DNS

Tutorial DNS
3 PTT Forum
David Robert Camargo de Campos <david@registro.br>
Rafael Dantas Justo <rafael@registro.br>
Wilson Rogerio Lopes <wilson@registro.br>
Registro.br
Dezembro de 2009
1 / 135
Objetivos
Entender os conceitos de DNS

Configurar servidores autoritativos
Configurar servidores recursivos
Entender as diferencas entre DNS e DNSSEC
Configurar corretamente o firewall
Testar performance dos servidores
Planejar escalabilidade de recursivos
Monitorar os servidores
2 / 135
Cronograma
DNS
Conceitos
Arquitetura
Servidores DNS Autoritativos

Cen
ario
Arquivos de Zona
Configuraca
o BIND
Configuraca
o NSD
DNSSEC
Vulnerabilidades do DNS
Conceito
Configuraca
o do Autoritativo
Configuraca
o do Recursivo
Firewalls
DNS
EDNS0
Configuraca
o
Servidores DNS Recursivos

7
Cen
ario
Configuraca
o BIND
Servidores DNS Recursivos abertos
Recursivo e Autoritativo
Testes de Performance
Recursivo
Autoritativo
Escalabilidade de Recursivos
Monitoramento
Autoritativo
Recursivo
3 / 135
Parte I
Conceitos DNS
4 / 135
DNS - Domain Name System

O Sistema de Nomes de Domnio e um banco de dados distribudo. Isso
permite um controle local dos segmentos do banco de dados global,
embora os dados em cada segmento estejam disponveis em toda a rede
atraves de um esquema cliente-servidor.
- Arquitetura hierarquica, dados dispostos em uma arvore invertida
- Distribuda eficientemente, sistema descentralizado e com cache
- O principal proposito e a resoluc
ao de nomes de domnio em
enderecos IP e vice-versa
exemplo.foo.eng.br
www.cgi.br
www.registro.br
200.160.10.251
200.160.4.2
2001:12ff:0:2::3
5 / 135
Hierarquia
DNS
database
"."
br
eng
foo
tutorial
tutorial.foo.eng.br
UNIX
lesystem
usr
local
bin
imake
/usr/local/bin/imake
6 / 135
Domnio Vs Zona
"."
com
Delegao
br
org
Zona br
eng
nom
Zona eng.br
silva
Zona foo.eng.br
foo
Zona nom.br
Delegacao
gov
Zona gov.br
joao
fazenda
tutorial
Zona tutorial.foo.eng.br
Zona joao.silva.nom.br
Indica uma transferencia

de responsabilidade na
administracao apartir
daquele ponto na arvore
DNS
Zona fazenda.gov.br
Domnio br
7 / 135
Resource Records
Os dados associados com os nomes de domnio est
ao contidos em
Resource Records ou RRs (Registro de Recursos)
Sao divididos em classes e tipos
Atualmente existe uma grande variedade de tipos
O conjunto de resource records com o mesmo nome de domnio,
classe e tipo e denominado RRset
Alguns Tipos Comuns de Records

SOA
NS
Indica onde comeca a autoridade a zona

Indica um servidor de nomes para a zona
Mapeamento de nome a endereco
(IPv4)
AAAA
Mapeamento de nome a endereco
(IPv6)
MX
CNAME
PTR
Indica um mail exchanger para um nome

Mapeia um nome alternativo
(servidor de email)
(apelido)
Mapeamento de endereco a nome

8 / 135
Tipos de servidores
Servidor Recursivo
Ao receber requisicoes de resoluc
ao de nomes, faz requisicoes para os
servidores autoritativos e conforme a resposta recebida dos mesmos
continua a realizar requisic
oes para outros servidores autoritativos ate
obter a resposta satisfatoria
Servidor Autoritativo
Ao receber requisicoes de resoluc
ao de nome, responde um endereco caso
possua, uma referencia caso conheca o caminho da resolucao ou uma
negacao caso nao conheca
9 / 135
Exemplo de requisicao de endereco

Supondo que o
cache esta vazio ou
sem informacoes de
br, eng.br,
foo.eng.br,
exemplo.foo.eng.br
Resolver
Servico localizado
no cliente que tem
como
responsabilidade
resolver as
requisicoes DNS
para diversos
aplicativos
10 / 135

Supondo que o
cache esta vazio ou
sem informacoes de
br, eng.br,
foo.eng.br,
exemplo.foo.eng.br
11 / 135
12 / 135
13 / 135
14 / 135
15 / 135
Servidor DNS
Autoritativo
em
ex
n
o.e
.fo
plo
r
g.b
"."
?
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
Servidor DNS
Autoritativo
BR
ENG
ex
em
plo
.fo
o.e
n
g.b
r?
Servidor DNS
Autoritativo
FOO
TUTORIAL
Resolver
16 / 135
Servidor DNS
Autoritativo
em
ex
n
o.e
.fo
plo
r
g.b
"."
?
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
BR
ENG
ex
em
20
0.1
plo
.fo
o.e
n
60
.10
g.b
r?
.25
Servidor DNS
Autoritativo
FOO
TUTORIAL
Resolver
17 / 135
Servidor DNS
Autoritativo
em
ex
n
o.e
.fo
plo
r
g.b
"."
?
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
BR
ENG
ex
em
200.160.10.251
20
0.1
plo
.fo
o.e
n
60
.10
g.b
r?
.25
Servidor DNS
Autoritativo
FOO
TUTORIAL
Resolver
18 / 135
Servidor DNS
Autoritativo
em
ex
n
o.e
.fo
plo
r
g.b
"."
?
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
BR
ENG
ex
em
200.160.10.251
20
0.1
plo
.fo
o.e
n
60
.10
g.b
r?
.25
Servidor DNS
Autoritativo
FOO
TUTORIAL
Resolver
19 / 135
Fluxo de dados
Resolver faz consultas no Recursivo
Recursivo faz consultas no Master ou Slave
Master tem a zona original (via arquivo ou Dynamic Update)
Slave recebe a zona do Master (AXFR ou IXFR)

