Vous êtes sur la page 1sur 37

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.

090-00

Curso 452

Linux Security
Servers in Cloud

Verso 2015_3.0

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS

Fundamentao
Durante os anos 70, Arpanet era uma pequena comunidade de algumas centenas de
hosts. Um nico arquivo, HOSTS.TXT, continha toda a informao necessria sobre os
hosts. Este arquivo continha nome para enderear cada host conectado a ARPANET. O
arquivo era mantido pela Network Information Center (NIC) e distribuido por um nico
host, Stanford Research Institutes Network Information Center (SRI-NIC).
Os administradores da ARPANET enviavam ao NIC, por e-mail, quaisquer mudanas
que tivessem sido efeituadas e periodicamente SRI-NIC era atualizado, assim como o
arquivo HOSTS.TXT.
As mudanas eram compiladas em um novo HOSTS.TXT uma ou
duas vezes por semana. Com o crescimento da ARPANET, entretanto, este esquema
tornou-se invivel. O tamanho do arquivo HOST.TXT crescia na proporo em que
crescia o nmero de hosts. Alm disso, o trfego gerado com o processo de atualizao
crescia em propores ainda maiores uma vez que cada host que era includo no s
significava uma linha a mais no arquivo HOST.TXT, mas um outro host atualizando a
partir do SRI-NIC.

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

IT Experience

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
3

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Objetivos da Aula
Aula 02 Servidor DNS (1/2)
Introduo a resoluo de nomes;
Executar diagnsticos utilizando servidor DNS externo;
Implementar na prtica um servidor de cache com bind9;
Implementar na prtica um servidor primrio com bind9;
Executar diagnsticos utilizando servidor DNS interno;

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
4

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Objetivos da Aula
Aula 02 Servidor DNS (2/2)
Utilizar ferramenta de gerenciamento do named;
Implementar na prtica um servidor DNS reverso com bind9;
Implementar na prtica um servidor Secundrio com bind9;
Melhorar a segurana no servidor DNS.

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
5

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Domain Name System:
Responsvel pela resoluo de Nome para IP e de IP para Nome;
Criado e mantido pelo ISC (Internet System Consortium), mesmo grupo
que mantm DHCP e NTP;
Eles so divididos em "gTLD" (domnios genricos "com", "edu", "gov",
"mil", etc) e "ccTLD" (cdigos de pases ou "country-code", sempre com
duas letras);
A

ICANN

delega,

de

acordo

com

tratados

internacionais,

responsabilidade pela administrao de um "ccTLD";


No caso do Brasil, essa responsabilidade pertence atualmente ao
"CGI.br", mais especificamente ao "REGISTRO.br";
6

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
6

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Dois servidores, o primrio e o secundrio, devem ter um mecanismo
configurado corretamente para que eles se mantenham sincronizados;
O DNS reverso deve estar configurado;
O servidor deve trabalhar de forma autoritativa, responsvel apenas
pelo domnio dexter.com.br;
Configurar o servidor primrio para notificar o secundrio quando
houver atualizao na zona;
Restringir acesso apenas para a rede interna realizar consulta
recursiva;
Restringir acesso apenas para o servidor secundrio realizar
transferncia de Zona.

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
7

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
http://root-servers.org/map/
Root Servers

.com

.net

.org

gTLD (Generic Top Level Domain)

.br

.uk

.pt

ccTLD (Country Code Top Level Domain)

.com

.org
http://registro.br/dominio/

dexter
www
8

Resoluo Recursiva
Tomando um navegador web como exemplo, a resoluo para acesso a um "website"
tem as seguintes etapas:
1.Usurio solicita acesso a "www.exemplo.com.br"
2.Navegador checa se j conhece o endereo IP do "hostname" solicitado (cache
do"browser");
3.Se no conhece, o navegador passa a solicitao para a biblioteca de resoluo - o
"resolver";
4.O "resolver" procura o "hostname" solicitado no arquivo "/etc/hosts" local;
5.Se no encontrar, ele checa o arquivo "/etc/resolv.conf" para saber a quais "nameservers" deve solicitar a informao;
6.O "resolver" repassa a solicitao ao primeiro "nameserver" da lista, e logo aps para
o prximo at o fim da lista, aguardando por uma resposta de qualquer um deles;
7.O servidor de nomes acionado consulta seu "cache", se houver;
8.Se no encontrar em seu "cache", o servidor em questo vai diretamente ao servidor
raiz e transfere a consulta - www.exemplo.com.br;
9.O servidor raiz no faz "cache", e tambm no autoridade sobre zonas de baixo
nvel, ento ele apenas responde uma parte da questo: "No sei quem , mas sei
quem pode responder melhor: br.";

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
4. Indica o TLD
responsvel
Root
Servers
5. Indica o SOA
Responsvel
TLD
(.com)

1. Quem
Google.com ?

6. Responde com
o IP do
www.google.com

DNS Primrio

DNS
Autoridade
google.com

2. Tem no Cache?
3. Pergunta Root
Servers

Resoluo Recursiva
10.O servidor de nomes reenvia a consulta para o servidor ".br-www.exemplo.com.br;
11.".br" retorna o mesmo tipo de resposta, porm como uma dica mais prxima: "No
sei quem , mas sei quem pode responder melhor: com.br.";
12.Passos 10 e 11 so efetuados mais uma vez, e agora a resposta "No sei quem
, mas sei quem pode responder melhor: exemplo.com.br.";
13.Aps repetir o passo 10, finalmente a resposta ser da autoridade sobre o
domnio exemplo.com.br. Vai ser respondido o IP, juntamente ao TTL do registro, ou
ser respondido "inexistente";
14.O servidor de nomes far "cache" da resposta, ao mesmo tempo que a repassa
para o resolvedor original;
15.O resolvedor repassa a resposta para o navegador;
16.O navegador inicia uma conexo "HTTP" com o IP descoberto.

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Tipos de DNS:
DNS AUTORITATIVO O servidor autoritativo de um domnio
possui os registros originais que associam aquele domnio a seu
endereo de IP. Tem sua responsabilidade na humanidade;

DNS DE CACHE Um cache DNS guarda localmente os resultados


dessa pesquisa para utilizao futura, evitando a repetio de
pesquisas e aumentando drasticamente a velocidade de resposta.

10

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
10

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Tipos de Registros do DNS:
SOA

Start Of Authotity - Indica onde comea a autoridade da zona;

NS

Name Server - Indica um servidor de nomes para a zona;

Address - Mapeamento de nome a endereo (IPv4);

AAAA Address - Mapeamento de nome a endereo (IPv6);


MX

Mail eXchanger - Indica um servidor de email;

CNAME Canonical Name (Alias) - Mapeia um nome alternativo (Alias)


PTR

Pointer Record (IP reverso);

TXT

Text Permite incluir uma entrada de texto curto. Mais usado

para SPF.

11

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
11

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

Exemplos de Consultas DNS:


Quem o servidor de e-mail do google?
host -t mx google.com
Qual o endereo do servidor webmail.4linux.com.br?
host -t A webmail.4linux.com.br
Quais so os servidores DNS da 4linux?
host -t NS 4linux.com.br
Fazendo uma pesquisa por um DNS em especfico:
dig @8.8.8.8 -t NS 4linux.com.br
12

Comando host
O comando "host" concebido para dar respostas objetivas, limitando-se
na maioria dos casos a uma s linha. Repostas detalhadas podem ser
obtidas com a utilizao de parmetros. Ao contrrio do "dig", o "host"
consulta a "search list" do arquivo "/etc/resolv.conf".
Comando dig
O comando "dig" o acrnimo para "Domain Information Groper", que
significa algo como "aquele que busca por informaes de domnio no
escuro", e ao mesmo tempo, a palavra "dig" em ingls significa literalmente
"escavar".
O "dig" no utiliza a opo "search" do "/etc/resolv.conf", por isso
necessrio utilizar "FQDN" em todas as buscas.
12

