Modulo 1

Debian GNU/Linux
D7-A06 Servicios de infraestructura de red en Linux
Duracin
8:00 H
Primera Parte
Servicio DNS
(Domain Name Service)
Ing. Ariel Alvarez Enrquez
Servicios de infraestructura de red en Linux
Objetivo
Introduccin,
implementacin, Gestin y
configuraciones avanzadas
del servicio DNS.
2
Contenido
Consideraciones generales.
Implementar el servicio de DNS.
Gestionar el servicio de DNS.
Asegurar el servicio de DNS.
3
Consideraciones Generales
Qu es el servicio de DNS?
Breve historia sobre DNS.
Componentes y funciones de DNS.
Como DNS trabaja?
El protocolo DNS.
Localizacin de los recursos.
4
Qu es el servicio de DNS?
DF
Su uso principal es:
DNS (acrnimo de Domain Name System) es una

base de datos distribuida y jerrquica, que
almacena la informacin necesaria para los
nombres de dominio.
La asignacin de nombres de dominio a direcciones IP.

La localizacin de los servidores de correo para cada
dominio.
DNS es una base-dato distribuida indexada

por nombres de dominios.
5
Breve historia sobre DNS
Con el surgimiento de las redes e Internet:
Naci de la necesidad de facilitar el acceso a los

servidores, a travs de, Internet (como algo ms
fcil de recordar que una direccin IP).
En 1984, Paul Mockapetris crea: El Sistema de

Nombre de Dominio (DNS).
Su diseo se bas en la estructura jerrquica del

sistema de ficheros de Unix.
Unix
File System
DNS
Database
com
usr
/usr/local/bin
local
example.com
example
Componentes y funciones
Estructura autoritativa
jerrquica
Fichero Master
y resource records
Jerarqua de dominios
TLD
Servidores, tipos,
roles y funciones
Registro de dominios
de segundo-nivel
Proceso de resolucin
y resolver
Especificaciones de
nombres de dominios
Administracin de
zonas de DNS
Mensajes de DNS,
formato y notificacin
DNS Name Space
Registro de Nombres
Servidores y
Resolucin de Nombre
Arquitectura de
nombres jerrquicos
Reglas de nombres y
de estructuras de DNS
Sistema de Nombres de Dominio (DNS)

Componentes
Funciones
7
Cmo trabaja DNS?
El espacio de nombre de dominio de Internet.

Delegacin y autoridad.
Las zonas.
Los servidores de nombres.
El resolver.
La resolucin.
El cache de DNS.
Mantenimiento de Zona.
8
El espacio de nombre de dominio Internet
Interpretaciones de la estructura.
El espacio de nombre de dominio.

Nombres de dominios.
Dominios y sub-dominios.
Resource Records (RRs).
Registros de internet.
9
Interpretaciones de la estructura
Estructura Jerrquica del rbol (Dominio).
El root del rbol es representado como un . .

El TLD es dividido en dos tipos:
Generic Top-Level Domains (gTLD):

(por ejemplo, .com, .edu, .net, .org, .mil, etc).
Country Code Top-Level Domains (ccTLD):
(por ejemplo, .us, .ca, .cu, .uk, etc).
Root
...
...
Root D
ccTLD
gov
org
gTLD
net
cu
ca
desoft
debian
arpa
arpa
.in-addr
...
.192
cfr
.200
Sub-Domain cfr
Nota:
Country Code TLDs usa un estndar de dos caracteres secuencia definida por la ISO 3166.
TLD
SLD o
Domain
Sub-D
10
Interpretaciones de la estructura (Cont.)
Cada nombre de dominio es una ruta en un rbol

invertido llamado espacio de nombre de dominio
(domain name space).
.
...
cu
desoft
oc
com
Ruta
cfr
org
dominio cu
dominio desoft.cu
sub-dominio cfr.desoft.cu
Espacio de nombre
de dominio.
(Domain Name Space)
Un dominio es simplemente un sub rbol (sub-tree)

del espacio de nombre de dominio.
11
El nombre de dominio completo de cualquier nodo en

el rbol es la secuencia de label en la ruta desde ese
nodo al root (FQDN).
.
...
...
nodo desoft.cu
cu
desoft
oc
com
org
nodo cfr.desoft.cu
cfr
Formato:
FQDN (Fully Qualified Domain Name)
sld.tld Parcial
O bien,...
cadena.cadena.cadena.... cadena.
e.j. ns.cfr.desoft.cu Completo
Cada nodo tiene un text label (sin punto) que puede

ser de 63 caracteres de longitud.
Un label nulo (longitud cero) es reservado para root.
12
Resource Records (RRs).
La data asociada con los nombres de dominio es

contenida en los resource records.
Los resource records son divididos en clases:
(cada clase pertenece a un tipo de red o software).
La clase Internet (IN) (cualquier red TCP/IP de internet).
En una clase hay varios tipos de records y se

corresponde con diferentes tipos de datos.
desoft
cfr
Espacio de nombres y dominios

Nodo Dominio desoft.cu
Nodo sub-Dominio cfr.desoft.cu
ftp www
Resource Records
RR www.cfr.desoft.cu
Nota:
RR ftp.cfr.desoft.cu
Rutas
Otras clases:
La clase basada en el protocolo Chaosnet (es una vieja red de enorme significado histrico).
La clase basada en el uso del software Heisod (esta es limitada mayormente para MIT).
13
Registros de Internet
Relacin entre organizaciones individuales.