20 / 135
Parte II
Configurando Servidores DNS Autoritativos
21 / 135
Cenario
Organizacao Foo Engenharia Ltda.
Possui o domnio foo.eng.br registrado no Registro.br;
Possui o bloco 200.160.0/24 designado de um provedor;
Possui o bloco 2001:12ff::/32 alocado pelo Registro.br.
Cliente A
Possui o domnio a.foo.eng.br delegado pela organizacao Foo;
Possui o bloco 200.160.0.127/28 designado pela organizacao Foo.
Cliente B
Possui o domnio b.foo.eng.br delegado pela organizacao Foo;
Possui o bloco 200.160.0.191/26 designado pela organizacao Foo.
22 / 135
Cenario
Organizao Foo Engenharia Ltda.
foo.eng.br
2001:12::/32
200.160.0/24
200.160.0.127/28
200.160.0.191/26
a.foo.eng.br
b.foo.eng.br
Cliente A
Cliente B
23 / 135
Cenario
Alocados
Livres
200.160.0.0/25
200.160.0.143/28
200.160.0.127/28
200.160.0.159/27
200.160.0.191/26
200.160.0/24
24 / 135
Organizacao Foo - Arquivo de zona
db.foo.eng.br
foo.eng.br. 86400 IN SOA
2009120200 ;
3600
;
3600
;
3600
;
900 )
;
ns1.foo.eng.br. hostmaster.foo.eng.br. (
serial
refresh
retry
expire
minimum
;; Servidores DNS que respondem por esta zona

foo.eng.br.
86400 IN NS ns1.foo.eng.br.
foo.eng.br.
;; Cliente A
a.foo.eng.br.
a.foo.eng.br.
86400 IN NS ns1.a.foo.eng.br.
;; Cliente B
b.foo.eng.br.
b.foo.eng.br.
86400 IN NS ns1.b.foo.eng.br.
25 / 135
Organizacao Foo - Arquivo de zona (continuacao...)
db.foo.eng.br
;; Traduc
ao nomes IPs (GLUEs)
ns1.foo.eng.br.
86400 IN A 200.160.0.1
ns2.foo.eng.br.
86400 IN A 200.160.0.2
ns1.foo.eng.br.
86400 IN AAAA 2001:12ff::1
ns2.foo.eng.br.
86400 IN AAAA 2001:12ff::2
ns1.a.foo.eng.br.
ns2.a.foo.eng.br.
ns1.b.foo.eng.br.
ns2.b.foo.eng.br.
;; Web server
www.foo.eng.br.
www.foo.eng.br.
86400
86400
86400
86400
IN
IN
IN
IN
A
A
A
A
200.160.0.128
200.160.0.129
200.160.0.192
200.160.0.193
86400 IN A 200.160.0.3
86400 IN AAAA 2001:12ff::3
26 / 135
Organizacao Foo - Arquivo de zona reverso IPv4

db.0.160.200.in-addr.arpa
0.160.200.in-addr.arpa.
2009120200 ;
3600
;
3600
;
3600
;
900 )
;
172800 IN SOA ns1.foo.eng.br.

serial
refresh
retry
expire
minimum
hostmaster.foo.eng.br.
;; Servidores DNS que respondem por esta zona reverso

;; Cliente A (200.160.0.127 200.160.0.142 = 200.160.0.127/28)

127/28.0.160.200.in-addr.arpa.
127/28.0.160.200.in-addr.arpa.
128.0.160.200.in-addr.arpa.
129.0.160.200.in-addr.arpa.
...
142.0.160.200.in-addr.arpa.
172800 IN CNAME 128.127/28.0.160.200.in-addr.arpa.

27 / 135
db.0.160.200.in-addr.arpa (continuacao...)
;; Cliente B (200.160.0.191 200.160.0.255 = 200.160.0.191/26)
191/26.0.160.200.in-addr.arpa.
191/26.0.160.200.in-addr.arpa.
192.0.160.200.in-addr.arpa.
193.0.160.200.in-addr.arpa.
...
254.0.160.200.in-addr.arpa.

;; Enderecos reversos
1.0.160.200.in-addr.arpa.
...
86400
86400
86400
IN PTR ns1.foo.eng.br.
IN PTR ns2.foo.eng.br.
IN PTR www.foo.eng.br.
28 / 135
Mas por que e necessario o CNAME?

Porque a RFC 2317 recomenda;
Esta solucao nao exige alterac
oes nos softwares dos servidores DNS;
Alteracao de hosts no reverso dos clientes n
ao implicam em alteracoes
na zona reverso da organizac
ao Foo.
29 / 135

db.f.f.2.1.1.0.0.2.ip6.arpa
f.f.2.1.1.0.0.2.ip6.arpa. 86400 IN SOA ns1.foo.eng.br.
2009120200 ; serial
3600
; refresh
3600
; retry
3600
; expire
900 )
; minimum
hostmaster.foo.eng.br.

