Documente Academic
Documente Profesional
Documente Cultură
Duracin
8:00 H
Primera Parte
Servicio DNS
(Domain Name Service)
Objetivo
Introduccin,
implementacin, Gestin y
configuraciones avanzadas
del servicio DNS.
2
Ing. Ariel Alvarez Enrquez
Contenido
Consideraciones generales.
Implementar el servicio de DNS.
Gestionar el servicio de DNS.
Asegurar el servicio de DNS.
3
Ing. Ariel Alvarez Enrquez
Consideraciones Generales
Qu es el servicio de DNS?
Breve historia sobre DNS.
Componentes y funciones de DNS.
Como DNS trabaja?
El protocolo DNS.
Localizacin de los recursos.
4
Ing. Ariel Alvarez Enrquez
Qu es el servicio de DNS?
DF
5
Ing. Ariel Alvarez Enrquez
DNS
Database
com
usr
/usr/local/bin
local
Ing. Ariel Alvarez Enrquez
example.com
example
Componentes y funciones
Estructura autoritativa
jerrquica
Fichero Master
y resource records
Jerarqua de dominios
TLD
Servidores, tipos,
roles y funciones
Registro de dominios
de segundo-nivel
Proceso de resolucin
y resolver
Especificaciones de
nombres de dominios
Administracin de
zonas de DNS
Mensajes de DNS,
formato y notificacin
Registro de Nombres
Servidores y
Resolucin de Nombre
Arquitectura de
nombres jerrquicos
Reglas de nombres y
de estructuras de DNS
7
Ing. Ariel Alvarez Enrquez
8
Ing. Ariel Alvarez Enrquez
Interpretaciones de la estructura.
Registros de internet.
9
Ing. Ariel Alvarez Enrquez
Interpretaciones de la estructura
...
...
Root D
ccTLD
gov
org
gTLD
net
cu
ca
desoft
debian
arpa
arpa
.in-addr
...
.192
cfr
.200
Sub-Domain cfr
Nota:
Country Code TLDs usa un estndar de dos caracteres secuencia definida por la ISO 3166.
Ing. Ariel Alvarez Enrquez
TLD
SLD o
Domain
Sub-D
10
com
Ruta
cfr
org
dominio cu
dominio desoft.cu
sub-dominio cfr.desoft.cu
Espacio de nombre
de dominio.
(Domain Name Space)
...
...
nodo desoft.cu
cu
desoft
oc
com
org
nodo cfr.desoft.cu
cfr
Formato:
FQDN (Fully Qualified Domain Name)
sld.tld Parcial
O bien,...
cadena.cadena.cadena.... cadena.
e.j. ns.cfr.desoft.cu Completo
ftp www
Resource Records
RR www.cfr.desoft.cu
Nota:
RR ftp.cfr.desoft.cu
Rutas
Otras clases:
La clase basada en el protocolo Chaosnet (es una vieja red de enorme significado histrico).
La clase basada en el uso del software Heisod (esta es limitada mayormente para MIT).
Ing. Ariel Alvarez Enrquez
13
Registros de Internet
gTLD com.
manager
gTLD biz.
manager
Root name
servers
ICANN
IANA
gTLD gh.
manager
RIPE
(Europe and
Middle East)
APNIC
(Asia-Pacific)
LACNIC
(latin America
Including the
caribbean)
AfriNIC
(Africa and
Indian ocean
region)
ISP1
Company
1
ARIN
(Norte
America)
Company
2
Company
3
...
Company
4
...
14
Nota:
Home pages:
RFC-editor: (http://www.rfc-editor.org/).
ICANN (The Internet Corporation for Assigned Names and Numbers) : (http://www.icann.org/).