RFC editor
gTLD com.
manager
gTLD biz.
manager
Root name
servers
ICANN
IANA
gTLD gh.
manager
RIPE
(Europe and
Middle East)
Second level domain
APNIC
(Asia-Pacific)
LACNIC
(latin America
Including the
caribbean)
AfriNIC
(Africa and
Indian ocean
region)
RIR : IP address and AS numbers

ISP2
ISP1
Company
1
ARIN
(Norte
America)
Company
2
Company
3
...
Company
4
...
14
Registros de Internet (Cont.)
RFC-editor publica los estndares RFC.

IANA dedicada a preservar las funciones de
coordinacin central de Internet.
(El registro TLD, un registro de asignacin de direcciones IPv4 e

IPv6, Nmeros asignados (AS Numbers).
ICANN formada para asumir responsabilidades por:
(Reparto del espacio de direcciones IP, la asignacin de parmetros

de protocolos, la administracin del sistema de nombres de
dominios y la administracin del sistema de servidores root).
Publica tres polticas fundamentales:
Establecer de los nuevos registros de internet regional (RIR).

Administracin y delegacin de ccTLD y gTLD.
Un nico root autoritativo para DNS.
Nota:
Home pages:
RFC-editor: (http://www.rfc-editor.org/).
IANA (The Internet Assigned Numbers Authority) : (http://www.iana.org/).
ICANN (The Internet Corporation for Assigned Names and Numbers) : (http://www.icann.org/).
RIR (Regional Internet Registries)

15
Registro de Internet Regional (RIR).
Nombre RIR
Cobertura
Web
APNIC
Pacifico Asitico.
www.apnic.net
ARIN
Norte Amrica, regin Sur de frica y parte del Caribe
www.arin.net
LACNIC
Suramrica, parte del Caribe.
www.lacnic.net
RIPE
Europa, Medio Este, regin norte de frica y parte de Asia. www.ripe.net
AfriNIC
frica. (Actualmente los registros africanos son

manejados por ARIN y RIPE).
www.afrinic.net
16
Asignacin de direcciones IPv4 para (RIR).
024.0.0.0 024.255.255.255 ARIN

041.0.0.0 041.255.255.255 AfriNIC
058.0.0.0 061.255.255.255 APNIC
062.0.0.0 062.255.255.255 RIPE
063.0.0.0 076.255.255.255 ARIN
080.0.0.0 091.255.255.255 RIPE
124.0.0.0 126.255.255.255 APNIC
189.0.0.0 190.255.255.255 LACNIC
193.0.0.0 195.255.255.255 RIPE
199.0.0.0 199.255.255.255 ARIN
200.0.0.0 201.255.255.255 LACNIC

202.0.0.0 203.255.255.255 APNIC
204.0.0.0 209.255.255.255 ARIN
210.0.0.0 211.255.255.255 APNIC
212.0.0.0 213.255.255.255 RIPE
216.0.0.0 216.255.255.255 ARIN
217.0.0.0 217.255.255.255 RIPE
218.0.0.0 222.255.255.255 APNIC
intervalos de direcciones IPv4 para intranets.
10.0.0.0
172.16.0.0
192.168.0.0
10.255.255.255
172.31.255.255
192.168.255.255
17
Delegacin y autoridad
Delegacin de control permite, administracin

descentralizada en el sistema de nombres de
dominio.
.
Delegacin
...
...
cu
nodo desoft.cu
Administrada por desoft
com
desoft.cu
delegada a desoft
desoft
oc
org
cfr
nodo cfr.desoft.cu
Administrada por cfr
Autoridad una organizacin o persona

responsable de administrar las operaciones de
ese nodo.
18
Las zonas
La zona es parte del espacio de nombre de

dominio que es administrado por un servidor
de nombre particular.
e.j. Dominio desoft.cu
.
zona desoft.cu
.
dominio cu
zona desoft.cu
cu
cu
desoft
desoft
oc
cfr
hab
zona oc.desoft.cu
oc
hab
zona cfr.desoft.cu
zona hab.desoft.cu
dominio cu
zona hab.desoft.cu
cfr
19
Servidores de nombres
Tipos de servidores y roles.
Servidores de Nombres
Master (Primary) Name
Servers
Descripcin
Responde de forma autoritativa para la zona.
Lee los ficheros de zona desde un sistema de fichero Local.
Capas de transferir el fichero de zona a uno o mas servidores

secundarios.
Slave (Secondary) Name Responde de forma autoritativa para la zona.
Servers
Obtiene sus fichero de zona por una zona de transferencia
desde el Master (Primary) Name Servers.
Roles
Descripcin
Caching Name Servers
Suministra peticiones recursivas para clientes y salva los
resultados en cache.
Forwarding (Proxy)
Pasa todas la peticiones las cuales no tiene en cache a un
Name Servers
Caching Name Server.
Stealth (DMZ or Split)
Un servidor de nombre en defensa perimetral, el cual separa los
Name Server
servicios suministrados para usuarios internos y externos.
Authoritative-only Name Solo suministra respuestas autoritativas, es un zone master o un
Server
zone slave, y no soporta peticiones recursivas.
20
El resolver
Resolver es la librera de software instalada

