Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos...
-
Upload
ines-vargas-miguelez -
Category
Documents
-
view
220 -
download
0
Transcript of Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos...
![Page 1: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/1.jpg)
ditditUPM
AdministraciónDNS
Tomás P. de Miguel
Dpto. de Ingeniería de Sistemas Telemáticos
Universidad Politécnica de Madrid
![Page 2: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/2.jpg)
ditditUPM2 (Feb 2000) Administración de DNS
Índice
Definición del servicio
Configuración de un cliente
Configuración de un servidor
Arquitecturas de servicios de nombres
Administración de dominios
Facilidades avanzadas
Aspectos de seguridad
![Page 3: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/3.jpg)
ditditUPM3 (Feb 2000) Administración de DNS
Servicio de nombres
DNS (Domain Name Server) (RFC1034, RFC1035)
Establece una correspondencia entre nombres y direcciones IP.
Consiste en una base de datos distribuida por toda la Internet.4 se gestiona de forma descentralizada4 el esquema de distribución es jerárquico4 fácil de usar en las aplicaciones (gethostbyname())4 espacio de nombres es global
Almacena información adicional4 se puede utilizar para otros fines4 almacenamiento de características de máquinas4 configuración de servicios
![Page 4: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/4.jpg)
ditditUPM4 (Feb 2000) Administración de DNS
Modelo de información
Jerárquico en árbol invertido
Base de datos de información de dominios (DIB)
mil edu gov int com net org us es jp uk
ole upm
dit etsit
sanson jungla
cisco sunnsf ac
www ftp
isoc
![Page 5: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/5.jpg)
ditditUPM5 (Feb 2000) Administración de DNS
Registros de recursos
Registro de recursos (RR)4 información asociada a cada nodo
RR: es una tupla<Owner Type Class TTL Value>
4 Owner nombre de dominio, propietario del RR4 Type tipo de recurso
A IP addressMX Mail eXchangerNS Name ServerCNAME Canonical NameHINFO Host descriptionPTR Pointer (alias de un dominio)SOA Start of a zone of authority
![Page 6: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/6.jpg)
ditditUPM6 (Feb 2000) Administración de DNS
Registros de recursos
<Owner Type Class TTL Value>
4 Class identifica a una familia de protocolos(IN en Internet)
4 TTL time to live, cuánto tiempo un RR puedeestar en la copia caché antes de ser descartado
4 Value datos, depende del tipo de RRA Dirección IP de 32 bitsMX Preferencia + nombre de dominioNS Nombre de dominio (sistema)CNAME Nombre de dominio HINFO Máquina, S.O.PTR Nombre de dominio SOA Varios campos
![Page 7: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/7.jpg)
ditditUPM7 (Feb 2000) Administración de DNS
Resolución de nombres
Resolver
TCP/IP TCP/IP
Servidor de nombres DIBDIB
Aplicacióncliente
11
22
44
OtrosOtrosservidoresservidores
Máquinacliente
Máquinaservidor
33
![Page 8: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/8.jpg)
ditditUPM8 (Feb 2000) Administración de DNS
Configuración y administración
Configuración de los clientes4 resolver4 En las aplicaciones4 En el sistema
• gethostbyname()• como un gancho en el núcleo• como un proceso en el sistema
Configuración de un dominio4 Delegado en otro dominio4 Dominio en un solo servidor4 Dominio en varios servidores
• arquitectura de la base de datos distribuida
![Page 9: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/9.jpg)
ditditUPM9 (Feb 2000) Administración de DNS
Versiones
UNIX4 BIND 44 BIND 4.94 BIND 8
Windows 95 y Windows 984 solo resolver
Windows NT y Windows 20004 resolver4 servidor de nombres
• dominios sencillos• incorpora opciones avanzadas
![Page 10: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/10.jpg)
ditditUPM10 (Feb 2000) Administración de DNS
Configuración del cliente
Configurando el resolver se configuran todas las aplicaciones4 gethostbyname()
Orden de traducción de nombres4 UNIX (host.conf, nsswitch.conf)
• /etc/hosts• Páginas amarillas NIS• DNS
4 Windows• LMHOSTS• WINS• DNS
![Page 11: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/11.jpg)
ditditUPM11 (Feb 2000) Administración de DNS
Configuración de DNS
Consiste en configurar el resolver local de la máquina
En UNIX está en /etc/resolv.conf4 domain4 search4 nameserver4 sortlist4 options
Todas las aplicaciones se comportan igual
![Page 12: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/12.jpg)
ditditUPM12 (Feb 2000) Administración de DNS
Definición de dominio
Para indicar el dominio por defecto
En .rhosts (dominio mark)
En hostname (lince.dit.upm.es)
En el resolver4 domain dit.upm.es
Si no se indica ninguno se obtiene de la configuración general del sistema
![Page 13: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/13.jpg)
ditditUPM13 (Feb 2000) Administración de DNS
Lista de búsqueda
Sirve para facilitar la búsqueda de un nombre.
