Bloqueo de DNS: Daños versus Beneficios
ES
SAC 050 Bloqueo de DNS: Daños Versus Beneficios, Un Asesoramiento del Comité Asesor para la Seguridad y E
Story Transcript
DNS (puerto UDP y TCP #53)
Sistema Operativo: Ubuntu 7.04 Objetivos: Aprender a Instalar y Configurar un servidor DNS en un sistema operativo Linux. Aprender a utilizar servidores Linux con clientes Windows. Realizar una guía de laboratorio de la instalación y configuración paso a paso. Poner en práctica comandos Linux. Sabes qué es y cómo funciona un servidor DNS. Aprender sobre la seguridad del servidor. Saber identificar y la definición de lo que es una zona y un dominio. Descripción: En este laboratorio instalaremos un servidor Ubuntu en una máquina virtual que resuelva nombres de dominios y que devuelva los Ip o viceversa. A continuación una guía detallada paso a paso, de las configuraciones necesarias y todo lo que realizamos para realizar este proyecto. Requisitos: Memoria Ram 256 (mínimo) Entre 1.5 y 2 Gb de espacio de Disco Duro (mínimo) Procesador mínimo de 133Mhz (mínimo) Máquina Virtual Vmware Un cliente Windows 2000 Un servidor Ubuntu 7.10
Guía de Instalación y Configuración del DNS en Ubuntu 7.04 Servidor: Nombre del Servidor: mate Nombre del dominio: mate.net Número IP: 172.30.101.81 Máscara: 255.255.255.0 Puerta de enlace: 172.30.101.0 Contraseña: holocausto Cliente: Nombre del Cliente: l1407 Nombre del subdominio: l1407.mate.net Número IP: 172.30.101.70
Instalación: 1. Escribir Comando:
sudo apt-get install bind9
2. Entramos en las carpetas: /etc/bind 3. Escribimos el comando: sudo gedit named.conf.local 4. Dentro del documento named.conf.local agregamos: zone “mate.net”{ type master; file “/etc/bind/db.mate.net”; }; Zone “101.30.172.in-addr.arpa”{ type master; file “/etc/bind/rev.101.30.172.inaddr.arpa”; }; Guardamos el archivo y cerramos.
5. Escribimos el comando: sudo cp db.local db.mate.net 6. Escribimos el comando: sudo gedit db.mate.net
Dentro del documento db.mate.net modificamos lo siguiente (escribir igual como se indica a continuación): ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA mate.net. 2008071502 ; 604800 ; 86400 ; 2419200 ; 604800 ) ; ; @ IN NS mate.mate.net. mate IN A 172.30.101.81 l1407 IN A 172.30.101.70
root.mate.net. ( Serial Refresh Retry Expire Negative Cache TTL
Lo guardamos y salimos. 7. Escribimos el comando: sudo cp db.127 rev.101.30.172.in-addr.arpa y después sudo gedit rev.101.30.172.in-addr.arpa Igualmente al paso anterior escribimos, este paso es para configurar la zona inversa:
; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA mate.net. 2008071502 ; 604800 ; 86400 ; 2419200 ; 604800 ) ; ; @ IN NS mate.mate.net.
root.mate.net. ( Serial Refresh Retry Expire Negative Cache TTL
81 70
IN IN
PTR PTR
mate. l1407.
Guardamos y cerramos. 8. Escribimos el comando en /etc : sudo gedit resolv.conf Dentro del documento modificamos: nameserver 172.30.101.81 search mate.net 9. Ponemos a correr nuestro servidor con el comando: sudo /etc/init.d/bind9 restart Pruebas para verificar nuestro servidor escribimos los siguientes comandos: Host mate.mate.net mate.mate.net has address 172.30.101.81 Host 172.30.101.81 81.101.30.172.in-addr.arpa domain name pointer mate. Host l1407.mate.net l1407.mate.net has address 172.30.101.70 Host 172.30.101.70 70.101.30.172.in-addr-arpa domain name pointer l1407. En el Windows 2000 En símbolos del sistema escribimos: nslookup mate.mate.net nslookup 172.30.101.81 A continuación las imágenes del proceso realizado anteriormente y luego la parte teórica de todo lo que se ha realizado de manera práctica.
Configuración general del cliente en Windows 2000.
Pruebas del servidor al cliente y del cliente al servidor.
Parte Teórica
DNS: Es un servidor de nombres de dominio. Trabaja de esta manera convierte nombres de dominio en direcciones IP y las direcciones IP las convierten en nombres de dominios. BIND9: es una implementación abierta del protocolo DNS y provee una implementación redistribuible de uno de los mayores componentes de Domain Name Service. Un Servidor de Nombres (named) Una Librería de Resolución Herramientas de resolución de problemas como nslookup. El DNS de BIND es utilizado por la mayoría de las máquinas que ejecutan resolucón de nombres en Internet, brindando una arquitectura robusta y estable sobre la cual se puede construir la arquitectura de resolución de nombre de una organización. Punto4: En el documento named.conf.local es donde vamos a definir las zonas, en nuestro caso tenemos dos zonas: mate.net y la inversa de esta. Ahí las especificamos para poder luego crear los documentos donde haremos las respectivas configuraciones. Punto6: En db.mate.net es donde colocaremos los servidores o pc que están unidas a nuestro dominio para brindarle el servicio de DNS. Existen cuatro tipos diferentes de servidores de resolución de nombres: o Master (maestro o primario). Aloja los registros autoritarios de una zona,
responde las peticiones de resolución de nombres como servidor de autoridad y delega copias a los servidores esclavo. o Slave (esclavo o secundario). Responde a las peticiones de resolución de
nombres como servidor de autoridad, pero la información es distribuida por los servidores primarios. Se considera que como medida de seguridad, se requiere al menos uno de estos, preferentemente independiente de la infraestructura del primario (red, energia eléctrica y ubicación geográfica). o Caching-only (sólo de cache). Responde a las peticiones de resolución de
nombres pero no es servidor de autoridad, las respuestas las guarda en memoria por un período determinado. o Forwarding (de reenvío). Reenvia las peticiones a una lista de servidores de
nombres.
Tipos de registros. Para ofrecer suficiente flexibilidad en la configuración, se pueden declarar diversos tipos de registros, que hacen referencia a la función del host. A continuación veremos los más importantes. o A (Address). Es el registro más usado, que define una dirección IP y el nombre
asignado al host. Generalmente existen varios en un dominio. o MX (Mail eXchanger). Se usa para identificar servidores de correo, se pueden
definir dos o más servidores de correo para un dominio, siendo que el orden implica su prioridad. Debe haber al menos uno para un dominio. o CNAME (Canonical Name). Es un alias que se asigna a un host que tiene una
dirección IP valida y que responde a diversos nombres. Pueden declararse varios para un host. o NS (Name Server). Define los servidores de nombre principales de un dominio.
Debe haber al menos uno y pueden declararse varios para un dominio. o SOA (Start Of Authority). Este es el primer registro de la zona y sólo puede
haber uno en cada archivo de la zona y sólo está presente si el servidor es autoritario del dominio. Especifica el servidor DNS primario del dominio, la cuenta de correo del administrador y tiempo de refresco de los servidores secundarios.
Punto 7: Para la configuración de la zona inversa en la parte donde colocamos el nombre de otros servidores y de los clientes solo colocaremos el número del último octeto debido a que ya fue especificado la parte de red en el archivo named.local.conf y luego sólo el nombre del equipo.