en cada PC usada para traducir una peticin de
usuario o aplicacin hacia un servidor de
nombre local.
Ficheros
de zona
Programa
Cliente
Libreras
(Software)
Peticin
Resolver
Respuesta
Servidor de
Nombre
Linked
Cache
e.j. Cliente Telnet, FTP
21
La resolucin
DF
resolucin es el proceso de recuperacin de

datos de los servidores de nombre desde el espacio
de nombre de dominio.
Ofrecer sus datos desde las zonas para los cuales son autoritativo.
Buscar datos a travs del espacio de nombre de dominio para los
cuales ellos no son autoritativo.
in
Petic
Resolver
uesta
p
s
e
R
Referencia
Peticin
ti
e
P
n
i
c
f
Re
ci
n
e
er
Peticin
Respuesta
D
22
La resolucin (Cont.)
Hay tres tipos de peticiones (queries) definidas

para el proceso de resolucin.
Peticiones recursivas.
Peticiones iterativas (o no recursivas).
Peticiones inversas (reverse mapping).
23
Peticiones recursivas
DF
Peticin recursiva es aquella en la el servidor de

nombre da una respuesta completa o (un error).
Hay tres posibles respuestas:
Una respuesta acompaada por cualquier record CNAME, la

respuesta indicara si la data es autoritativa o no (cached).
Un error indicando que el dominio o host no existe, puede
contener un CNAME para este host.
Un error temporal indicando error en la red.
Peticin
Cache
PC
Browser
Peticin
Resolver
Respuesta
www.example.com
Nota:
DNS Local
Ficheros
de zona
Referencia
Peticin
Referencia
Peticin
DNS
Root server
DNS
.com TLD
DNS
example.com
Respuesta
Los servidores de nombre no son requeridos para soportar peticiones recursivas, y el resolver (u otro servidor
de nombre actuando recursivamente en beneficio de otro resolver) negocian el uso del servicio recursivo
24
usando bits en la cabecera de la peticin.
Peticiones iterativas (o no recursivas)
DF
Peticin iterativa es aquella donde el servidor de

nombre da una respuesta parcial o (un error).
Hay tres posibles respuestas:
Una respuesta acompaada por cualquier record CNAME, la

respuesta indicara si la data es autoritativa o no (cached).
Un error indicando que el dominio o host no existe, puede
contener un CNAME para este host.
Un error temporal indicando error en la red.
Una referencia una lista de dos o ms servidores de
nombres (y direcciones IP) para el dominio encuestado.
Nota:
Los servidores de nombre tienen que soportar peticiones iterativas (o no recursivas).

Respuesta (Referencia) pueden o no ser servidores de nombre autoritativo para el dominio final en la
peticin. Una referencia es un mtodo de respuesta normal usado por los servidores root y los servidores
TLD, ambos servidores solo soportan peticiones iterativas.
25
Peticiones iterativas (o no recursivas) (Cont.)
Peticin iterativa.
Cache
PC
Browser
Peticin
Resolver
DNS Local
Referencia
Ficheros
de zona
www.example.com
Lista
(de los servidores root)
Peticin
Referencia
Peticin
Referencia
Peticin
DNS
Root server
DNS
.com TLD
DNS
example.com
Respuesta
26
Peticiones inversa
DF
Peticin inversa (reverse mapping) es aquella que

retorna un nombre de host dado una direccin IP.
En esencia el proceso no usa una peticin inversa, usa
peticiones recursiva o iterativa sobre el dominio especial
in-addr.arpa.
e.j. (recursivo).
Cache
PC
Lnea de
comando
Peticin
Peticin
Resolver
Respuesta
15.250.168.192.in-addr.arpa
DNS Local
Ficheros
de zona
Referencia
Peticin
Referencia
Peticin
Respuesta
Peticin
Nota:
Respuesta
DNS
Root server
192.in-addr.arpa
DNS
RIR (.168)
DNS
LIR (.250)
DNS
End-User (.15)
Histricamente, reverse IPv4 mapping no fue obligatorio. Muchos sistemas (especialmente servidores de
correo) ahora lo usan para simplificar la seguridad y el chequeo de autenticacin, as la propia
implementacin y mantenimiento de reverse mapping es ahora una practica esencial.
domain .ARPA - (Address and Routing Parameter Area).
27
El cache de DNS
Mecanismos de cache.
Mecanismo
Descripcin
Caching
Esta es una caracterstica eficientemente esencial que reduce el

trafico de mensajes de DNS eliminando peticiones innecesarias para
los nombres resueltos recientemente.
Negative Caching
Esta tambin posible que los servidores de DNS (to cache) registren
los resultados intentos de resolucin de nombres insatisfactorio.
Persistencia de los datos.
Cada RR puede estar asociado con un intervalo de

