Správa linuxového serveru: DNS a DHCP server dnsmasq



Podobné dokumenty
Principy a správa DNS - cvičení

Ondřej Caletka. 23. května 2014

Správa linuxového serveru: Webová rozhraní k poště (Squirrelmail a Roundcube)

Popis nastavení DNS serveru Subjektu

DNS, DHCP DNS, Richard Biječek

Správa linuxového serveru: Zprovoznění Ruby aplikací s RVM, Thin a Nginx

DNSSEC Pavel Tuček

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Správa linuxového serveru: Úvod do poštovního serveru

Principy a správa DNS - cvičení

DLNA- Průvodce instalací

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Technologie počítačových sítí 5. cvičení

Jmenné služby a adresace

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

DNSSEC během 6 minut

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Y36SPS Jmenné služby DHCP a DNS

Praktikum Směrování Linux

Workmonitor. Servisní návod. 24. června 2014 w w w. p a p o u c h. c o m

DHCP. Martin Jiřička,

DNS. Počítačové sítě. 11. cvičení

Útok na DNS pomocí IP fragmentů

Téma 2 - DNS a DHCP-řešení

Domain Name System (DNS)

Domain Name System (DNS)

2N Access Commander. Základy použití Verze

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

DNS Domain Name System

Instalační návod IP kamer

Ovladač Fiery Driver pro systém Mac OS

Administrace OS UNIX

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

NWA Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Semestrální projekt do předmětu SPS

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

The Locator/ID Separation Protocol (LISP)

Počítačové sítě internet

Kabelová televize Přerov, a.s.

DHCP - kickstart Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Uživatelský modul. Transparent Mode

Jak funguje SH Síť. Ondřej Caletka

Inovace výuky prostřednictvím šablon pro SŠ

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Telefonní přístroj SPA 901

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Počítačové sítě 1 Přednáška č.10 Služby sítě

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Správa systému MS Windows II

Návod na samoaktivaci

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Acronis Backup Advanced Version 11.7

Stručný návod pro nastavení routeru COMPEX NP15-C

Manuál administrátora FMS...2

Překlad jmen, instalace AD. Šimon Suchomel

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Domain Name System. Hierarchie

pozice výpočet hodnota součet je 255

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Stručný průvodce instalací

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Spouštění a konfigurace služeb. Přednáška OSY2 verze :00

Gridové služby a IPv6. Jiří Chudoba, Marek Eliáš, Lukáš Fiala, Tomáš Kouba

Určeno k použití s aplikacemi podporujícími skener / čtečku kódů QR.

STRUČNÝ NÁVOD K POUŽITÍ

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Instalační manuál. 1. Instalace hardwaru

Směry rozvoje v oblasti ochrany informací KS - 7

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

Správa linuxového serveru: Webový server Cherokee

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Návod k obsluze CC&C WA-6212-V2

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Návod na připojení k ové schránce Mozilla Thunderbird 3

Server. Software serveru. Služby serveru

DHCP a DNS a jak se dají využít v domácí síti

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Univerzita Palackého v Olomouci. Služby spojené s Active Directory

OBSAH. Balení obsahuje: VYSVĚTLENÍ POJMŮ ZPROVOZNĚNÍ ZAŘÍZENÍ

Úvod do síťových technologií

Nastavení telefonu Nokia 6303 Classic

UŽIVATELSKÝ MANUÁL. Model R502 Multifunctional Broadband Router

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

WiFiS Uživatelská příručka Obsah

Nastavení telefonu CAT B100

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

2N NetSpeaker IP Audio Systém

českém Úvod Obsah krabice Specifikace Požadavky na systém SWEEX.COM IP001 Sweex USB Internet Phone with Display

Ondřej Caletka. 2. března 2014

Closed IPTV. Martin Jahoda Dedicated Micros. Copyright AD Group

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

DNSSEC na vlastní doméně snadno a rychle

UŽIVATELSKÁ PŘÍRUČKA

Transkript:

