Vous êtes sur la page 1sur 80

Servicios bsicos de la red

Mnica Corts Dpto. de Ingeniera de Sistemas Telemticos

dit UPM

Servicios bsicos de la red

Ya hemos visto:

DHCP Acceso remoto: SSH Domain Name System: sistema de nombres de dominio Network Time Protocol iptables

Administracin de DNS

Sincronizacin de tiempo: NTP

Cortafuegos

Nr. - 2010

dit UPM

ADMINISTRACIN DE DNS

Nr. - 2010

dit UPM

ndice

Definicin del servicio Configuracin de un cliente

Configuracin de un servidor
Arquitecturas de servicios de nombres Administracin de dominios

Facilidades avanzadas
Aspectos de seguridad

Nr. - 2010

dit UPM

Tabla de mquinas

Fichero /etc/hosts Puede incluir mquinas en una o varias redes

La tabla de mquinas incluye:


127.0.0.1 localhost localhost.localdomain 138.4.2.9 itaca fax news nis 138.4.2.9 mail 138.4.2.10 sanson dns 138.4.2.13 yeti dns2 138.4.2.13 mail2 138.4.2.60 loro www ftp proxy hora 138.4.3.171 lince 138.4.23.170 cajon itaca.dit.upm.es mail.dit.upm.es sanson.dit.upm.es yeti.dit.upm.es mail2.dit.upm.es loro.dit.upm.es lince.dit.upm.es cajon.dit.upm.es

Nr. - 2010

dit UPM

/etc/hosts

Estableca una correspondencia entre nombres y direcciones IP. 127.0.0.1 localhost localhost.localdomain 10.0.1.1 servidor servidor.adminlibre.dit.upm.es 10.0.1.2 iquitos iquitos.adminlibre.dit.upm.es 10.0.2.2 nauta nauta.servicios.aminlibre.dit.upm.es 10.0.2.3 requena requena.servicios.adminlibre.dit.upm.es 10.0.2.4 yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es 10.0.1.3 lima lima.adminlibre.dit.upm.es 10.0.3.2 cuzco cuzco.imasd.adminlibre.dit.upm.es 10.0.3.3 ica ica.imasd.adminlibre.dit.upm.es 10.0.3.4 huaraz huaraz.imasd.adminlibre.dit.upm.es 138.4.2.10 sanson dns sanson.dit.upm.es 138.4.2.32 dns2 dns2.dit.upm.es Contena informacin de cada equipo Demasiadas direcciones IP en uso hoy en da (>400M) Cmo sincronizar los nombres con las direcciones IP?

Nr. - 2010

dit UPM

Servicio de nombres

DNS (Domain Name Server) (RFC1034, RFC1035)

Ampliado posteriormente para incluir muchas extensiones:


Internacionalizacin acentos, , caracteres chinos. Seguridad: DNSSEC

Establece una correspondencia dinmica entre nombres y direcciones IP.


Consiste en una base de datos distribuida por toda la Internet.

se gestiona de forma descentralizada y redundante


Sin ningn punto nico de fallo

el esquema de distribucin es jerrquico fcil de usar en las aplicaciones (gethostbyname()) espacio de nombres es global Escalable
No hay tamao mximo de la base de datos (.com 60Millones) No hay lmite de preguntas (24.000 en HW normal)

Nr. - 2010

dit UPM

Servicio de nombres

Almacena

Direcciones IPv4 Direcciones IPv6 Nombres bsquedas inversas Se puede utilizar para otros fines Almacenamiento de caractersticas de mquinas Configuracin de servicios
Servidor de nombres Servidor de voip

Almacena informacin adicional


Claves pblicas Informacin de contacto

Nr. - 2010

dit UPM

Modelo de informacin

Jerrquico en rbol invertido Base de datos de informacin de dominios (DIB)


.

mil

edu

gov nsf

int

com

net

org isoc

us ole

es

jp

uk

cisco sun www ftp

upm ac dit etsit

sanson.dit.upm.es -> 138.4.2.10


Nr. - 2010

sanson jungla

dit UPM

Modelo de informacin DNS inverso


Jerrquico en rbol invertido Base de datos de informacin de direcciones IP

in-addr.arpa.

