DNS Domain Name System



Podobné dokumenty
DNS. Počítačové sítě. 11. cvičení

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

DNS, DHCP DNS, Richard Biječek

Jmenné služby a adresace

DNS,BIND - jednoduche zaklady Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Y36SPS Jmenné služby DHCP a DNS

Překlad jmen, instalace AD. Šimon Suchomel

Y36SPS: Domain name systém 1. Seznamte se s výchozími místy uložení konfiguračních souborů serveru bind9 v Debianu

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

Poslední aktualizace: 1. srpna 2011

L i n u x j a k o r o u t e r, f i r e w a l l, D H C P s e r v e r, p r o x y a D N S c a c h e, 2. č á s t

DHCP a DNS a jak se dají využít v domácí síti


ISA seminární práce. Zadání č. 4 Konfigurace www serveru ISP

Domain Name System (DNS)

Domain Name System. Hierarchie

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Systém doménových jmen. DNS Domain Name Systém, systém doménových jmen WINS Windows Internet Name Service

DNSSEC Pavel Tuček

Linux jako broadband router (2)

Další nástroje pro testování

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

Site - Zapich. Varianta 1

Administrace Unixu (DNS)

Domain Name System (DNS)

Principy a správa DNS - cvičení

Správa linuxového serveru: DNS a DHCP server dnsmasq

15. DNS. Miroslav Spousta, Domain Name System. eklad ze snadno zapamatovatelných jmen na IP adresy. Historie

Serverové systémy Microsoft Windows

Serverové systémy Microsoft Windows

Počítačové sítě 1 Přednáška č.10 Služby sítě

Administrace OS UNIX

Technologie počítačových sítí 10. přednáška

Principy a správa DNS - cvičení

- jedinečná adresa síťové karty: 48bit 6 polí - hexadecimální tvar 00-B0-D0-86-BB-F7

pozice výpočet hodnota součet je 255

Falšování DNS s RPZ i bez

Serverové systémy Microsoft Windows

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

CAD pro. techniku prostředí (TZB) Počítačové sítě

Síť LAN. semestrální práce X32PRS Ondřej Caletka ČVUT V PRAZE, Fakulta Elektrotechnická

Semestrální projekt 2. část

Ondřej Caletka. 2. března 2014

Správa a provoz serveru Knot DNS

DHCP, DNS, skupiny a domény

Praktikum Směrování Linux

Inovace výuky prostřednictvím šablon pro SŠ

3. Systém DNS. 3.1 Služba DNS

Zásobník protokolů TCP/IP

Úvod do informatiky 5)

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Katedra softwarového inženýrství Matematicko-fyzikální fakulta UK

Katedra softwarového inženýrství Matematicko-fyzikální fakulta UK

Rodina protokolů TCP/IP, verze 2.7. Část 4: Systém DNS

Základy IOS, Přepínače: Spanning Tree

Popis nastavení DNS serveru Subjektu

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

}w!"#$%&'()+,-./012345<ya

Počítačové sítě Systém doménových jmen a centralizované přidělování IP adres. Leoš Boháč Jan Kubr

Automatická správa keysetu. Jaromír Talíř

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

Útok na DNS pomocí IP fragmentů

DNS, jak ho (možná) neznáte

Instalace a konfigurace web serveru. WA1 Martin Klíma

Servery v počítačových sítích. Luboš Matějka KIV FAV ZČU Plzeň

Téma 2 - DNS a DHCP-řešení

ENUM v telefonní síti Ostravské univerzity. M. Dvořák

Instalace Active Directory

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Adresářové služby, DNS

Windows Server 2003 Active Directory

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Inovace výuky prostřednictvím šablon pro SŠ

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Semestrální projekt do předmětu SPS

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Střední odborná škola a Střední odborné učiliště, Hořovice

Téma 3 - řešení s obrázky

Střední odborná škola a Střední odborné učiliště, Hořovice

Radim Dolák Gymnázium a Obchodní akademie Orlová

Administrace Unixu a sítí

Informační systém webhostingu

Vytváření sítí Domain Name System

Administrace OS Unix. Úvodní informace Principy administrace Uživatelé

Nová cesta ip. Stará cesta ifconfig, route. Network address translation NAT

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

The Locator/ID Separation Protocol (LISP)

Transkript:

Obsah DNS Domain Name System Tomáš Richter Motivace DNS...3 Pojmy DNS...3 Jak to funguje...4 Konfigurace DNS v Linuxu...4 Bezpečnost...7 Nástroje...8 Použité zdroje a odkazy...8

Motivace DNS Jednotlivé uzly v internetu jsou identifikovány pomocí IP adres, které jsou celosvětově unikátní. Ty jsou ale těžce zapamatovatelé a neříkají nic o umístění uzlu v síti. Proto se spolu s IP adresami používají symbolická doménová jména. Je tedy potřeba umět přiřazovat doménovému jménu IP adresu a opačně. Původně tento překlad probíhal pomocí záznamů v /etc/hosts. Toto řešení se však společně s rozšiřováním internetu stalo napoužitelné a byl tedy navržen DNS. Pojmy DNS DNS zkratka může podle kontextu znamenat celkový systém, name server nebo protokol Hierarchie domém FQDN. > cz > muni > fi > lab; stromová struktura; delegování autorit Fully Qualified Domain Name; celosvětově jedinečné; lab.fi.muni.cz Top-level domains domény národní a generické; nad nimi ještě doména "." Národní domény vymezené územím státu; dvouznakový název ISO3166 Generické domény Nadnárodní;.com,.edu,.net,.int,.org,.mil,.gov,.info,... Name server server překládající jména v doménovém tvaru na IP a naopak; každá doména musí mít (alespoň jeden) nameserver Primary DNS name server nastavovaný správcem domény; právě jeden v doméně Secondary DNS záložní name server (záloha dat, dostupnost); automaticky zrcadlí obsah primárního DNS Cache-only DNS server se pouze táže dál a uchovává si záznamy; nemá doménu Autoritativní a neautoritativní odpověd /server každý server je autoritativní pro vlastní doménu (pokud ji má viz. cacheonly servers); autoritativní odpověd pokud server odpovídá na dotaz o vlasní doméně; neautoritativní pokud odpovídá z cache Kořenové DNS name servery pro doménu "."; v současnosti 13 kořenových name serverů označených písmeny A až M 3

Resolver klient DNS tazatel; v Linuxu standartní knihovna C; nastavení /etc/resolv.conf, /etc/nsswitch.conf #/etc/resolv.conf nameserver 192.168.1.254 #adresa name serveru, ktereho se resolver dotazuje #/etc/nsswitch.conf hosts: files dns #mrkni nejdriv do /etc/hosts a pak se teprv ptej DNS Jak to funguje Resolver se ptá nejbližšího name serveru. Pokud server zná odpověd, odpoví ihned. Pokud server nezná odpověd, může se zachovat dvěma způsoby: vrátí tazateli adresu (některého) kořenového DNS ptá se sám kořenového DNS a očekává odpověd tj. chová se jako resolver Resolver takto zjistí (v nejhorším případě) adresy všech DNS pro jednotlivé domény v pořadí od nejvýznamější (cz, muni, fi, lab) a nakonec požadovanou IP. Aby se pokaždé nemusela celá procedura opakovat, DNS si určitou dobu pamatují odpovědi. Konfigurace DNS v Linuxu Nejpoužívanějšími implementacemi DNS v Linuxu jsou BIND a djbdns. BIND (Berkeley Internet Name Domain) je referenční implementací DNS. [ Djbdns je produkt profesora Daniela J. Bernsteina. Mezi jeho hlavní přednosti patři přehlednost kódu, bezpečnost, rychlost a implicitní chrootované prostředí. Tento server narozdíl od refernčního BINDu řeší spousty věcí jinak nebo je z důvodu bezpečnosti neřeší vůbec. ] Zde se budeme zabývat nastavení BINDU (verze 9). Hlavní konfigurační soubor je /etc/named.conf, který může vypadat např. takto (převzato z DNS HOWTO): options { directory "/var/named"; controls { inet 127.0.0.1 allow { localhost; zone "." { type hint; file "root.hints"; 4 zone "localhost" {

type master; file "pz/localhost"; zone "0.0.127.in-addr.arpa" { type master; file "pz/127.0.0"; zone "linux.bogus" { type master; notify no; file "pz/linux.bogus"; zone "196.168.192.in-addr.arpa" { type master; notify no; file "pz/192.168.196"; Tento konfigurační soubor definuje zóny localhost a linux.bogus a jejich reversní zóny. Konfigurace těchto zón se nachází v adresáři /var/named/pz. Pro tyto zóny je server primární. Ukázka nastavení zóny linux.bogus v souboru /var/named/pz/linux.bogus $TTL 3D @ IN SOA ns.linux.bogus. hostmaster.linux.bogus. ( 199802151 ; serial, todays date + todays serial # 8H ; refresh, seconds 2H ; retry, seconds 4W ; expire, seconds 3H ) ; minimum, seconds ; TXT "Linux.Bogus, your DNS consultants" NS ns ; Inet Address of name server NS ns.friend.bogus. MX 10 mail ; Pri mary Mail Exchanger MX 20 mail.friend.bogus. ; Secondary Mail Exchanger gw A 192.168.196.1 TXT "The router" ns A 192.168.196.2 MX 10 mail MX 20 mail.friend.bogus. www CNAME ns donald A 192.168.196.3 MX 10 mail MX 20 mail.friend.bogus. TXT "DEK" mail A 192.168.196.4 MX 10 mail MX 20 mail.friend.bogus. ftp A 192.168.196.5 MX 10 mail MX 20 mail.friend.bogus. 5