Home» Články» Praxe» Správa linuxového serveru» Správa linuxového serveru: DNS a DHCP server... Předchozí kapitola Zpět na obsah Následující kapitola Správa linuxového serveru: DNS a DHCP server dnsmasq Tento díl pokračuje v problematice DNS, věnuje se rekurzivním dotazům, PTR záznamům a DNSSEC. Představuje také server dnsmasq, který poslouží jako na zdroje nenáročný a snadno konfigurovatelný kešovací DNS a DHCP server. Úterý, 7. srpen 2012 Autor Michal Dočekal známka 1,00 Rekurzivní dotazy Většina z vás bude jistě tušit (zejména po přečtení předchozího dílu), že pomocí DNS můžete získat ke jménu (např. wikipedia.org) konkrétní IP adresu (např. 208.80.152.201). DNS ale také podporuje obrácené, rekurzivní dotazy, tedy takové dotazy, které vám vrátí jméno ke konkrétní IP adrese. Využívají se k tomu záznamy typu PTR a speciální doména in addr.arpapro IPv4, ip6.arpapro IPv6. Zkuste si to na nějakém příkladu. Můžete využít nástroj dig, který byl představen v minulém díle. Nejprve získejte IP adresu k nějakému jménu (tedy A záznam), třeba wikipedia.org: dig wikipedia.org ;wikipedia.org. IN A wikipedia.org. 3516 IN A 208.80.152.201 Chcete li provést rekurzivní DNS dotaz pomocí nástroje dig, použijte volbu x, takto: dig x 208.80.152.201 ;201.152.80.208.in addr.arpa. IN PTR 201.152.80.208.in addr.arpa. 3361 IN PTR wikipedia lb.pmtpa.wikimedia.org. Z odpovědi na tento dotaz by mělo být jasné, jak je vlastně rekurzivní dotaz realizován. Hledá se záznam typu PTRke jménu 201.152.80.208.in addr.arpa, přičemž toto jméno obsahuje číselnou reprezentaci IP adresy, ovšem jednotlivé oktety jsou uvedeny v opačném pořadí. Jak víte, systém DNS je tvořen stromovou strukturou, která má počátek na konci (top level doména), a pak se dále větví do domén druhého, třetího a dalších řádů. Každá větev nebo podvětev tohoto stromu pak může být delegována jinému subjektu. Jak je patrné z příkladu výše, PTRzáznamy nemusí mít stejnou hodnotu jako Azáznamy. Dlužno dodat, že PTR záznamů pro jednu IP adresu může být více, nicméně není to obvyklé, často z obav, že nebude správně fungovat software očekávající pouze jedno jméno na rekurzivní dotaz. 1/5

PTR záznamy jsou důležité zejména v oblasti pošty, jelikož některé poštovní servery předpokládají a očekávají shodu A záznamu s PTR záznamem. Pokud se záznamy shodovat nebudou, pošta může být odmítnuta, klasifikována jako spam nebo se zvýší skóre nástrojů typu spamassassin. PTR záznamy obvykle nastavujete u svého ISP, který vám buď deleguje danou DNS větev na váš vlastní DNS server, nebo vám nastaví PTR záznamy na svém. Dnsmasq: Jednoduchý DNS server Dnsmasqje vynikající nástroj, pokud potřebujete rychle nasadit kešující DNS (anebo také DHCP) server pro malou síť (dle webu projektu zvládá i tisíc klientů). Dnsmasq není resolver, tzn. neprovádí vyhledávání neznámých domén sám, nýbrž jen předává dotazy místním DNS resolverům (viz /etc/resolv.conf). Vyřešené dotazy kešuje, což snižuje zátěž hlavních DNS resolverů a také mírně zvyšuje výkon. Můžete samozřejmě přidávat vlastní DNS záznamy pro místní nebo speciální domény. Dnsmasq umí fungovat také jako jednoduchý DHCP server, IP adresy můžete přidělovat staticky nebo dynamicky. Jeho předností je nenáročnost na paměť a na konfiguraci. Instalaci nástroje dnsmasq provedete v Debianu klasickým způsobem, instalací příslušného balíčku z oficiálních repozitářů: aptitude install dnsmasq Konfigurace Hlavním konfiguračním souborem je /etc/dnsmasq.conf. Tento konfigurační soubor je bohatě komentovaný, takže není problém dnsmasq rychle nastavit podle vašich představ. První věc, kterou byste měli upravit, je specifikace rozhraní, kde má dnsmasq naslouchat. Z bezpečnostních důvodů se nehodí, aby byl dostupný z internetu (ve výchozím stavu naslouchá na všech rozhraních): interface=eth1 Rozhraní můžete specifikovat více: interface=eth2 interface=eth3 DNS Kešování DNS a forwarding fungují automaticky, k tomu není třeba nic nastavovat. Můžete se sami přesvědčit tím, že se zeptáte na nějakou doménu : dig www.wikipedia.org @127.0.0.1 Dnsmasq využívá vaše resolvery (viz /etc/resolv.conf) a odpovědi kešuje. Integruje také informace z /etc/hosts, což velmi usnadňuje pojmenování místních počítačů odpadá nutnost tvořit zónový soubor. Například, pokud do /etc/hostsvložíte záznam: 10.0.1.15 kremilek.local...můžete se po restartu programu dnsmasqrovnou přesvědčit, že od něj dostanete správnou odpověď (tedy, správnou dle /etc/hosts): dig @127.0.0.1 kremilek.local 2/5

kremilek.local. 10800 IN A 10.0.1.15 Výchozí hodnota pro velikost keše je sto padesát záznamů, což není mnoho. Chcete li kešovat více záznamů, specifikujte příslušnou hodnotu v direktivě cache size: cache size=500 Vlastní DNS záznamy můžete vkládat nejenom do /etc/hosts, ale také do konfigurace samotné: host record=laptop,laptop.local,10.0.1.60,1234::100 Výše uvedená řádka vytvoří A záznam pro jména laptopa laptop.locals IP adresou 10.0.1.60a AAAA (IPv6) záznam s IPv6 adresou 1234::100. Potřebujete li vložit vlastní MX záznam, můžete použít mx host: mx host=example.org,postovniserver.local,10 Výše uvedený řádek nastaví MX záznam pro doménu example.org o váze 10 s poštovním serverem postovniserver.local. Podobným způsobem můžete vytvářet i PTR nebo SRV záznamy. Více viz manuálová stránka a komentáře v konfiguračním souboru. Po úpravě konfigurace je třeba dnsmasqrestartovat: service dnsmasq restart DHCP Funkci DHCP serveru má dnsmasq ve výchozím stavu vypnutou. Pro její zprovoznění postačí specifikovat rozsah adres pro DHCP: dhcp range=10.0.1.50,10.0.1.150,12h Tato řádka nastaví dynamické přidělování adres v rozsahu 10.0.1.50 až 10.0.1.150, přičemž přidělená IP adresa bude pronajatá dvanáct hodin. Podobně jako v případě direktivy interface můžete dhcp range specifikovat vícekrát, pokaždé pro jiný rozsah: dhcp range=10.0.1.50,10.0.1.150,12h dhcp range=10.0.5.10,10.0.5.50,12h IP adresy můžete specifikovat i staticky, pro konkrétní MAC síťové karty: dhcp host=11:22:33:44:55:66,10.10.10.10 Tato řádka přidělí MAC adrese 11:22:33:44:55:66IP adresu 10.10.10.10. Konkrétní rozsahy můžete přidělovat i konkrétním síťovým rozhraním: dhcp range=eth1,10.0.1.50,10.0.1.150,12h dhcp range=eth2,10.0.5.10,10.0.5.50,12h Potřebujete li specifikovat některé další volby jako router apod., můžete použít dhcp option: dhcp option=option:router,10.10.10.10 dhcp option=option:ntp server,10.10.10.20,10.10.10.30 Výše uvedená řádka sdělí DHCP klientům, že router je na adrese 10.10.10.10 a NTP servery jsou na 10.10.10.20a 10.10.10.30. Další příklady naleznete v konfiguračním souboru a v manuálu. 3/5

DNSSEC DNS je velmi starý protokol, který nebyl navržen s ohledem na bezpečnost (což samozřejmě neplatí jen o DNS). Existuje možnost podvržení DNS záznamů, které není možné spolehlivě zabránit, což otevírá prostor pro známý man in the middle útok. Podaří li se útočníkovi podvrhnout odpověď na váš DNS dotaz, dojde k otrávení vaší DNS keše podvrženým záznamem (proto se tyto útoky označují jako DNS cache poisoning ). Snad nemusím zdůrazňovat, jaké důsledky může mít podvržení DNS záznamů místo komunikace se svou bankou můžete komunikovat s útočníkem, který pak může zaútočit přímo na vaše bankovní konto. Obranou vůči těmto útokům je DNSSEC, což je systém, který DNS záznamy digitálně podepisuje (používá se asymetrické šifrování), a DNS resolvery podpisy kontrolují. Digitální podpisy mají svou hierarchii (tzv. chain of trust model), která začíná u kořenové zóny (počáteční bod hierarchie se označuje jako trust anchor, kotva důvěry její podpis byste měli pečlivě ověřit, jelikož s jeho důvěryhodností stojí a padá důvěryhodnost celého ověřování). Tento systém je poměrně komplexní a komplikovaný více o principech fungování DNSSEC se dozvíte v odkazech pod článkem. DNSSEC je třeba implementovat na straně resolvujících DNS serverů, které využíváte. Nepodporuje li tedy váš ISP DNSSEC, můžete si postavit vlastní resolver se zprovozněným DNSSECem. Zda váš ISP používá DNSSEC (resp. zda vámi použité resolvující DNS servery používají DNSSEC), zjistíte dotazem na špatně podepsanou doménu, kterou je např. rhybar.cz: dig www.rhybar.cz ;; Got answer: ;; >>HEADER<< opcode: QUERY, status: NOERROR, id: 56068 ;www.rhybar.cz. IN A www.rhybar.cz. 504 IN A 217.31.205.51 Pokud vám na tento dotaz vrátí server bezchybnou odpověď (status: NOERROR), pak DNSSEC implementovaný nemá a vy jste zranitelní. Dostane li se vám odpovědi se statusem SERVFAIL: dig www.rhybar.cz ;; Got answer: ;; >>HEADER<< opcode: QUERY, status: SERVFAIL, id: 18561 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;www.rhybar.cz. IN A...pak je všechno v pořádku a DNSSEC je aktivní. Jednoduchý test přímo z webového prohlížeče můžete realizovat třeba na stránce www.dnssec.cz. Jak si postavit vlastní resolvující a DNSSEC validující server, se dozvíte v příštím díle. Předchozí kapitola Zpět na obsah Následující kapitola 4/5

Odkazy Pokud si chcete přečíst více o této problematice, navštivte tyto odkazy: dnsmasq: web projektu dnsmasq: Debian HOWTO Anglická Wikipedie: Rekurzivní dotazy Český web o DNSSEC Root.cz: Jak funguje DNSSEC? Anglická Wikipedie: DNSSEC Česká Wikipedie: DNS Anglická Wikipedie: DNS DiG HOWTO DNS HOWTO (česky) Přidat názor Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích najdete v nápovědě. Diskuzi můžete sledovat pomocí RSS kanálu 5/5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář