Transparencias clase de DNS.
Utilizé esas transparencias, con pequeñas variaciones, en las clases de:
.-Administración de Sistemas Operativos en Red (Ingeniería Ténica en Informática de Sistemas)
.-Administración e Instalación de Redes de Computadores (optativa de las 3 titulaciones de informática)
.-Gestión e Implantación de Redes de Computadores (de Grado de Ingeniería Informática en el curso 2012-2013)
3. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Cómo funciona: resumen ASORC
¿Por qué es necesario? (/etc/hosts vs DNS)
Arquitectura: Cliente (resolver) Servidor
(named/bind) Estructura jerárquica en árbol
basado en dominios y con delegación de
autoridad. ¿Resolución Inversa?
Espacio de nombre y FQDN: www.eps.ua.es
Dominio/Subdominio/Zonas ¿Tienen reglas los
nombres?
com edu es fr mil name aero
ua
eps
www
dtic
www
4. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Características: Resumen ASORC II
Resolución de nombres:
Distribuido, entre los servidores de una zona
Eficiente, ya que la resolución se asocia,
normalmente, a procesos locales
Propósito general porque no está restringido a
nombres de máquinas.
Tipos:
Recursiva: Consulta de otros servidores.
Iterativa: Devuelve la dirección del servidor al que se
debe preguntar
Arquitectura
5. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Arquitectura
Componentes del sistema (lado del
servidor)
Registradores de nombres
Servidores raíz
Servidores caché
Servidores de reenvío
Servidores Autorizados: Primarios y
Secundarios
Arquitectura
6. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Arquitectura
Registradores de nombres
IANA (Internet Assigned Numbers
Authority)
– Coordina la asignación de direcciones
IP a nivel mundial
– Entrega bloques de direciones IP a los
registros regionales de Internet
Arquitectura
7. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Registradores de nombres
regionales
RIPE NCC. Réseaux IP Européens
– Europa, Medio Oriente, Asia Central y países africanos al norte del
ecuador
APNIC. Asia Pacific Network Information Center
– Parte de Asia
ARIN. American Registry for Internet Numbers
– América del norte y parte de África
LACNIC. Latin American and Caribbean IP Address Registry
– América latina y Caribe
Arquitectura
Arquitectura
8. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Arquitectura
Servidores raíz
Existen 13 servidores
– 10 de ellos en EEUU
Realmente se redirigen las
peticiones al destino más cercano
No almacenan registros de
nombres
Apuntan a los servidores
autorizados
Arquitectura
9. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Arquitectura
Servidores autorizados
– También llamados de contenido
Controlados por los administradores
principales del dominio.
Administración local
Son los que resuelven la dirección IP
Tipos: Primario/Maestro y secundarios
Arquitectura
10. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Arquitectura
¿Toda petición DNS de un dominio
tiene que llegar a un servidor
autorizado?
Servidores de reenvío
Servidores caché
– También llamados buscadores
– Consultan a los servidores externos
– Almacenan en memoria los resultados
– Contestan directamente a las peticiones
Arquitectura
11. Contenido
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Diseño de infraestructura
¿Cuántos servidores? ¿De qué tipo?
Añadiendo más
Registrando los servidores
Planificando desastres
Controlando el/los servidores →
señales y rndc
Logs
Funcionando sin problemas
Arquitectura
13. Contenido
Arquitectura
Seguridad
Conclusiones
Sistema de Nombres
Configuración básica: ASORC
zone "eps.ua.es" {
type master;
file "named.data.eps";
allow-update { none; };
allow-transfer { secundarios; };
};
zone "40.20.172.in-addr.arpa" {
type master;
file "named.rev.40eps";
allow-update { none; };
allow-transfer { secundarios; };
};
zone "40.16.172.in-addr.arpa" {
type master;
file "named.rev.teps";
allow-update { none; };
allow-transfer { secundarios; };
};
Configuración
14. Contenido
Arquitectura
Seguridad
Conclusiones
Sistema de Nombres
Configuración básica: ASORC
Registros: SOA, A, PTR, CNAME, MX
[Nombre] [TTL] [Clase] Tipo RR Valor_Dato
eps.ua.es. 300 IN SOA ekekos.eps.ua.es. root.ekekos.eps.ua.es. (
2004031004 Número de serie
10800 Segundos tras los que los secundarios deben conectarse al primario
3600 Si hay error, reintenta cada 3600 segundos
3600000 Si no lo consigue tras este tiempo, que deje de responder a consultas
300 ) Mínimo para guardar datos en cachés.
