Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Dns Parte I

    Загружено:

    Enver Añanca Gamboa
    131 просмотров15 страниц
    Este documento introduce los conceptos básicos sobre servidores DNS (Domain Name System), incluyendo qué es BIND, cómo funciona DNS mapeando nombres de dominio a direcciones IP, los componentes clave de un sistema DNS como clientes DNS, servidores maestros y esclavos, y zonas de autoridad. También explica términos como FQDN, NIC y los registros DNS más comunes.

    Исходное описание:

    Оригинальное название

    dns_parte_I

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Este documento introduce los conceptos básicos sobre servidores DNS (Domain Name System), incluyendo qué es BIND, cómo funciona DNS mapeando nombres de dominio a direcciones IP, los componentes clave de un sistema DNS como clientes DNS, servidores maestros y esclavos, y zonas de autoridad. También explica términos como FQDN, NIC y los registros DNS más comunes.

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    131 просмотров15 страниц

    Dns Parte I

    Загружено:

    Enver Añanca Gamboa
    Este documento introduce los conceptos básicos sobre servidores DNS (Domain Name System), incluyendo qué es BIND, cómo funciona DNS mapeando nombres de dominio a direcciones IP, los componentes clave de un sistema DNS como clientes DNS, servidores maestros y esclavos, y zonas de autoridad. También explica términos como FQDN, NIC y los registros DNS más comunes.

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 15

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 1 of 15

    Cmo configurar un servidor de nombres de dominio (DNS), parte I.


    Autor: Joel Barrios Dueas Correo electrnico: darkshram en gmail punto com Sitio de Red: http://www.alcancelibre.org/ Jabber ID: darkshram@jabber.org
    Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.1
    1999-2011 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y hacer obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede utilizar esta obra para fines comerciales (incluyendo su publicacin, a travs de cualquier medio, por entidades con fines de lucro). c) Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor. Los derechos derivados de usos legtimos u otras limitaciones no se ven afectados por lo anterior. Licencia completa en castellano. La informacin contenida en este documento y los derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad alguna si el usuario o lector hace mal uso de stos.

    Introduccin.
    Bind (Berkeley Internet Name Domain).
    BIND (acrnimo de Berkeley Internet Name Domain) es una implementacin del protocolo DNS y provee una implementacin libre de los principales componentes del Sistema de Nombres de Dominio, los cuales incluyen: Un servidor de sistema de nombres de dominio (named). Una biblioteca resolutoria de sistema de nombres de dominio. Herramientas para verificar la operacin adecuada del servidor DNS (bind-utils).

    El Servidor DNS BIND utilizado de manera amplia en Internet (99% de los servidores DNS) proporcionando una robusta y estable solucin.

    DNS (Domain Name System).


    DNS (acrnimo de Domain Name System) es una base de datos distribuida y jerrquica que almacena la informacin necesaria para los nombre de dominio. Sus usos principales son la asignacin de nombres de dominio a direcciones IP y la localizacin de los servidores de correo electrnico correspondientes para cada dominio. El DNS naci de la necesidad de facilitar a los seres humanos el acceso hacia los servidores disponibles a travs de Internet permitiendo hacerlo por un nombre, algo ms fcil de recordar que una direccin IP. Los Servidores DNS utilizan TCP y UDP en el puerto 53 para responder las consultas. Casi todas las consultas consisten de una sola solicitud UDP desde un Cliente DNS seguida por una sola respuesta UDP del servidor. TCP interviene cuando el tamao de los datos de la respuesta exceden los 512 bytes, tal como ocurre con tareas como transferencia de zonas.

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 2 of 15

    NIC (Network Information Center).


    NIC (acrnimo de Network Information Center o Centro de Informacin sobre la Red) es una institucin encargada de asignar los nombres de dominio en Internet, ya sean nombres de dominio genricos o por pases, permitiendo personas o empresas montar sitios de Internet mediante a travs de un ISP mediante un DNS. Tcnicamente existe un NIC por cada pas en el mundo y cada uno de stos es responsable por todos los dominios con la terminacin correspondiente a su pas. Por ejemplo: NIC Mxico es la entidad encargada de gestionar todos los dominios con terminacin .mx, la cual es la terminacin correspondiente asignada a los dominios de Mxico.

    FQDN (Fully Qualified Domain Name).