Nastavení reverzní zóny 196.168.192.in-addr.arpa v souboru /var/named/pz/192.168.196: $TTL 3D @ IN SOA ns.linux.bogus. hostmaster.linux.bogus. ( 199802151 ; Serial, todays date + todays serial 8H ; Refresh 2H ; Retry 4W ; Expire 1D) ; Minimum TTL NS ns.linux.bogus. 1 PTR gw.linux.bogus. 2 PTR ns.linux.bogus. 3 PTR donald.linux.bogus. 4 PTR mail.linux.bogus. 5 PTR ftp.linux.bogus. Tabulka 1. Typy záznamů Typ Název Funkce SOA Start Of Authority Uvádí nastavení pro doménu NS Name Server Označuje Name Server domény A host Adress Konkrétní adresa IPv4 AAAA host Adress Konkrétní adresa IPv6 MX Mail exchange Poštovní server, záznam obsahuje i prioritu CNAME Canonical NAME Přezdívka; slouží k přiřazení více jmen jedné IP; omezení! PTR PoinTeR Ukazuje na jméno u reverzního překladu TXT TeXT Textová poznámka Nastavení sekundárního DNS pro zónu linux.bogus v souboru /etc/named.conf: zone "linux.bogus" { type slave; file "sz/linux.bogus"; masters { 192.168.196.2; a v souboru /var/named/sz/linux.bogus: 6 @ IN SOA ns.linux.bogus. hostmaster.linux.bogus. ( 199802151 ; serial, todays date + todays serial # 8H ; refresh, seconds 2H ; retry, seconds 4W ; expire, seconds 1D ) ; minimum, seconds

Zóna je přenesena pouze pokud je sériové číslo primárního serveru větší než sériové číslo sekundárního serveru. Pokud je primární server nedostupný delší dobu, než je doba expirace, sekundární server smaže tuto zónu a přestává být pro ni serverem. Bezpečnost Předchozí nastavení bylo jen základní, pro bezpečnější provoz je doporučeno nastavit několik omezení Omezení přenosů zóny Není třeba poskytovat všem kompletní informace o nastavení serveru. Stačí je poskytovat sekundárním serverům. Přidání nastavení allow-transfer do /etc/named.conf: zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; Ochrana proti spoofování Zakážeme dotazy na domény, které nevlastníme, kromě dotazů z vnitřních strojů. Změny v /etc/named.conf: options { allow-query { 192.168.196.0/24; localhost; zone "linux.bogus" { allow-query { any; zone "196.168.192.in-addr.arpa" { allow-query { any; Ještě také povolíme rekursivní dotazy pouze pro vnitřní stroje: options { allow-recursion { 192.168.196.0/24; localhost; 7

Spuštění serveru bez rootovských práv Nespouštějte server se superuživatelskými právy. Vytvořte uživatele a skupinu (např. named) a spouštějte server jako tento uživatel. Nekteré distribuce toto dělají automaticky. Spuštění serveru v chrootovaném prostředí Je silně doporučeno spouštět BIND v chrootovaném prostrědí. Případný útočník ovládnuvší proces tak nezíská přístup k jiným zdrojům na vašem počítači. Ke spouštění serveru v chrootovaném prostředí existuje několik vyčerpávajících HOWTO (např. pro BIND9 1 ), tudíž jen v kostce. Do adresáře, kam chceme chrootovat zkopírujeme potřebné soubory (i s adresářovou strukturou): etc /etc/named.conf, /etc/ld.so.conf, /etc/localtime lib soubory vybramé pomocí ldd /usr/sbin/named; poté je třeba spustit ldconfig -r <chootovany adresar> dev je třeba vytvořit speciální soubory null a random var vytvoříme adresář var/run/named s právem zápisu pro uživatele pod kterým budeme server spouštět Spustíme named pod s právy vytvořeného užibatele a v chrootovaném prostředí: /usr/sbin/named -u <uzivatel pro server> -t <chrootovaci adresar> Nástroje named-checkconf, named-checkzone kontrola konfiguracnich souboru named dig výpis informací o serveru host výpis informací o serveru, bez parametrů prostý překlad adres nslookup interaktivní pokládání dotazů name serverům Bližší informace viz. manové stránky :o) Použité zdroje a odkazy Poznámky 8 Informace k referátu jsem čerpal ze stránek DNS HOWTO 2, Chroot-BIND HOWTO 3 a některých předchozích referátů (citace o djbdns). Další informace o DNS: RFCs 4, ISC BIND 5, článek o djbdns na root.cz 6 a mnoho dalšího 7. 1. http://www.linuxsecurity.com/docs/ldp/chroot-bind-howto.html 2. http://www.faqs.org/docs/linux-howto/dns-howto.html 3. http://www.linuxsecurity.com/docs/ldp/chroot-bind-howto-1.html 4. http://www.rfc-editor.org/

5. http://www.isc.org/index.pl?/sw/bind/ 6. http://www.root.cz/clanky/djbdns-alternativni-dns-server/ 7. http://www.google.com/search?q=dns 9

10

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář