configuración bind

Upload: rodolfo-casas

Post on 17-Jul-2015

352 views

Category:

Documents


0 download

TRANSCRIPT

Definicin de DNSBIND (Berkeley Internet Name Domain), como implementacin del protocolo DNS, es el servidor de este tipo ms comnmente usado en internet. La necesidad administrativa de montar un servidor de nombres DNS hacen de BIND una de las primeras opciones a tener en cuenta y desde este artculo se explotar la instalacin y configuracin del mismo.

Un poco de historia BIND es uno de los primeros servidores DNS creados al albor de internet. Encargado y patrocinado por la DARPA (Defense Advanced Research Projects Agency) a principios de los aos ochenta, cuando el Departamento de Defensa estadounidense estaba implicado en el desarrollo de la red de redes, el proyecto queda finalmente en manos de DEC/Digital (Digital Equipment Corporation), que se encarga de desarrollarlo casi por completo. Finalmente es uno de los empleados de Digital, Paul Vixie, quien retomar el proyecto y lo incluir en el consorcio ISC (Internet Software Consortium), responsable actual del mantenimiento del programa. Si bien las primeras implementaciones del servidor BIND (en concreto las versiones 4 y 8) mostraban una cantidad de vulnerabilidades exagerada (como casi todo el software nacido a la par que internet), la versin 9 del producto ya no presenta tantas complicaciones. Escrita desde cero para superar las dificultades tcnicas de antiguos desarrollos, dicha versin fue impulsada por proveedores UNIX, deseosos de que BIND mantuviera la competencia con Microsoft en igualdad de condiciones y por el Ejrcito de los Estados Unidos, que desarroll funcionalidades relativas a la seguridad como DNSSEC ( DNS Security Extensions), al darse cuenta de que la seguridad dentro del servicio DNS es algo a tener muy en cuenta.

Caractersticas BIND 9 ofrece un servidor de nombres de dominio a travs de named, una biblioteca de resolucin de sistemas de nombres de dominio y un paquete de herramientas para monitorizar el correcto funcionamiento de todo el sistema (bind-utils). Entre sus principales caractersticas se incluyen los protocolos de seguridad como DNSSEC o TSIG (Transaction SIGnature) y el soporte de IPv6, nsupdate (actualizaciones dinmicas), notificacin DNS, rndc flush, vistas y procesamiento en paralelo. Gracias a su arquitectura mejorada se ha conseguido una mejor portabilidad entre sistemas.

Introduccin a DNS DNS (Domain Name System) es una base de datos distribuida y jerrquica que almacena informacin relativa a los nombres de dominio en internet o gestiona nombres de equipos y servicios en redes locales. El uso ms comn de una base de datos DNS es la de asignacin de nombres de dominio o de servidores de correo a direcciones IP. Dicha asignacin se utilizar para la localizacin de dichos equipos/servicios de una manera sencilla y sin tener que recordar cada vez la direccin real. La informacin dada se puede consultar a la inversa (una direccin IP se traduce en un nombre almacenado en la base de datos). Los componentes principales de un sistema DNS son los siguientes:

Clientes DNS - Encargados de realizar las consultas pertinentes a las bases de datos de los servidores DNS. Servidores DNS - Contestan a las peticiones realizadas por los clientes. Dicha contestacin se har consultando la base de datos propia o haciendo una consulta recursiva a otro servidor DNS. Zonas de autoridad - Son los espacios de nombres de dominio donde se almacenan los datos. Generalmente, una zona de autoridad comprende, al menos, un nombre de dominio y todos sus subdominios, pudiendo estos ltimos estar en sus zonas de autoridad propias.

Servidores DNS

Dentro de este apartado, contamos con dos tipos de servidores:

Servidor Maestro/Primario - Consulta los datos del dominio en la base de datos del propio servidor donde se aloja. Servidor Esclavo/Secundario - Consulta los datos de una cach que rellena a partir de los datos de un servidor Primario. Dicho proceso se denomina Trasferencia de zona.

Es muy recomendable tener, al menos, tres servidores DNS configurados ( RFC 2182) para un correcto funcionamiento del sistema de resolucin. Un servidor actuara como nodo DNS Primario y los otros dos como nodos secundarios, que replicaran y respaldaran la base de datos principal. Obviamente, en un entorno local que no necesita servir datos fuera de la red (internet) no es tan necesario. Como hemos apuntado anteriormente, un servidor DNS puede hacer dos tipos de consultas:

Cmo funcionan las consultas recursivas Una consulta recursiva es aqulla realizada a un servidor DNS, en la que el cliente DNS solicita al servidor DNS que proporcione una respuesta completa a la consulta El servidor DNS comprueba la zona de bsqueda directa y la cach para encontrar una respuesta a la consulta. Cmo funcionan las consultas iterativas Una consulta iterativa es aqulla efectuada a un servidor DNS en la que el cliente DNS solicita la mejor respuesta que el servidor DNS puede proporcionar sin buscar ayuda adicional de otros servidores DNS. El resultado de una consulta iterativa suele ser una referencia a otro servidor DNS de nivel inferior en el rbol DNS Consulta iterativa Sugerencias Raiz(.)