    FQDN (acrnimo de Fully Qualified Domain Name o Nombre de Dominio Plenamente Calificado) es un Nombre de Dominio ambiguo que especifica la posicin absoluta del nodo en el rbol jerrquico del DNS. Se distingue de un nombre regular porque lleva un punto al final. Como ejemplo: suponiendo que se tiene un dispositivo cuyo nombre de anfitrin es maquina1 y un dominio llamado dominio.com, el FQDN sera maquina1.dominio.com., as es que se define de forma nica al dispositivo mientras que pudieran existir muchos anfitriones llamados maquina1, solo puede haber uno llamado maquina1.dominio.com.. La ausencia del punto al final definira que se pudiera tratar tan solo de un prefijo, es decir maquina1.dominio.com pudiera ser un dominio de otro ms largo como maquina1.dominio.com.mx. La longitud mxima de un FQDN es de 255 bytes, con una restriccin adicional de 63 bytes para cada etiqueta dentro del nombre del dominio. Solo se permiten los caracteres A-Z de ASCII, dgitos y el carcter - (guin medio). Sin distincin de maysculas y minsculas. Desde 2004, a solicitud de varios pases de Europa, existe el estndar IDN (acrnimo de Internationalized Domain Name) que permite caracteres no-ASCII, codificando caracteres Unicode dentro de cadenas de bytes dentro del conjunto normal de caracteres de FQDN. Como resultado, los limites de longitud de los nombres de dominio IDN dependen directamente del contenido mismo del nombre.

    Componentes de un DNS.
    Los DNS operan a travs de tres componentes: Clientes DNS, Servidores DNS y Zonas de Autoridad. Clientes DNS. Son programas que ejecuta un usuario y que generan peticiones de consulta para resolver nombres. Bsicamente preguntan por la direccin IP que corresponde a un nombre determinado. Servidores DNS. Son servicios que contestan las consultas realizadas por los Clientes DNS. Hay dos tipos de servidores de nombres:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 3 of 15

    Servidor Maestro: Tambin denominado Primario. Obtiene los datos del dominio a partir de un archivo alojado en el mismo servidor.

    Servidor Esclavo: Tambin denominado Secundario. Al iniciar obtiene los datos del dominio a travs de un Servidor Maestro (o primario), realizando un proceso denominado transferencia de zona. Un gran nmero de problemas de operacin de servidores DNS se atribuyen a las pobres opciones de servidores secundarios para las zona de DNS. De acuerdo al RFC 2182, el DNS requiere que al menos tres servidores existan para todos los dominios delegados (o zonas). Una de las principales razones para tener al menos tres servidores para cada zona es permitir que la informacin de la zona misma est disponible siempre y forma confiable hacia los Clientes DNS a travs de Internet cuando un servidor DNS de dicha zona falle, no est disponible y/o est inalcanzable. Contar con mltiples servidores tambin facilita la propagacin de la zona y mejoran la eficiencia del sistema en general al brindar opciones a los Clientes DNS si acaso encontraran dificultades para realizar una consulta en un Servidor DNS. En otras palabras: tener mltiples servidores para una zona permite contar con redundancia y respaldo del servicio. Con mltiples servidores, por lo general uno acta como Servidor Maestro o Primario y los dems como Servidores Esclavos o Secundarios. Correctamente configurados y una vez creados los datos para una zona, no ser necesario copiarlos a cada Servidor Esclavo o Secundario, pues ste se encargar de transferir los datos de manera automtica cuando sea necesario. Los Servidores DNS responden dos tipos de consultas: Consultas Iterativas (no recursivas): El cliente hace una consulta al Servidor DNS y este le responde con la mejor respuesta que pueda darse basada sobre su cach o en las zonas locales. Si es imposible dar una respuesta, la consulta se reenva hacia otro Servidor DNS repitindose este proceso hasta encontrar al Servidor DNS que tiene la Zona de Autoridad capaz de resolver la consulta. Consultas Recursivas: El Servidor DNS asume toda la carga de proporcionar una respuesta completa para la consulta realizada por el Cliente DNS. El Servidor DNS desarrolla entonces Consultas Iterativas separadas hacia otros Servidores DNS (en lugar de hacerlo el Cliente DNS) para obtener la respuesta solicitada.

    Zonas de Autoridad. Permiten al Servidor Maestro o Primario cargar la informacin de una zona. Cada Zona de Autoridad abarca al menos un dominio y posiblemente sus sub-dominios, si estos ltimos no son delegados a otras zonas de autoridad. La informacin de cada Zona de Autoridad es almacenada de forma local en un archivo en el Servidor DNS. Este archivo puede incluir varios tipos de registros:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 4 of 15

    Tipo de Registro. A (Address) AAAA CNAME (Canonical Name)

    Descripcin. Registro de direccin que resuelve un nombre de un anfitrin hacia una direccin IPv4 de 32 bits. Registro de direccin que resuelve un nombre de un anfitrin hacia una direccin IPv6 de 128 bits. Registro de nombre cannico que hace que un nombre sea alias de otro. Los dominios con alias obtiene los subdominios y registros DNS del dominio original. Registro de servidor de correo que sirve para definir una lista de servidores de correo para un dominio, as como la prioridad entre stos. Registro de apuntador que resuelve direcciones IPv4 hacia el nombre anfitriones. Es decir, hace lo contrario al registro A. Se utiliza en zonas de Resolucin Inversa. Registro de servidor de nombres que sirve para definir una lista de servidores de nombres con autoridad para un dominio. Registro de inicio de autoridad que especifica el Servidor DNS Maestro (o Primario) que proporcionar la informacin con autoridad acerca de un dominio de Internet, direccin de correo electrnico del administrador, nmero de serie del dominio y parmetros de tiempo para la zona. Registro de servicios que especifica informacin acerca de servicios disponibles a travs del dominio. Protocolos como SIP (Session Initiation Protocol) y XMPP (Extensible Messaging and Presence Protocol) suelen requerir registros SRV en la zona para proporcionar informacin a los clientes. Registro de texto que permite al administrador insertar texto arbitrariamente en un registro DNS. Este tipo de registro es muy utilizado por los servidores de listas negras DNSBL (DNS-based Blackhole List) para la filtracin de Spam. Otro ejemplo de uso son las VPN, donde suele requerirse un registro TXT para definir una llave que ser utilizada por los clientes.

    MX (Mail Exchanger)

    PTR (Pointer)

    NS (Name Server)

    SOA (Start of Authority)

    SRV (Service)

    TXT (Text)

    Las zonas que se pueden resolver son: Zonas de Reenvo. Devuelven direcciones IP para las bsquedas hechas para nombres FQDN (Fully Qualified Domain Name). En el caso de dominios pblicos, la responsabilidad de que exista una Zona de Autoridad para cada Zona de Reenvo corresponde a la autoridad misma del dominio, es decir, y por lo general, quien est registrado como autoridad del dominio tras consultar una base de datos WHOIS. Quienes compran dominios a travs de un NIC (por ejemplo: www.nic.mx), son quienes deben hacerse cargo de

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 5 of 15

    las Zonas de Reenvo, ya sea a travs de su propio Servidor DNS, o bien a travs de los Servidores DNS de su ISP. Salvo que se trate de un dominio para uso en una red local, todo dominio debe ser primero tramitado con un NIC, como requisito para tener derecho legal a utilizarlo y poder propagarlo a travs de Internet. Zonas de Resolucin Inversa. Devuelven nombres FQDN (Fully Qualified Domain Name) para las bsquedas hechas para direcciones IP. En el caso de segmentos de red pblicos, la responsabilidad de que exista una Zona de Autoridad para cada Zona de Resolucin Inversa corresponde a la autoridad misma del segmento, es decir, y por lo general, quien est registrado como autoridad del segmento tras consultar una base de datos WHOIS. Los grandes ISP, y en algunos casos algunas empresas, son quienes se hacen cargo de las Zonas de Resolucin Inversa.

    Herramientas de bsqueda y consulta.


    Mandato host. El mandato host una herramienta simple para hacer bsquedas en Servidores DNS. Es utilizada para convertir nombres en direcciones IP y viceversa. De modo predefinido realiza las bsquedas en las Servidores DNS definidos en el archivo /etc/resolv.conf, pudiendo definirse de manera opcional el Servidor DNS a consultar.
    host www.alcancelibre.org

    Lo anterior realiza una bsqueda en los Servidores DNS definidos en el archivo /etc/resolv.conf del sistema, devolviendo como resultado una direccin IP.
    host www.alcancelibre.org 200.33.146.217

    Lo anterior realiza una bsqueda en los Servidor DNS en la direccin IP 200.33.146.217, devolviendo una direccin IP como resultado. Mandato dig. El mandato dig (domain information groper) es una herramienta flexible para realizar consultas en Servidores DNS. Realiza bsquedas y muestra las respuestas que son regresadas por los servidores que fueron consultados. Debido a su flexibilidad y claridad en la salida es que la mayora de los administradores utilizan dig para diagnosticar problemas de DNS.

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 6 of 15

    De modo predefinido realiza las bsquedas en las Servidores DNS definidos en el archivo /etc/resolv.conf, pudiendo definirse de manera opcional el Servidor DNS a consultar. La sintaxis bsica sera:
    dig @servidor nombre TIPO

    Donde servidor corresponde al nombre o direccin IP del Servidor DNS a consultar, nombre corresponde al nombre del registro del recurso que se est buscando y TIPO corresponde al tipo de consulta requerido (ANY, A, MX, SOA, NS, etc.) Ejemplo:
    dig @200.33.146.209 alcancelibre.org MX

    Lo anterior realiza una bsqueda en el Servidor DNS en la direccin IP 200.33.146.209 para los registros MX para el dominio alcancelibre.org.
    dig alcancelibre.org NS

    Lo anterior realiza una bsqueda en los Servidores DNS definidos en el archivo /etc/resolv.conf del sistema para los registros NS para el dominio alcancelibre.org.
    dig @200.33.146.217 alcancelibre.org NS

    Lo anterior realiza una bsqueda en los Servidor DNS en la direccin IP 200.33.146.217 para los registros NS para el dominio alcancelibre.org. Mandato jwhois (whois). El mandato jwhois es una herramienta de consulta a travs de servidores WHOIS. La sintaxis bsica es:
    jwhois dominio

    Ejemplo:
    jwhois alcancelibre.org

    Loa anterior regresa la informacin correspondiente al dominio alcancelibre.org.

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 7 of 15

    Equipamiento lgico necesario.


    Paquete. bind bind-libs bind-chroot bind-utils cachingnameserver Descripcin. Incluye el Servidor DNS (named) y herramientas para verificar su funcionamiento. Biblioteca compartida que consiste en rutinas para aplicaciones para utilizarse cuando se interacte con Servidores DNS. Contiene un rbol de archivos que puede ser utilizado como una jaula chroot para named aadiendo seguridad adicional al servicio. Coleccin de herramientas para consultar Servidores DNS. Archivos de configuracin que harn que el Servidor DNS acte como un cach para el servidor de nombres. Este paquete desaparece en CentOS 6 y Red Hat Enterprise Linux 6, pues su contenido se incorpor en el paquete principal de bind.

    Instalacin a travs de yum.


    Si se utiliza de CentOS 6 o Red Hat Enterprise Linux 6, se puede instalar Bind 9.7 utilizando lo siguiente:
    yum -y install bind bind-chroot bind-utils

    Si se utiliza de CentOS 5 o Red Hat Enterprise Linux 5, se puede instalar Bind 9.3.6 utilizando lo siguiente:
    yum -y install bind bind-chroot bind-utils caching-nameserver

    Si se utiliza de CentOS 5 o Red Hat Enterprise Linux 5, puede instalar, de manera opcional, Bind 9.7, el cual incluye soporte para DNSSEC, utilizando lo siguiente:
    yum remove bind-libs bind-utils bind bind-chroot caching-nameserver yum -y install bind97 bind97-chroot bind97-utils

    En los sistemas operativos mencionados, el paquete bind-chroot requiere mover manualmente los componentes del paquete bind hacia de las rutas correspondientes dentro /var/named/chroot, y generar los enlaces simblicos necesarios. Ejecute lo siguiente:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 8 of 15

    cd /var/named for f in named.* data dynamic slaves do mv $f chroot/var/named/ ln -s /var/named/chroot/var/named/$f /var/named/ done cd /etc for f in named.* rndc.key do mv $f /var/named/chroot/etc/ ln -s /var/named/chroot/etc/$f /etc/ done cd /root

