Tabla DNS (Domain Name System)

Informática. Computación. Instrucciones. Botones y usos

0 downloads 377 Views 26KB Size

Recommend Stories


DNS (Domain Name System)
Windows NT. Internet

EMC DATA DOMAIN OPERATING SYSTEM
EMC DATA DOMAIN OPERATING SYSTEM ASPECTOS FUNDAMENTALES DEDUPLICACIÓN ESCALABLE DE ALTA VELOCIDAD • Rendimiento de hasta 58.7 TB/h • Reducción de e

Domain Name System. Protocolos distribuidos. Guido Chari. 18 de Junio de DC - FCEyN - UBA
Domain Name System Protocolos distribuidos Guido Chari DC - FCEyN - UBA 18 de Junio de 2013 Guido Chari Domain Name System Traducir Guido Chari

Registro de recursos DNS
Registro de recursos DNS Tema 3 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto Formato general Un DNS es una base de datos distribuida que contien

Análisis de vulnerabilidades del DNS
ESCUELA TÉCNICA SUPERIOR DE INGENIEROS DE TELECOMUNICACIÓN Análisis de vulnerabilidades del DNS Universidad Politécnica de Madrid Celia Saras Gonzále

Story Transcript

Indica el dominio de la zona asgaard.tux El punto del final hace referencia . al servidor de nombres raíz. Indica el inicio de los datos para una zona y define parámetros que SOA afectan a todos los registros para la zona. Directiva obligatoria a partir de la versión 9 de Bind (RFC1035 / RFC2308), indica el tiempo de vida (TTL, del ingles, Time To Live) de la información obtenida en el archivo. Por defecto se usan $TTL 604800: segundos (604800 segundos equivalen a siete días exactos), pero puede usarse también semanas ($TT 1w), días ($ttL 7d), Horas ($TTL 168h) y minutos ($TTL 10080m). SOA (del ingles, Start Of Authority) proclama información relevante sobre la autoridad de @ IN SOA electronic−solution.com.ar. un dominio al servidor de hostmaster.electronic_solution.com.ar: nombres. Es siempre el primer recurso en un archivo de zona. El símbolo @ equivale a la directiva $ORIGIN. Indica los servidores de nombre @ IN NS ns 1.odin.dns: que tiene autoridad sobre el dominio. Se trata de los registros MX (del ingles, Mail eXechanger) e IN MX 10 relay.asgaard.tux: indica donde mandar el correo destino a un espacio de nombre controlador de esta zona. Este es un registro descriptivo, IN TXT Asgaard Local Net primary en texto plano (del ingles, plain nameserver: text), del servidor. Otro registro, también a titulo IN HINFO Intel Pemtium Redhat informativo y totalmente opcional (del ingles, host Linux: INFOrmation). Registro que relaciona el host Localhost IN A 127.0.0.1: local con su IP de loopback. Asgaard.tux.IN A 192.168.10.35: Registro que relaciona el nombre de dominio con la IP donde esta hospedado. Cualquier petición a asguaard.tux. Será resuelta @

1

ns1 IN A 192.168.10.24:

BIND

NS A PTR MX CNAME HINFO WKS TXT Acl

mediante este registro, se use el protocolo de comunicación que se use A partir de aquí empieza la traducción de subdominios del dominio para el cual somos el autorizado. Soporta las Incremental Zone Transfers, (IXFR), en las que el servidor de nombres esclavo descarga solamente las proporciones de actualizaciones de una zona modificada en un servidor de nombre maestro. El proceso de transferencia AXFR estándar necesita que la zona entera se transfiera al servidor de nombres esclavo incluso si se hacen pequeños cambios. Para los dominios más famosos con ficheros de zona muy largos, IXFR hace que la notificación y los procesos de actualización sean menos exigentes en recursos. Identifica el servidor de nombre para el dominio. Convierte un nombre de estación en una dirección de IP. Convierte una dirección de IP a un nombre de estación. Identificar hacia donde se debe enviar el correo electrónico para el dominio o estación Define un alias para el dominio o estación. Describe el hardware y el sistema operativo de una estación. Anuncia servicios de red ofertados. Almacena cualquier información abierta. Es necesaria solamente con las declaraciones acl, incluye, server, view y zone. Aparece solo con la declaración zone. Configura una lista de control del acceso de las direcciones IP a las 2