f.f.2.1.1.0.0.2.ip6.arpa. 86400 IN NS ns1.foo.eng.br.
f.f.2.1.1.0.0.2.ip6.arpa. 86400 IN NS ns2.foo.eng.br.
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa.
1
86400 IN PTR ns1.foo.eng.br.
2
86400 IN PTR ns2.foo.eng.br.
3
86400 IN PTR www.foo.eng.br.
Dificuldade
A inviabilidade de listar todos os reversos dos hosts de um bloco IPv6
gerou diversas discuss
oes. O draft draft-howard-isp-ip6rdns-01 aborda este
tema.
30 / 135
Publicacao de Reverso
Informacao
Para as delegacoes informadas diretamente na interface do Registro.br
(/24 ou maior) as publicac
oes das alterac
oes ocorrem a cada 4 horas com
nicio as 2hs.
31 / 135
Cliente A - Arquivo de zona
db.a.foo.eng.br
a.foo.eng.br. 86400 IN
2009120200
3600
3600
3600
900 )
SOA ns1.a.foo.eng.br. hostmaster.a.foo.eng.br. (

; serial
; refresh
; retry
; expire
; minimum

a.foo.eng.br.
a.foo.eng.br.
;; Traduc
ns1.a.foo.eng.br.
86400 IN A 200.160.0.128
ns2.a.foo.eng.br.
86400 IN A 200.160.0.129
;; Web server
www.a.foo.eng.br.
86400 IN A 200.160.0.142
32 / 135
Cliente A - Arquivo de zona reverso
db.127.0.160.200.in-addr.arpa
127/28.0.160.200.in-addr.arpa. 172800 IN SOA ns1.a.foo.eng.br.
2009120200 ; serial
3600
; refresh
3600
; retry
3600
; expire
900 )
; minimum
hostmaster.a.foo.eng.br.

127/28.0.160.200.in-addr.arpa.
127/28.0.160.200.in-addr.arpa.
128.127/28.0.160.200.in-addr.arpa.
129.127/28.0.160.200.in-addr.arpa.
...
142.127/28.0.160.200.in-addr.arpa.
172800 IN PTR ns1.a.foo.eng.br.

172800 IN PTR ns2.a.foo.eng.br.
172800 IN PTR www.a.foo.eng.br.
33 / 135
Cliente B - Arquivo de zona
db.b.foo.eng.br
b.foo.eng.br. 86400 IN
2009120200
3600
3600
3600
900 )
SOA ns1.b.foo.eng.br. hostmaster.b.foo.eng.br. (

; serial
; refresh
; retry
; expire
; minimum

b.foo.eng.br.
b.foo.eng.br.
;; Traduc
ns1.b.foo.eng.br.
86400 IN A 200.160.0.192
ns2.b.foo.eng.br.
86400 IN A 200.160.0.193
;; Web server
www.b.foo.eng.br.
86400 IN A 200.160.0.254
34 / 135
Cliente B - Arquivo de zona reverso
db.191.0.160.200.in-addr.arpa
191/26.0.160.200.in-addr.arpa. 172800 IN SOA ns1.b.foo.eng.br.
2009120200 ; serial
3600
; refresh
3600
; retry
3600
; expire
900 )
; minimum
hostmaster.b.foo.eng.br.

191/26.0.160.200.in-addr.arpa.
191/26.0.160.200.in-addr.arpa.
192.191/26.0.160.200.in-addr.arpa.
193.191/26.0.160.200.in-addr.arpa.
...
254.191/26.0.160.200.in-addr.arpa.
172800 IN PTR ns1.b.foo.eng.br.

172800 IN PTR ns2.b.foo.eng.br.
172800 IN PTR www.b.foo.eng.br.
35 / 135
Organizacao Foo - Arquivo de configuracao (BIND)

Gerando chave TSIG
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-foo
named.conf no master (200.160.0.1)

options {
listen-on { 200.160.0.1; };
listen-on-v6 { 2001:12ff::1; };
recursion no;
};
key key-foo {
algorithm hmac-md5;
secret VgMNxtub39M=;
};
server 200.160.0.2 {
keys { key-foo; };
};
server 2001:12ff::2 {
keys { key-foo; };
};
36 / 135
named.conf no master (200.160.0.1) (continuacao...)

zone foo.eng.br {
type master;
file db.foo.eng.br;
allow-transfer { 200.160.0.2; 2001:12ff::2; key key-foo; };
};
zone 0.160.200.in-addr.arpa {
type master;
file db.0.160.200.in-addr.arpa;
};
zone f.f.2.1.1.0.0.2.ip6.arpa {
type master;
file db.f.f.2.1.1.0.0.2.ip6.arpa;
};
37 / 135
named.conf no slave (200.160.0.2)

options {
listen-on { 200.160.0.2; };
listen-on-v6 { 2001:12ff::2; };
recursion no;
};
key key-foo {
algorithm hmac-md5;
};
server 200.160.0.1 {
keys { key-foo; };
};
server 2001:12ff::1 {
keys { key-foo; };
};
38 / 135
named.conf no slave (200.160.0.2) (continuacao...)

zone foo.eng.br {
type slave;
file db.foo.eng.br;
masters { 200.160.0.1; 2001:12ff::1; };
};
type slave;
file db.0.160.200.in-addr.arpa;
masters { 200.160.0.1; 2001:12ff::1; };
};
zone f.f.2.1.1.0.0.2.ip6.arpa {
type slave;
file db.f.f.2.1.1.0.0.2.ip6.arpa;
masters { 200.160.0.1; 2001:12ff::1; };
};
39 / 135
Cliente A - Arquivo de configuracao (BIND)

Gerando chave TSIG
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-cliente-a

options {
listen-on { 200.160.0.128; };
recursion no;
};
key key-cliente-a {
algorithm hmac-md5;
};
server 200.160.0.129 {
keys { key-cliente-a; };
};
zone a.foo.eng.br {
type master;
file db.a.foo.eng.br;
allow-transfer { 200.160.0.129; key key-cliente-a; };
};
zone 127/28.0.160.200.in-addr.arpa {
type master;
file db.127.0.160.200.in-addr.arpa;
allow-transfer { 200.160.0.129; key key-cliente-a; };
};
40 / 135
Cliente A - Arquivo de configuracao (BIND)

options {
listen-on { 200.160.0.129; };
recursion no;
};
key key-cliente-a {
algorithm hmac-md5;
};
server 200.160.0.128 {
keys { key-cliente-a; };
};
zone a.foo.eng.br {
type slave;
file db.a.foo.eng.br;
masters { 200.160.0.128; };
};
zone 127/28.0.160.200.in-addr.arpa {
type slave;
masters { 200.160.0.128; };
};
41 / 135
Cliente B - Arquivo de configuracao (BIND)

Gerando chave TSIG
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-cliente-b

options {
listen-on { 200.160.0.192; };
recursion no;
};
key key-cliente-b {
algorithm hmac-md5;
};
server 200.160.0.193 {
keys { key-cliente-b; };
};
zone b.foo.eng.br {
type master;
file db.b.foo.eng.br;
allow-transfer { 200.160.0.193; key key-cliente-b; }
};
zone 191/26.0.160.200.in-addr.arpa {
type master;
allow-transfer { 200.160.0.193; key key-cliente-b; };
};
42 / 135
Cliente B - Arquivo de configuracao (BIND)

options {
listen-on { 200.160.0.193; };
recursion no;
};
key key-cliente-b {
algorithm hmac-md5;
};
server 200.160.0.192 {
keys { key-cliente-b; };
};
zone b.foo.eng.br {
type slave;
file db.b.foo.eng.br;
masters { 200.160.0.192; };
};
zone 191/26.0.160.200.in-addr.arpa {
type slave;
masters { 200.160.0.192; };
};
43 / 135
Organizacao Foo - Arquivo de configuracao (NSD)
Gerando chave TSIG - Com uma ferramenta do BIND!

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-foo
nsd.conf no master (200.160.0.1)

key:
name: key-foo
algorithm: hmac-md5
secret: VgMNxtub39M=
zone:
name: foo.eng.br
zonefile: db.foo.eng.br
notify: 200.160.0.2 NOKEY
notify: 2001:12ff::2 NOKEY
provide-xfr: 200.160.0.2 key-foo
provide-xfr: 2001:12ff::2 key-foo
44 / 135

nsd.conf no master (200.160.0.1) (continuacao...)
zone:
name: 0.160.200.in-addr.arpa
zonefile: db.0.160.200.in-addr.arpa
zone:
name: f.f.2.1.1.0.0.2.ip6.arpa
zonefile: db.f.f.2.1.1.0.0.2.ip6.arpa
Observacao
O NSD quando utilizado como master n
ao envia IXFR para os slaves. Mas
caso o NSD seja utilizado como slave, ele entende requisicoes IXFR.
45 / 135

nsd.conf no slave (200.160.0.2)
key:
name: key-foo
algorithm: hmac-md5
zone:
name: foo.eng.br
zonefile: db.foo.eng.br
allow-notify: 200.160.0.1 NOKEY
allow-notify: 2001:12ff::1 NOKEY
request-xfr: 200.160.0.1 key-foo
request-xfr: 2001:12ff::1 key-foo
zone:
name: 0.160.200.in-addr.arpa
zonefile: db.0.160.200.in-addr.arpa
zone:
name: f.f.2.1.1.0.0.2.ip6.arpa
zonefile: db.f.f.2.1.1.0.0.2.ip6.arpa
46 / 135
Cliente A - Arquivo de configuracao (NSD)

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-cliente-a

key:
name: key-cliente-a
algorithm: hmac-md5
zone:
name: a.foo.eng.br
zonefile: db.a.foo.eng.br
provide-xfr: 200.160.0.129 key-cliente-a
zone:
name: 127/28.0.160.200.in-addr.arpa
zonefile: db.127.0.160.200.in-addr.arpa
provide-xfr: 200.160.0.129 key-cliente-a
47 / 135
Cliente A - Arquivo de configuracao (NSD)

key:
name: key-cliente-a
algorithm: hmac-md5
zone:
name: a.foo.eng.br
zonefile: db.a.foo.eng.br
request-xfr: 200.160.0.128 key-cliente-a
zone:
request-xfr: 200.160.0.128 key-cliente-a
48 / 135
Cliente B - Arquivo de configuracao (NSD)

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST key-cliente-b

key:
name: key-cliente-b
algorithm: hmac-md5
zone:
name: b.foo.eng.br
zonefile: db.b.foo.eng.br
provide-xfr: 200.160.0.193 key-cliente-b
zone:
provide-xfr: 200.160.0.193 key-cliente-b
49 / 135
Cliente B - Arquivo de configuracao (NSD)

key:
name: key-cliente-b
algorithm: hmac-md5
zone:
name: b.foo.eng.br
zonefile: db.b.foo.eng.br
request-xfr: 200.160.0.192 key-cliente-b
zone:
request-xfr: 200.160.0.192 key-cliente-b
50 / 135
Parte III
Configurando Servidores DNS Recursivos
51 / 135
Cenario
A organizacao Foo deseja disponibilizar um servidor DNS recursivo para

sua infra-estrutura local e para todos os seus clientes. Este servidor DNS
recursivo tera o IPv4 200.160.0.6 e o IPv6 2001:12ff::6.
52 / 135
Organizacao Foo (BIND)

named.conf
acl clientes { 127.0.0.0/8; 200.160.0.0/24; 2001:12ff::/32; };
options {
listen-on { 127.0.0.1; 200.160.0.6; };
listen-on-v6 { 2001:12ff::6; };
directory /etc;
pid-file /var/run/named/pid;
statistics-file /var/stats/named.stats;
allow-query { clientes; };
allow-query-cache { clientes; };
allow-recursion { clientes; };
max-cache-size 512M;
clients-per-query 0;
max-clients-per-query 0;
};
Aviso
N
ao utilizem a opcao query-source. Ao fixar uma porta de origem o
servidor DNS fica muito mais vulner
avel a ataques de poluicao de cache.
Principalmente aos ataques descritos por Dan Kaminsky.
53 / 135
Organizacao Foo (BIND)