20

185

143 20

59

27 10 31

201

3 80

26

138 88 2 10

145 193 4 49 32 162

20 245 10.2.4.138.in-addr.arpa. ->sanson.dit.upm.es


Nr. - 2010

dit UPM

Resolucin de nombres
Aplicacin Mquina cliente cliente 6 1 Mquina servidor

Servidor de nombres
3 4

DIB

Resolver

TCP/IP
2 5

TCP/IP

Otros servidores

Nr. - 2010

dit UPM

Configuracin y administracin

Configuracin de los clientes


resolver En las aplicaciones En el sistema


gethostbyname() gethostbyaddr() como un gancho en el ncleo como un proceso en el sistema

Configuracin de un dominio

Delegado en otro dominio Dominio en un solo servidor Dominio en varios servidores


arquitectura de la base de datos distribuida

Nr. - 2010

dit UPM

Administracin de un cliente Resolver de DNS

dit UPM

Configuracin del cliente

Configurando el resolver se configuran todas las aplicaciones

gethostbyname(), gethostbyaddr() Full Qualified Domain Name: nombre completo hasta la raiz . servidor.adminlibre.dit.upm.es. host.conf
order hosts,bind multi on

FQDN

Orden de traduccin de nombres

nsswitch.conf
hosts files mdns4_minimal dns mdns4

hosts/files
Entradas locales con el formato: <IP nombre nombre FQDN>

Nr. - 2010

dit UPM

Configuracin del resolver local

En UNIX est en /etc/resolv.conf


domain search nameserver sortlist options

Todas las aplicaciones se comportan igual

domain search nameserver nameserver

adminlibre.org adminlibre.org dit.upm.es 138.4.2.10 10.0.1.1

Cul es nuestro dominio?


hostname hostname -f

Nr. - 2010

dit UPM

Definicin de dominio

FQDN est subdividido en dominios mediante el .

Control administrativo de cada subdominio puede variar Dominio raz o . Dominio .es Dominio upm.es Dominio dit.upm.es Completa el nombre dado en /etc/hostname

sanson.dit.upm.es.

En /etc/resolv.conf

Nr. - 2010

dit UPM

/etc/resolv.conf - search

Sirve para facilitar la bsqueda de un nombre. Simplifica la identificacin de una mquina:


lince lince.dit.upm.es.

El dominio por defecto determina la lista de bsqueda por defecto.


Sin punto se aade el dominio por defecto Con punto:


primero se busca sin dominio si falla se aade el dominio por defecto

La lista de bsqueda permite buscar en ms de un dominio

search dit.upm.es lab.dit.upm.es

Nr. - 2010

dit UPM

/etc/resolv.conf - nameserver

El resolver inicia las bsquedas segn lo definido en /etc/nsswitch.conf

Mirando el fichero local /etc/hosts Conectando con el servidor de nombres local.

Como no es necesario tener un servidor de nombres en todas las mquinas se debe seleccionar al menos uno.

nameserver 138.4.2.10

Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts El resolver siempre busca en el mismo orden segn lo indicado

Nr. - 2010

dit UPM

/etc/resolv.conf - sortlist

Si la respuesta a una peticin contiene varios

alternativas se puede indicar cual es la preferida


sortlist 138.4.2.0/255.255.255.192 sortlist 138.4.0.0 sortlist 138.4.2.0/255.255.255.0 138.4.22.0/255.255.255.0

Nr. - 2010

dit UPM

Administracin de un servidor DNS

dit UPM

Tipos de acceso a Internet

Sin ningn tipo de acceso

se pueden utilizar dominios inventados hay que estar registrado en un dominio pblico Enganchado al rbol invertido del DNS conectado con el resto de la BD mundial desde . se puede operar con una parte pblica y otra privada

Acceso completo

Acceso limitado por un corta-fuegos

Nr. - 2010

dit UPM

Servidores

Autoritario de una zona o dominio


Master: servidor primario Slave: servidores secundarios Pregunta a masters hasta hallar la respuesta Disponen de una cach para responder ms rpidamente
Entradas en la cach slo es temporal (TTL)

