dnsinspect.com informe sobre DNS

Consejos y soluciones sobre virus, rogues y otras amenazas...
Responder
federico
Nivel 10
Mensajes: 2243
Registrado: 02 Ene 2011, 17:26
Twitter: @

dnsinspect.com informe sobre DNS

Mensaje por federico »

Por ejemplo

http://www.dnsinspect.com/spamloco.net/1474195237

" Name Servers Distributed on Multiple ASNs
WARNING: All name servers are located in one Autonomous System:
AS11274:
ns1.spamloco.net.
ns2.spamloco.net.
Name servers should be dispersed (topologically and geographically) across the Internet to avoid risk of single point of failure (RFC 2182)."

Supongo que esa advertencia es porque los DNS están en un mismo sitio físico (El del proveedor), allí no podemos hacer nada para solucionar

pero qué significa esta otra advertencia?

" SOA Refresh
WARNING: Refresh interval is 86400. Recommended values [1200 .. 43200] (20 min ... 12 hours). Refresh field from SOA record determines how quickly zone changes are propagated from master to slave."
Avatar de Usuario
Alejandro
Administrador
Mensajes: 4111
Registrado: 04 May 2009, 18:28
Twitter: @spamloco
Ubicación: Uruguay
Contactar:

Re: dnsinspect.com informe sobre DNS

Mensaje por Alejandro »

El primer warning es lo que comentas, es mejor que estén distribuidos por si hay alguna falla. La solución podría ser utilizar algún servicio de DNS para no usar los del servidor, o algún servicio como Cloudflare que tiene servidores por todo el mundo.

La segunda advertencia es el tiempo que se toma el DNS secundario en chequear si se han realizado cambios en el DNS primario, ese valor de 86400 (24 horas) lo debo tener por defecto y parece que es muy alto.

Estuve leyendo un poco más y encontré estos enlaces que lo explican mejor:

- La estructura de un registro SOA del DNS
El Tiempo, en segundos que un servidor DNS secundario espera antes de consultar el registro SOA del servidor DNS principal para comprobar los cambios. Cuando caduca el tiempo de actualización, el servidor DNS secundario solicita una copia del registro SOA actual del primario. El servidor DNS principal cumple con esta solicitud. El servidor DNS secundario compara el número de serie del registro SOA actual del servidor DNS principal y el número de serie en su propio registro SOA. Si son diferentes, el servidor DNS secundario solicitará una transferencia de zona desde el servidor DNS principal. El valor predeterminado es 3.600.
- Rotar o 'Resetear' el numero serial de una zona DNS
El numero serial de una zona DNS es uno de los campos del registro SOA (Start of Authority). El mismo indica un versionado del contenido de la zona y es utilizado en particular por los servidores secundarios para decidir si deben copiarse nuevamente una zona o no.

Cuando realizamos modificaciones a una zona DNS debemos incrementar el serial ya que de esa forma los secundarios saben que deben transferirse la zona nuevamente para replicar los cambios que hayamos introducido.
federico
Nivel 10
Mensajes: 2243
Registrado: 02 Ene 2011, 17:26
Twitter: @

Re: dnsinspect.com informe sobre DNS

Mensaje por federico »

Muy interesante. Igual supongo que mejorar / optimizar esos parámetros ya es hilar muy fino. En mi caso que mi sitio tiene 4 páginas locas ni me complico, pero siempre está bueno saber esa info y más que nada ese tipo de sitios que hacen el chequeo.

Gracias
Responder