named.conf (continuacao...)
logging {
channel all {
file /var/log/named.log;
versions 5 size 1M;
print-time yes;
};
category default { all; };
category security { all; };
};
zone . {
type hint;
file named.root;
};
type master;
file db.127.0.0;
};
54 / 135
Organizacao Foo (Unbound)
unbound.conf
server:
port: 53
interface: 127.0.0.1
interface: 200.160.0.6
interface: 2001:12ff::6
access-control: 0.0.0.0/0 refuse
access-control: 200.160.0.0/24 allow
access-control: 127.0.0.0/8 allow
access-control: ::0/0 refuse
access-control: 2001:12ff::/32 allow
directory: /usr/local/unbound/etc/unbound
chroot: /usr/local/unbound/etc/unbound
username: unbound
logfile: unbound.log
do-ip4: yes
do-ip6: yes
55 / 135
Cuidado com Recursivos Abertos!

Causa
O administrador nao configura o servidor DNS recursivo para responder
apenas para os clientes de sua rede.
Efeito
Aceitam consultas DNS vindas de qualquer computador da Internet.
Possibilita ataques de amplificac
ao de respostas DNS e uso de banda por
terceiros.
Solucao
Configuracao correta do firewall.
BIND:
acl clientes { 127.0.0.0/8; 200.160.0.0/24; };

allow-query { clientes; };
allow-query-cache { clientes; };
allow-recursion { clientes; };
NSD:
access-control:
access-control:
access-control:
0.0.0.0/0 refuse
200.160.0.0/24 allow
127.0.0.0/8 allow
56 / 135
Cuidado com Recursivos Abertos!
57 / 135
Parte IV
Importancia da Separacao de Autoritativo e Recursivo
58 / 135
Por que separar?

Motivo
Possibilita ataques ao servidor DNS recursivo;
Aumenta a complexidade na administrac
ao do servidor.
Explicando...
Recursivo e autoritativo possui configurac
oes de acesso diferentes;
As regras de firewalls s
ao distintas;
Sem recursos para separar os servidores?

Para servidores DNS utilizando BIND a sintaxe view pode ser utilizada
para separar os cenarios.
59 / 135
Parte V
O que muda com DNSSEC?
60 / 135
Vulnerabilidades do DNS
61 / 135
Vulnerabilidades do DNS - Solucoes
62 / 135
O que e DNSSEC?
Extensao da tecnologia DNS
(o que existia continua a funcionar)
Possibilita maior seguranca para o usu
ario na Internet
(corrige falhas do DNS)
O que garante?
Origem (Autenticidade)
Integridade
A nao existencia de um nome ou tipo
garante?
O que NAO
Confidencialidade
Protecao contra ataques de negac
ao de servico (DOS)
63 / 135
O que e DNSSEC?
DNSSEC utiliza o conceito de chaves assimetricas

chave p
ublica e chave privada
64 / 135
O que e DNSSEC?
DNSSEC utiliza o conceito de chaves assimetricas

chave p
ublica e chave privada
65 / 135
O que e DNSSEC?
O resolver recursivo ja
possui a chave publica
da zona .br
ancorada.
66 / 135
O que e DNSSEC?
Nesta simulacao de
resolucao supomos que
a raiz nao esta
assinada.
67 / 135
O que e DNSSEC?
Retorna sem resposta,
mas com referencia
para os Records: NS
do .br.
68 / 135
O que e DNSSEC?
O servidor recursivo
requisita a DNSKEY
ao verificar que o nome
da zona e igual ao
nome da zona que
consta em sua
trusted-key.
69 / 135
O que e DNSSEC?
O servidor DNS
responde enviando
DNSKEY e o RRSIG
70 / 135
O que e DNSSEC?
Compara a trusted-key
com a DNSKEY, caso
for valida continua
com as requisicoes
71 / 135
O que e DNSSEC?
72 / 135
O que e DNSSEC?
Retorna sem resposta,
mas com referencia
para os Records:
- NS do foo.eng.br
e com autoridade sobre

os Records:
- DS do foo.eng.br
- RRSIG do Record DS
73 / 135
O que e DNSSEC?
O servidor DNS
recursivo utiliza a
DNSKEY para checar
a assinatura (RRSIG)
do Record DS
74 / 135
O que e DNSSEC?
75 / 135
O que e DNSSEC?
76 / 135
O que e DNSSEC?
O servidor DNS
recursivo verifica
atraves do DS e da
DNSKEY, se este
servidor DNS e valido.
77 / 135
O que e DNSSEC?
Servidor DNS
Autoritativo
r?
em
ex
n
o.e
.fo
plo
g.b
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
ex
em
plo
.fo
o.e
n
Servidor DNS
Autoritativo
g.b
r?
Servidor DNS
Autoritativo
Autoritativo sobre o FOO.ENG.BR
e TUTORIAL.FOO.ENG.BR
Resolver
78 / 135
O que e DNSSEC?
Retorna o Record A e
sua assinatura RRSIG.
Servidor DNS
Autoritativo
r?
em
ex
n
o.e
.fo
plo
g.b
s
re
ido
.br
rv
n
re
se
cia
fe
Re
Servidor DNS
Recursivo
ex
em
20
0.1
plo
.fo
o.e
n
60
.10
Servidor DNS
Autoritativo
g.b
r?
.25
Servidor DNS
Autoritativo
Resolver
79 / 135
O que e DNSSEC?
Servidor DNS
Autoritativo
r?
em
ex
n
o.e
.fo
plo
g.b
s
re
ido
.br
rv
n
re
se
cia
O servidor DNS
recursivo utiliza a
DNSKEY para checar
a assinatura (RRSIG)
do Record A
fe
Re
Servidor DNS
Recursivo
ex
em
20
0.1
plo
.fo
o.e
n
60
.10
Servidor DNS
Autoritativo
g.b
r?
.25
Servidor DNS
Autoritativo
Resolver
80 / 135
O que e DNSSEC?
81 / 135
O que muda com DNSSEC no DNS autoritativo?
Startup
Gerar a chave assimetrica;
Incluir a chave na zona;
Assinar a zona;
Mudar a referencia para o arquivo de zona nas configuracoes;
Incluir o DS na interface do Registro.br.
Manutencao
Reassinar periodicamente a zona.
82 / 135
E como fazer isso no DNS autoritativo? (BIND)