tiempo Time To Live (TTL), que especifica cuanto
tiempo el record puede estar en la cache.
Nota:
El valor de este campo es controlado por el propietario del RR, quien puede adaptar este para las necesidades
especificas de cada tipo de RR.
Criterio - IMPORTANTE
Un TTL pequeo ayuda asegurar que la data en sus zonas sea consistente a travs de la red, debido a que
este incrementara la carga en sus servidores de nombre y alargar el tiempo de resolucin para la
informacin de sus zonas.
Un TTL grande acorta el promedio de tiempo que este toma para resolver la informacin en sus zonas
debido a que la data puede estar ms tiempo en cache, el inconveniente es que su informacin ser
inconsistente por mucho tiempo si usted cambia sus datos en los servidores de nombre.
28
Mantenimiento de zona
Zona de transferencia.
Notificacin (NOTIFY).
Zona de transferencia completa (AXFR) o
incremental (IXFR).
Actualizaciones dinmicas.
29
Zona de transferencia
DF
Zona de transferencia proceso que permite

simplificar la operacin de mltiples servidores.
Involucra la trasferencias de ficheros de zona desde un
servidor de nombres a otro (Master y Slave) usando las
caractersticas del protocolo DNS).
Proceso:
3
RR
Incremento SOA
Cambios en
los registros
de la zona
Master
Master
1
2
Ficheros
de zona
AXFR o IXFR
Notificacin
Slave
Peticin SOA
Zona de Transferencia
Nota:
La zona de transferencia permite eficiencia en las operaciones de DNS, pero tambin son una importante
fuente de amenazas.
Criterio - IMPORTANTE
Un DNS Slave puede comprometerse si acepta actualizaciones de zona desde fuentes maliciosas. Asegure
que, como mnimo el servidor Slave solo acepte transferencia desde fuentes conocidas y confiables.
30
Zona de transferencia (Cont.)
Descripcin del proceso.

Primero: (notificacin NOTIFY).
La zona Master enva un mensaje NOTIFY a la zona Slave

siempre que la zona es cargada o actualizada (indicando
cambios en los records del dominio).
(NOTIFY es controlado por las sentencias notify, olso-notify y
notify-source en las clausulas options o zone del fichero .conf)
Segundo: (Zona de transferencia AXFR o IXFR).
El servidor Slave enva una peticin al RR SOA del dominio por

el intervalo de refrescamiento. Si el nmero de serie es mayor
que el almacenado en el Slave, ste solicita una zona de
transferencia e indica si o no es capas de aceptar una (IXFR). Si
ambos soportan la caracterstica, sta toma lugar, de lo contrario
una (AXFR) ocurre (por el puerto 53 TCP).
(por defecto IXFR es solicitado a menos que sea configurado
por la sentencia request-ixfr en la clausula options o server del
31
fichero .conf)
Actualizaciones dinmicas
Dos arquitecturas:
Desde fuentes externas o aplicaciones DDNS

(Dynamic DNS).
Desde una base-dato.
Desde fuentes externas o aplicaciones.
Todos los RRs dentro de una zona existente pueden ser:

adicionados, cambiados o borrados con la excepcin del RR SOA.
Limitante un nuevo dominio o zona no pueden ser adicionado o
borrado dinmicamente.
Por defecto (DDNS) deny from all host. Controlado por la
sentencia allow-update (con o sin TSIG/TKEY) y update-policy
(solamente con TSIG/TKEY) en las clausulas options o zone en el
fichero .conf.
Herramientas: e.j. nsupdate paquete bind-utils.
32
Actualizaciones dinmicas (Cont.)
Desde una base-dato.
Este mtodo usa un gran parche (bind-dlz) que reemplaza todos

los ficheros de zona por una base-dato.
Bind-dlz soporta (MySQL, PostgreSQL, BDB y OpenLDAP).
Paquete Bind-dlz (bind-dlz.sourceforge.net).
Todas las peticiones de DNS, primero son dirigidas a la base-dato
donde los cambios sobre la zona de dato (nuevo, modificacin o
borrado) son reflejados inmediatamente en la respuesta del
servidor.
Inconveniente el uso de cambios en tiempo-real pata los records
DNS sin realizar salvas conlleva a la propagacin inmediata de
errores.
33
El protocolo DNS
Caractersticas (operaciones del protocolo):

(e.j. peticiones y mantenimiento de zona).
Por defecto puerto 53 UDP y TCP, aunque puede

ser configurado para otro puerto.
En operaciones Normales:
Por razones de rendimiento, las peticiones usan protocolo

UDP con un limite block-size de 512 bytes.
Si la respuesta a una peticin excede los 512 bytes, TCP
es negociado y usado.
Las operaciones de mantenimiento de zona por razones de
fiabilidad usa TCP puerto 53 (por defecto).
En operaciones en las que uso de DNSSEC.
Los volmenes de respuesta de datos pueden

incrementarse considerablemente. Una caracterstica
como EDNSO, es usada para negociar un bloque UDP de
tamao mayor que 512 bytes (512-4096 bytes).
34
Localizacin de los recursos
La sintaxis URL (Uniform Resource Locator).
DF
URL permite especificar un recurso particular

dentro de un nombre de dominio suministrando
una estructura de directorio despus de un
nombre.
e.j.
http://tux:xx123@www.example.com:80/cgi-bin/pix.php?Wedding03#Reception07
<port>
<password>
<user>
<scheme>
<host>
<url-path>
<query>
<fragment>
http://tux:xx123@www.example.com:80/cgi-bin/dwww/.../Bv9ARM.ch01.html
Depende de la implementacin de sitio
35
Contenido
Consideraciones generales.
Implementar el servicio de DNS.
Gestionar servicio DNS.
Asegurar el servicio de DNS.
36
Implementar el servicio DNS
Instalar el servicio DNS.