Simplifica la identificación de una máquina:4 lince4
lince.dit.upm.es. El dominio por defecto determina la lista de búsqueda
por defecto.4 Sin punto se añade el dominio por defecto4 Con punto:
• primero se busca sin dominio• si falla se añade el dominio por defecto
La lista de búsqueda permite buscar en mas de un dominio4 search dit.upm.es lab.dit.upm.es
![Page 14: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/14.jpg)
ditditUPM14 (Feb 2000) Administración de DNS
Servidor de nombres
El resolver inicia las búsquedas conectando con el servidor de nombres local.
Como no es necesario tener un servidor de nombres en todas las máquinas se debe seleccionar uno.4 nameserver 138.4.2.10
Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts
El resolver siempre busca en el mismo orden
![Page 15: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/15.jpg)
ditditUPM15 (Feb 2000) Administración de DNS
Elegir entre varias respuestas
Si la respuesta a una petición contiene varios
alternativas se puede indicar cual es la preferida
sortlist 138.4.2.0/255.255.255.192
sortlist 138.4.0.0
sortlist 138.4.2.0/255.255.255.0
138.4.22.0/255.255.255.0
![Page 16: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/16.jpg)
ditditUPM
Ejemplos
Configuración de resolvers
![Page 17: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/17.jpg)
ditditUPM
nslookup
utilizando el servicio DNS
![Page 18: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/18.jpg)
ditditUPM18 (Feb 2000) Administración de DNS
nslookup
Herramienta para consultar DNS 4 dig
4 host
nslookup es la más extendida.
Se puede probar el comportamiento del resolver o el
de cualquier servidor.
Solo habla con un servidor cada vez, mientras que el
resolver puede dialogar con varios.
![Page 19: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/19.jpg)
ditditUPM19 (Feb 2000) Administración de DNS
Servidor
Siempre se trabaja con un único servidor.
Se utiliza por defecto el primero que se indica en la configuración del resolver.
Ajusta los mismos plazos de espera del traductor.
No trata de optimizar plazos.
En esta herramienta lo importante es la respuesta no el tiempo empleado en conseguirla.
![Page 20: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/20.jpg)
ditditUPM20 (Feb 2000) Administración de DNS
Opciones
Depuración4 debug y d2
Considerar un dominio por defecto4 defname, domain o nosearch
Realizar peticiones recursivas4 recurse
Ignorar paquetes erróneos4 por defecto intenta resolver el problema utilizando TCP
Utilizar otro puerto4 port
Muestra diferentes tipos de recursos4 querytype, class
Configuración de plazos y repeticiones4 tiemout, retry
![Page 21: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/21.jpg)
ditditUPM
Ejemplos
Buscando informacióncon nslookup
![Page 22: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/22.jpg)
ditditUPM
Administración de un servidor DNS
![Page 23: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/23.jpg)
ditditUPM23 (Feb 2000) Administración de DNS
Tipos de acceso a Internet
Sin ningún tipo de acceso4 se pueden utilizar dominios inventados
Acceso completo4 hay que estar registrado en un dominio público
4 conectado con el resto de la BD mundial
Acceso limitado por un corta-fuegos4 se puede operar con una parte pública y otra privada
![Page 24: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/24.jpg)
ditditUPM24 (Feb 2000) Administración de DNS
Configuración de un servidor
Escribir la tabla de máquinas
Traducir la tabla de máquinas a ficheros de configuración DNS
Definir la arquitectura local4 un servidor primario4 varios secundarios (esclavos)4 forwarders (cache)
Configurar el servicio named