Startup
1
Execute o comando (gera um arquivo .key e um .private):

dnssec-keygen -f KSK -a RSASHA1 -b 1024 -n ZONE -r /dev/urandom foo.eng.br
Inclua no final do arquivo de zona db.foo.eng.br (incremente o SOA):

$include Kfoo.eng.br+005.5423.key
Execute o comando (gera um arquivo .signed):

dnssec-signzone -z -o foo.eng.br -e 20100102120000 db.foo.eng.br
Altere a referencia no arquivo de configurac

ao named.conf:
file db.foo.eng.br.signed;
Incluir o DS no website do Registro.br.

http://registro.br/cgi-bin/nicbr/dscheck
Manutencao
1
Altere o arquivo de zona db.foo.eng.br incrementando o SOA;
Execute o comando:
dnssec-signzone -z -o foo.eng.br -e 20100102120000 db.foo.eng.br
83 / 135
DNSSHIM - DNS Secure Hidden Master

http://registro.br/dnsshim/
Open-Source
Automatiza o processo de provisionamento de zonas
Suporte a DNSSEC
Interface Automatizavel
Manutencao de chaves/assinaturas
Publico Alvo
Provedores de hospedagem ou qualquer outra instituicao responsavel por
administrar servidores DNS autoritativos para muitas zonas
84 / 135
O que muda com DNSSEC no DNS recursivo?
Startup
Ancorar a chave p
ublica do.BR
Manutencao
Para servidores DNS com suporte a RFC 5011:
Nada!
Para servidores DNS sem suporte a RFC 5011:
Trocar a chave ancorada todas as vezes em que ocorrer um rollover
no .BR
85 / 135
E como fazer isso no DNS recursivo?

Startup
BIND (named.conf):
trusted-keys {
br. 257 3 5
AwEAAdDoVnG9CyHbPUL2rTnE22uN66gQCrUW5W0NTXJB
NmpZXP27w7PMNpyw3XCFQWP/XsT0pdzeEGJ400kdbbPq
Xr2lnmEtWMjj3Z/ejR8mZbJ/6OWJQ0k/2YOyo6Tiab1N
GbGfs513y6dy1hOFpz+peZzGsCmcaCsTAv+DP/wmm+hN
x94QqhVx0bmFUiCVUFKU3TS1GP415eykXvYDjNpy6AM=;
};
Unbound (unbound.conf):
trust-anchor:
br.
DS 18457 5 1 1067149C134A5B5FF8FC5ED0996E4E9E50AC21B1
Manutencao
1
Obtenha a nova chave em https://registro.br/ksk/;
Ancore a nova chave no servidor DNS recursivo.
86 / 135
Parte VI
Firewalls
87 / 135
DNS
Definido nas RFCs 1034 e 1035;

Servidores aceitam consultas em transporte TCP/UDP, porta 53;
Payload maximo em transporte UDP de 512 bytes;
Payload maximo por mensagem DNS em TCP de 64 Kbytes.
88 / 135
DNS
Quando TCP e utilizado

Transferencias de zona (AXFR);
Respostas com payload maior do que 512 bytes:
1
2
Consulta inicial via UDP;

Resposta maior do que 512 bytes, flag TC e marcada para indicar que
sua resposta esta truncada;
Cliente refaz consulta via TCP.
89 / 135
EDNS0 - Extension Mechanisms for DNS
Definido na RFC 2671;

Extensao do protocolo DNS original para eliminar alguns limites do
protocolo;
Permite:
mais flags e RCODEs ao cabe alho DNS;

novos tipos de labels;
payloads maiores em transporte UDP (limitado a 64 Kbytes);
define um novo pseudo-RR: OPT.
90 / 135
Depende de suporte tanto no cliente como no servidor;

Cliente envia consulta UDP com pseudo-RR OPT na secao Additional
da mensagem DNS, informando qual o tamanho maximo de respostas
UDP que pode processar;
Se servidor suportar EDNS0, pode aumentar o limite para o tamanho
da resposta que vai retornar ao cliente, evitando re-query via TCP;
Se servidor nao suportar EDNS0, envia resposta com ate 512 bytes de
payload DNS.
91 / 135
Alguns exemplos de servidores que suportam EDNS0:

Bind (desde 8.3.x - 2001);
Microsoft DNS server (Windows 2003);
NSD (auth only - desde 1.x - 2003);
ANS/CNS.
92 / 135
Configurando o Firewall
Por que configurar corretamente?

Garantir qualidade na resoluc
ao DNS, ou seja, evitar atrasos e,
principalmente, a impossibilidade de resoluc
ao de nomes;
Evitar overhead desnecess
ario em servidores DNS, tanto recursivos
como autoritativos.
93 / 135
Autoritativos
Consultas com destino à porta 53 UDP e TCP do servidor autoritativo e
respectivas respostas devem ser permitidas.
Recursivos
Consultas do servidor recursivo com destino `
a porta 53 UDP e TCP de
qualquer outro servidor e respectivas respostas devem ser permitidas;
Consultas vindas de clientes autorizados com destino à porta 53 UDP
e TCP do servidor recursivo e respectivas respostas devem ser
permitidas;
Bloqueio às demais consultas DNS direcionadas ao servidor recursivo.
94 / 135
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0, verifique se seu firewall permite
datagramas UDP/DNS com mais de 512 bytes. Um teste pode ser feito
atraves da seguinte consulta (935 bytes de payload DNS):
dig @a.dns.br br ns +dnssec +bufsize=1000
Se a resposta nao for recebida, pode-se:

corrigir o comportamento do firewall;
diminuir o payload m
aximo enviado via record OPT na configuracao;
EDNS0 do servidor para 512 bytes.
95 / 135
Firewalls e DNS/UDP > 512 bytes
Se seu servidor recursivo suporta EDNS0 e o firewall suporta mensagens
DNS maiores que 512 bytes, verifique se seu firewall e capaz de fazer o
correto reassembly de datagramas UDP fragmentados. Um teste pode ser
feito atraves da seguinte consulta (2185 bytes de payload DNS):
dig @a.dns.br br dnskey +dnssec +bufsize=2500
Se a resposta nao for recebida, pode-se:

corrigir o comportamento do firewall;
diminuir o payload m
aximo enviado via record OPT na configuracao
EDNS0 do resolver. RFC EDNS0 sugere que se configure baseado em
MTU de 1280 bytes.
96 / 135
Parte VII
Testes de Performance
97 / 135
Testes de Performance - Recursivo
Dependente de fatores externos

Link, banda local
Capacidade dos autoritativos
98 / 135
Responde à consultas
consultas ja em cache
consulta servidores autoritativos
Aviso
Exatidao de uma simulacao depende da comunicac
ao com os autoritativos
99 / 135
Testes Propostos
Consultas em cache
Algumas dezenas de consultas
repetidas por 5 minutos
!Cache
Servidor com cache limpo
Consultas u
nicas durante 5 minutos
Todas as consultas v
alidas
100 / 135

Ambiente
Servidor Recursivo
2 Xeon X5570 2.93GHz QuadCore HT - 16 CPUs
FreeBSD 7.2 amd64
Bind 9.6.1-P1 compilado com suporte a threads
Unbound 1.4.0
Cliente
1 Xeon X5560 2.80GHz QuadCore HT
DNSPERF 1.0.1.0-1
resperf - mede throughput do recursivo
Disponvel em http://www.nominum.com
Cliente e Servidor no mesmo seguimento de rede
101 / 135

$resperf -d <arquivo consultas> -s <servidor> -r 300
-d:
Especifica um aquivo contendo as consultas

Formato: HOST
RR
www.registro.br
A
nic.br
MX
...
-s:
IP ou nome do servidor recursivo
-r:
Tempo do teste, em segundos
102 / 135

Bind - Consultas em Cache
N.threads = 8 ( named ... -n 8 )
103 / 135

Unbound - Consultas em cache
N.threads = 8 ( unbound.conf )
104 / 135

Bind - Consultas unicas - !Cache
N.threads = 8 ( named ... -n 8 )
105 / 135

Unbound - Consultas unicas - !Cache
N.threads = 8 ( unbound.conf )
106 / 135
Testes de Performance - Autoritativo
Responde apenas consultas para zonas configuradas

Zonas carregadas em memoria
107 / 135
Teste Proposto
Servidor autoritativo com 1000 zonas configuradas
Dois clientes consultam aleatoriamente registros existentes nessas
zonas
108 / 135

Ambiente
Servidor Autoritativo
2 Xeon X5570 2.93GHz QuadCore HT - 16 CPUs
FreBSD 7.2 amd64
Bind 9.6.1-P1 compilado com threads
NSD 3.2.3
Clientes
1 Xeon X5560 2.80GHz QuadCore HT
Queryperf 1.12
Disponvel no contrib do bind
Servidor e clientes no mesmo seguimento de rede
109 / 135

$queryperf -d <arquivo consultas> -s <servidor> -l <tempo>
-d:
Especifica um aquivo contendo as consultas

Formato: HOST
RR
www.registro.br
A
nic.br
MX
...
-s:
IP ou nome do servidor recursivo
-l:
Tempo do teste, em segundos
110 / 135

Bind
12 Threads = 224000 qps
111 / 135

NSD
5 servidores = 257770 qps
112 / 135
Parte VIII
113 / 135
Motivacao
DNS recursivo instavel e foco de reclamac
oes constantes
114 / 135
Escalabilidade e Estabilidade
Suporte a alto trafego
Suporte a muitos usu
arios
Facil upgrade caso a demanda aumente
Manutencao sem parada do sistema
Alta disponibilidade
Balanceamento de carga
115 / 135
Cluster
116 / 135
Flexibilidade
Mais de um roteador
Mais de um switch
117 / 135
Solucao
Roteador + [UNIX + Quagga + BIND]
Endereco do servico roda na loopback dos servidores
Anycast dentro do cluster
Protocolo de roteamento din
amico com suporte a ECMP - OSPF
118 / 135
Topologia
119 / 135
Anycast na Rede
Redundancia
IBGP entre os clusters
120 / 135
ECMP
Assimetria de trafego
O balanceamento de carga n
ao e exato
Incoerencia de cache entre os servidores
O cache dos servidores n
ao s
ao identicos, pois o trafego que eles
recebem tambem nao e
N
ao h
a problema!
121 / 135
Detalhes do BIND
BIND rodando nas duas interfaces
Queries chegam para a loopback
Monitoracao pelo endereco individual
acl
Max-cache-size
recursive-clients
122 / 135
Controle
1
Iniciar processo do BIND
Subir interface loopback