Controlar el servicio DNS.
Antes de configurar el servicio DNS.
Configurar el servicio DNS.
37
Instalar el servicio DNS
Chequeamos los paquete necesarios.
# aptitude search bind9

p bind9
p bind9-doc
p bind9-host
p bind9utils
p libbind9-60
- Internet Domain Name Server

- Documentation for BIND
- Version of 'host' bundled with BIND 9.X
- Utilities for BIND
- BIND9 Shared Library used by BIND
instalamos los paquete seleccionados.
#aptitude install bind9 bind9-doc bin9utils

...
Verificamos los paquete instalados.
# aptitude search bind9

i bind9
- Internet Domain Name Server
i bind9-doc
- Documentation for BIND
i bind9-host
- Version of 'host' bundled with BIND 9.X
i bind9utils
- Utilities for BIND
i libbind9-60
- BIND9 Shared Library used by BIND
38
Instalar el servicio DNS (Cont.)
Verificando los directorios.
# ls -l /etc/bind/ /etc/default/ /var/lib/ /usr/share/bind9/ /usr/share/doc/bind9-doc/

/etc/bind/:
bind.keys db.0 db.127 db.255 db.empty db.local db.root named.conf
named.conf.default-zones named.conf.local named.conf.options rndc.key zones.rfc1918
/etc/default/:
...
bind9
/var/lib/:
cache
bind
/usr/share/bind9/:
named.conf.options
/usr/share/doc/bind9-doc/:
arm misc changelog.Debian.gz changelog.gz copyright
39
Laboratorio
Lab-1: (Instalar el Servicio DNS)
Utilice la vmware disponible para el ejercicio.

Chequee la configuracin de conectividad y de acceso
al repositorio.
40
Controlar el servicio DNS
Con el directorio init.d.

Con el comando named.
Con el comando kill.
Chequear el estado del servicio y el socket.
41
Controlar el servicio DNS (Cont.)
Con el directorio init.d (colocado distribucin).

(Directorio para la lista de scripts del sistema).
Ruta absoluta /etc/init.d/slapd.

Comando service.
Interfaz genrica invoke.rc.d.
# invoke.rc.d bind9 start

[ ok ] Starting domain name service...: bind9.
# invoke.rc.d bind9 stop
[....] Stopping domain name service...: bind9waiting for pid 3608 to die
. ok
# invoke.rc.d bind9 restart
[....] Stopping domain name service...: bind9waiting for pid 3522 to die
. ok
[ ok ] Starting domain name service...: bind9.
42
Con el comando named.
#named
...
Sin parmetros el comando carga la configuracin por defecto del fichero named.conf.
[-c config-file] Usa el fichero config-file como el fichero de configuracin en lugar de
named.conf.
-p port indica que escuche las peticiones por otro puerto, si no se especifica, por defecto
puerto 53.
Vea man named para ms detalles.
43
Con el comando kill.

(detener el servicio proceso named.pid)
# kill `cat /var/run/named/named.pid`
(detener el servicio si el fichero named.pid no existe)

# kill `pgrep named`
44
Chequear el estado del servicio.
# chkconfig | grep bind9

bind9
on
# chkconfig -l | grep bind9
bind9
0:off 1:off 2:on 3:on 4:on 5:on 6:off
# sysv-rc-conf --list | grep bind9
bind9
0:off 1:off 2:on 3:on 4:on 5:on 6:off
# sysv-rv-conf
service
1
2
3
4
5
0
6
slapd
[ ] [X] [X]
[X] [X]
[]
[]
# invoke-rc.d bind9 status

[ ok ] slapd is running.
# invoke.rc.d bind9 status
[FAIL] bind9 is not running ... failed!
invoke-rc.d: initscript bind9, action "status" failed.
S
[]
45
Chequear el estado del socket.
# netstat -lpn --tcp | grep named

tcp
0
0 192.168.1.4:53
tcp
0
0 10.160.1.34:53
tcp
0
0 127.0.0.1:53
tcp
0
0 127.0.0.1:953
tcp6
0
0 :::53
tcp6
0
0 ::1:953
0.0.0.0:*
0.0.0.0:*
0.0.0.0:*
0.0.0.0:*
:::*
:::*
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
LISTEN
2346/named
2346/named
2346/named
2346/named
2346/named
2346/named
46
Laboratorio
Lab-2: (Ejecutar las herramientas de control y

chequear el estado del servicio DNS)
Verifique la existencia de las herramientas de control y

chequeo del servicio DNS.
Ejecute las herramientas de control y chequeo.
Analice variantes.
47
Antes de configurar el servicio DNS
Escenario.
El directorio de configuracin.
Formato del fichero de zona.
Resource records.
48
Escenario
El nombre de dominio a usar: example.com.