Any

Controls

Include

Key

Logging

Options

Allow−query

que se autorizan o se denegaran ciertos servicios named. En general las direcciones IP individuales o la nota de IP (como 10.0.1.0/24 sirve para identificar las direcciones IP correctas. Corresponde a todas las direcciones IP. Configura diversas restricciones de seguridad necesarias para la utilización del comando rndc y así puede usar el dominio named. Incluye el fichero especificado en el fichero de configuración que se esta usando y permite así situar los datos de configuración sensible (como keys) en un fichero separado con los permisos que impiden a los usuarios sin privilegios leerlos. Define una clave particular. Estas claves sirven para autentificar diversas acciones como la actualización de seguridad o la utilización de comando rndc. Permite usar varios tipos de logs que se llaman channels o canales. Usando la opción channel en la dirección logging, se puede construir un tipo de log personalizados con el nombre del fichero (file), con el tamaño (size), la versión (versión) y el nivel de importancia (severity. Una ves que se ha definido el canal personalizado, se usa la opción category para calificar el canal y comenzar la conexión mientras se arranca named. Asigna valores a muchas opciones entrelazadas, incluidos los comandos que se usan para situar un fichero de funcionamiento de named, el nombre de ficheros y otros. Especifica los host que se utilizaran para establecer las peticiones en el servidor de 3

Allow−recursion

Directory

Forward

Forwarders

Listen−on

Notify

Pit−file Statistics−file

nombres. Por defecto todos los hosts están autorizados a presentar peticiones. Se puede usar una lista de control de acceso o una colección de direcciones IP para no autorizar a un determinado numero de servidores de nombres. Parecida a la opción allow−query, salvo que se aplica a las peticiones recursivas. Por defecto, todos los host están autorizados a presentar peticiones en los servidores de nombres. Remplaza el fichero de funcionamiento de named en vez del fichero predeterminado /var/named. Controla como se lleva a cabo el forwaring, si la opción forwarders contiene direcciones IP validas que designe donde enviar las peticiones. Especifica una lista de servidores de nombre a los que hay que mandar las peticiones para obtener la resolución. Especifica el dispositivo de red que named va a utilizar para recibir las peticiones. Por defecto se usan todos los dispositivos. Determina si named envía notificaciones a los servidores esclavos cuando una zona se actualiza. Por defecto, se usa la opción yes, pero se puede usar también la opción no, para evitar que se manden notificaciones a los servidores esclavo y así sola mente mandar las notificaciones a los servidores de la lista also−notify. Permite especificar la localización de ficheros del proceso ID creado por named cuando arranca. Permite especificar la localización del fichero de estática que se ha creado. Por

4

Server

Transfer−format

Trusted−keys

View

Zone

defecto, las estadísticas de named se encuentran en /var/named/named.stats. Define opciones particulares que afectan a la manera en la que named relaciona ante los servicios de nombres distantes y particularmente conciernen a las notificaciones y las transferencias de zona. Determina si se ha enviado el record de los recursos con cada mensaje (one−answer) o la grabación de recursos múltiples con cada mensaje (many−answers). Aunque la opción many−answers es mas eficaz, solamente los últimos servidores de nombres BIND la entienden. Contiene las claves públicas que usa DNSSEC. Visualizaciones especiales que responden a un tipo de información particular dependiendo del host que contacte el servidor de nombres. Esto permite a determinados hosts reciben una respuesta que se refiere a una zona particular mientras que otros hosts reciben información completamente diferente. Alternativamente, ciertos hosts pueden estar autorizados para acceder a determinadas zonas mientras que otros menos autorizados continuar a efectuar peticiones a otras zonas. Especifica zonas particulares para las que está autorizado ese servidor de nombres. La declaración zone se usa sobre todo para especificar el fichero que contiene la configuración de la zona y transmite ciertas opciones de esa zona a named que tendrá prioridad sobre todas las otras declaraciones option del 5

Allow−query

Allow−transfer

Allow−update

File

Masters

Notify

fichero /etc/named.conf. Especifica los clientes que se autorizan para pedir información sobre una zona. Por defecto todas las peticiones de información son autorizadas. Especifica los servidores esclavos que están autorizados para pedir una transferencia de información de la zona. Por defecto, todas las peticiones se autorizan. Especifica los hosts que están autorizados para actualizar dinámicamente la información de la zona. Por defecto, no se autoriza la actualización de la información. Especifica el nombre del fichero que contiene los datos de configuración de la zona en el fichero de funcionamiento named (por defecto /var/named). Se utiliza si la zona se define como type esclava. La opción master indica el named de un esclavo la/las direcciones en las que se puede pedir información de las zonas en la que se tiene autoridad. Es parecida a la opción notify que se usa con la declaración option. Define el tipo de zona. Se pueden usar los siguientes tipos:

Forward

Type

Hint

Master

Dice al servidor de nombres que lleve a cabo todas las peticiones de información de la zona en cuestión hacia otros servidores de nombres. Tipo especial de zona que usa para orientar hacia los servidores de nombres root que sirven para resolver peticiones de una zona que no se conoce. Normalmente, no tendrá que configurar una zona que esta situada fuera del /etc/named.conf. Designa el servidor de nombre actual que tiene la autoridad en 6

Slave

Zone−statistics

$INCLUDE

$ORIGIN

$TTL

Halt

Querylog

Refresh Reload

esa zona. Una zona se puede configurar como tipo master si tiene ficheros de configuración de la zona en el sistema actual. Designa el servidor de nombres actual que es servidor esclavo para dicha zona y le dice a named que pida los ficheros de configuración de la zona de las direcciones IP al servidor de nombres master.

Dice a named que conserve las estadísticas que conciernen a esa zona escribiéndolas bien en la localización por defecto de (/var/named/named.stats), o en la localización designada por la opción statistics−file en la declaración server, si existe. Dice a named que incluya a otro fichero de zona en el fichero de zona don de se usa la directiva. Así se puede almacenar configuraciones de zona suplementarias que dependen del fichero de zona principal. Determina el nombre del registro no calificado, como por ejemplo los que especifican sola mente el host. Ajusta el valor Time To Live (TTL) predeterminado para la zona. Es el nombre, en segundos, que se da a los servidores de nombres para determinar cuanto tiempo los registros de recursos de la zona serán válidos. Un registro de registro puede contener su propio su propio valor TTL, que tendrá prioridad sobre la directiva presente. Para inmediatamente el servicio named. Ejecuta la conexión para todas las peticiones efectuadas por los clientes hacia el servido de nombres. Actualiza la base de datos del servidor de nombres. Dice al servidor de nombres que 7

Stats

Stop

−c

−p

−s

−y

Serial

recargue los ficheros de zona para que conserve todas las respuestas precedentes situadas en cache. Esto le permite realizar cambios en los ficheros de zona y de ponerlos en práctica en los servidores maestros y esclavos sin perder las resoluciones de nombres almacenadas. Pasa las estadísticas de comandos named al fichero /var/named/named.stats. Para el servidor salvando todas las actualizaciones dinámicas y los datos IXFR antes de parar el servidor completamente. Dice al comando tá rndc que use otro fichero de configuración diferente del fichero predeterminado /etc/rndc.conf. Especifica la utilización de un numero de puerto diferente del predeterminado 953 para la conexión del comando rndc. Dice a rndc que envié comandos a otros servidores distintos del servidor que designa la opción default−server en el fichero /etc/rndc.conf. Le permite especificar una clave distinta de la opción default−key en el fichero /etc/rndc.conf. Este número pertenece a la versión de l archivo. La idea es que sea monótonamente creciente. Cada ves que se hace un cambio, debe incrementarse este numero, lo que indica a los secundarios que es hora de copiar otra versión des de el principio. Una buena idea es mantener la fecha codificada en ese número. Para ser tolerante al 2000, sugerimos una codificación: AAAAMMDDHH (año, mes, día, hora) que además permite ver cuanto se demoran los secundarios en tener una nueva versión y saber cuando se hizo un cambio.

8

Refresh

Retry

Expire

Minimum ttl

Pid−file /var/run/named.pid

Stacksize 30M

Datasize 20M Transfer−format many−servers

Este número indica cada cuanto tiempo (en segundos) los secundarios deben chequear con el primario si el serial ha cambiado. Esto difunde a que velocidad se difunde los datos del dominio. Si en un secundario, el chequeo con el primario no se puede hacer (error de conectividad u otro), este contador indica cada cuanto hay que reintentarlo. Si un secundario no logra mas conectarse con el primario, sigue respondiendo por el dominio durante todo este intervalo (en segundos). Es muy importante que este valor sea alto, puesto que una ves que se sobrepasa, el secundario da la zona por expirada y no responde más por allá. Esto puede generar errores de tipo host not found que son más graves que errores de conectividad. Este valor indica cuanto tiempo cualquiera (no primario ni secundario) puede recordar la información de esta zona y responder (sin autoridad) con ella a sus clientes. Es razonable que sea alto, pero no tanto porque retrasa las modificaciones en difundirse en otras partes (pero solo afecta la modificación y la eliminación de campos, el agregar información se difunde según el valor del refresh. Que definiría la localización del fichero que contiene el PID (del ingles, Process IDentificator) del demonio named. Que determinaría un tamaño de pila de treinta megabyts. Que especificaría un tamaño máximo de memoria dedicado a almacenar datos de veinte megabytes. Que provocaría la transferencia en paralelo de varias zonas a los servidores, acelerando el 9

Allow−transfer { claves }

Y versión DNS server

Tipe master

File /etc/bind/db.linuxsilo.net

Allow−query { any }

Allow−transfer { slaves }

$TTL 604800

proceso. Que acotaría globalmente las transferencias de zonas a los servidores secundarios en la lista slaves. Que ocultaría la versión de bind que se esta ejecutando, en aras a una mayor seguridad de el sistema. Significa que el servidor de dominio es primario o maestro de la zona. Es el fichero donde especificaremos la configuración de esa zona. Nótese que se usa una ruta absoluta, siguiendo la política de directorios de debian.el contenido de estos ficheros se especificará en breve. Significa que se permiten consultas (del inglés, queries) externas a la zona. Esto es algo útil y necesario, a menos que se quiera ser muy paranoico con la seguridad. Simplemente se de forma técnicamente ordenada la información que es públicamente accesible. Posibilita la transferencia automática de esta configuración a los servidores de las zonas bajo nuestro control que se especifiquen en la lista slaves. Se profundizara más en el punto de transferencia de zonas. Directiva obligatoria a partir de la versión 9 de Bind (RFC1035 y RFC2308), indica el tiempo de vida (TTL, del inglés, Time To Live) de la información contenida en el fichero. Es decir, el tiempo máximo de validez, tras el cual deberá refrescarse o actualizarse (para comprobar que no haya cambiado). Es lo que se conoce como cache positiva/negativa (del inglés, positive/negative caching), como se especifica en el RFC2308. Por defecto se usan segundos (604800 segundos 10

$INCLUDE

@ IN SOA linuxsilo.net. hostmaster.linuxsilo.net.

NS ns1.linuxsilo.net. y NS ns2.linuxsilo.net.

MX 1 ns1.linuxsilo.net.

equivale a 6 días exactos), pero pueden usarse también semanas ($TTL 1w), días ($TTL 7d), horas ($TTL 168h) y minutos ($TTL 10080m). Estas abreviaturas se usan a si mismo en el registro SOA. Que hace que named incluya otros ficheros de zona en el lugar donde la directiva se usa. Este permite almacenar parámetros de configuración comunes a barias sub zonas en un lugar separado del fichero de la zona principal. El registro SOA (del inglés, Stara Of Authority) se encuentra siempre tras las directivas y proclama información sobre la autoridad de un dominio al servidor de nombres. Es siempre el primer recurso en un fichero de zona. El símbolo @ (arroba) equivale a la directiva $ORIGIN (o el nombre de la zona si dicha directiva no se a usado −casos mas frecuentes) como espacio de nombre de dominio definido por este registro. Indica los servicios de nombre que tienen autoridad sobre el dominio. Se trata de un registro MX (del ingles, Mail eXchanger) e indica donde mandar el correo destinado a un espacio de nombre controlado por esta zona. El digito que sigue a la palabra MX representa la prioridad respecto a otro registro MX para la zona, que se especificara en posteriores líneas (MX 2 ns2.linuxsilo.net.), siguiendo el mismo formato pero variando dicho digito (incrementándolo a medida que pierdan prioridad frente a anteriores registros). Es decir, cuando mas bajo es el valor de preferencia, mayor prioridad requiere.

TXT linuxSilo.net DNS server 11

SOA [Stara Of Autority] NS [Name Server] A [Dirección IPv4] AAAA [Dirección IPv6 original] A6 [Dirección IPv6] PTR [puntero] Dname [Redirección] MX [Mail eXchanger] KEY [Clave Publica] NXT [Next] SIG [Signature] CNAME [Canonical name] LOC [Localizacion] RP [Persona Responsable] SRV [servicio] TXT [Texto] Help Status Trace Notrace Dumpdb stats

Este es un registro a descriptivo, en texto plano (del inglés, plain text), del servidor. Puede usarse libre y abiertamente para propósitos diversos. Aparecerá como resultado de una consulta sobre este tipo de registro hecha al servidor de nombres sobre esta zona. Define una zona representativa del DNS Identifica los servidores de zona, delega subdominios Traducción de nombre a dirección Actual mente obsoleto Traducción de nombre a dirección IPv6 Traducción de dirección a nombre Redirección para las soluciones inversas IPv6 Controla el enrrutado del correo Clave publica para un nombre de DNS Se usa junto a DNSSEC para las respuestas negativas Zona autenticada/firmada Nicks o alias para un dominio Localización geográfica y extensión Especifica la persona de contacto de cada host Proporciona la localización de servicios conocidos Comentarios o información sin cifras Lista las opciones de rndc disponibles Muestra el estado actual del named en ejecución Incrementa el nivel de depuración en 1 Desactiva la depuración Vuelca la base de datos de DNS a named_dump.db Vuelca estadísticas a named.stats 12

Reload Reload zona Restart Querylog Canal

Categoría

Módulo

Lugar

Importancia Default_syslog Default_debug Default_stderr Null

Recarga named.conf y los ficheros de zona Recarga solo la zona especificada Reinicia named, vaciando el cache Activa el requeriente de las consultas entrantes Un lugar a donde tus mensajes pueden ir: syslog, un fichero o /dev/null Una clase de mensajes que bind puede generar; Por ejemplo, mensajes sobre actualizaciones dinámicas o mensajes acerca de respuestas a consultas El nombre del modulo de origen que genera un mensaje El nombre de un lugar syslog. DNS no tiene su propio destino, por lo que tendrán que escoger los estándar Lo malo que es un mensaje de error; a lo que syslog se refiere como prioridad Manda importancia info al syslog con el destino daemon Guarda en el fichero named.run, importancia puesta a dynamic Manda mensajes a la salida de error estándar de named, importancia info Se descartan todos los mensajes

13

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.