Configuració del servei DNS Eduard Canet i Ricart

Índex

Índex................................................................................................................. 2 1.

El servei DNS ....................................................................................... 3 a) Comprendre el funcionament general del protocol DNS .................. 5 1. Fer la llista dels ports.......................................................................... 5 2. Monitorar el trànsit UDP del protocol DNS..................................... 5 Utilitat iptraf......................................................................................... 5 Utilitat nmap ........................................................................................ 6 3 Monitorar el trànsit de xarxa amb el Wireshark .................................. 7 4 Consultes amb dig, nslookup i hoste...................................................... 7 Utilitat dig............................................................................................. 7 Utilitat nslookup .................................................................................. 9 Utilitat hoste ...................................................................................... 12 5. Consultar la configuració del client: sistema de resolució ........... 12 b) Instal·lar i configurar un servidor DNS.............................................. 14 1. Instal·lar el servidor DNS i observar-ne els components.............. 14 Instal·lar el programari servidor ...................................................... 14 Observar els components del paquet............................................... 15 Resum ................................................................................................. 18 2. Activar o desactivar el servei i establir els nivells d’arrencada .... 18 El servei .............................................................................................. 18 Estat del servei................................................................................... 19 Establir els nivells del servei per defecte ....................................... 19 3. Monitorar les activitats del servidor i del procés .......................... 21 Els fitxers de registre ........................................................................ 21 El procés del servei............................................................................ 21 La concurrència ................................................................................. 21 4. Configuració del servei DNS ............................................................ 22 Configuració bàsica............................................................................ 22 Exemple de configuració bàsica ....................................................... 25 5. Monitorar el trànsit amb el Wireshark........................................... 27 Monitoratge ........................................¡Error! Marcador no definido.

1. El servei DNS

En aquesta activitat l’estudiant aprendrà a utilitzar el servei DNS (domain name server, servidor de noms de domini). Primerament ha d’entendre el funcionament general del servei de noms de domini i la manera de cercar informació. També ha de conèixer les diverses eines client que permeten fer consultes DNS. Finalment ha de ser capaç d’instal·lar i configurar un servidor DNS per a un domini local per proporcionar el servei de noms als equips del domini local. Per dur a terme cada una d’aquestes accions dividim l’apartat en dos blocs; el primer per tractar el protocol en si i el segon per treballar-lo com a servidor. Es tracta de fer el següent: a) Comprendre el funcionament general del protocol DNS 1. Fer la llista dels ports utilitzats pel protocol DNS del fitxer amb la llista

de

ports

d’un

sistema

GNU/Linux

(habitualment,

/etc/services).

2. Utilitzar les ordres de monitoratge del trànsit UDP (normalment, nmap, netstat, ss i iptraf, entre d’altres) per observar els ports oberts en el client i en el servidor. 3. Monitorar el trànsit de xarxa d’una consulta DNS utilitzant una eina com ara el Wireshark. 4. Utilitzar eines de consulta DNS per aprendre el funcionament del protocol, com ara dig, nslookup i hoste (host). Examinar el procés que cal seguir a l’hora de fer una consulta. 5. Consultar la configuració del client DNS o resolutor. b) Instal·lar i configurar un servidor DNS 1. Instal·lar un servidor DNS (per exemple, BIND). Observar quins components té: fitxers executables (especialment, el dimoni), fitxers de configuració, de documentació i de monitoratge. 2. Activar i desactivar el servei DNS. Establir els nivells d’arrencada en què s’ha d’executar el servei per defecte. 3. Monitorar les activitats que duu a terme el servidor per mitjà dels fitxers de registre (logs) del sistema. Identificar el nombre de procés (PID, process identifier) del servidor. 4. Observar els altres paràmetres de configuració que permet el servidor. 5. Monitorar el trànsit que genera el servidor DNS utilitzant el Wireshark.

a) Comprendre el funcionament general del protocol DNS 1. Fer la llista dels ports En sistemes GNU/Linux, el fitxer /etc/services normalment conté la llista dels serveis associats a cada port. D’aquest fitxer es pot observar quins utilitza el protocol DNS. Llista dels ports que inclouen alguna referència DNS: [root@portatil ~]# cat /etc/services | grep DNS [root@portatil ~]# cat /etc/services | grep dns dnsix 90/tcp # dnsix 90/udp # sdnskmp 558/tcp # sdnskmp 558/udp # dns2go 1227/tcp # dns2go 1227/udp # menandmice-dns 1337/tcp # menandmice-dns 1337/udp # sunscalar-dns 1870/tcp # sunscalar-dns 1870/udp # ddns-v3 2164/tcp # ddns-v3 2164/udp # spw-dnspreload 3849/tcp # spw-dnspreload 3849/udp # dns-llq 5352/tcp # dns-llq 5352/udp # mdns 5353/tcp # mdns 5353/udp #

DNSIX Securit Attribute Token Map DNSIX Securit Attribute Token Map SDNSKMP SDNSKMP DNS2Go DNS2Go menandmice DNS menandmice DNS SunSCALAR DNS Service SunSCALAR DNS Service Dynamic DNS Version 3 Dynamic DNS Version 3 SPACEWAY DNS Preload SPACEWAY DNS Prelaod DNS Long-Lived Queries DNS Long-Lived Queries Multicast DNS Multicast DNS

De fet, però, sabem que el servei DNS utilitza el port 53 i no apareix en la llista. Si observem el fitxer /etc/services, veurem que s’indica amb el terme domain (‘domini’). [root@portatil ~]# cat /etc/services | grep domain domain 53/tcp # name-domain server domain 53/udp

2. Monitorar el trànsit UDP del protocol DNS Utilitat iptraf Podem observar el trànsit UDP d’una consulta DNS amb la utilitat iptraf, en què es pot veure la connexió del client de sortida utilitzant el

port dinàmic 32771 en el port 53 del servidor 80.58.61.250. D’una banda activarem iptraf, i de l’altra, farem una consulta que requereixi resolució DNS. [root@portatil ~]# ping www.google.com

PING www.l.google.com (66.102.9.99) 56(84) bytes of data. 64 bytes from 66.102.9.99: icmp_seq=1 ttl=244 time=114 ms 64 bytes from 66.102.9.99: icmp_seq=2 ttl=244 time=74.7 ms --- www.l.google.com ping statistics --2 packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 74.735/94.539/114.343/19.804 ms

En una altra sessió, prèviament hem fet el següent: [root@portatil ~]# iptraf

Utilitat nmap Podem fer la llista de l’estat del port en què escolta el servidor DNS: [root@dnsServer ~]# nmap localhost Starting Nmap 4.20 ( http://insecure.org ) at 2008-06-07 14:50 CEST Interesting ports on localhost (127.0.0.1): Not shown: 1692 closed ports PORT STATE SERVICE 22/tcp open ssh 53/udp open dns 80/tcp open http 111/tcp open rpcbind

443/tcp open https 8000/tcp open http-alt Nmap finished: 1 IP address (1 host up) scanned in 0.116 seconds

3 Monitorar el trànsit de xarxa amb el Wireshark Podeu consultar l’exercici 5 de l’apartat b “Servidor DNS” d’aquest mateix annex, en què també es captura el trànsit DNS utilitzant el programa Wireshark.

4 Consultes amb dig, nslookup i hoste Les utilitats dig, nslookup i hoste (host) permeten obtenir informació dels recursos d’un servidor DNS, resoldre consultes i saber quins registres de recurs contenen. Utilitat dig Tot seguit mostrem un exemple de consulta dels registres de recurs del servidor fpoberta.net: [root@portatil ~]# dig fpoberta.net ANY ; DiG 9.4.2 fpoberta.net ANY ;; global options: printcmd ;; Got answer: ;; ->>HEADERHEADERHEADER cat Server: Address:

192.168.0.10 192.168.0.10#53

Non-authoritative answer: cat

cat cat cat cat cat cat cat cat cat

origin = ns.nic.cat mail addr = dnsmaster.knipp.de serial = 2007121773 refresh = 10800 retry = 10800 expire = 604800 minimum = 86400 nameserver = ns1.nic.es. nameserver = merapi.switch.ch. nameserver = ns-ext.nrt1.isc.org. nameserver = ns.nic.cat. nameserver = ns-ext.isc.org. nameserver = ns5.knipp.de. nameserver = dns4.ad. nameserver = cat-dns.denic.de. nameserver = dns-cat.pch.net.

Authoritative answers can be found from: cat nameserver = dns4.ad. cat nameserver = ns1.nic.es. cat nameserver = ns-ext.nrt1.isc.org. cat nameserver = ns-ext.isc.org. cat nameserver = merapi.switch.ch. cat nameserver = cat-dns.denic.de. cat nameserver = dns-cat.pch.net. cat nameserver = ns.nic.cat. cat nameserver = ns5.knipp.de. ns1.nic.es internet address = 194.69.254.1 ns5.knipp.de internet address = 195.253.6.62 dns4.ad internet address = 194.158.64.10 ns-ext.isc.org internet address = 204.152.184.64

Si utilitzem el servidor de noms d’un altre domini, per exemple dns.gencat.net, també podem fer-hi consultes: nslookup > server 83.247.128.1 Default server: 83.247.128.1 Address: 83.247.128.1#53 > set type=any > mail.yahoo.com Server: 83.247.128.1 Address: 83.247.128.1#53 Non-authoritative answer: mail.yahoo.com canonical name = login.yahoo.com. Authoritative answers can be found from: yahoo.com nameserver = ns2.yahoo.com. yahoo.com nameserver = ns1.yahoo.com. yahoo.com nameserver = ns3.yahoo.com. yahoo.com nameserver = ns4.yahoo.com. yahoo.com nameserver = ns5.yahoo.com. yahoo.com nameserver = ns6.yahoo.com. yahoo.com nameserver = ns8.yahoo.com. ns2.yahoo.com internet address = 68.142.255.16 ns1.yahoo.com internet address = 66.218.71.63 ns3.yahoo.com internet address = 217.12.4.104

ns4.yahoo.com ns5.yahoo.com ns6.yahoo.com ns8.yahoo.com

internet internet internet internet

address address address address

= = = =

68.142.196.63 216.109.116.17 202.43.223.170 202.165.104.22

Utilitat hoste Per saber a qui correspon l’adreça IP utilitzada en l’exemple anterior: [root@portatil ~]# host 83.247.128.1 1.128.247.83.in-addr.arpa domain name pointer dns.gencat.net.

Per veure la informació del domini de la UOC: [root@portatil ~]# host -a uoc.es Trying "uoc.es" ;; ->>HEADER