Zonas de Autoridad Un servidor DNS Primario carga su informacin desde una Zona de Autoridad. Dicha zona abarca un nombre de dominio y, si los nombres de los subdominios no estn delegados, tambin los incluir. Toda la informacin se almacenar localmente en un fichero que contendr alguno de estos tipos de registros: A (Address) - Registro de direccin que resuelve un nombre de un anfitrin hacia una direccin IPv4 de 32 bits. AAAA - Registro de direccin que resuelve un nombre de un anfitrin hacia una direccin IPv6 de 128 bits. CNAME (Canonical Name) - Registro de nombre cannico que hace que un nombre sea alias de otro. Los dominios con alias obtiene los sub-dominios y registros DNS del dominio original. MX (Mail Exchanger) - Registro de servidor de correo que sirve para definir una lista de servidores de correo para un dominio, as como la prioridad entre stos. PTR (Pointer) - Registro de apuntador que resuelve direcciones IPv4 hacia el nombre anfitriones. Es decir, hace lo contrario al registro A. Se utiliza en zonas de Resolucin Inversa. NS (Name Server) - Registro de servidor de nombres que sirve para definir una lista de servidores de nombres con autoridad para un dominio. SOA (Start of Authority) - Registro de inicio de autoridad que especifica el Servidor DNS Maestro (o Primario) que proporcionar la informacin con autoridad acerca de un dominio de Internet, direccin de correo electrnico del administrador, nmero de serie del dominio y parmetros de tiempo para la zona. SRV (Service) - Registro de servicios que especifica informacin acerca de servicios disponibles a travs del dominio. Protocolos como SIP (Session Initiation Protocol) y XMPP (Extensible Messaging and Presence Protocol) suelen requerir registros SRV en la zona para proporcionar informacin a los clientes. TXT (Text) - Registro de texto que permite al administrador insertar texto arbitrariamente en un registro DNS. Este tipo de registro es muy utilizado por los servidores de listas negras DNSBL (DNS-based Blackhole List) para la filtracin de Spam. Otro ejemplo de uso son las VPN, donde suele requerirse un registro TXT para definir una llave que ser utilizada por los clientes.

Las zonas a resolver sern las siguientes:

Zonas de Reenvo - Devuelven direcciones IP para bsquedas sobre nombres FQDN (Fully Qualified Domain Name). Es importante apuntar aqu que, en el caso de tratarse de dominios pblicos, hay una responsabilidad por parte de la autoridad misma del dominio (el Registrar del WHOIS) para crear dicha zona de reenvo. Zonas de Resolucin Inversa - Devuelven nombres FQDN para bsquedas sobre direcciones IP. Como en el caso anterior, la responsabilidad de crear la Zona de Autoridad recae sobre la autoridad misma del segmento (si hacemos un WHOIS sobre una direccin IP, obtendremos a la autoridad de todo el segmento de direcciones).

La siguiente ilustracin muestra un uso bsico de DNS, consistente en la bsqueda de la direccin IP de un equipo basada en su nombre.

En este ejemplo, un equipo cliente consulta a un servidor DNS, preguntando la direccin IP de un equipo configurado para utilizar host-a.ejemplo.microsoft.comcomo nombre de dominio. Como el servidor puede utilizar la base de datos local para responder la consulta, contesta con una respuesta que contiene la informacin solicitada, un registro de recursos de host (A) que contiene la informacin de direccin IP para host-a.ejemplo.microsoft.com.

La lista que puede leerse de acciones dentro de la imagen es esta:

1. Navegador web pregunta: Quin es ejemplo.com? 2. El sistema conecta con el cliente DNS interno. 3. El cliente consulta en su cach si tiene la respuesta. 4. Si la respuesta no est en cach, el cliente preguntar a un servidor definido. 5. El servidor tambin consulta su propia cach. 6. Si no tiene la solucin en cach, consultar a los root servers cul es el servidor que resuelve ejemplo.com 7. Los root servers no resuelven el FQDN (Full Qualified Domain Name) sino solo registros NS segn zona (quin tiene la respuesta a la consulta). ftp://ftp.internic.net/domain/named.cache 8. Una vez nuestro servidor DNS sabe quin resuelve la peticin, solicita la resolucin. 9. El servidor DNS entrega la respuesta al cliente. 10. El sistema ya tiene respuesta. 11. El navegador ya puede ir a ejemplo.com

Ejemplo de archivo de zonaEn un archivo de zona, hacen falta al menos tres registros bsicos: SOA, NS y A.o

SOA: Proporciona informacin sobre la zona y las opciones de configuracin como cada cuanto expira y la ltima vez que se modific (si est bien definida)

o

NS: Un nombre de un servidor DNS en el que se aloja la zona.

o

A: Concretamente, deberemos especificar como poco la direccin del servidor DNS al que hemos nombrado en el registro NS.

