Il fine di questo articolo è quello di promuovere l'uso degli alternative DNS, in particolare quelli OpenNIC i quali possono dirsi veramente non-profit.
Per iniziare a parlare di DNS innanzitutto dovremo spiegare a cosa servono e poi in che modo funzionano.
Il Domain Name System (DNS) ha la funzione di aiutare gli utenti nella navigazione in internet. Ogni computer ha un indirizzo unico, proprio come un numero di telefono, chiamato "indirizzo IP", dove IP sta per Internet Protocol. Questo indirizzo, essendo composto solo da numeri, sarebbe evidentemente difficile da ricordare.
Il sistema DNS risolve questo problema, infatti è possibile associare all'indirizzo IP una stringa di lettere che viene detta "nome di dominio". Usando quindi questo nome dal proprio browser è possibile accedere al sito desiderato, quindi al posto di scrivere 192.0.34.65, potremo scrivere www.icann.org.
Oltre che per navigare in internet i nomi di domino vengono utilizzati anche per le email e altre applicazioni.
La traduzione del nome in un indirizzo ip è chiamata "risoluzione del nome di dominio". Questa operazione viene svolta dai server DNS, ma vediamo di schematizzare brevemente cosa accade:
- Per prima cosa cerchiamo di accedere ad un sito web ad esempio www.icann.org.
- Il nostro browser recupera dalle impostazioni TCP/IP della scheda di rete usata gli indirizzi ip dei server DNS che abbiamo impostato.
- Il browser invia la richiesta di traduzione a questi server DNS, e attende la risposta ovvero il vero indirizzo IP del web server.
- Ricevuta la risposta invia la richiesta dati al pc remoto dove risiede il web server usando il suo IP.
- Riceve i dati web e li visualizza.
Questo è in breve ciò che accade quando si naviga in internet.
Univocità della risoluzione dei domini
Cosa accadrebbe se ci fossero più sistemi di risoluzione DNS che, magari a seconda del posto dal quale facciamo la richiesta, ci rinviassero a due indirizzi diversi?
Di sicuro non saremo certi che inviando una email ad un destinatario quest'ultimo la riceva, non saremo certi che accedendo a un sito web questo sia l'"originale", etc...
Insomma se il chiamante fa un determinato numero di telefono pretende che a rispondere sia una determinata persona, e questa connessione deve essere univoca.
A questo punto subentra l'organizzazione ICANN.
ICANN è responsabile di gestire e coordinare i DNS in modo da garantire l'universale risoluzione dei nomi di dominio.
ICANN è globale, "non-profit", e coordina il settore privato nell'interesse pubblico.
ICANN assicura il corretto e coerente funzionamento del DNS, mappando ogni dominio col corretto indirizzo IP.
Bisognerebbe spendere due parole sulla caratteristica del non-profit visto che questo è vero solo in teoria, infatti per poter registrare un dominio è necessario essere dei mantainer, cioè società abilitate a registrare i domini e per esserlo bisogna pagare. Queste società a questo punto chiedono di essere pagate dagli utenti che desiderano avere un proprio dominio e quindi alla fine tutto questo non-profit diventa solo una bella favola.
Implementazione del DNS
Per ora abbiamo descritto a cosa serve il sistema DNS, vediamo di spiegare come funziona.
In un indirizzo internet, come ad esempio icann.org, la parte .org è conosciuta come Top Level Domain, o TLD. Le organizzazioni dette "TLD registry" sono responsabili dei database con le informazioni per i domini di un particolare TLD. Per esempio il database del registro relativo a .org registry conterrà i dati e l'indirizzo ip del dominio icann.org. Così per trovare l'ip relativo a quel dominio ci si dovrà rivolgere al .org registry database. Come si fa?
Il cuore del DNS sono 13 computer speciali, chiamati root server. Questi sono coordinati dal ICANN e sono sparsi in tutto il mondo. tutti e 13 contengono le stesse vitali informazioni in modo da suddividere il carico di lavoro in più parti.
Perché questi root servers sono così importanti? I root server contengono gli indirizzi IP di tutti i registri TLD registries, ad esempio i registri globali .com, .org, etc. e i 244 registri nazionali come .fr (Francia), .cn (Cina), etc. Se queste informazioni critiche non fossero corrette al 100% o fossero ambigue, le informazioni fornite non sarebbero uniche e autentiche.
Sparsi in internet si trovano qualche migliaio di computer chiamati "Domain Name Resolvers" o solamente "resolvers", questi ciclicamente memorizzano e aggiornano la loto cache (memoria) con le richieste che ricevono dagli utenti e le risposte dei root server. Questi risolutori sono posizionati strategicamente nei server degli Internet Service Providers (ISPs) o nelle reti istituzionali. Essi hanno il compito di rispondere alle richieste di risoluzione di un dominio dei vari utenti e fornendo loro il relativo indirizzo IP.
Nel caso di una richiesta per icann.org , il risolutore locale, se non ha già in memoria la risposta, divide la richiesta in due parti, inviando la richiesta a sua volta al root server che la inoltra al database relativo al dominio di primo livello .org, il quale troverà al suo interno l'ip corrispondente a icann.org. L'informazione sarà restituita all'utente e con questo si conclude la risoluzione del dominio.
Il sistema DNS è gerarchico per cui su una query del tipo www.icann.org la risoluzione del dominio di primo livello (.org) è fatta dal root server, la risoluzione del dominio di secondo livello (icann) è fatta dal registro .org, la risoluzione del dominio di terzo livello (www) e oltre sono delegate al server remoto.
I "risolutori" sono necessari perché allegeriscono il carico dei root server, aumentando le performance dell'intero sistema DNS.
Alternate root
Chiunque può creare un sistema server root simile a quelli gestiti da ICANN e molti lo fanno. Alcuni sono privati e gestiscono i nomi all'interno di reti aziendali, altri invece si sovrappongono al sistema DNS unico e autoritario, aggiungendo alcuni nuovi TLD che ICANN non riconosce, ad esempio .xxx .art .chat .game etc.
Gli operatori che agiscono come alternate root cercano di persuadere gli utenti ad usare i loro server dns alternativi al posto di quelli "ufficiali" a volte ricorrendo a speciali pluging per i browser. Questo fenomeno se fatto con fini commerciali o illegali può costituire un problema per la sicurezza in internet, dato che minerebbe il principio di unicità nella risoluzione di un dominio.
Questo è quello che fino ad ora si è sempre affermato, ma il problema e che questa paranoia sulla sicurezza finisce sempre nel gravare come un costo su tutti, rendendo uno strumento di libertà come internet, sempre asservito ai soliti interessi di pochi.
Un esempio sono i vari tentativi di oscurare i siti da parte di qualche governo.
Oscuramento di un sito
Per oscurare un sito, cioè per non renderlo più fruibile dagli utenti si possono percorrere due strade.
- La prima è quella di filtrare gli IP.
- La seconda è quella di filtrare il nome del sito.
A mio parere entrambe sono ridicole e me spiegheremo i motivi.
La prima, cioè quella di filtrare gli indirizzi IP provenienti dall'host che ospita il web server da oscurare, ha come vantaggio che non sarebbe possibile aggirare il blocco da parte dell'utente, ma ha come svantaggio che su un host possono risiedere diversi siti web, per cui oscurando l'host si impedirebbe l'accesso a tutti i web server che questo contiene.
Pensate se un governo volesse censurare un video su YouTube e per questo oscurasse l'intero sito...
Naturalmente il filtro sarebbe imposto agli ISP locali e da un altro stato sarebbe ugualmente fruibile.
La seconda invece impone un filtro sui server DNS dell'ISP locale che non dovrebbe risolvere un determinato dominio, impedendo così all'utente di potercisi connettere.
Questo blocco come già accaduto in passato si può aggirare impostando dei parametri DNS di un altro ISP, magari neanche italiano, oppure direttamente degli root dns alternativi.
La conclusione è che nessuna delle due soluzione è accettabile, perché per risolvere un problema su una rete globale qual'è internet, è necessario intervenire a livello globale, questo implica la necessaria collaborazione tra tutti i governi e le loro reti nazionali.
OpenNIC
OpenNIC è un Network Information Center/DNS root alternativo all'ufficiale ICANN.
OpenNIC offre la registrazione di vari Top Level Domains(.com, .org, etc) che non sono disponibili con ICANN, come .indy, .geek, .null, etc.
I domini con le terminazioni non standard offerte da OpenNIC non potranno essere risolti dai server ICANN, mentre al contrario tutti i domini standard possono essere risolti usando i server DNS di OpenNIC.
Quindi un consiglio per tutti i naviganti è quello di utilizzare i dns di Open NIC, in questo modo si avrà accesso a molti siti fuori dalle frontiere imposte da ICANN.
I dns da impostare sono:
Località Indirizzo IP
AU,QLD 58.6.115.42
AU,QLD 58.6.115.43
AU,VIC 119.31.230.42
FR 82.229.244.191
FR 88.191.51.140
UK 91.186.21.136
US,AK 216.67.98.38
US,CO 216.87.84.209
US,TX 71.170.11.156
Una pagina che descrive come impostarli e quindi effettuare la migrazione è questa http://www.opennicproject.org/migrate.
Come suggerimento è preferibile inserire un server dns standard e un secondo appartenente alla lista OpenNIC, in questo modo se il sito è standard verrà utilizzato il primo, se il sito è non standard dopo un primo tentativo col primo verrà utilizzato il secondo.
Nel caso che qualcuno fosse interessato a creare un sito e ad associargli un nome di dominio in maniera gratuita, potrà scegliere tra i vari domini di primo livello :
- .bbs
- .fur
- .free
- .geek
- .glue
- .gopher
- .indy
- .ing
- .mud
- .null
- .oss
- .parody
- .s
Ora è anche prevista una gestione in automatico del server dns, come invece accade per il servizio di dns dinamico di DYNDNS, il quale non è un alternative dns ma offre in maniera gratuita dei domini di terzo livello tra gli 88 di secondo livello disponibili.
Questo significa che se avete una connessione con ip dinamico, cioè che varia ogni qual volta che riavviate il modem, potete aggiornare i servers dyndns con un semplice software da installare su pc oppure direttamente nel vostro router.
In questo modo potrete accede al server che avete installato a casa vostra digitando il nome si dominio che avete scelto.