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

Servidor DNS:
1#aptgetinstallbind9

5#cd/etc/bind/

netstatnlup|grep53
2#vim/etc/resolv.conf

6#ls
7#catdb.root
8#catnamed.conf.defaultzones

nameserver127.0.0.1

9#catnamed.conf.options
nameserver192.168.200.130

3#hostgoogle.com
4#aptgetupdate

ATENO: Por padro, o bind9 no traz o pacote dns-utils instalado,


responsvel pelos utilitrios de consulta DNS dig e host.
13

DNS com BIND (Berkeley Internet Name Domain)


O BIND o servidor de nomes utilizado na grande maioria dos servidores
da Internet, provendo uma estvel e robusta arquitetura sobre a qual as
organizaes podem construir sua estrutura de nomes.
O principal arquivo do BIND o arquivo "/etc/bind/named.conf". Esse
arquivo

utiliza

opo

include

para

anexar

os

arquivos

"/etc/bind/named.conf.options" e "/etc/bind/named.conf.local". Sendo


que o primeiro usado para personalizar as opes referentes ao
funcionamento do prprio "BIND", enquanto o segundo serve para declarar
as zonas pelas quais este servidor deve responder.
Completando o time temos o arquivo "db.root" (no RedHat localizado em
"/var/named/named.a") Este arquivo relaciona os endereos dos 13
servidores raiz e lido como uma zona do tipo hint conceito a ser estudado
em aula.
13

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Criao do arquivo de Zonas:

Servidor: Audit

1#vimnamed.conf.local

zone"dexter.com.br"{

typemaster;
file"db.dexter";

};

Verifique se as configuraes foram realizadas com sucesso:


2#namedcheckconf

Entre dentro do diretrio /var/cache/bind e copie o arquivo de registro:


3#cd/var/cache/bind
4#cp/root/dns/db.dexter/var/cache/bind/
5#vimdb.dexter

14

O "BIND" pode operar de acordo com 6 tipos de zonas:


MASTER Zona de autoridade sobre o domnio. Os dados da "zona"
sero criados, publicados e administrados a partir deste ponto.
SLAVE Basicamente uma cpia da zona original, nenhuma criao ou
alterao respectiva a essa "zona" ser feita diretamente neste DNS.
STUB Tipo de "zona" similar a Slave no previsto em nenhuma "RFC"
foi implementado apenas no "BIND".
HINT Especfica para o "BIND" onde ele deve comear uma busca
recursiva quando estiver operando como "cache".
FORWARD Serve para orientar o "BIND"a encaminhar a consulta sobre
uma determinada "zona"para outro servidor em especial.
DELEGATION-ONLY

Utilizada

para

autoridades sobre domnios de primeiro.


14

evitar

abusos

de

algumas

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

$TTL86400;TempoemSegqueoCachepermanecenosDNSdoMundo
@INSOAns1.dexter.com.br.root.dexter.com.br.(
2015030301;serial
8h;refresh
1h;retry
3d;expire
3h);negativecachingttl
@INNSns1.dexter.com.br.
ns1INA192.168.200.30
@INA192.168.200.30
auditINA192.168.200.30
wwwINA192.168.200.130

15

Informaes encontradas em um Registro de Zona


Dono o nome do registro. Quando substitudo pelo smbolo "@", o
dono o prprio domnio. Caso o dono fique em branco, o "BIND"assume o
nome do registro imediatamente superior;
TTL Um valor, em segundos, para a permanncia dos dados deste
registro no "cache"de um servidor. Raramente utilizado. classe - Podem ser
"CH" (Chaos), "HS" (Hesiod) ou "IN" (Internet).
Tipo No momento existem mais de 30 tipos de registro, dentre os quais
veremos "SOA", "NS", "MX", "A", "CNAME", "TXT" e "PTR".
Serial a referncia para os "slaves" saberem se a "zona" sofreu
alteraes;

