Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 03 - Protocolo DNS 04 - Servidores e Zonas

As Zonas DNS representam a partição lógica e administrativa da árvore hierárquica do sistema de nomes global. Enquanto o conceito de “domínio” refere-se à identidade de rede de uma organização, a “zona” é o segmento técnico contíguo de dados sobre o qual um servidor DNS específico detém autorização oficial para responder. Entender a delimitação das zonas e o mecanismo de Delegação de Autoridade é essencial para gerir infraestruturas de rede de grande escala, garantindo que o controle técnico acompanhe a estrutura organizacional da empresa.

1. Diferenciação Técnica: Domínio vs Zona

Embora os termos sejam frequentemente usados como sinônimos, a distinção é fundamental para administradores de redes.
- Domínio (Domain): É um ramo completo da árvore DNS, incluindo todos os seus descendentes. Ex: empresa.com.br inclui vendas.empresa.com.br e ti.empresa.com.br.
- Zona (Zone): É apenas a parte do domínio que não foi delegada para outros servidores. Se a TI gerencia seus próprios servidores independentes, a zona empresa.com.br para de conter os registros da sub-zona ti.empresa.com.br.

2. O Mecanismo de Delegação e a Quebra de Zonas

Uma zona nasce quando um administrador decide segmentar a responsabilidade técnica.
- Autoridade: O detentor da zona superior insere registros NS (Name Server) apontando para os servidores da nova zona filha.
- Glue Records: Para que a Internet encontre a nova zona, o servidor pai deve conter os IPs físicos (registros A ou AAAA) dos servidores NS da zona filha, permitindo a resolução sem loops de dependência.

3. Tipologia de Zonas DNS

Dependendo do seu papel na rede e de como os dados são replicados, uma zona pode ser classificada em diferentes tipos técnicos.

Zona Mestre (Primary Zone)

É a cópia mestra e única de um arquivo de zona. Todas as alterações, adições e deleções de registros DNS são feitas obrigatoriamente aqui. Atualmente, servidores modernos utilizam APIs ou bancos de dados (como o Active Directory Integrated Zones) para facilitar a edição em tempo real.

Zona Escrava (Secondary Zone)

Uma cópia de leitura que recebe dados da zona mestre através de AXFR (Asynchronous Full Transfer) ou IXFR (Incremental Transfer).
- Resiliência: Ter múltiplas zonas escravas em redes geograficamente distintas garante que o domínio permaneça online mesmo em quedas catastróficas do data center principal.

Zona Stub (Stub Zone)

Uma zona especial que contém apenas os registros necessários para identificar os servidores autoritativos de um domínio filho ou parceiro. É usada para otimizar a resolução entre organizações sem a necessidade de replicar todos os dados da zona.

4. O Arquivo de Zona (Zone File - RFC 1035)

Tecnicamente, uma zona é um arquivo de texto plano que segue uma sintaxe rigorosa.
- Diretiva $ORIGIN: Define o nome do domínio base para todos os nomes relativos no arquivo.
- Diretiva $TTL: Define o tempo de vida padrão para todos os registros que não especificarem um TTL próprio.
- Estrutura de RRs: Contém o registro SOA (obrigatório no topo), os registros NS de delegação e os demais registros (A, MX, TXT, etc.) que compõem os serviços do domínio.

5. Perspectiva de Cyber Security: Ataques e Defesas de Zona

Para um analista de Cyber Security, a integridade das zonas DNS é o ponto de partida para a segurança da organização.

Roubo de Dados de Zona (Zone Walking / AXFR Abuse)

Se uma zona não estiver protegida, um atacante pode solicitar uma transferência de zona completa e obter o mapa de todos os hosts internos.
- Defesa: Limitar o comando allow-transfer apenas aos servidores secundários legítimos e utilizar assinaturas TSIG (Transaction SIGnature) baseadas em chaves compartilhadas para autenticar a transferência de dados.

DNS Shadowing através de Zonas Órfãs

Atacantes que comprometem credenciais de registrador podem criar zonas filhas maliciosas (ex: financeiro.suaempresa.com.br) apontando para seus próprios servidores, criando uma infraestrutura de Phishing legítima sob a reputação da sua marca.

6. Diagnóstico e Auditoria de Zonas

A validação da saúde de uma zona exige a conferência de sincronismo e autoridade:

# Verificando as zonas NS delegadas no TLD (.br)
dig . br NS

# Conferindo se a zona autoritativa interna contem os mesmos registros NS
dig @ns1.empresa.com.br empresa.com.br NS

# Analisando o numero Serial do registro SOA para verificar se os escravos estao sincronizados
dig @ns2.empresa.com.br empresa.com.br SOA

Análise de Consistency (FCrDNS): Em auditorias avançadas, verifica-se se os registros PTR das zonas reversas batem exatamente com os registros A das zonas diretas, garantindo a integridade dos sistemas de segurança de e-mail e logs de auditoria.

7. Conclusão: A Unidade Administrativa da Rede

As Zonas DNS são a forma técnica de expressar a autoridade administrativa no ciberespaço. Elas transformam o vasto oceano de nomes da Internet em compartimentos gerenciáveis e seguros. Dominar a criação de zonas, a delegação de autoridade via Glue Records e a proteção de transferências mestre-escravo é uma competência fundamental para qualquer engenheiro que pretenda desenhar arquiteturas de rede distribuídas, escaláveis e resistentes a ataques de desvio de tráfego.