La zona tiene dos servidores de nombre: uno es
hospedado en el dominio interno ns1.example.com y el
otro en el dominio externo ns2.example.net.
La subred interna usa 192.168.1.0/24.
Dos servidores correo: uno en el dominio interno
mail.example.com y el otro (Backup) en el dominio
externo mail.example.net.
Un servidor web hospedado en el dominio interno y
es accedido como www.example.com.
Un servidor FTP con el nombre ftp.example.com pero
publicado por ftp.example.net.
Un host adicional llamado tux.example.com.
49
El directorio de configuracin
Directorio actual:
# ls /etc/bind/ | sort
bind.keys
db.0
db.127
db.255
db.empty
db.local
db.root
named.conf
named.conf.default-zones
named.conf.local
named.conf.options
rndc.key
zones.rfc1918
Ficheros de zona
Fichero de configuracin
Fichero de configuracin (include)
50
Formato del fichero de zona
Tiene tres tipos de entradas:
Comentarios: arrancan con (;) y termina al final de la lnea.

Directivas: comienzan con $ y son usadas para controlar los
procesos de los ficheros de zona.
Resource Records: son usados para definir las caractersticas,
propiedades, o entidades contenidas dentro del dominio.
(Cubren una lnea o mltiples lneas encerradas entre parntesis).
Directivas:
La directiva $TTL: define el valor Time to Live (TTL) por defecto

para la zona o dominio (obligatoria).
Sintaxis:
$TTL time-in-seconds
e.j. $TTL 2d
$TTL 172800
51
Formato del fichero de zona (Cont.)
La directiva $ORIGIN: define el nombre de dominio de la zona

(opcional).
Sintaxis:
$ORIGIN domain-name
e.j. $ORIGIN example.com.
; RRs desde aqu se agregara example.com.
La directiva $INCLUDE: permite incluir un fichero externo con

directivas y RRs adicionales.
Sintaxis:
$INCLUDE filename [domain-name]
e.j. $ORIGIN example.com.
; RRs desde aqu se agregara example.com.
52
Resource records: (Los ms utilizados)
El RR Start of Authority (SOA): describe las caractersticas

global de la zona o dominio, debe aparecer como primer record en
fichero de zona (solo uno y es obligatorio).
Sintaxis:
name ttl class rr name-server e-mail sn refresh retry expiry min
e.j. @
IN
SOA ns1.example.com. hostmaster.example.com. (

2014010100 ; sn = serial number
3h ; refresh time
15m ; retry = update retry
3w ; expiry
3h ; min = minimum
)
sn yyyymmddss (yyyy ao, mm mes, dd da, ss nmero secuencial)

identifica y se incrementa si hay cambios o actualizaciones de zona.
refresh time (#h) indica si el valor es alcanzado, que el slave server para la zona
intentara y leer el RR SOA desde la zona mster. Si (sn(m)>sn(s)) una zona de
transferencia es inicializada (valores tpicos 3 a 24h).
53
retry (#m) define el intervalo si el Slave falla para hacer contacto con la zona
mster durante un ciclo de refrescamiento (valores tpicos 10 a 60min).
expiry (#w) define el tiempo despus del cual los records de la zona no sern ms
autorizados. El Slave contactara la zona mster, de ser posible los contadores retry y
expiry sern inicializados (valores tpicos 1 a 3 semanas).
min (#h) el periodo de tiempo que las respuestas negativas puedan estar
registradas en cache por el Slave (valores tpicos 1 a 3h).
El RR Name Server (SN): define los RRs SN que son

autoritativos para la zona o dominio (dos o ms pueden referirse
a este dominio o un dominio externo y son obligatorios).
Sintaxis:
name ttl class rr name
e.j. ; Los resource records servidores de nombres para el dominio
; el primer servidor de nombre para el dominio interno

IN
NS
ns1.example.com.
; el segundo servidor de nombre es externo a esta zona (dominio)
IN
NS
ns2.example.net.
54
El RR mail exchange (MX): define los servidores mail para la

zona (0 o ms pueden referirse a este dominio o un dominio
externo y son opcionales).
Sintaxis:
name ttl class rr preference name
e.j. ; Los resource records servidores mail para el dominio
; el primer servidor mail para el dominio interno

3w
IN
MX
10
mail.example.com.
; el segundo servidor de nombre es externo a esta zona (dominio)
IN
MX
20
mail.example.net.
preference indica la preferencia relativa o prioridad del servidor mail (rango de

valores 0 a 65535) menor valor mayor preferencia (tpico 10).
El RR address (A): define la direccion IPv4 de todos los host o

(servicios) que existen en la zona cuales son requeridos para ser
visibles pblicamente (es opcional).
Sintaxis:
name ttl class rr ipv4
55

e.j. ns1
mail
www
tux
IN
IN
IN
IN
A
A
A
A
192.168.1.4
192.168.1.2
192.168.1.5
192.168.1.10
(Asignar varias direcciones IP aun mismo servidor)

e.j. www
IN
IN
IN
A
A
A
192.168.1.5
192.168.1.7
192.168.1.8
El RR CNAME: define un RR alias para un host (o servicio)

existente definido por un RR A (0 o ms pueden definirse para la
zona y son opcionales).
Sintaxis:
name ttl class rr canonical-name
e.j. ftp
IN
CNAME
ftp.example.net.
56