15

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

intranetINA192.168.200.130
bkpreportINCNAMEintranet
backupINCNAMEintranet
webmailINCNAMEintranet
sargINCNAMEintranet
ftpINCNAMEintranet
@INMX10mail.dexter.com.br.
mailINA192.168.200.131
smtpINCNAMEmail
popINCNAMEmail
imapINCNAMEmail
ldapINCNAMEmail
;ConfiguraodoDNSsecundrio
;@INNSns2.dexter.com.br.
;ns2INA192.168.200.130
16

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
16

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit
1#namedcheckzonedexter.com.br/var/cache/bind/db.dexter
2#tailf/var/log/daemon.log>/dev/tty2&
3#/etc/init.d/bind9stop
4#/etc/init.d/bind9start
5#digtsoadexter.com.br
6#hostdexter.com.br
7#hostintranet.dexter.com.br

17

Informaes encontradas em um Registro de Zona


Refresh Tempo que o servidor secundrio vai aguardar at checar se h
atualizaes no servidor primrio;
Retry Em caso de falha do "refresh", o tempo at a prxima verificao;
Expire O tempo que o secundrio aguardar o primrio voltar, se
esgotar, o secundrio para de responder por essa zona;
Negative caching TTL Se a zona expirar, esse ser o tempo pelo qual
um servidor "cache" armazenar a informao "NXDOMAIN" antes de
iniciar uma nova busca recursiva. O mximo so 3 horas.

17

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

Explorando a ferramenta RNDC:


1#rndcstatus
2#rndcreload
3#hostuol.com.br
4#rndcdumpdbcache
5#cat/var/cache/bind/named_dump.db
6#grepuol/var/cache/bind/named_dump.db
7#rndcflush
8#rndcdumpdbcache
9#grepuol/var/cache/bind/named_dump.db

18

Utilitrio RNDC
O comando rndc (Remote Named Daemon Control) uma ferramenta de
gerenciamento do named.
A vantagem dessa ferramenta que ela permite controlar o named muito
facilmente sem ter que ficar enviando sinais ao processo do mesmo.

18

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Transferncia de Zona
Servidor: Audit

Transferncia de Zona consiste no Servidor DNS;


Primrio passar toda a configurao de uma determinada Zona;
Pensando em Segurana, essa ao sempre deve ser restrita
apenas a servidores DNS autorizados a receber as suas
configuraes;
muito comum SysAdmins deixarem a Transferncia de Zona
aberta no Servidor causando uma brecha de segurana:
1#digdexter.com.braxfr

19

Canivete suo da resoluo de Nomes


No "dig" h dezenas de opes e incontveis combinaes entre elas, como o
formato acima onde atravs do dig fizemos uma consulta de zona utilizando
mecanismo AXFR ( Protocolo para a replicao de dados entre servidores DNS ).
Para entender bem o dig consultar o "man" e ter um forte domnio do funcionamento
do sistema de nomes so itens necessrios!

19

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Transferncia de Zona
Protegendo seu DNS

Servidor: Audit

1#vim/etc/bind/named.conf.local

zone"dexter.com.br"{

typemaster;

file"db.dexter";

allowtransfer{192.168.200.130;};

notifyyes;

alsonotify{192.168.200.130;};

};

2#/etc/init.d/bind9restart
3#digdexter.com.braxfr

allow-transfer
Restringir a
transferncia de zona
apenas para
Servidores
Autorizados;
As opes notify e
also-notify
determinam se o
servidor primrio
notifica servidores
secundrios quando a
informao de zona
for atualizada.

20

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
20

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Reverso:

Servidor: Audit

DNS reverso um recurso que permite que outros servidores verifiquem a


autenticidade do seu servidor. Para isso, ele checa se o endereo IP atual
bate com o endereo IP informado pelo servidor DNS:
1#hostmail.dexter.com.br
2#host192.168.200.131
3#vim/etc/bind/named.conf.local

zone"200.168.192.inaddr.arpa"{ Adicione abaixo da Zona J exitente.

typemaster;

file"rev.dexter";

allowtransfer{192.168.200.130;};

notifyyes;

alsonotify{192.168.200.130;};
};
21

Configurando o DNS reverso


DNS reverso um recurso que permite que outros servidores verifiquem a
autenticidade do seu servidor. Para isso, ele checa se o endereo IP atual
bate com o endereo IP informado pelo servidor DNS.
Os servidores de e-mail iro recusar seus e-mails ou classific-los como
spam caso o DNS reverso no esteja configurado.

21

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Reverso:
1#cp/root/dns/rev.dexter/var/cache/bind/
2#vim/var/cache/bind/rev.dexter

$TTL86400
@
IN
SOA
ns1.dexter.com.br.
root.dexter.com.br.(

2015010101;serial

8h;refresh

1h;retry

3d;expire

3d);negativecachettl
@
ns1
131

IN
NS

IN
IN

ns1.dexter.com.br.
A
192.168.200.30
PTR
mail.dexter.com.br.
22

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
22

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Audit

Checando o DNS Reverso:


1#/etc/init.d/bind9restart
2#hostmail.dexter.com.br

mail.dexter.com.brhasaddress192.168.200.131

3#host192.168.200.131

131.200.168.192.inaddr.arpadomainnamepointer

mail.dexter.com.br.200.168.192.inaddr.arpa.

23

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
23

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Secundrio:

Servidor: WebServerInterno

Os servidores DNS Secundrios ajudam a fornecer equilbrio de


carga e tolerncia a falhas. Os servidores DNS secundrios
mantm uma cpia somente leitura dos dados da zona
transferidos periodicamente do servidor DNS Primrio:
1#yuminstallbindbindutils

2#vim/etc/named.conf

include/etc/named.conf.local; Adicionar no final do Arquivo

3#vim/etc/resolv.conf

nameserver127.0.0.1
nameserver192.168.200.30

4#systemctlenablenamed.service

24

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
24

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Secundrio:

Servidor: WebServerInterno

1#vim/etc/named.conf.local

zone"dexter.com.br"{

typeslave;

masters{192.168.200.30;};

file"/var/named/slaves/db.slave.dexter";
};
zone"200.168.192.inaddr.arpa"{

typeslave;

masters{192.168.200.30;};

file"/var/named/slaves/rev.slave.dexter";
};
2#systemctlrestartnamed.service
3#ls/var/named/slaves/

Hmm algum problema


25

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
25

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Security Cloud

Mascaramento no Firewall:
Os servidores DNS no esto conseguindo se comunicar, pois os
pacotes esto sendo mascarados pelo firewall ou seja, quando o
pacote est indo com destino a Lan interna, o mesmo mascarado
e se perde, no chegando ao destino correto.
Devemos trabalhar com excees, onde o pacote somente ser
mascarado se o destino for a internet e no as Lans internas.

26

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
26

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Security Cloud

Mascaramento no Firewall:
Abra o arquivo de configurao do firewall e edite as regras de
mascaramento de ip:
1#vim+55/root/firewall/rules

55iptablestnatAPOSTROUTINGs$LAN1!d$LAN2j
MASQUERADE
Tudo que sair da Lan 192.168.200.0/25 ser mascarado EXCETO se for com destino a Subnet2

56iptablestnatAPOSTROUTINGs$LAN2!d$LAN1j
MASQUERADE
Tudo que sair da Lan 192.168.200.128/25 ser mascarado EXCETO se for com destino a Subnet1
2#servicefirewallrestart

27

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
27

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Laboratrio Dexter
Servidor: Webserver Interno

Validando a transferncia de Zona


No servidor Webserver Interno, restarte o bind e verifique se a
transferncia de zona consegue ser realizada com sucesso:
1#systemctlrestartnamed.service
2#ls/var/named/slaves/

Transferncia de zona realizada com sucesso!