15
Nombre RIR
Cobertura
Web
APNIC
Pacifico Asitico.
www.apnic.net
ARIN
www.arin.net
LACNIC
www.lacnic.net
RIPE
AfriNIC
www.afrinic.net
16
Ing. Ariel Alvarez Enrquez
10.0.0.0
172.16.0.0
192.168.0.0
10.255.255.255
172.31.255.255
192.168.255.255
17
Ing. Ariel Alvarez Enrquez
Delegacin y autoridad
...
cu
nodo desoft.cu
Administrada por desoft
com
desoft.cu
delegada a desoft
desoft
oc
org
cfr
nodo cfr.desoft.cu
Administrada por cfr
Las zonas
zona desoft.cu
.
dominio cu
zona desoft.cu
cu
cu
desoft
desoft
oc
cfr
hab
zona oc.desoft.cu
oc
hab
zona cfr.desoft.cu
zona hab.desoft.cu
Ing. Ariel Alvarez Enrquez
dominio cu
zona hab.desoft.cu
cfr
19
Servidores de nombres
Servidores de Nombres
Master (Primary) Name
Servers
Descripcin
Servers
Obtiene sus fichero de zona por una zona de transferencia
desde el Master (Primary) Name Servers.
Roles
Descripcin
Caching Name Servers
Suministra peticiones recursivas para clientes y salva los
resultados en cache.
Forwarding (Proxy)
Pasa todas la peticiones las cuales no tiene en cache a un
Name Servers
Caching Name Server.
Stealth (DMZ or Split)
Un servidor de nombre en defensa perimetral, el cual separa los
Name Server
servicios suministrados para usuarios internos y externos.
Authoritative-only Name Solo suministra respuestas autoritativas, es un zone master o un
Server
zone slave, y no soporta peticiones recursivas.
20
Ing. Ariel Alvarez Enrquez
El resolver
Programa
Cliente
Libreras
(Software)
Peticin
Resolver
Respuesta
Servidor de
Nombre
Linked
Cache
21
Ing. Ariel Alvarez Enrquez
La resolucin
DF
Ofrecer sus datos desde las zonas para los cuales son autoritativo.
Buscar datos a travs del espacio de nombre de dominio para los
cuales ellos no son autoritativo.
in
Petic
Resolver
Ing. Ariel Alvarez Enrquez
uesta
p
s
e
R
Referencia
Peticin
ti
e
P
n
i
c
f
Re
ci
n
e
er
Peticin
Respuesta
D
22
La resolucin (Cont.)
Peticiones recursivas.
Peticiones iterativas (o no recursivas).
Peticiones inversas (reverse mapping).
23
Ing. Ariel Alvarez Enrquez
Peticiones recursivas
DF
PC
Browser
Peticin
Resolver
Respuesta
www.example.com
Nota:
DNS Local
Ficheros
de zona
Referencia
Peticin
Referencia
Peticin
DNS
Root server
DNS
.com TLD
DNS
example.com
Respuesta
Los servidores de nombre no son requeridos para soportar peticiones recursivas, y el resolver (u otro servidor
de nombre actuando recursivamente en beneficio de otro resolver) negocian el uso del servicio recursivo
24
usando bits en la cabecera de la peticin.
Ing. Ariel Alvarez Enrquez
DF
Nota:
25
Peticin iterativa.
Cache
PC
Browser
Peticin
Resolver
DNS Local
Referencia
Ficheros
de zona
www.example.com
Lista
(de los servidores root)
Peticin
Referencia
Peticin
Referencia
Peticin
DNS
Root server
DNS
.com TLD
DNS
example.com
Respuesta
26
Ing. Ariel Alvarez Enrquez
Peticiones inversa
DF
e.j. (recursivo).
Cache
PC
Lnea de
comando
Peticin
Peticin
Resolver
Respuesta
15.250.168.192.in-addr.arpa
DNS Local
Ficheros
de zona
Referencia
Peticin
Referencia
Peticin
Respuesta
Peticin
Nota:
Respuesta
DNS
Root server
192.in-addr.arpa
DNS
RIR (.168)
DNS
LIR (.250)
DNS
End-User (.15)
Histricamente, reverse IPv4 mapping no fue obligatorio. Muchos sistemas (especialmente servidores de
correo) ahora lo usan para simplificar la seguridad y el chequeo de autenticacin, as la propia
implementacin y mantenimiento de reverse mapping es ahora una practica esencial.
domain .ARPA - (Address and Routing Parameter Area).
27
El cache de DNS
Mecanismos de cache.
Mecanismo
Descripcin
Caching
Negative Caching
Esta tambin posible que los servidores de DNS (to cache) registren
los resultados intentos de resolucin de nombres insatisfactorio.
Nota:
El valor de este campo es controlado por el propietario del RR, quien puede adaptar este para las necesidades
especificas de cada tipo de RR.
Criterio - IMPORTANTE
Un TTL pequeo ayuda asegurar que la data en sus zonas sea consistente a travs de la red, debido a que
este incrementara la carga en sus servidores de nombre y alargar el tiempo de resolucin para la
informacin de sus zonas.
Un TTL grande acorta el promedio de tiempo que este toma para resolver la informacin en sus zonas
debido a que la data puede estar ms tiempo en cache, el inconveniente es que su informacin ser
inconsistente por mucho tiempo si usted cambia sus datos en los servidores de nombre.
Ing. Ariel Alvarez Enrquez
28
Mantenimiento de zona
Zona de transferencia.
Notificacin (NOTIFY).
Zona de transferencia completa (AXFR) o
incremental (IXFR).
Actualizaciones dinmicas.
29
Ing. Ariel Alvarez Enrquez
Zona de transferencia
DF
Proceso:
3
RR
Incremento SOA
Cambios en
los registros
de la zona
Master
Master
1
2
Ficheros
de zona
AXFR o IXFR
Notificacin
Slave
Peticin SOA
Zona de Transferencia
Nota:
La zona de transferencia permite eficiencia en las operaciones de DNS, pero tambin son una importante
fuente de amenazas.
Criterio - IMPORTANTE
Un DNS Slave puede comprometerse si acepta actualizaciones de zona desde fuentes maliciosas. Asegure
que, como mnimo el servidor Slave solo acepte transferencia desde fuentes conocidas y confiables.
Ing. Ariel Alvarez Enrquez
30
Actualizaciones dinmicas
Dos arquitecturas:
33
Ing. Ariel Alvarez Enrquez
El protocolo DNS
DF
e.j.
http://tux:xx123@www.example.com:80/cgi-bin/pix.php?Wedding03#Reception07
<port>
<password>
<user>
<scheme>
<host>
<url-path>
<query>
<fragment>
http://tux:xx123@www.example.com:80/cgi-bin/dwww/.../Bv9ARM.ch01.html
Depende de la implementacin de sitio
35
Ing. Ariel Alvarez Enrquez
Contenido
Consideraciones generales.
Implementar el servicio de DNS.
Gestionar servicio DNS.
Asegurar el servicio de DNS.
36
Ing. Ariel Alvarez Enrquez
37
Ing. Ariel Alvarez Enrquez
/var/lib/:
cache
bind
/usr/share/bind9/:
named.conf.options
/usr/share/doc/bind9-doc/:
arm misc changelog.Debian.gz changelog.gz copyright
Ing. Ariel Alvarez Enrquez
39
Laboratorio
40
Ing. Ariel Alvarez Enrquez
41
Ing. Ariel Alvarez Enrquez
42
Ing. Ariel Alvarez Enrquez
#named
...
Sin parmetros el comando carga la configuracin por defecto del fichero named.conf.
[-c config-file] Usa el fichero config-file como el fichero de configuracin en lugar de
named.conf.
-p port indica que escuche las peticiones por otro puerto, si no se especifica, por defecto
puerto 53.
Vea man named para ms detalles.
43
Ing. Ariel Alvarez Enrquez
44
Ing. Ariel Alvarez Enrquez
slapd
[ ] [X] [X]
[X] [X]
[]
[]
S
[]
45
Ing. Ariel Alvarez Enrquez
0.0.0.0:*
0.0.0.0:*
0.0.0.0:*
0.0.0.0:*
:::*
:::*
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
2346/named
2346/named
2346/named
2346/named
2346/named
2346/named
46
Ing. Ariel Alvarez Enrquez
Laboratorio
47
Ing. Ariel Alvarez Enrquez
Escenario.
