Documente Academic
Documente Profesional
Documente Cultură
Buscar... E n c u es t a s
Inicio Tutoriales Software Libre BIND para mortales
¿Qué requiere Linux para
incrementar su uso en el
Ac c es o BIND para mortales escritorio?
Usuario Clave Más aplicaciones
Puntos del usuario: / 21
Soporte técnico
Peor Mejor Puntos
Ingresar Publicidad
Recordarme jueves, 28 julio 2005
¿Olvidó su clave?
Vote Resultados
¿No dispone de una? Crear una Este es el primero de una serie de COMOS que se publicarán en este sitio, enfocados a proporcionar la teoría y la
cuenta Menciona el trema que más te
práctica sobre temas selectos, orientados al administrador novato/intermedio.
interesaría para una conferencia
BIND es el servidor de nombres de dominio más popular en Internet, que trabaja en todas las plataformas Virtualización
Principa l informáticas principales y se caracteriza por su flexibilidad y seguridad. A continuación se puede encontrar tanto la
Cloud Computing
Inicio teoría general de los servicios de DNS, como una explicación detallada de los campos y opciones de la
configuración de BIND, ejemplos, opciones de seguridad, herramientas de verificación, ligas de información Clustering
Noticias
adicional y otras más.
Seguridad
Enviar noticias
Los sistemas operativos para las pruebas de este manual fueron Fedora Core 2 con kernel 2.6.8 y Solaris 9; la
Cursos versión de BIND fue la 9.2.3 en Linux y la 8.4.2 en Sun.
Curso de MySQL avanzado
Curso de PHP y MySQL Introducción.
Cursos de Ubuntu Linux
Instalaciones y documentación Domain Name Service (DNS) es el servicio que resuelve los nombres de dominio asociados a una dirección IP
Guías de administración de para direccionar las peticiones a un servidor en específico. Se utiliza cuando un nodo (o host) en Internet contacta
Ubuntu. a otro mediante el nombre de domino de la máquina y no por su dirección IP.
PHP & MySQL :: Un enfoque A través de este documento se verán las generalidades del servicio de resolución de nombres, la configuración y
integrado mantenimiento de un servicio de nombres con BIND, bajo la plataforma Linux, aunque la mayoría de estos
Productos conceptos se pueden aplicar a la cualquier servicio de DNS sobre otras plataformas.
Admin stick 2.0
Anunciantes en México Extremo Regularmente, todos los equipos que están en Internet o una Intranet tienen una dirección IP única que las
identifica, generalmente dividido en cuatro segmentos u 'octetos', cuya representación es, por ejemplo,
Red Segura PyME
'172.29.183.217', pero el recordar todas las direcciones en este formato sería sumamente difícil, por lo que
Zimbra en tu empresa
utilizamos los nombres de dominio para referenciarlos.
Existen varios productos que realizan esta función y en todas las plataformas, pero el más usado es BIND
Nota s a l a za r
(Berkeley Internet Name Domain), que puede ser descargado libremente desde http://www.isc.org/index.pl?
En la mente de un creador de virus /sw/bind/, es distribuido bajo la GNU GPL y que al momento de escribir este documento, se encuentra en la
17:19 - 27.12.2004 Noticias >> versión 9.3.
Seguridad
¿Un desarrollador de virus siempre
es un sociópata? Es la imagen que
Teoría sobre servidores de nombres de dominio.
siempre hemos tenido de esta
gente, pero no siempre es así. Al Funciones de un servidor de dominio.
respecto, tenemos varios grupos de
desarrolladores de este tipo de Estas varían de acuerdo a los nombres se que buscan resolver:
programas, que no incluyen código
Soporte al dominio de Internet. Atiende las peticiones dirigidas a los servicios que se prestan desde adentro de la
malicioso sino que inventan nuevas
organización, como WEB, FTP y correo, hacia Internet. Se requiere que se identifiquen estos servidores como
formas de mutaciones y
autoridades DNS por parte de NIC. Se recomienda tener dos de estos, lo más independiente posible el uno del
transmisión. Uno de estos grupos es
otropor razones de seguridad.
29A (http://29a.host.sk/), cuyo uno
de sus miembros ofreció esta Resolución local de nombres: Resuelve las peticiones de adentro de la LAN, eliminando la necesidad de conocer y
reveladora entrevista a Virusattack. actualizar programas y peticiones si se cambian las direcciones IP de los servidores. Aunque es posible, se
recomienda mantener separado este servicio del anterior, por razones de seguridad.
Publicado originalmente:
2003-09-02 Resolución de nombres por Internet. Es su forma más básica, que generalmente sólo tranfiere las peticiones a
Leer más... NIC en caso que el DNS principal no funcione.
No es necesario que se tengan las tres variaciones al mismo tiempo, sino que depende de las necesidades de la
Administrador organización.