Tenga PRESENTE (para RR CNAME)
Son comnmente usados para asignar nombres de servicios a un

host existente, esto puede lograse tambin con varios RR A.
e.j. srv-ftp
IN
IN
A
CNAME
192.168.1.6
srv-ftp.example.com
e.j. srv-ftp
IN
IN
A
A
192.168.1.6
192.168.1.6
ftp
ftp
Generalmente solo hay dos casos (para los cuales no hay

alternativas disponible):
Primero: Cuando el host real est en un dominio externo
(ftp.example.com es un alias de ftp.example.net).
Segundo: Cuando un usuario solicita una direccin a un
sitio web usando www.example.com o justo example.com.
e.j. ; define un IP que resuelve para example.com
IN
A
192.168.254.7
; alias www.example.com para example.com
www
IN
CNAME
example.com.
57
El RR PTR: define una direccin IPv4 para un host particular en el

dominio o zona (0 o ms pueden definirse para la zona, pero
solo uno por nombre de host y son opcionales).
Sintaxis:
name ttl class rr name
e.j. 4
2
5
10
IN
IN
IN
IN
PTR
PTR
PTR
PTR
ns1.example.com.
mail.example.com.
www.example.com.
tux.example.com.
El RR SRV: son relativamente usados para descubrir servicios

sobre un host (0 o ms pueden definirse para la zona y son
opcionales).
Sintaxis:
_Service._Protocol.domain name [TTL] IN SRV Priority Weight Port
Target-computer.
e.j. _http._tcp.www.company.com IN SRV 10 1 80 server1.company.com.

IN SRV 10 3 88 server2.company.com.
58

Descripcin de los campos:
Service especifica el nombre del servicio (LDAP, HTTP, otros).

Protocol especifica el protocolo (TCP o UDP).
domain record para el dominio www.example.com.
Priority determina la prioridad de acceso (ambos records
tienen la misma prioridad 10), el cliente contactara cada uno de
ellos aleatoriamente.
Weight indica que los servidores deben ser contactado
aleatoriamente, pero si un nmero grande de conexiones tiene
lugar, el 25% deben ser echas con servidor1 y un 75% con el
servidor2 (un valor de 0 Los balanceo de carga no son echo).
Port especifica el puerto por el cual el servidor est corriendo.
Target-computer especifica el nombre de la computadora en
la cual el servicio est corriendo, si un punto es es colocado el
servicio no es suministrado.
59
Configurar el servicio DNS
Configurar un Master DNS Server.

Configurar un Slave DNS Server.
Configurar un Caching-only DNS Server.
Configurar un Forwarding (Proxy) Name Server.
Configurar un Authoritative-only DNS Server.
60
Configurar un Master DNS Server
Funcionalidades a suministrar:
Mster para la zona example.com.

Servicio de caching para otros dominios.
Fichero de zona: (named.conf.default-zones)

(Mster para la zona example.com)
e.j. // clausula zone - master para example.com

zone "example.com" in {
type master;
file "master/master.example.com";
allow-update { none; };
};
// resolucin inversa para example.com
zone "1.168.192.IN-ADDR.ARPA" in {
type master;
file "192.168.1.rev";
allow-update {none;};
};
61
Configurar un Master DNS Server (Cont.)
Fichero de zona: (named.conf.options)

(Servicio de caching para otros dominios)
e.j. // clausula options : configuracin global
options {
directory /var/named;
version No esta actualmente disponibles;
allow-transfer { 192.168.1.2; };
recursion yes;
};
La sentencia version (para seguridad) evita el hacking conocido como weaknesses si la

versin esta publicada.
Deshabilitar la zona de transferencia excepto para la Slave en el example.net.
Opcional recuerde que el comportamiento de Bind por defecto es recursivo .
62
Configurar un Master DNS Server (Cont.)
Una alternativa:
(deshabilitar las transferencias de zona en la clausula
options y selectivamente habilitarla en la clausula zone
requerida)
e.j. ...
options {
...
allow-transfer { none; };
...
}
...
...
allow-transfer { 192.168.1.2; };
...
};
63
Configurar un Slave DNS Server
Slave para la zona example.com y mster para la zona

exanple.net.
Fichero de zona: (named.conf.default-zones)

(Slave para la zona example.com y master para la zona
example.net)
e.j. // clausula zone - slave para example.com

type slave;
file "slave/slave.example.com";
masters (192.168.1.4;);
allow-notify { 192.168.1.4; };
};
64
Configurar un Slave DNS Server

e.j. // clausula zone - mster para example.net
zone "example.net" in{
type master;
file "master/master.example.net";
};
// resolucin inversa para example.net
zone "1.16.172.IN-ADDR.ARPA" IN {
type slave;
file "slave.172.16.1.rev";
masters { 172.16.1.4; };
};
65
Configurar un Slave DNS Server (Cont.)

options {
recursion yes;
};
La sentencia version (para seguridad) evita el hacking conocido como weaknesses si la

versin esta publicada.
Deshabilitar todas las zona de transferencia.
Opcional recuerde que el comportamiento de Bind por defecto es recursivo .
66
Configurar un Caching-only DNS Server
No es mster ni slave para ninguno dominio y soporta

peticiones recursivas para la zona root.
Peticiones recursivas para resolvers u otros DNS actuando
en favor de otros resolvers.

options {
recursion yes;
};
Opcional recuerde que el comportamiento de Bind por defecto es recursivo.

67
Configurar un Forwarding Name Server.
No es mster ni slave para ninguno dominio.

No suministra peticiones recursivas.
Re-direcciona todas la peticiones a un DNS remoto.

(Servicio de caching y redireccin para otros dominios)
options {
forwarders { 10.0.0.1; 10.0.0.2; };
forward only;
recursion no;
};
Deshabilitar el suministro de peticiones recursivas.

Habilitar la redireccin.
68
Configurar un Forwarding Name Server.
Una alternativa:
(deshabilitar la redireccin de la clausula options y
selectivamente habilitarla en la clausula zone requerida)
e.j. // usar la redireccin en la clausula zone

zone "example.net" in {
type forward;
forwarders { 10.0.0.3; };
forward only;
};
69
Configurar - Authoritative-only DNS Server
Mster para la zona example.com.

No suministra servicio de caching para otros dominios.
No suministra peticiones recursivas para resolvers u otros
DNS actuando en favor de otros resolvers.
El servidor es optimizado para maximo rendimiento.

(Mster para la zona example.com)
e.j. // clausula zone - master para example.com

type master;
file "master/master.example.com";
};
70
Configurar - Authoritative-only DNS Server

e.j. // resolucin inversa para example.com
zone "1.168.192.IN-ADDR.ARPA" in {
type master;
file "192.168.1.rev";
};

(Sin caching y recursividad para otros dominios)
options {
recursion no;
};
Deshabilitar el suministro de peticiones recursivas.
71
Laboratorio
Lab-3: (Configurar el Servicio DNS)
Habilite dos vmware.

Configurar el servicio de DNS segn el escenario.
72

Modulo 1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Modulo 1

Transféré par

Droits d'auteur :

Formats disponibles

Debian GNU/Linux

D7-A06 Servicios de infraestructura de red en Linux

Ing. Ariel Alvarez Enrquez

Servicios de infraestructura de red en Linux

Su uso principal es:

DNS (acrnimo de Domain Name System) es una

La asignacin de nombres de dominio a direcciones IP.

DNS es una base-dato distribuida indexada

Breve historia sobre DNS

Con el surgimiento de las redes e Internet:

Naci de la necesidad de facilitar el acceso a los

En 1984, Paul Mockapetris crea: El Sistema de

Su diseo se bas en la estructura jerrquica del

DNS Name Space

Sistema de Nombres de Dominio (DNS)

Cmo trabaja DNS?

El espacio de nombre de dominio de Internet.

El espacio de nombre de dominio Internet

El espacio de nombre de dominio.

Estructura Jerrquica del rbol (Dominio).

El root del rbol es representado como un . .

Generic Top-Level Domains (gTLD):

Interpretaciones de la estructura (Cont.)

Cada nombre de dominio es una ruta en un rbol

Un dominio es simplemente un sub rbol (sub-tree)

Ing. Ariel Alvarez Enrquez

Interpretaciones de la estructura (Cont.)

El nombre de dominio completo de cualquier nodo en

Cada nodo tiene un text label (sin punto) que puede

Ing. Ariel Alvarez Enrquez

Interpretaciones de la estructura (Cont.)

Resource Records (RRs).

La data asociada con los nombres de dominio es

La clase Internet (IN) (cualquier red TCP/IP de internet).

En una clase hay varios tipos de records y se

Espacio de nombres y dominios

Relacin entre organizaciones individuales.

Second level domain

RIR : IP address and AS numbers

Ing. Ariel Alvarez Enrquez

Registros de Internet (Cont.)

RFC-editor publica los estndares RFC.

(El registro TLD, un registro de asignacin de direcciones IPv4 e

ICANN formada para asumir responsabilidades por:

(Reparto del espacio de direcciones IP, la asignacin de parmetros

Publica tres polticas fundamentales:

Establecer de los nuevos registros de internet regional (RIR).

IANA (The Internet Assigned Numbers Authority) : (http://www.iana.org/).

RIR (Regional Internet Registries)

Registros de Internet (Cont.)

Registro de Internet Regional (RIR).

Norte Amrica, regin Sur de frica y parte del Caribe

Suramrica, parte del Caribe.

Europa, Medio Este, regin norte de frica y parte de Asia. www.ripe.net

frica. (Actualmente los registros africanos son

Registros de Internet (Cont.)

Asignacin de direcciones IPv4 para (RIR).

024.0.0.0 024.255.255.255 ARIN

200.0.0.0 201.255.255.255 LACNIC

intervalos de direcciones IPv4 para intranets.

Delegacin de control permite, administracin

Autoridad una organizacin o persona

Ing. Ariel Alvarez Enrquez

La zona es parte del espacio de nombre de