ser mais preciso: caches DNS.
Do ponto de vista da segurança, o cache do DNS é sempre muito vulnerável a envenenamentos (registros DNS falsos) e a outros tipos de ataques, porque naturalmente ele precisa se conectar a muitos servidores DNS não confiáveis pela Internet. Portanto, as respostas autoritativas devem ser fornecidas por um software diferente, já que você realmente quer ter certeza de que o seu servidor DNS não divulgue dados autoritativos sobre seu domínio para toda a Internet .