Esta es similar a un arbol, donde se tiene una raíz o root, los Dominios de Nivel Principal (Top Level Domains) y
los dominios de segundo nivel, como se aprecia a continuación.
1 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
Básicamente, el servidor DNS que tenemos configurado busca dentro de su lista de nodos por el que
preguntamos, en caso de desconocerlo refiere la petición a NIC, que a su vez la transfiere al servidor que
resuelva los nombres del dominio solicitado.
Zonas.
Los nombres de dominio completamente calificados o FQDN (fully qualified domain name) se componen por lo
general del nombre del host, un nombre de dominio secundario y un nombre de dominio primario o de nivel
máximo (top-level domain), que son secciones organizadas jerárquicamente.
Por ejemplo: 'www.ejemplo.com'. Leyéndolo de derecha a izquierda tenemos un dominio primario ('COM'), un
dominio secundario ('EJEMPLO') y el nombre del host ('WWW'). Algunos dominios primarios son:
Con excepción del nombre del host, cada sección es una 'zona', que controla los subdominios a su izquierda. Las
zonas son archivos de texto que se alojan en los servidores de dominio primarios o maestros y que replican a los
secundarios o esclavos, mismos que explicaremos más adelante.
Es importante diferenciar una 'zona' de un 'dominio'. La zona es un punto de delegación dentro del arbol del
dominio (por ejemplo 'ejemplo.com.mx'), mientras que un dominio en si es el nombre dentro de la zona (por
ejemplo, '.com'). Este tema es un poco confuso, ya que en realidad los servidores de resolución de nombres en
realidad manejan zonas, no dominios.
Tipos de servidores.
Master (maestro o primario). Aloja los registros autoritarios de una zona, responde las peticiones de resolución
de nombres como servidor de autoridad y delega copias a los servidores esclavo.
Slave (esclavo o secundario). Responde a las peticiones de resolución de nombres como servidor de autoridad,
pero la información es distribuida por los servidores primarios. Se considera que como medida de seguridad, se
requiere al menos uno de estos, preferentemente independiente de la infraestructura del primario (red, energia
eléctrica y ubicación geográfica).
Caching-only (sólo de cache). Responde a las peticiones de resolución de nombres pero no es servidor de
autoridad, las respuestas las guarda en memoria por un período determinado.
Forwarding (de reenvío). Reenvia las peticiones a una lista de servidores de nombres.
Tipos de registros.
Para ofrecer suficiente flexibilidad en la configuración, se pueden declarar diversos tipos de registros, que hacen
referencia a la función del host. A continuación veremos los más importantes.
A (Address). Es el registro más usado, que define una dirección IP y el nombre asignado al host. Generalmente
existen varios en un dominio.
MX (Mail eXchanger). Se usa para identificar servidores de correo, se pueden definir dos o más servidores de
correo para un dominio, siendo que el orden implica su prioridad. Debe haber al menos uno para un dominio.
CNAME (Canonical Name). Es un alias que se asigna a un host que tiene una dirección IP valida y que responde a
diversos nombres. Pueden declararse varios para un host.
NS (Name Server). Define los servidores de nombre principales de un dominio. Debe haber al menos uno y
pueden declararse varios para un dominio.
SOA (Start Of Authority). Este es el primer registro de la zona y sólo puede haber uno en cada archivo de la
zona y sólo está presente si el servidor es autoritario del dominio. Especifica el servidor DNS primario del
dominio, la cuenta de correo del administrador y tiempo de refresco de los servidores secundarios.
Código fuente.
RPM.
Administradores de instalaciones.
2 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
A partir de la versión 8 de BIND, esta es la estructura principal de named.conf, con muy pequeñas modificaciones
en la serie 9.
options {
directory "/var/named";
allow-query {
any;
};
};
Esta estructura de zonas son muy similares entre si, cambiando de acuerdo a las zonas que queremos resolver.
pid-file "named.pid";
notify yes; # Necesario para notificar a los esclavos
allow-query { "any; none; 10.24.23.0/24;" }; # Por defecto, se usa 'any'
query-source address * port 53; # Necesario cuando un firewall
# bloqueé otros puertos
forwarders { 123.12.40.17; }; # Reenvia las peticiones no
# resueltas a otro servidor
La primera entrada siempre es el SOA (start of authority), que indica la fuente de información para una zona,
tiempos de refresco y otros, como vemos a continuación:
En este ejemplo vemos primeramente el dominio a resolver, 'ejemplo.com.', se declara como DNS autoritario a
'dns.ejemplo.com.' y el segundo es la cuenta de correo del administrador, 'master.correo.ejemplo.com.'
(sustituyéndo el primer punto por arroba, lo que dejaría 'master@correo.ejemplo.com'). Debemos notar que al
final de cada dominio viene un punto, que identifica la raíz de este. El resto de los parámetros son:
Serial: es un identificador del archivo, puede tener un valor arbitrario pero se recomienda que tenga la fecha
con una estructura AAAA-MM-DD y un consecutivo.