A partir de ah, podemos aadir cualquier tipo de registro. Los registros siguen esta sintaxis:name IN NS address

Con un nombre que apunta a una direccin a travs de un tipo de

registro DNS (en este caso NS). Un ejemplo de archivo perfectamente viable sera este:$TTL @ 604800 IN SOA dns1 ejemplo.org. 2011012501 ; 604800 ; 86400 ; 2419200 ; 604800 ) ; dns1 dns2 mail mailbackup 192.168.1.254 192.168.1.254 192.168.1.122 192.168.1.254 192.168.1.200 ::1 CNAME www ( Serial Refresh Retry Expire Negative Cache TTL

; @ @ @ @

IN IN IN IN

NS NS MX 10 MX 40 A A A A A AAAA IN

www IN dns1 IN dns2 IN mail IN mailbackup IN ;@ IN intranet

Ah definimos que el dominio ejemplo.org con una semana de refresco, veintiocho das de expiracin, y los siguientes subdominios:o

dns1.ejemplo.org - Servidor DNS (registros A y NS)

o

dns2.ejemplo.org - Servidor DNS (registros A y NS)

o

mail.ejemplo.org - Servidor de correo (registros A y MX con prioridad mxima - 10 -)

o

mailbackup.ejemplo.org - Servidor de backup de correo (registros A y MX con prioridad menor - 40 -)

o

www.ejemplo.org - Redireccin seguramente a un servicio web (registro A)

o

intranet.ejemplo.com - redirecciona directamente a www (registro CNAME)

o

Un registro IPv6 (AAAA) que redirecciona a la IPv4.

En este fichero, @ equivale al nombre del dominio tal y como se especifica en el archivo en que se crea la zona (/etc/named.conf o cualquier incluido). Si se modifican las zonas, habr que utilizar el comando rndc reload para recargar los archivos de base de datos.

Tipos de registros DNS

A; Address (Direccin) - Este registro se usa para traducir nombres de hosts a direcciones IPv4.

AAAA; Address (Direccin) - Este registro se usa para traducir nombres de hosts a direcciones IPv6.

CNAME; Canonical Name (Nombre Cannico) - Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio. Es usado cuando se estn corriendo mltiples servicios (como ftp y web server) en un servidor con una sola direccion ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.).

NS; Name Server (Servidor de Nombres) - Define la asociacin que existe entre un nombre de dominio y los servidores de nombres que almacenan la informacin de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres.

MX; Mail Exchange (Registro de Intercambio de Correo) Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio.

PTR; Pointer (Indicador) - Tambin conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio.

SOA; Start of authority (Autoridad de la zona) - Proporciona informacin sobre la zona.

HINFO; Host INFOrmation (Informacin del sistema informtico) - Descripcin del host, permite que la gente conozca el tipo de mquina y sistema operativo al que corresponde un dominio.

TXT; TeXT ( Informacin textual) - Permite a los dominios identificarse de modos arbitrarios.

LOC; LOCalizacin - Permite indicar las coordenadas del dominio.

WKS; Generalizacin del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV.

SRV; SeRVicios - Permite indicar los servicios que ofrece el dominio. RFC 2782

SPF; Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts estn autorizados a enviar correo desde el dominio dado. El servidor que recibe consulta el SPF para comparar la IP desde la cual le llega, con los datos de este registro.

SOA

Serial: es un identificador del archivo, puede tener un valor arbitrario pero se recomienda que tenga la fecha con una estructura AAAA-MM-DD y un consecutivo. El nmero de serie debe siempre crecer, y se debe incrementar toda vez que se modifica el archivo, para que otros servidores sepan que ha habido cambios

Refresco: nmero de segundos que un servidor de nombres secundario debe esperar para comprobar de nuevo los valores de un registro.

Reintentos: nmero de segundos que un servidor de nombres secundario debe esperar despus de un intento fallido de recuperacin de datos del servidor primario. Expiracin: nmero de segundos mximo que los servidores de nombre secundarios retendrn los valores antes de expirarlos.

TTL mnimo: Significa Time To Live y es el nmero de segundos que los registros se mantienen activos en los servidores NS cach antes de volver a preguntar su valor real.

Herramientas de consulta DNS Tenemos principalmente tres herramientas para consultar registros DNS relacionados con un nombre de dominio, como el servidor en el que se aloja la zona (registro NS), la redireccin DNS para correo electrnico (registro MX), o cualquier otro registro como los de definicin de servidor (registros A). Estas tres herramientas son host, dig y nslookup, si bien vamos a olvidarnos de esta ltima, pues es actualmente obsoleta. As pues, vamos a hacer consultas con dig y host...Consultas con dig[root@localhost ~]# dig google.com ; DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3 google.com ;; global options: printcmd ;; Got answer: ;; ->>HEADERHEADERHEADERHEADERHEADERHEADER