28

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
28

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Laboratrio Dexter
Servidor: Audit

Validando os Servidores DNS:


Validando o DNS MASTER:
1#dig@192.168.200.30google.com.br

Validando o DNS SLAVE:


2#dig@192.168.200.130google.com.br

Alguma coisa de errado no arquivo de conf. do servidor DNS Slave.


Encontre qual o problema e resolva.

29

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
29

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
Servidor: Webserver Interno

Resolvendo o problema no DNS Slave:


1#vim/etc/named.conf

options{

listenonport53{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};

listenonv6port53{::1;};

directory"/var/named";

dumpfile/var/named/data/cache_dump.db;

memstatisticsfile/var/named/data/named_stats.txt;

allowquery{localhost;192.168.200.0/25;
192.168.200.128/25;};
};
2#systemctlrestartnamed.service

30

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
30

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

DNS Recursivo

DNS Recursivo a funcionalidade que o DNS possui por padro


de realizar consultas para todos os domnios mesmo que ele no
seja o servidor autoritativo daquele domnio;
Para evitar abuso em servidores DNS que ficam disponveis na
internet, importante limitar a recursividade apenas para redes
autorizadas;
1#host8.8.8.8
2#dig@8.8.8.8tauol.com.br
3#hostns1.google.com
4#dig@216.239.32.10tauol.com.br

31

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
31

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Servidor DNS
DNS Recursivo no DNS Primrio:

Servidor: Audit

1#vim/etc/bind/named.conf.options

options{

directory"/var/cache/bind";

allowrecursion{127.0.0.1;192.168.200.0/25;

192.168.200.128/25;};

allowquery{127.0.0.1;192.168.200.0/25;

192.168.200.128/25;};

authnxdomainno;

listenonv6{any;};

};
2#/etc/init.d/bind9restart

32

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
32

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

DICA
Criao de ACL no BIND
O bind tem uma funcionalidade que a criao de acls, uma forma
de deixar seus arquivos de configurao mais limpos e organizados.

Exemplo de Criao de ACL


aclrede_dexter{

127.0.0.1;192.168.200.0/25;192.168.200.128/25;

};
allowrecursion{rede_dexter;};
allowquery{rede_dexter;};

33

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
33

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?

Os usurios de uma rede local se queixam de que a resoluo de nomes


no rpida o suficiente. Insira o comando, sem o caminho ou opo,
que mostra o tempo necessrio para resolver uma consulta DNS.

34

Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
34

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?
Resposta: rndc reload
Os usurios de uma rede local se queixam de que a resoluo de nomes
no rpida o suficiente. Insira o comando, sem o caminho ou opo,
que mostra o tempo necessrio para resolver uma consulta DNS.
Resposta: dig

35

REPOSTA CORRETA: rndc reload

Ao efetuar alteraes em arquivos de zona utilizamos o comando rndc para


forar a releitura do arquivo de zona acelerando o processo de difuso da
informao alterada no daemon do DNS.
_______________________________________________________________________________________________________________________________________

REPOSTA CORRETA: dig

O comando dig traz entre outras informaes uma linha chamada Query
time, aqui encontramos a informao do tempo que foi necessrio para a
resoluo de nomes proposta.

35

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Prximos Passos
Para que voc tenha um melhor aproveitamento do curso,
participes das seguintes atividades disponveis no Netclass:
Executar as tarefas do Practice Lab;
Resolver o Desafio Appliance Lab e postar o resultado no
Frum Temtico;
Responder as questes do Teste de Conhecimento sobre o
contedo visto em aula.
Mos obra!

36

36

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00