300 IN A 172.25.40.81
300 IN NS ekekos.eps.ua.es.
300 IN NS srvdns.eps.ua.es.
300 IN MX 10 hermes.eps.ua.es.
ebusiness.ua.es. 300 IN MX 10 hermes.eps.ua.es.
ebuisiness.ua.es. 300 IN MX 10 hermes.eps.ua.es.
origin 300 IN A 172.25.40.71
gestion-prevencion 300 IN CNAME origin.eps.ua.es.
hermes 300 IN A 172.25.40.76
----------------------------------------------------------
71 IN PTR origin.eps.ua.es.
Configuración
15. Contenido
Arquitectura
Seguridad
Conclusiones
Sistema de Nombres
Configuración de bind
NS as Primary Master or Slave
NS as Authoritative Multiple Zones
Adding a Domain Name in a subdomain without
creating a new zone
Using a single/multiple data files for a multiple/single
zone → $INCLUDE
Adding similar records → $GENERATE
Moving a host → TTL
Allowing Dynamic Updates
Ipv6 → AAAA, listen-on-v6
Ñ, á, é, í ó ú, à,.... → Encoding ACE “eñe.es” --> “xn--
ee-zja.es”
Configuración
16. Contenido
Arquitectura
Seguridad
Conclusiones
Sistema de Nombres
Configuración de bind
Configuring DNS to let clients find the closest server → sortlist
Configuring Multiple Mail Servers
Configuring Mail to go to One server and web to another
Configuring for “virtual” email addresses
AntiSPAM tests → MX, A y PTR Ok
Returning Different answers to different queriers → view
Determining the order in which a name server returns answers → rrset-order
random|fixed|cyclic|...
Modifying Zone Data Without restartiong the name server → rndc
reload
Viewing and flushing a Name Server's cache -->rndc flush internal (9.2)
Configuración
17. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Problemas de Seguridad
Pharming: ataques relacionados con la resolución
del dominio →redirigir el tráfico de un servidor
legítimo a otro falso → ¿Problemas?
Caché poisoning → proporcionar datos falsos a
DNS para que, a su vez, los sirvan a sus clientes.
Cache snooping → Fisgonear en la caché del DNS
(¿para?)
DNS spoofing with sniffers → objetivo: atacante
tendrá que lanzar la respuesta a la petición que la
originó.
18. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Seguridad
chroot /opt/chroot /opt/bind/sbin/named -u 20000
-g 20000
En la “jaula” se deben crear los directorios necesarios
para el funcionamiento del named:
• dev
• var/run
• opt (el directorio donde residen los binarios)
Es necesario crear algunos devices en “dev”: tcp,
udp, null, zero
Compilaciones estáticas
Configuraciones
listen-on { 127.0.0.1; 172.25.40.81; 172.25.40.86; };
allow-query { 127.0.0.1; redInterna; 172.25.40.64/27; };
allow-transfer { 127.0.0.1; secundarios; };
19. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Vistas diferentes
Seguridad
acl internal { 192.168/16; };
View internal {
math-clients { internal; };
zone “eps.ua.es” {
type master;
files “db.data.eps.interna”;
};
};View external {
math-clients { any; };
zone “eps.ua.es” {
type master;
files “db.data.eps.externa”;
};
};
20. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Consultas avanzadas
• $ nslookup
• Note: nslookup is deprecated and may be removed from future releases.
• Consider using the `dig' or `host' programs instead. Run nslookup with
• the `-sil[ent]' option to prevent this message from appearing.
• > set querytype=any
• > eps.ua.es
• Server: 127.0.0.1
• Address: 127.0.0.1#53
• eps.ua.es
• origin = ekekos.eps.ua.es
• mail addr = root.ekekos.eps.ua.es
• serial = 2004100601
• refresh = 10800
• retry = 3600
• expire = 3600000
minimum = 300
• Name: eps.ua.es
• Address: 172.25.40.81
• eps.ua.es nameserver = srvInst2.eps.ua.es.