El directorio de configuracin.
Formato del fichero de zona.
Resource records.
48
Ing. Ariel Alvarez Enrquez
Escenario
El directorio de configuracin
Directorio actual:
# ls /etc/bind/ | sort
bind.keys
db.0
db.127
db.255
db.empty
db.local
db.root
named.conf
named.conf.default-zones
named.conf.local
named.conf.options
rndc.key
zones.rfc1918
Ficheros de zona
Fichero de configuracin
Fichero de configuracin (include)
50
Ing. Ariel Alvarez Enrquez
Directivas:
e.j. $TTL 2d
$TTL 172800
51
Ing. Ariel Alvarez Enrquez
52
Ing. Ariel Alvarez Enrquez
e.j. @
IN
retry (#m) define el intervalo si el Slave falla para hacer contacto con la zona
mster durante un ciclo de refrescamiento (valores tpicos 10 a 60min).
expiry (#w) define el tiempo despus del cual los records de la zona no sern ms
autorizados. El Slave contactara la zona mster, de ser posible los contadores retry y
expiry sern inicializados (valores tpicos 1 a 3 semanas).
min (#h) el periodo de tiempo que las respuestas negativas puedan estar
registradas en cache por el Slave (valores tpicos 1 a 3h).
54
Ing. Ariel Alvarez Enrquez
mail
www
tux
IN
IN
IN
IN
A
A
A
A
192.168.1.4
192.168.1.2
192.168.1.5
192.168.1.10
IN
IN
IN
A
A
A
192.168.1.5
192.168.1.7
192.168.1.8
e.j. ftp
IN
CNAME
ftp.example.net.
56
Ing. Ariel Alvarez Enrquez
e.j. srv-ftp
IN
IN
A
CNAME
192.168.1.6
srv-ftp.example.com
e.j. srv-ftp
IN
IN
A
A
192.168.1.6
192.168.1.6
ftp
ftp
IN
A
192.168.254.7
; alias www.example.com para example.com
www
IN
CNAME
example.com.
Ing. Ariel Alvarez Enrquez
57
e.j. 4
2
5
10
IN
IN
IN
IN
PTR
PTR
PTR
PTR
ns1.example.com.
mail.example.com.
www.example.com.
tux.example.com.
60
Ing. Ariel Alvarez Enrquez
Funcionalidades a suministrar:
61
options {
directory /var/named;
version No esta actualmente disponibles;
allow-transfer { 192.168.1.2; };
recursion yes;
};
62
Ing. Ariel Alvarez Enrquez
Una alternativa:
(deshabilitar las transferencias de zona en la clausula
options y selectivamente habilitarla en la clausula zone
requerida)
e.j. ...
options {
...
allow-transfer { none; };
...
}
...
zone "example.com" in {
...
allow-transfer { 192.168.1.2; };
...
};
63
Funcionalidades a suministrar:
64
Ing. Ariel Alvarez Enrquez
65
Ing. Ariel Alvarez Enrquez
options {
directory /var/named;
version No esta actualmente disponibles;
allow-transfer { none; };
recursion yes;
};
66
Ing. Ariel Alvarez Enrquez
Funcionalidades a suministrar:
options {
directory /var/named;
version No esta actualmente disponibles;
allow-transfer { none; };
recursion yes;
};
Funcionalidades a suministrar:
options {
directory /var/named;
version No esta actualmente disponibles;
forwarders { 10.0.0.1; 10.0.0.2; };
forward only;
allow-transfer { none; };
recursion no;
};
68
Una alternativa:
(deshabilitar la redireccin de la clausula options y
selectivamente habilitarla en la clausula zone requerida)
69
Ing. Ariel Alvarez Enrquez
Funcionalidades a suministrar:
70
Ing. Ariel Alvarez Enrquez
options {
directory /var/named;
version No esta actualmente disponibles;
allow-transfer { none; };
recursion no;
};
71
Ing. Ariel Alvarez Enrquez
Laboratorio
72
Ing. Ariel Alvarez Enrquez