Servidor recursivo

Forwarders

Servidor que re-enva preguntas de DNS

Nr. - 2010

dit UPM

DIBUJO DE SERVIDORES

Nr. - 2010

dit UPM

Servidor DNS: BIND

UNIX

BIND 9 BIND 10 en desarrollo actualmente

Instalar
$ apt-get install bind9

Tambin para otros sistemas operativos


FreeBSD, Windows XP, 2003, 2008 Solaris, Mandrake, Debian, Mac OS X,

Nr. - 2010

dit UPM

Configuracin

Servidor lee la configuracin de /etc/named.conf

Qu tipo de servidor es
Master Slave

Qu informacin de traza dejo Opciones Qu zonas sirvo


conversin de nombres a direcciones conversin de direcciones a nombres (reverse mapping)

Fichero de hints

Como contactar con un servidor de la raz .

Cada zona tiene su fichero de datos

Con el nombre de la zona Con el nombre inverso Contiene la informacin de cada recurso de la zona

Nr. - 2010

dit UPM

Configuracin Master

El master tiene un fichero por cada zona con al informacin El slave (esclavo) obtiene la informacin de la zona haciendo una transferencia del master Cada zona tiene su fichero de datos

Con el nombre de la zona Con el nombre inverso Contiene la informacin de cada recurso de la zona

Nr. - 2010

dit UPM

Registros de recursos

DNS mapea nombres a Registro de Recursos (RR)

informacin asociada a cada nodo <Owner TTL Class Type Value> Owner nombre de dominio, propietario del RR TTL time to live, cunto tiempo un RR puede estar en la copia cach antes de ser descartado identifica a una familia de protocolos (IN en Internet)

RR: es una tupla


Class

Nr. - 2010

dit UPM

Registros de recursos
<Owner TTL Class Type Type tipo de recurso
A MX NS CNAME HINFO PTR SOA A MX NS CNAME HINFO PTR SOA
Nr. - 2010

Value>

Value datos, depende del tipo de RR


Direccin IP de 32 bits Preferencia + nombre de dominio Equipo que sirve el dominio Nombre de dominio Mquina, S.O. DNS inverso: para un IP su nombre de dominio Varios campos

IPv4 address Mail eXchanger Name Server Canonical Name, alias Host description Pointer (alias de un dominio) Start of a zone of authority

dit UPM

Ficheros de registros

Lista de todos los registros conocidos de una zona Todas las lneas acaban en ; Comentarios

; es un comentario en v4 /* es u comentario en v8 */ // y este tambin # y este tambin

Nr. - 2010

dit UPM

Ficheros de registros - SOA

Informacin sobre autoridad de la zona


Informacin de contacto del dueo de la zona


Un equipo y un humano!

Nmero de serie
Incrementado al realizar un cambio en la zona, indica la versin ms reciente Puede ser una fecha: AAAAMMDDXX

Intervalo de refresco
Cada cuanto tiempo comprueba un esclavo si el nmero de serie ha cambiado

Intervalo de reintento
Si el intento de comprobacin del nmero de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo

Intervalo de expiracin
Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona

Cach negativo
Cuanto tiempo se guarda en la cach un resultado negativo

Nr. - 2010

dit UPM

Ficheros de registros - SOA

Ejemplo de SOA
Servidor master

Contacto humano correo@exmpl.org

exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( 2010040400 ; nmero de serie 10800 ; refresh 3h 3600 ; retry 1h 604800 ; expire 1w 10800 ) ; ncache 3h

O tambin con un formato ms humano exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( 2010040400 3h 1h 1w 3h );

Nr. - 2010

dit UPM

Ficheros de registros - NS

NS indica un servidor de nombres de la zona


Se usa para delegar una zona a otro servidor Es conveniente tener ms de uno RR de esa zona estn en otro servidor

ltimo punto es imprescindible

ltimo punto es imprescindible

subdom.exmpl.com. IN NS subdom.exmpl.com. IN NS

servidor.otrodom.com. servidor2.otrodom.com.