Probar la configuración con nslookup
![Page 25: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/25.jpg)
ditditUPM25 (Feb 2000) Administración de DNS
Tabla de máquinas
Fichero /etc/hosts
Puede incluir máquinas en una o varias redes
La tabla de máquinas incluye:127.0.0.1 localhost localhost.localdomain138.4.2.9 itaca fax news nis itaca.dit.upm.es138.4.2.9 mail mail.dit.upm.es138.4.2.10 sanson dns sanson.dit.upm.es138.4.2.13 yeti dns2 yeti.dit.upm.es138.4.2.13 mail2 mail2.dit.upm.es138.4.2.60 loro www ftp proxy hora loro.dit.upm.es138.4.3.171 lince lince.dit.upm.es138.4.23.170 cajon cajon.dit.upm.es
![Page 26: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/26.jpg)
ditditUPM26 (Feb 2000) Administración de DNS
Traducción de la Tabla de Máquinas
DNS se compone de varios ficheros4 conversión de nombres a direcciones4 conversión de direcciones a nombres (reverse mapping)4 Otros ficheros redundantes:
• db.cache y db.127.0.0
Cada red tiene una resolución inversa
Por convenio se utilizan los siguientes nombres4 Conversión de nombres a direcciones: db.DOMINIO4 Conversión de dirección a nombre: db.DIRECCION-RED
Los nombres se indican en el fichero de configuración4 /etc/named.boot (para BIND 4)4 /etc/named.conf (para BIND 8)
![Page 27: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/27.jpg)
ditditUPM27 (Feb 2000) Administración de DNS
Generación de ficheros DNS
Se puede hacer a mano, pero es peligroso si hay
muchas máquinas y muchas redes
En Windows NT se hace a través de menús4 muy lento si hay que administrar muchas redes
4 no está conectado con otros servicios
Hay muchas utilidades en UNIX para traducir los
nombres de una BD local a la de DNS
![Page 28: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/28.jpg)
ditditUPM28 (Feb 2000) Administración de DNS
Ficheros de registros En UNIX
4 dos formatos parecidos• BIND 4• BIND 8• src/bin/named/named-bootconf.pl (pasa de 4 a 8)
4 ficheros textuales donde no se distingue entre mayúsculas y minúsculas
En Windows4 Se introducen los datos por menus4 Se registran en el Fichero oculto de Registros4 Es posible volcar el fichero de registros a un fichero de texto4 También se pueden añadir ficheros de texto al registro de
Windows.
![Page 29: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/29.jpg)
ditditUPM29 (Feb 2000) Administración de DNS
Ficheros de registros
Se componen de Registros de Recursos
Formato parcialmente libre4 un registro por línea
Tipos de registros4 SOA indica la autoridad de la zona4 NS indica un servidor de nombres de la zona4 A conversión nombre a dirección4 PTR conversión dirección a nombre4 CNAME nombre canónicos (ALIAS)4 comentarios
• ; es un comentario en v4• /* es u comentario en v8 */• // y este también• # y este también
![Page 30: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/30.jpg)
ditditUPM30 (Feb 2000) Administración de DNS
Configuración del servidor
Directorio con los ficheros de datos4 directory /usr/local/named
4 options { directory “/usr/local/named”; };
Servidor maestro primario4 contiene una linea por cada fichero de datos
4 cada línea tiene tres campos:• primary (en la primera columna)
• el nombre de dominio
• nombre de fichero
![Page 31: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/31.jpg)
ditditUPM31 (Feb 2000) Administración de DNS
Abreviaturas
El nombre del servidor primario se añade a todos los nombres no completos (que no terminan en .)
lince.dit.upm.es. IN A 138.4.3.171lince IN A 138.4.3.171171.3.4.138.in-addr.arpa IN PTR lince.dit.upm.es.171 IN PTR lince.dit.upm.es.
No olvidar el “.” en los nombres completos4 lince.dit.upm.es IN A 138.4.3.1714 equivale a lince dit.upm.es.dit.upm.es.