    Procedimientos.
    SELinux y el servicio named.
    A mediados de 2008, Common Vulnerabilities and Exposures List y US-CERT reportaron que el investigador Dan Kaminsky descubri que varias implementaciones de DNS (BIND 8 y 9 antes de 9.5.0-P1, 9.4.2-P1, y 9.3.5-P1; Microsoft DNS en todas las versiones de Windows 2000 SP4, XP SP2 y SP3, y Server 2003 SP1 y SP2). La vulnerabilidad permite a atacantes remotos falsificar trfico DNS a travs de ciertas tcnicas de contaminacin de cache contra servidores de resolucin recursiva (es decir cuando se usa la opcin allow-recursion abierta a todo el mundo, como ocurre en los servidores DNS pblicos), y se relaciona a insuficiente aleatoriedad de las ID de transaccin y puertos de origen. Es decir, vulnerabilidad de entropa de insuficiencia de zcalos (sockets) de DNS (DNS Insufficient Socket Entropy Vulnerability). En otras palabras, un atacante puede contaminar el cache de un servidor DNS y hacer que los clientes se conecten hacia direcciones falsas. Es importante aclarar que esta es realmente una vulnerabilidad del protocolo DNS. SELinux protege casi por completo al servicio named contra la vulnerabilidad anteriormente descrita. Es por tal motivo que es importante utilizar SELinux. A fin de que SELinux permita al servicio named trabajar con permisos de escritura para zonas maestras, es decir un esquema de servidor maestro con servidores esclavos, o bien como servidor DNS dinmico, utilice el siguiente mandato:
    setsebool -P named_write_master_zones 1

    Para definir que se desactive la proteccin de SELinux para el servicio named, haciendo que todo lo anteriormente descrito en esta seccin pierda sentido, y que el servidor sea parcialmente susceptible a la vulnerabilidad descubierta por Kaminski, utilice el siguiente mandato:
    setsebool -P named_disable_trans 1

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I.

    Page 9 of 15

    S realiza el procedimiento anterior, es importante configurar la funcin de consultas recursivas exclusivamente para redes en la que se confe plenamente. S se utiliza CentOS 5 o Red Hat Enterprise Linux 5 y se va a configurar un DNS dinmico, SELinux impedir crear los archivos *.jnl (journal, archivos de registro por diario) correspondientes. Las zonas de DNS dinmicas deben ser almacenadas en directorios especficos que solo contengan zonas dinmicas. Se debe crear el directorio /var/named/chroot/var/named/dynamic para tal fin y configurar ste para qu pertenezca al usuario y grupo named, tenga permisos de lectura, escritura y ejecucin para el usuario y grupo named (770) y tenga los contextos de SELinux de usuario de sistema (system_u), rol de objeto (object_r) y tipo cache del servicio named (named_cache_t) a fin de permitir escritura en este directorio.
    cd /var/named/chroot/var/named/ mkdir dynamic/ chmod 770 dynamic/ chown named:named dynamic/ chcon -u system_u -r object_r -t named_cache_t dynamic/

    Nota: Este directorio viene incluido en la instalacin estndar de Bind 9.7 en CentOS 6 o Red Hat Enterprise Linux 6, por lo cual es innecesario realizar el procedimiento anterior. Cualquier archivo de zona que se vaya a utilizar a travs del servicio named, debe contar con los contextos de SELinux de usuario de sistema (system_u), rol de objeto (object_r) y tipo zona del servicio named (named_zone_t). En el siguiente ejemplo se utiliza el mandato chcon para cambiar los contextos del archivo mi-dominio.zone y definir los contextos de SELinux mencionados:
    cd /var/named/chroot/var/named/data/ chcon -u system_u -r object_r -t named_zone_t mi-dominio.zone

    Preparativos.
    Idealmente se deben definir primero los siguiente datos: 1. 2. Dominio a resolver. Servidor de nombres principal (SOA). ste debe ser un nombre que ya est plenamente resuelto, y debe ser un FQDN (Fully Qualified Domain Name). Lista de todos los servidores de nombres (NS) que se utilizarn para efectos de redundancia. stos deben ser nombres que ya estn plenamente resueltos, y deben ser adems FQDN (Fully Qualified Domain Name). Cuenta de correo del administrador responsable de esta zona. Dicha cuenta debe existir y no debe pertenecer a la misma zona que se est tratando de resolver. Al menos un servidor de correo (MX), con un registro A, nunca CNAME.

    3.

    4.

    5.

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 10 of 15

    6. 7.

    IP predeterminada del dominio. Sub-dominios dentro del dominio (www, mail, ftp, ns, etc.) y las direcciones IP que estarn asociadas a estos.