Nr. - 2010

dit UPM

Ficheros de registros - A

conversin nombre a direccin IPv4


Proporciona el mapeo entre el dueo owner y el nmero IP Puede haber ms de un nmero IP por dueo

equipo.exmpl.com. IN equipo2 IN

A A A

10.0.1.200 10.3.20.114

Si no acaba con . se le aade el dominio de la zona

Nr. - 2010

dit UPM

Ficheros de registros - CNAME

CNAME

nombres cannicos (ALIAS)

Indican a un resolver que la informacin del RR pedido se halla bajo otro nombre Es el nico RR que debe existir de un nombre

alias.exmpl.com.

IN

CNAME
A?

real.exmpl.com.

Pregunta: Respuesta: Nueva Pregunta: Nueva respuesta:

alias.exmpl.com

alias.exmpl.com CNAME real.exmpl.com real.exmpl.com real.exmpl.com A? A 10.10.10.10

Nr. - 2010

dit UPM

Ficheros de registros - MX

MX

servidor de correo de un dominio

Nr. - 2010

dit UPM

Ficheros de registros - PTR

PTR

conversin direccin a nombre

Nr. - 2010

dit UPM

Abreviaturas

El nombre del servidor primario se aade a todos los nombres no completos (que no terminan en .)
lince.dit.upm.es. lince 171.3.4.138.in-addr.arpa. 171 IN A 138.4.3.171 IN A 138.4.3.171 IN PTR lince.dit.upm.es. IN PTR lince.dit.upm.es.

No olvidar el . en los nombres completos


lince.dit.upm.es IN A 138.4.3.171 equivale a lince dit.upm.es.dit.upm.es.

Nr. - 2010

dit UPM

Abreviaturas de nombres

El nombre de dominio se puede reducir


dit.upm.es. @ selva IN A IN A 138.4.2.7 138.4.22.1

Se puede asumir en nombre anterior


Los nombres no pueden incluir el _

Solo se puede utilizar en las direcciones de correo

Nr. - 2010

dit UPM

Servidor de nombres secundario

Es necesario tener al menos un servidor de nombres esclavo del primario Muchas veces hay mas de dos. Sirve adems para repartir carga Diferencias

el primario tiene la informacin local el esclavo la coge por la red (zone transfer)

Como el loopback y la cache son iguales se pueden copiar a mano.

Nr. - 2010

dit UPM

Configuracin del correo

La Tabla de Mquinas solo sirve para dar nombres a las mquinas. DNS permite encaminar el correo electrnico. DNS ofrece la posibilidad de indicar servidores de correo alternativos El registro MX sirve para indicar el servidor para

procesar el correo distribuir correo

Originalmente estaba dividido en dos, MD y MF.

Nr. - 2010

dit UPM

Servidores de correo

Se puede especificar mas de un servidor de correo Para evitar bucles se aade un parmetro que es la preferencia, que indica la prioridad de cada servidor.

dit.upm.es.

IN

MX

10 mail.dit.upm.es.

Cuando se dan varios se ordenan por prioridad y se evalan en ese mismo orden:
selva IN IN IN IN A MX MX MX

0 10 100

138.4.22.1 mail.dit.upm.es. mail2.dit.upm.es. selva.dit.upm.es.

Se pueden dar valores de 0 a 65535 Es recomendable indicar un registro MX para cada mquina

Nr. - 2010

dit UPM

Caractersticas de un servidor de correo

Tamao

para manejar todo el correo para encolarlo si es necesario en funcionamiento la mayor parte del tiempo

Disponible

Conectividad

bien conectado con los dems servidores


manteniendo la privacidad que no pierde mensajes cuando se producen fallos consigue una velocidad de entrega

Gestin y administracin

Nr. - 2010

dit UPM

Algoritmo de entrega de mensajes

Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. Si no est disponible se busca el siguiente en funcin del orden de prioridad. Se deben usar siempre nombres cannicos.

muchos intercambiadores de correo no miran los alias (CNAME)

Nr. - 2010

dit UPM

Entrega de mensajes

Cuando se alcanza una mquina con baja prioridad

se descartan los servidores con igual o mayor prioridad se intenta mandar el mensaje al de prioridad mas baja si falla se encola y se prueba mas tarde. da un error y devuelve el mensaje se puede configurar el sendmail para evitarlo

Si al intentar enviarlo se encuentra a si mismo

Nr. - 2010

dit UPM

Ejemplos Configuracin de servidores

dit UPM

Herramientas de diagnstico

dit UPM

dig

Herramienta de diagnstico de DNS Similar a nslookup o host

La respuesta de dig es muy similar al contenido de un fichero de zona de configuracin de un dominio.