![Page 32: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/32.jpg)
ditditUPM32 (Feb 2000) Administración de DNS
Abreviaturas de nombres
El nombre de dominio se puede reducir4 dit.upm.es.4 @
Se puede asumir en nombre anterior4 selva IN A 138.4.2.74 IN A 138.4.22.1
Los nombres no pueden incluir el _4 Solo se puede utilizar en las direcciones de correo
![Page 33: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/33.jpg)
ditditUPM33 (Feb 2000) Administración de DNS
Servidor de nombres secundario Es necesario tener al menos un servidor de nombres
esclavo del primario
Muchas veces hay mas de dos.
Sirve además para repartir carga
Diferencias4 el primario tiene la información local4 el esclavo la coge por la red (zone transfer)
Como el loopback y la cache son iguales se pueden copiar a mano.
![Page 34: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/34.jpg)
ditditUPM34 (Feb 2000) Administración de DNS
Configuración del correo
La Tabla de Máquinas solo sirve para dar nombres a las máquinas.
DNS permite encaminar el correo electrónico.
DNS ofrece la posibilidad de indicar servidores de correo alternativos
El registro MX sirve para indicar el servidor para4 procesar el correo4 distribuir correo
Originalmente estaba dividido en dos, MD y MF.
![Page 35: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/35.jpg)
ditditUPM35 (Feb 2000) Administración de DNS
Servidores de correo Se puede especificar mas de un servidor de correo
Para evitar bucles se añade un parámetro que es la preferencia, que indica la prioridad de cada servidor.
dit.upm.es. IN MX 10 mail.dit.upm.es.
Cuando se dan varios se ordenan por prioridad y se evalúan en ese mismo orden:selva IN A 138.4.22.1
IN MX 0 mail.dit.upm.es.IN MX 10 mail2.dit.upm.es.IN MX 100 selva.dit.upm.es.
Se pueden dar valores de 0 a 65535
Es recomendable indicar un registro MX para cada máquina
![Page 36: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/36.jpg)
ditditUPM36 (Feb 2000) Administración de DNS
Características de un servidor de correo
Tamaño4 para manejar todo el correo4 para encolarlo si es necesario
Disponible4 en funcionamiento la mayor parte del tiempo
Conectividad4 bien conectado con los demás servidores
Gestión y administración4 manteniendo la privacidad4 que no pierde mensajes cuando se producen fallos4 consigue una velocidad de entrega
![Page 37: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/37.jpg)
ditditUPM37 (Feb 2000) Administración de DNS
Algoritmo de entrega de mensajes
Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese.
Si no está disponible se busca el siguiente en función del orden de prioridad.
Se deben usar siempre nombres canónicos.4 muchos intercambiadores de correo no miran los alias
(CNAME)
![Page 38: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/38.jpg)
ditditUPM38 (Feb 2000) Administración de DNS
Entrega de mensajes
Cuando se alcanza una máquina con baja prioridad 4 se descartan los servidores con igual o mayor prioridad4 se intenta mandar el mensaje al de prioridad mas baja4 si falla se encola y se prueba mas tarde.
Si al intentar enviarlo se encuentra a si mismo4 da un error y devuelve el mensaje4 se puede configurar el sendmail para evitarlo
![Page 39: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/39.jpg)
ditditUPM
Ejemplos
Configuración de servidores
![Page 40: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/40.jpg)
ditditUPM
Mantenimiento de un servidor DNS
![Page 41: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/41.jpg)
ditditUPM41 (Feb 2000) Administración de DNS
Añadir y quitar máquinas Actualizar siempre el primario
4 si se actualiza el secundario se pierde el cambio con la siguiente actualización
Fichero db.DOMINIO4 Actualizar el número de serie4 Añadir los registros: A, CNAME, MX
Fichero db.DIRECCION4 Actualizar el número de serie4 Añadir los registros: PTR
Relanzar el servidor de nombres4 kill -HUP `cat /etc/named.pid`
![Page 42: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/42.jpg)
ditditUPM42 (Feb 2000) Administración de DNS
Trazas de funcionamiento
Durante la operación se generan trazas de funcionamiento
Como mínimo se deben volcar los errores
Se suele enviar la información al syslog
Hay dos categorías de mensajes4 estadísticas4 peticiones
Hay dos canales donde enviar la información4 syslog (estadísticas)4 fichero de log (estadísticas y peticiones)
![Page 43: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/43.jpg)
ditditUPM43 (Feb 2000) Administración de DNS
Trazas de funcionamiento
Hay diferentes tipos de mensajes4 critical4 error4 warning4 notice4 info4 debug nivel4 dynamic
En BIND 8 es fácil definirlologging {
channel mi_syslog {syslog daemon;severity info;
};channel mi_fich {
file “log.mens”;severity dynamic;
};category statistics {mi_syslog; mi_fich;}category queries {mi_fich;}
};
![Page 44: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/44.jpg)
ditditUPM44 (Feb 2000) Administración de DNS
Arquitecturas de DNS
Cuantos servidores se deben instalar4 Como mínimo un primario4 Un secundario directamente conectado a cada subred
• asociarlos a los servidores de ficheros
4 Poner un secundario fuera de las redes del dominio
Factores a tener en cuenta4 conectividad4 versiones de software4 homogeneidad4 seguridad
![Page 45: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/45.jpg)
ditditUPM45 (Feb 2000) Administración de DNS
Servidores muy cargados
Si un servidor recibe muchas peticiones puede ser necesario 4 replicarlo en varios procesos (BIND 4)4 limitar la carga que admite (BIND 4.9)
Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP.4 Los sistemas tradicionales solo ponen un registro en cada
mensaje DNS.