Quagga envia LSA para o roteador
ifconfig lo1 up
Tirar o servidor do ar
Enviar LSA removendo a rota
ifconfig lo1 down
123 / 135
Recursos
Exemplo:
Rede com 1M de usuarios simultaneos
Media de 50 q/h (por usuario)
50 x 1M = 50M q/h
14k q/s
Um
unico servidor (com hardware robusto) e capaz de suportar esta carga
Sugestao para atingir alta disponibilidade:
- cluster com 3 ou 4 servidores
124 / 135
Monitoracao
Processo do BIND est
a no ar?
Monitorar endereco unicast de cada servidor
Qual servidor que est
a respondendo?
dig @192.168.1.1 chaos txt hostname.bind +short
Watchdog
Caso o BIND pare de responder
ifconfig lo1 down
125 / 135
Parte IX
Monitoramento
126 / 135
Monitoramento
Autoritativos
Disponibilidade
Autoridade sobre as zonas
Versao da zona (serial)
DNSSEC - validacao
Recursos
127 / 135
Monitoramento - Autoritativo
SNMP - cpu, memoria, tr

afego
Nagios
Plugin check dns
Alertas via email, sms
Status Information:OK: Servidor a.dns.br. (200.160.0.10)
respondendo com autoridade para com.br
Custom Plugins - Serial, DNSSEC
128 / 135
DSC - DNS Statistics Collector

Disponvel em http://dns.measurement-factory.com/tools/dsc/
Collector - Processo que usa a libpcap para coletar pacotes DNS
Armazena em XML
Presenter - Recebe datasets XML dos coletores
estatsticas
CGI plota as
129 / 135
Diversas estatsticas importantes para um autoritativo

By Node
Qtypes
Client Geography
IP Version
DNS Transport
...
130 / 135
Query Types
131 / 135
Monitoramento
Recursivos
Disponibilidade
Recursos
132 / 135
Monitoramento - Recursivo
SNMP - cpu, memoria, tr

afego
Nagios
Plugin check dns
DNS OK: 0.009 seconds response time.
www.registro.br returns 200.160.2.3
Custom Plugins
133 / 135
Perguntas?
134 / 135
Referencias
RFC 2317
Classless IN-ADDR.ARPA delegation
DNS recursivo est

avel e escal
avel
ftp://ftp.registro.br/pub/gter/gter23/05-DNSrecEstavelEscalavel.pdf
Firewalls e DNS, como e porque configurar corretamente

ftp://ftp.registro.br/pub/doc/dns-fw.pdf
Recomendaco
es para Evitar o Abuso de Servidores DNS Recursivos Abertos
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto
Au
ltima vers
ao do tutorial de DNSSEC pode ser encontrada em
ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
135 / 135

DNS

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

DNS

Enviado por

Direitos autorais:

Formatos disponíveis

Tutorial DNS

Entender os conceitos de DNS

Servidores DNS Autoritativos

Servidores DNS Recursivos

DNS - Domain Name System

Indica uma transferencia

Alguns Tipos Comuns de Records

Indica onde comeca a autoridade a zona

Mapeamento de nome a endereco

Mapeamento de nome a endereco

Indica um mail exchanger para um nome

Mapeamento de endereco a nome

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Exemplo de requisicao de endereco

Resolver faz consultas no Recursivo

Recursivo faz consultas no Master ou Slave

Master tem a zona original (via arquivo ou Dynamic Update)

Slave recebe a zona do Master (AXFR ou IXFR)

Organizacao Foo - Arquivo de zona

;; Servidores DNS que respondem por esta zona

Organizacao Foo - Arquivo de zona (continuacao...)

Organizacao Foo - Arquivo de zona reverso IPv4

172800 IN SOA ns1.foo.eng.br.

;; Servidores DNS que respondem por esta zona reverso

;; Cliente A (200.160.0.127 200.160.0.142 = 200.160.0.127/28)

172800 IN CNAME 128.127/28.0.160.200.in-addr.arpa.

Organizacao Foo - Arquivo de zona reverso IPv4

172800 IN CNAME 192.127/28.0.160.200.in-addr.arpa.

Organizacao Foo - Arquivo de zona reverso IPv4

Mas por que e necessario o CNAME?

Organizacao Foo - Arquivo de zona reverso IPv6

;; Servidores DNS que respondem por esta zona

Cliente A - Arquivo de zona

SOA ns1.a.foo.eng.br. hostmaster.a.foo.eng.br. (

;; Servidores DNS que respondem por esta zona

Cliente A - Arquivo de zona reverso

;; Servidores DNS que respondem por esta zona reverso

172800 IN PTR ns1.a.foo.eng.br.

Cliente B - Arquivo de zona

SOA ns1.b.foo.eng.br. hostmaster.b.foo.eng.br. (

;; Servidores DNS que respondem por esta zona

Cliente B - Arquivo de zona reverso

;; Servidores DNS que respondem por esta zona reverso

172800 IN PTR ns1.b.foo.eng.br.

Organizacao Foo - Arquivo de configuracao (BIND)

named.conf no master (200.160.0.1)

Organizacao Foo - Arquivo de configuracao (BIND)

named.conf no master (200.160.0.1) (continuacao...)

Organizacao Foo - Arquivo de configuracao (BIND)

named.conf no slave (200.160.0.2)

Organizacao Foo - Arquivo de configuracao (BIND)

named.conf no slave (200.160.0.2) (continuacao...)

Cliente A - Arquivo de configuracao (BIND)

named.conf no master (200.160.0.128)

Cliente A - Arquivo de configuracao (BIND)

Cliente B - Arquivo de configuracao (BIND)