Uso: dig <host> RR dig @server <host> RR $ dig tuenty.com. A $ dig gmail.com. MX $ dig @10.0.1.1 lima A $ dig @10.0.1.1 10.0.1.2 PTR

Nr. - 2010

dit UPM

dig

Herramienta de diagnstico de DNS Similar a nslookup o host

La respuesta de dig es muy similar al contenido de un fichero de zona de configuracin de un dominio.

$ dig tuenty.com a ; <<>> DiG 9.6.0-APPLE-P2 <<>> tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com.
Nr. - 2010 ;; ANSWER SECTION:

IN

dit UPM

Mantenimiento de un servidor DNS

dit UPM

Aadir y quitar mquinas

Actualizar siempre el primario

si se actualiza el secundario se pierde el cambio con la siguiente actualizacin Actualizar el nmero de serie Aadir los registros: A, CNAME, MX

Fichero db.DOMINIO

Fichero db.DIRECCION

Actualizar el nmero de serie Aadir los registros: PTR


kill -HUP `cat /etc/named.pid`

Relanzar el servidor de nombres

Nr. - 2010

dit UPM

Trazas de funcionamiento

Durante la operacin se generan trazas de funcionamiento Como mnimo se deben volcar los errores Se suele enviar la informacin al syslog Hay dos categoras de mensajes

estadsticas peticiones syslog (estadsticas) fichero de log (estadsticas y peticiones)

Hay dos canales donde enviar la informacin


Nr. - 2010

dit UPM

Trazas de funcionamiento

Hay diferentes tipos de mensajes


En BIND 8 es fcil definirlo


logging { channel mi_syslog { syslog daemon; severity info; }; channel mi_fich { file log.mens; severity dynamic; }; category statistics {mi_syslog; mi_fich;} category queries {mi_fich;} };

critical error warning notice info debug nivel dynamic

Nr. - 2010

dit UPM

Arquitecturas de DNS

Cuantos servidores se deben instalar


Como mnimo un primario Un secundario directamente conectado a cada subred


asociarlos a los servidores de ficheros

Poner un secundario fuera de las redes del dominio conectividad versiones de software homogeneidad seguridad

Factores a tener en cuenta

Nr. - 2010

dit UPM

Servidores muy cargados

Si un servidor recibe muchas peticiones puede ser necesario

replicarlo en varios procesos (BIND 4) limitar la carga que admite (BIND 4.9)

Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP.

Los sistemas tradicionales solo ponen un registro en cada mensaje DNS.

Nr. - 2010

dit UPM

Acciones para reducir la carga

limitar las transferencias iniciadas con un servidor

no traer todas las BD de golpe sino poco a poco transferencias por servidor * nmero de servidores

limitar el nmero total de zonas a transferir


limitar la duracin de una transferencia de zona

por defecto son 2 horas despus de ese tiempo se considera que el servidor ha muerto se pueden poner varios registros en un mensaje DNS

transferencias de zona mas eficientes

Nr. - 2010

dit UPM

Recursos limitados

Limitando el tamao del segmento de datos

limitar el tamao del proceso antes de que se pare.