• eps.ua.es nameserver = srvInst3.eps.ua.es.
• eps.ua.es nameserver = srvInst4.eps.ua.es.
• eps.ua.es nameserver = ekekos.eps.ua.es.
• eps.ua.es nameserver = srvdns.eps.ua.es.
• eps.ua.es nameserver = srvInst1.eps.ua.es.
• eps.ua.es mail exchanger = 10 ekekos.eps.ua.es.
• >
Seguridad
21. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Consultas avanzadas
dig @ekekos.eps.ua.es eps.ua.es axfr
• ; <<>> DiG 9.2.1 <<>> @ekekos.eps.ua.es eps.ua.es axfr
• ;; global options: printcmd
• eps.ua.es. 300 IN SOA ekekos.eps.ua.es. root.ekekos.eps.ua.es. 2004100601
10800 3600 3600000 300
• eps.ua.es. 300 IN A 172.25.40.81
• eps.ua.es. 300 IN NS ekekos.eps.ua.es.
• eps.ua.es. 300 IN NS srvdns.eps.ua.es.
• eps.ua.es. 300 IN NS srvInst1.eps.ua.es.
• eps.ua.es. 300 IN NS srvInst2.eps.ua.es.
• eps.ua.es. 300 IN NS srvInst3.eps.ua.es.
• eps.ua.es. 300 IN NS srvInst4.eps.ua.es.
• eps.ua.es. 300 IN MX 10 ekekos.eps.ua.es.
• #gestion-prevencion.eps.ua.es. 300 IN A 172.25.40.72
• acateca.eps.ua.es. 300 IN A 192.168.16.238
• adolfo.eps.ua.es. 300 IN A 172.16.40.50
aix.eps.ua.es. 300 IN A 193.145.234.200
alcazaba.eps.ua.es. 300 IN A 192.168.16.237
• antonio.eps.ua.es. 300 IN A 172.16.40.56
• antonio2.eps.ua.es. 300 IN A 172.16.40.223
• .....
• dig @ekekos.eps.ua.es eps.ua.es axfr
• Reply from ekekos.eps.ua.es : 29 bytes recieved
• Direct non-authoritative answer: recursion desired; recursion available; result: refused due to policy
reasons.
Seguridad
22. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Consultas avanzadas
• $host -l -t axfr name ekekos.eps.ua.es eps.ua.es
• ; Transfer failed.
• Using domain server:
• Name: ekekos.eps.ua.es
• Address: 172.25.40.81#53
• Aliases:
•
• Host name not found: 9(NOTAUTH)
• ; Transfer failed.
Seguridad
23. Contenido
Arquitectura
Configuración
Seguridad
Conclusiones
Sistema de Nombres
Horizonte DNS dividido para zonas DNS
separadas externas e internas
Obtención de datos mediante resolución inversa.
(utilidad ghba)
• $host -l -t axfr name ekekos.eps.ua.es eps.ua.es
• ; Transfer failed.
• Using domain server:
• Name: ekekos.eps.ua.es
• Address: 172.25.40.81#53
• Aliases:
•
• Host name not found: 9(NOTAUTH)
• ; Transfer failed.
Seguridad
24. Contenido
Arquitectura
Configuración
Seguridad
Sistemas de nombres
Conclusiones
Ventajas:
Transformación eficiente de los nombres en direcciones IP
Garantiza un control autónomo
Tolerancia a fallos
Su importancia es tal que entradas incorrectas en la base de datos pueden
hacer que nunca se alcancen determinados hosts por las aplicaciones.
Problemas típicos del DNS son:
Omisión del punto que debe ir al final de los nombres en la base de datos
Registros NS que no aparecen en la base de datos de su dominio padre
O lo contrario, registros NS que aparecen y no existe la máquina
Fallos en la actualización de los registros de asociación, que proporcionan
direcciones de nombres de zonas hijas, cuando cambian los servidores de
nombre en la zona hija.
Registros MX incorrectos que apuntan hacia sistemas que no actúan como
intercambiadores de correo.
Olvidar que lo comodines no sirven para los registros que tienen una entrada en
la base de datos.
Alias que apuntan a otros alias o a nombres desconocidos
Registros de direcciones sin los correspondientes registros PTR y viceversa.
Conclusiones