    Es importante tener bien en claro que los puntos 2, 3 y 4 involucran datos que deben existir previamente y estar plenamente resueltos por otro servidor DNS; Lo anterior quiere decir no pueden utilizar datos que sean parte o dependan del mismo dominio que se pretende resolver. De igual modo, el servidor donde se implementar el DNS deber contar con un nombre FQDN y que est previa y plenamente resuelto en otro DNS. Como regla general, se generar una zona de reenvo por cada dominio sobre el cual se tenga autoridad plena y absoluta y se generar una zona de resolucin inversa por cada red sobre la cual se tenga plena y absoluta autoridad. Es decir, si se es el propietario del dominio cualquiercosa.com, se deber generar el archivo de zona correspondiente a fin de resolver dicho dominio. Por cada red con direcciones IP privadas sobre la cual se tenga control y plena y absoluta autoridad, se deber generar un archivo de zona de resolucin inversa a fin de resolver inversamente las direcciones IP de dicha zona. Regularmente la resolucin inversa de las direcciones IP pblicas es responsabilidad de los proveedores de servicio ya que son estos quienes tienen la autoridad plena y absoluta sobre dichas direcciones IP. Todos los archivos de zona deben pertenecer al usuario named a fin de que el servicio named pueda acceder a estos o bien modificar stos en el caso de tratarse de zonas esclavas. Configuracin mnima para /etc/named.conf en CentOS 6 y Red Hat Enterprise Linux 6. La configuracin mnima del archivo /etc/named.conf, y que permitir utilizar el servicio para todo tipo de uso, es la siguiente:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 11 of 15

    options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; forwarders { 8.8.8.8; 8.8.4.4; }; forward first; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; bindkeys-file "/etc/named.iscdlv.key"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndc-key"; }; }; include "/etc/rndc.key"; view "local" { match-clients { 127.0.0.0/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; }; recursion yes; include "/etc/named.rfc1912.zones"; zone "." IN { type hint; file "named.ca"; }; };

    Lo anterior define como opciones que el directorio predeterminado ser /var/named (ruta relativa a /var/named/chroot), de define un archivo conde se almacena la informacin del cach en /var/named/data/cache_dump.db; un archivo de estadsticas en /var/named/data/named_stats.txt, un archivo de estadsticas especficas en lo concerniente al uso de la memoria en /var/named/data/named_mem_stats.txt; consultas recursivas permitidas solo a 127.0.0.1 y 192.168.1.0/24, se definen como ejemplos de servidores DNS para reenviar consultas a 8.8.8.8 y 8.8.4.4 (servidores DNS pblicos de Google, reemplazar stos por los servidores DNS del proveedor de acceso a Internet utilizado); se define que la primera opcin al realizar una consulta ser reenviar a los DNS que se acaban de definir; se incluyen los archivos de configuracin /etc/named.rfc1912.zones, que corresponde a las zonas del RFC 1912, y la firma digital nica que se gener automticamente tras instalar el paquete bind; Se define que los controles se realizan solo desde 127.0.0.1 hacia 127.0.0.1 utilizando la firma digital nica: Se define que se utilizar DNSSEC, utilizando la firma digital localizada en /etc/named.iscdlv.key.

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 12 of 15

    Tome en consideracin que los cambios en CentOS 6 y Red Hat Enterprise Linux 6 respecto de CentOS 5 y Red Hat Enterprise Linux 5, consisten en que se utiliza rndc -key en lugar de rndckey en la configuracin de la firma digital, se aaden las lneas correspondientes a la configuracin de DNSSEC, se aade configuracin para el registro en bitcora y la zona de los servidores raz va separada del archivo named.rfc1912.zones. CentOS 5 y Red Hat Enterprise Linux 5 puede utilizar exactamente la misma configuracin instalando los paquetes bind97, bind97-chroot, bind97-libs y bind97-utils (desaparece el paquete caching-nameserver, cuyo contenido se integr al paquete bind97). Conviene asegurarse que el archivo /etc/named.conf tenga los contextos correspondientes para SELinux a fin de evitar potenciales problemas de seguridad.
    chcon -u system_u -r object_r -t named_conf_t /var/named/chroot/etc/named.conf

    Creacin de los archivos de zona.