Limitando el tamao de la pila Limitando el tamao del proceso Limitando el nmero de ficheros abiertos

ficheros que el proceso puede abrir simultneamente

Nr. - 2010

dit UPM

Como aumentar la capacidad


Aadiendo mas servidores primarios maestros Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia. Cargar unos secundarios de otros Crear servidores cache Crear servidores secundarios parciales

Nr. - 2010

dit UPM

Cuando aadir un subdominio

Cuando es necesario delegar o distribuir la gestin entre varios grupos (organizaciones) Cuando el tamao del dominio es muy grande

al dividirlo se simplifica la gestin se reduce la carga en el servidor

Cuando es necesario distinguir las mquinas dentro de una organizacin por grupos

Nr. - 2010

dit UPM

Como nombrar subdominios

Elegir nombres que no sean susceptibles de cambios frecuentes Si los nombres de la organizacin no son estables usar nombres geogrficos No sacrificar la legibilidad Utilizar nombres obvios

No utilizar nombres de dominios existentes a nivel mundial

Nr. - 2010

dit UPM

Mantenimiento

Borrar entradas obsoletas

peridicamente se revisa la cache y se eliminan las entradas obsoletas BIND 8 consume menos disco que BIND 4 donde no se limpia para que el servidor atienda por todas las interfaces aunque estas se activen y desactiven. plazo para volcar estadsticas para no entorpecer el funcionamiento normal

Intervalo de inspeccin de interfaces

Intervalo entre estadsticas


Nr. - 2010

dit UPM

Mquinas con varias interfaces

red 10 selva10 selva selva20 selva30

La mayora de los servicios mejoran si se accede a la interfaz correcta Si se accede al nombre (selva) se puede elegir la interfaz no deseada

Se puede dar nombre a las interfaces fsicas.

red 20

red 30

Nr. - 2010

dit UPM

Ordenacin de respuestas

Si una mquina pregunta por otra de su misma red, se ordena la respuesta para que la direccin de esa red aparezca la primera. Si la mquina que pide la direccin es de otra red no conectada directamente a ninguna de las interfaces

no se ordena la lista se puede forzar en la configuracin una ordenacin


sortlist 10.0.0.0 esto solo funciona con redes, no subredes se puede indicar varias redes en la lista

Se puede ordenar los servidores

Nr. - 2010

dit UPM

Forwarders

Cuando un sitio tiene una conexin de baja capacidad con Internet Interesa minimizar al mximo las peticiones fuera y mantener una cache local

Servidor buscado Forwarder


Servidor local

Clientes
Nr. - 2010

dit UPM

Configuracin

Los clientes no tienen nada especial Los servidores locales deben saber que existe uno o mas forwarders

options { 138.4.2.10; 138.4.3.130; }; forwarders 138.4.2.10 138.4.3.130

Se puede restringir la configuracin aun mas

options { 138.4.2.10; 138.4.3.130; }; forward-only; forwarders 138.4.2.10 138.4.3.130 slave

Nr. - 2010

dit UPM

Servidor en grupo

Cuando un servicio de Internet se da con mas de una mquina

Ayudar a repartir carga entre servidores espejo


Versiones antiguas

Un registro especial: Shuffle Address Record varios registros A


www.foo.com. 60 www.foo.com. 60 www.foo.com. 60 IN IN IN A A A 192.1.1.1 192.1.1.2 192.1.1.3

Versiones modernas (4.9)

va rotando las direcciones en las respuestas

Nr. - 2010

dit UPM

DNS y pginas amarillas

El orden de bsqueda es el siguiente


/etc/hosts NIS DNS mv /etc/hosts /etc/hosts.tmp touch /etc/hosts (cd /var/yp; make) mv /etc/hosts.tmp /etc/hosts /etc/host.conf /etc/nsswitch.conf

Ignorar NIS

En Linux se puede establecer un orden cualquiera


Nr. - 2010

dit UPM

DNS y Windows 95

Se puede configurar el resolver local


Dial-up networking TCP/IP settings LMHOSTS WINS DNS el nombre de la mquina los servidores en los que buscar dominios en los que buscar

El orden de bsqueda es

Se puede indicar

Nr. - 2010

dit UPM

Notificaciones de cambio

Los esclavos se actualizan peridicamente (refresh time)

Cuando se efecta un cambio en el primario no se percibe hasta que vence el plazo de actualizacin
DNS NOTIFY (RFC 1996)

el primario enva una peticin NOTIFY a los esclavos el esclavo asiente NOTIFY el esclavo hace como se el periodo de actualizacin hubiera vencido solo si el nmero de serie ha aumentado se transfiere la zona