![Page 46: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/46.jpg)
ditditUPM46 (Feb 2000) Administración de DNS
Acciones para reducir la carga
limitar las transferencias iniciadas con un servidor4 no traer todas las BD de golpe sino poco a poco
limitar el número total de zonas a transferir4 transferencias por servidor *4 número de servidores
limitar la duración de una transferencia de zona4 por defecto son 2 horas4 después de ese tiempo se considera que el servidor ha muerto
transferencias de zona mas eficientes4 se pueden poner varios registros en un mensaje DNS
![Page 47: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/47.jpg)
ditditUPM47 (Feb 2000) Administración de DNS
Recursos limitados
Limitando el tamaño del segmento de datos4 limitar el tamaño del proceso antes de que se pare.
Limitando el tamaño de la pila
Limitando el tamaño del proceso
Limitando el número de ficheros abiertos4 ficheros que el proceso puede abrir simultáneamente
![Page 48: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/48.jpg)
ditditUPM48 (Feb 2000) Administración de DNS
Como aumentar la capacidad
Añadiendo mas servidores primarios maestros
Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia.
Cargar unos secundarios de otros
Crear servidores cache
Crear servidores secundarios parciales
![Page 49: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/49.jpg)
ditditUPM49 (Feb 2000) Administración de DNS
Cuando añadir un subdominio
Cuando es necesario delegar o distribuir la gestión entre varios grupos (organizaciones)
Cuando el tamaño del dominio es muy grande4 al dividirlo se simplifica la gestión4 se reduce la carga en el servidor
Cuando es necesario distinguir las máquinas dentro de una organización por grupos
![Page 50: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/50.jpg)
ditditUPM50 (Feb 2000) Administración de DNS
Como nombrar subdominios
Elegir nombres que no sean susceptibles de cambios frecuentes
Si los nombres de la organización no son estables usar nombres geográficos
No sacrificar la legibilidad
Utilizar nombres obvios
No utilizar nombres de dominios existentes a nivel mundial
![Page 51: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/51.jpg)
ditditUPM51 (Feb 2000) Administración de DNS
Mantenimiento
Borrar entradas obsoletas4 periódicamente se revisa la cache y se eliminan las entradas
obsoletas4 BIND 8 consume menos disco que BIND 4 donde no se
limpia
Intervalo de inspección de interfaces4 para que el servidor atienda por todas las interfaces aunque
estas se activen y desactiven.
Intervalo entre estadísticas4 plazo para volcar estadísticas4 para no entorpecer el funcionamiento normal
![Page 52: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/52.jpg)
ditditUPM52 (Feb 2000) Administración de DNS
Máquinas con varias interfaces
La mayoría de los servicios mejoran si se accede a la interfaz correcta
Si se accede al nombre (selva) se puede elegir la interfaz no deseada
Se puede dar nombre a las interfaces físicas.
selva
red 10
red 20
red 30
selva10
selva20 selva30
![Page 53: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/53.jpg)
ditditUPM53 (Feb 2000) Administración de DNS
Ordenación de respuestas
Si una máquina pregunta por otra de su misma red, se ordena la respuesta para que la dirección de esa red aparezca la primera.
Si la máquina que pide la dirección es de otra red no conectada directamente a ninguna de las interfaces4 no se ordena la lista
4 se puede forzar en la configuración una ordenación• sortlist 10.0.0.0
• esto solo funciona con redes, no subredes
• se puede indicar varias redes en la lista
Se puede ordenar los servidores
![Page 54: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/54.jpg)
ditditUPM54 (Feb 2000) Administración de DNS
Forwarders
Cuando un sitio tiene una conexión de baja capacidad con Internet
Interesa minimizar al máximo las peticiones fuera y mantener una cache local
Forwarder
Servidorbuscado
Servidor localClientes
![Page 55: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/55.jpg)
ditditUPM55 (Feb 2000) Administración de DNS
Configuración
Los clientes no tienen nada especial
Los servidores locales deben saber que existe uno o mas forwarders4 options { 138.4.2.10; 138.4.3.130; };4 forwarders 138.4.2.10 138.4.3.130
Se puede restringir la configuración aun mas4 options { 138.4.2.10; 138.4.3.130; };
forward-only;4 forwarders 138.4.2.10 138.4.3.130
slave
![Page 56: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/56.jpg)
ditditUPM56 (Feb 2000) Administración de DNS
Servidor en grupo
Cuando un servicio de Internet se da con mas de una máquina
Ayudar a repartir carga entre servidores espejo
Versiones antiguas4 Un registro especial: Shuffle Address Record
Versiones modernas (4.9)4 varios registros A
• www.foo.com. 60 IN A 192.1.1.1• www.foo.com. 60 IN A 192.1.1.2• www.foo.com. 60 IN A 192.1.1.3
4 va rotando las direcciones en las respuestas
![Page 57: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/57.jpg)
ditditUPM57 (Feb 2000) Administración de DNS
DNS y páginas amarillas
El orden de búsqueda es el siguiente4 /etc/hosts4 NIS4 DNS
Ignorar NIS4 mv /etc/hosts /etc/hosts.tmp4 touch /etc/hosts4 (cd /var/yp; make)4 mv /etc/hosts.tmp /etc/hosts
En Linux se puede establecer un orden cualquiera4 /etc/host.conf4 /etc/nsswitch.conf
![Page 58: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/58.jpg)
ditditUPM58 (Feb 2000) Administración de DNS
DNS y Windows 95
Se puede configurar el resolver local4 Dial-up networking4 TCP/IP settings
El orden de búsqueda es4 LMHOSTS4 WINS4 DNS
Se puede indicar4 el nombre de la máquina4 los servidores en los que buscar4 dominios en los que buscar
![Page 59: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/59.jpg)
ditditUPM59 (Feb 2000) Administración de DNS
Notificaciones de cambio
Los esclavos se actualizan periódicamente (refresh time)
Cuando se efectúa un cambio en el primario no se
percibe hasta que vence el plazo de actualización
DNS NOTIFY (RFC 1996)4 el primario envía una petición NOTIFY a los esclavos
4 el esclavo asiente NOTIFY
4 el esclavo hace como se el periodo de actualización hubiera
vencido
4 solo si el número de serie ha aumentado se transfiere la zona
![Page 60: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/60.jpg)
ditditUPM60 (Feb 2000) Administración de DNS
Configuración
Está configurado por defecto
El servidor DNS para NT dispone de esta facilidad
No siempre se desea que este activada
4 options { notify no; };
4 de esa forma un esclavo no notifica a otro en cascada
4 si se tienen esclavo con BIND 4 es mejor no notificar
4 se notifica a todos los servidores NS
![Page 61: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/61.jpg)
ditditUPM61 (Feb 2000) Administración de DNS
Configuración explícita
Se pueden añadir máquinas a mano
zone “acmebw.com” {type master;file “acmebd.com.db”;notify yes;also-notify 15.255.152.4;
};
![Page 62: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/62.jpg)
ditditUPM62 (Feb 2000) Administración de DNS
Movilidad
Se desea que la misma máquina se pueda conectar a varias redes
Se puede utilizar DHCP para asignar número de IP al cliente
Pero hay que actualizar la BD de DNS
Actualización dinámica (RFC 2136)
Hay que actualizarlo en el servidorzone “acmebw.com” {type master;file “acmebw.com.db”;allow_update { 192.168.0.1; };
};
![Page 63: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/63.jpg)
ditditUPM63 (Feb 2000) Administración de DNS
Actualización dinámica
Por línea de comandos (nsupdate) o por programa
Establecer prerequisitos antes de actualizar4 prereg yxrrset domain name type [rdata]
4 prereg nxrrset
4 prereg yxdomain domain name
4 prereg nxdomain
Actualizar la base de datos4 update delete domain name [type][name]
4 update add domain name ttl [class] type rdata
![Page 64: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/64.jpg)
ditditUPM64 (Feb 2000) Administración de DNS
Ejemplos
Añadir una máquina4 nsupdate4 prereg nxdomain dit.upm.es.4 update add lince.dit.upm.es 333 in a 138.4.23.58
Si una máquina tiene MX borrarlo y poner otros dos en su lugar4 nsupdate4 prereg yxrrset yeti.dit.upm.es. in mx4 update delete yeti.dit.upm.es. In mx4 update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es.4 Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es.
![Page 65: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/65.jpg)
ditditUPM65 (Feb 2000) Administración de DNS
Aspectos de seguridad
La mayoría de los aspectos de seguridad no son
necesarios en corporaciones
A quien contestar
A quien ofrecer la notificación de cambios
A quien permitir que se actualice dinámicamente
![Page 66: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/66.jpg)
ditditUPM66 (Feb 2000) Administración de DNS
Seguridad
Protegerse contra ataques maliciosos4 utilizar versiones modernas protegidas
Limitar las peticiones4 dando una lista de acceso
Evitar transferencias no autorizadas
No ejecutar el servidor como root
![Page 67: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/67.jpg)
ditditUPM67 (Feb 2000) Administración de DNS
Limitar las peticiones
Rechazar el acceso a la información
ofrecer nombres solo al grupo local
options { allow-query { lista_de_acceso }; };
options {
allow-query { 138.4.1.0/6; 138.4.2.64/6; }
};
![Page 68: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/68.jpg)
ditditUPM68 (Feb 2000) Administración de DNS
Limitar las peticiones por zonas
Se puede limitar la información por zonaszone “hp.com” {
type slave;
file “db.hp”;
masters { 15.255.152.2; };
allow-query { “HP-NET”; };
};
En BIND 4.9 se utiliza el registro secure_zone4 limita las transferencias de zona además de las peticiones4 secure_zone IN TXT “138.4.23.0:255.255.255.0”4 secure_zone IN TXT “138.4.2.0:255.255.255.192”4 secure_zone IN TXT “127.0.0.1:H”
![Page 69: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/69.jpg)
ditditUPM69 (Feb 2000) Administración de DNS
Limitar las transferencias de zonas
Asegurar que solo los servidores esclavos pueden transferir la zona
Configuración4 allow-transfer (BIND 8)4 xfrnets (BIND 4.9)
Configuración del primario4 indicar las máquinas autorizadas
Configuración del esclavo4 prohibir la transferencia totalmente
![Page 70: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/70.jpg)
ditditUPM70 (Feb 2000) Administración de DNS
Ejemplo (BIND 8)
primariozone “acmebw.com” {
type master;file “db.acmebw”;allow-transfer {192.168.0.1; 192.168.1.1; };
};
esclavozone “acmebw.com” {
type slave;masters { 192.168.0.4; };allow-transfer { none; };
};
![Page 71: Dit UPM Administración DNS Tomás P. de Miguel Dpto. de Ingeniería de Sistemas Telemáticos Universidad Politécnica de Madrid.](https://reader036.fdocuments.mx/reader036/viewer/2022062305/5665b4b11a28abb57c934404/html5/thumbnails/71.jpg)
ditditUPM71 (Feb 2000) Administración de DNS
Reglas de seguridad
Evitar las peticiones recursivas en los servidores de nombres delegados4 para evitar el spoofing
No se puede evitar la recursión en los forwarders4 limitar las peticiones a un grupo
4 allow-query { 138.4/16; };
Restringir la transferencia de zona a servidores conocidos