Refresco: número de segundos que un servidor de nombres secundario debe esperar para comprobar de nuevo
los valores de un registro.
Reintentos: número de segundos que un servidor de nombres secundario debe esperar después de un intento
fallido de recuperación de datos del servidor primario.
Expiración: número de segundos máximo que los servidores de nombre secundarios retendrán los valores antes
de expirarlos.
TTL mínimo: Significa Time To Live y es el número de segundos que los registros se mantienen activos en los
servidores NS caché antes de volver a preguntar su valor real.
Una acepción más es el uso del arroba (@) como dominio a resolver, que referencía el nombre de la zona en
named.conf, quedando de la siguiente manera.
3 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
Otros componentes de los archivos de la zona autoritarios, que se explican por si mismos, son:
; NS Name Servers
;------------------------------
;
IN NS dns.ejemplo.com.
dns IN A 214.25.82.3
; MX Mail Exchangers
;-------------------------
;
@ IN MX 0 correo.ejemplo.com.
sede IN MX 0 correo.ejemplo.com. ; subdominio de correo virtual
matriz IN MX 0 matriz.ejemplo.com. ; servidor de correo alterno
Un caso más, que se aplica para el loopback, es el registro PTR (Domain Name Pointer), que indica a que
dirección IP corresponde un nombre.
En base a las zonas mencionadas en el named.conf que vimos previamente y la estructura descrita, declaramos
los siguientes archivos:
1 IN PTR localhost.
; MX Mail Exchangers
;-------------------------
;
@ IN MX 0 correo.ejemplo.com.
sede IN MX 0 correo.ejemplo.com. ; subdominio de correo virtual
matriz IN MX 0 matriz.ejemplo.com. ; servidor de correo alterno
4 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
8 PTR www.ejemplo.com.
5 PTR apps.ejemplo.com.
6 PTR oracle.ejemplo.com.
7 PTR correo.ejemplo.com.
En base a estos ejemplos, se pueden crear tantas zonas sean necesarias, vigilando en todo momento que las
direcciones IP estén correctas.
5 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
Se deben seguir los siguientes pasos para que las zonas del escalvo se sincronicen con el principal.
options {
directory "/var/named";
allow-transfer {
10.25.13.12; # IP del DNS esclavo
};
notify yes;
allow-query {
any;
};
};
En caso de que los mensajes de sistema indiquen que se niega el permiso para escribir en las zonas al momento
de sincronizar un esclavo con el principal, se deben de cambiar los permisos de la siguiente manera:
/etc/init.d/named start
- o -
service named start
/etc/init.d/named stop
- o -
service named stop
Por seguridad, se recomienda que el DNS interno y el externo estén en equipos separados.
Para asegurar la resolución del dominio, se deben tener al menos un servidor primario y un esclavo, de ser
posible en diferentes ubicaciones.
Se requiere la existencia de al menos un registro MX, ya que algunos servicios antispam consideran su
inexistencia como característica de dominios falsos.
Configuración de seguridad
Editar la sección 'options' de named.conf y adicionar la siguiente línea, luego reiniciar el servicio, de manera que
no indique la versión en que trabaja:
options {
directory "/var/named";
allow-query {
any;
};
version "FOO";
};
Esto hace que sólo aquellos servidores esclavos que indiquemos puedan transferir las zonas, como vimos
anteriormente.
6 of 7 04/07/2010 08:34 AM
BIND para mortales - Mexico Extremo RC3 http://www.mexicoextremo.com.mx/content/view/4...
options {
directory "/var/named";
allow-transfer {
10.25.13.12;
};
notify yes;
allow-query {
any;
};
};
Evitando spoofing.
Esto es útil principalmente para permitir que sólo un cierto segmento de red pueda hacer consultas (en los DNS
internos), además que reduce el tráfico de peticiones por la red.
options {
directory "/var/named";
allow-transfer {
10.25.13.12;
};
notify yes;
allow-query {
10.25.13.0/24; localhost;
};
};
zone "red.10" {
type master;
file "named.red.10";
allow-query { any; };
};
La idea es evitar que el usuario que ejecuta el servicio pueda realizar cualquier otra acción fuera de su carpeta,
para lo que se usa el paquete bind-chroot, que configura y ejecuta todo el servicio en /var/named/chroot.
Otros recursos.
Lecturas recomendadas.
Herramientas de diagnóstico.
DynDNS: http://www.dyndns.org/
DynUp DNS: http://www.dynup.net/
easyDNS: http://www.easydns.com/
Registro de Dominios.
[ <-- ]
Copyright © Grupo Alternativo 2000 - 2010. Derechos Reservados.
Condiciones de uso - Política de Privacía - Publicación - Redistribución
:. Powered by Mambo .: :. Cheap Web Hosting .:
7 of 7 04/07/2010 08:34 AM