Nr. - 2010

dit UPM

Configuracin

Est configurado por defecto El servidor DNS para NT dispone de esta facilidad No siempre se desea que este activada

options { notify no; };

de esa forma un esclavo no notifica a otro en cascada


si se tienen esclavo con BIND 4 es mejor no notificar se notifica a todos los servidores NS

Nr. - 2010

dit UPM

Configuracin explcita

Se pueden aadir mquinas a mano

zone acmebw.com { type master; file acmebd.com.db; notify yes; also-notify 15.255.152.4; };

Nr. - 2010

dit UPM

Movilidad

Se desea que la misma mquina se pueda conectar a varias redes Se puede utilizar DHCP para asignar nmero de IP al cliente Pero hay que actualizar la BD de DNS Actualizacin dinmica (RFC 2136)

Hay que actualizarlo en el servidor


zone acmebw.com { type master; file acmebw.com.db; allow_update { 192.168.0.1; }; };

Nr. - 2010

dit UPM

Actualizacin dinmica

Por lnea de comandos (nsupdate) o por programa Establecer prerequisitos antes de actualizar

prereg yxrrset domain name type [rdata]


prereg nxrrset prereg yxdomain domain name prereg nxdomain

Actualizar la base de datos


update delete domain name [type][name] update add domain name ttl [class] type rdata

Nr. - 2010

dit UPM

Ejemplos

Aadir una mquina


nsupdate prereg nxdomain dit.upm.es. update add lince.dit.upm.es 333 in a 138.4.23.58

Si una mquina tiene MX borrarlo y poner otros dos en su lugar

nsupdate prereg yxrrset yeti.dit.upm.es. in mx update delete yeti.dit.upm.es. In mx update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es. Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es.

Nr. - 2010

dit UPM

Aspectos de seguridad

La mayora de los aspectos de seguridad no son necesarios en corporaciones

A quien contestar
A quien ofrecer la notificacin de cambios A quien permitir que se actualice dinmicamente

Nr. - 2010

dit UPM

Seguridad

Protegerse contra ataques maliciosos

utilizar versiones modernas protegidas

Limitar las peticiones

dando una lista de acceso

Evitar transferencias no autorizadas

No ejecutar el servidor como root

Nr. - 2010

dit UPM

Limitar las peticiones


Rechazar el acceso a la informacin ofrecer nombres solo al grupo local

options { allow-query { lista_de_acceso }; };


options { allow-query { 138.4.1.0/6; 138.4.2.64/6; } };

Nr. - 2010

dit UPM

Limitar las peticiones por zonas

Se puede limitar la informacin por zonas


zone hp.com { type slave; file db.hp; masters { 15.255.152.2; }; allow-query { HP-NET; }; };

En BIND 4.9 se utiliza el registro secure_zone


limita las transferencias de zona adems de las peticiones secure_zone IN TXT 138.4.23.0:255.255.255.0 secure_zone IN TXT 138.4.2.0:255.255.255.192 secure_zone IN TXT 127.0.0.1:H

Nr. - 2010

dit UPM

Limitar las transferencias de zonas


Asegurar

que solo los servidores esclavos pueden transferir la zona


allow-transfer (BIND 8) xfrnets (BIND 4.9)

Configuracin

Configuracin

del primario del esclavo

indicar las mquinas autorizadas

Configuracin

prohibir la transferencia totalmente

Nr. - 2010

dit UPM

Ejemplo (BIND 8)

primario
zone acmebw.com { type master; file db.acmebw; allow-transfer {192.168.0.1; 192.168.1.1; }; };

esclavo
zone acmebw.com { type slave; masters { 192.168.0.4; }; allow-transfer { none; }; };

Nr. - 2010

dit UPM

Reglas de seguridad

Evitar las peticiones recursivas en los servidores de nombres delegados

para evitar el spoofing

No se puede evitar la recursin en los forwarders


limitar las peticiones a un grupo allow-query { 138.4/16; };

Restringir la transferencia de zona a servidores conocidos

Nr. - 2010

dit UPM