    Los siguientes corresponderan a los contenidos para los archivos de zona requeridos para la red local y por el NIC con el que se haya registrado el dominio. Cabe sealar que en las zonas de reenvo siempre se especifica al menos un registro SOA y un registro NS. De manera opcional, y en caso de que exista un servicio de correo electrnico, aada al menos un registro MX (Mail Exchanger o intercambiador de correo). Solo necesitar sustituir nombres y direcciones IP, y quiz aadir nuevos registros para complementar su red local. Configuracin mnima para /var/named/chroot/etc/named.conf en CentOS 5 y Red Hat Enterprise Linux 5. La configuracin mnima del archivo /var/named/chroot/etc/named.conf, y que permitir utilizar el servicio para todo tipo de uso, es la siguiente:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 13 of 15

    options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; forwarders { 8.8.8.8; 8.8.4.4; }; forward first; };

    view "local" { match-clients { 127.0.0.0/8; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; }; recursion yes; include "/etc/named.rfc1912.zones"; }; include "/etc/rndc.key"; controls { inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndckey"; }; };

    Lo anterior define como opciones que el directorio predeterminado ser /var/named (ruta relativa a /var/named/chroot), de define un archivo conde se almacena la informacin del cach en /var/named/data/cache_dump.db; un archivo de estadsticas en /var/named/data/named_stats.txt, un archivo de estadsticas especficas en lo concerniente al uso de la memoria en /var/named/data/named_mem_stats.txt; consultas recursivas permitidas solo a 127.0.0.1 y 192.168.1.0/24, se definen como ejemplos de servidores DNS para reenviar consultas a 8.8.8.8 y 8.8.4.4 (servidores DNS pblicos de Google, reemplazar stos por los servidores DNS del proveedor de acceso a Internet utilizado); se define que la primera opcin al realizar una consulta ser reenviar a los DNS que se acaban de definir; se incluyen los archivos de configuracin /etc/named.rfc1912.zones, que corresponde a las zonas del RFC 1912, y la firma digital nica que se gener automticamente tras instalar el paquete bind; Se define tambin que los controles se realizan solo desde 127.0.0.1 hacia 127.0.0.1 utilizando la firma digital nica. Conviene asegurarse que el archivo /var/named/chroot/etc/named.conf tenga los contextos correspondientes para SELinux a fin de evitar potenciales problemas de seguridad.
    chcon -u system_u -r object_r -t named_conf_t /var/named/chroot/etc/named.conf

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 14 of 15

    Ejemplo de Zona de reenvo red local /var/named/chroot/var/named/data/redlocal.zone.

    $TTL 86400 @

    @ @ @ @ intranet maquina2 maquina3 maquina4 www mail ftp dns

    IN SOA dns.red-local. alguien.gmail.com. ( 2009091001; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS dns.red-local.net. IN MX 10 mail IN TXT "v=spf1 a mx -all" IN A 192.168.1.1 IN A 192.168.1.1 IN A 192.168.1.2 IN A 192.168.1.3 IN A 192.168.1.4 IN A 192.168.1.1 IN A 192.168.1.1 IN CNAME intranet IN CNAME intranet

    Zona de resolucin inversa red local /var/named/chroot/var/named/data/1.168.192.in-addr.arpa.zone

    $TTL 86400 @

    @ 1 2 3 4

    IN IN IN IN

    IN SOA dns.red-local. alguien.gmail.com. ( 2009091001 ; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS dns.red-local. PTR intranet.red-local. PTR maquina2.red-local. PTR maquina3.red-local. PTR maquina4.red-local.

    Zona de reenvo del dominio /var/named/chroot/var/named/data/dominio.com.zone Suponiendo que hipotticamente se es la autoridad para el dominio dominio.com, se puede crear una Zona de Reenvo con un contenido similar al siguiente:

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Alcance Libre - Cmo configurar un servidor de nombres de dominio (DNS), parte I. Page 15 of 15

    $TTL 86400 @

    @ @ @ @ servidor www mail ftp dns

    IN SOA fqdn.dominio-resuelto. alguien.gmail.com. ( 2009091001; nmero de serie 28800 ; tiempo de refresco 7200 ; tiempo entre reintentos de consulta 604800 ; tiempo tras el cual expira la zona 86400 ; tiempo total de vida ) IN NS fqdn.dominio-resuelto. IN MX 10 mail IN TXT "v=spf1 a mx -all" IN A 201.161.1.226 IN A 201.161.1.226 IN A 201.161.1.226 IN A 201.161.1.226 IN CNAME servidor IN CNAME servidor

    Contina en Cmo configurar un servidor de nombres de dominio (DNS), parte II. Alcance Libre http://www.alcancelibre.org/staticpages/index.php/como-dns ()

    http://www.alcancelibre.org/staticpages/index.php/como-dns/print

    10/09/2011

    Вам также может понравиться