Escolar Documentos
Profissional Documentos
Cultura Documentos
090-00
Curso 452
Linux Security
Servers in Cloud
Verso 2015_3.0
Servidor DNS
Fundamentao
Durante os anos 70, Arpanet era uma pequena comunidade de algumas centenas de
hosts. Um nico arquivo, HOSTS.TXT, continha toda a informao necessria sobre os
hosts. Este arquivo continha nome para enderear cada host conectado a ARPANET. O
arquivo era mantido pela Network Information Center (NIC) e distribuido por um nico
host, Stanford Research Institutes Network Information Center (SRI-NIC).
Os administradores da ARPANET enviavam ao NIC, por e-mail, quaisquer mudanas
que tivessem sido efeituadas e periodicamente SRI-NIC era atualizado, assim como o
arquivo HOSTS.TXT.
As mudanas eram compiladas em um novo HOSTS.TXT uma ou
duas vezes por semana. Com o crescimento da ARPANET, entretanto, este esquema
tornou-se invivel. O tamanho do arquivo HOST.TXT crescia na proporo em que
crescia o nmero de hosts. Alm disso, o trfego gerado com o processo de atualizao
crescia em propores ainda maiores uma vez que cada host que era includo no s
significava uma linha a mais no arquivo HOST.TXT, mas um outro host atualizando a
partir do SRI-NIC.
IT Experience
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
3
Objetivos da Aula
Aula 02 Servidor DNS (1/2)
Introduo a resoluo de nomes;
Executar diagnsticos utilizando servidor DNS externo;
Implementar na prtica um servidor de cache com bind9;
Implementar na prtica um servidor primrio com bind9;
Executar diagnsticos utilizando servidor DNS interno;
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
4
Objetivos da Aula
Aula 02 Servidor DNS (2/2)
Utilizar ferramenta de gerenciamento do named;
Implementar na prtica um servidor DNS reverso com bind9;
Implementar na prtica um servidor Secundrio com bind9;
Melhorar a segurana no servidor DNS.
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
5
Servidor DNS
DNS Domain Name System:
Responsvel pela resoluo de Nome para IP e de IP para Nome;
Criado e mantido pelo ISC (Internet System Consortium), mesmo grupo
que mantm DHCP e NTP;
Eles so divididos em "gTLD" (domnios genricos "com", "edu", "gov",
"mil", etc) e "ccTLD" (cdigos de pases ou "country-code", sempre com
duas letras);
A
ICANN
delega,
de
acordo
com
tratados
internacionais,
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
6
Servidor DNS
Dois servidores, o primrio e o secundrio, devem ter um mecanismo
configurado corretamente para que eles se mantenham sincronizados;
O DNS reverso deve estar configurado;
O servidor deve trabalhar de forma autoritativa, responsvel apenas
pelo domnio dexter.com.br;
Configurar o servidor primrio para notificar o secundrio quando
houver atualizao na zona;
Restringir acesso apenas para a rede interna realizar consulta
recursiva;
Restringir acesso apenas para o servidor secundrio realizar
transferncia de Zona.
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
7
Servidor DNS
http://root-servers.org/map/
Root Servers
.com
.net
.org
.br
.uk
.pt
.com
.org
http://registro.br/dominio/
dexter
www
8
Resoluo Recursiva
Tomando um navegador web como exemplo, a resoluo para acesso a um "website"
tem as seguintes etapas:
1.Usurio solicita acesso a "www.exemplo.com.br"
2.Navegador checa se j conhece o endereo IP do "hostname" solicitado (cache
do"browser");
3.Se no conhece, o navegador passa a solicitao para a biblioteca de resoluo - o
"resolver";
4.O "resolver" procura o "hostname" solicitado no arquivo "/etc/hosts" local;
5.Se no encontrar, ele checa o arquivo "/etc/resolv.conf" para saber a quais "nameservers" deve solicitar a informao;
6.O "resolver" repassa a solicitao ao primeiro "nameserver" da lista, e logo aps para
o prximo at o fim da lista, aguardando por uma resposta de qualquer um deles;
7.O servidor de nomes acionado consulta seu "cache", se houver;
8.Se no encontrar em seu "cache", o servidor em questo vai diretamente ao servidor
raiz e transfere a consulta - www.exemplo.com.br;
9.O servidor raiz no faz "cache", e tambm no autoridade sobre zonas de baixo
nvel, ento ele apenas responde uma parte da questo: "No sei quem , mas sei
quem pode responder melhor: br.";
Servidor DNS
4. Indica o TLD
responsvel
Root
Servers
5. Indica o SOA
Responsvel
TLD
(.com)
1. Quem
Google.com ?
6. Responde com
o IP do
www.google.com
DNS Primrio
DNS
Autoridade
google.com
2. Tem no Cache?
3. Pergunta Root
Servers
Resoluo Recursiva
10.O servidor de nomes reenvia a consulta para o servidor ".br-www.exemplo.com.br;
11.".br" retorna o mesmo tipo de resposta, porm como uma dica mais prxima: "No
sei quem , mas sei quem pode responder melhor: com.br.";
12.Passos 10 e 11 so efetuados mais uma vez, e agora a resposta "No sei quem
, mas sei quem pode responder melhor: exemplo.com.br.";
13.Aps repetir o passo 10, finalmente a resposta ser da autoridade sobre o
domnio exemplo.com.br. Vai ser respondido o IP, juntamente ao TTL do registro, ou
ser respondido "inexistente";
14.O servidor de nomes far "cache" da resposta, ao mesmo tempo que a repassa
para o resolvedor original;
15.O resolvedor repassa a resposta para o navegador;
16.O navegador inicia uma conexo "HTTP" com o IP descoberto.
Servidor DNS
Tipos de DNS:
DNS AUTORITATIVO O servidor autoritativo de um domnio
possui os registros originais que associam aquele domnio a seu
endereo de IP. Tem sua responsabilidade na humanidade;
10
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
10
Servidor DNS
Tipos de Registros do DNS:
SOA
NS
TXT
para SPF.
11
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
11
Servidor DNS
Servidor: Audit
Comando host
O comando "host" concebido para dar respostas objetivas, limitando-se
na maioria dos casos a uma s linha. Repostas detalhadas podem ser
obtidas com a utilizao de parmetros. Ao contrrio do "dig", o "host"
consulta a "search list" do arquivo "/etc/resolv.conf".
Comando dig
O comando "dig" o acrnimo para "Domain Information Groper", que
significa algo como "aquele que busca por informaes de domnio no
escuro", e ao mesmo tempo, a palavra "dig" em ingls significa literalmente
"escavar".
O "dig" no utiliza a opo "search" do "/etc/resolv.conf", por isso
necessrio utilizar "FQDN" em todas as buscas.
12
Servidor DNS
Servidor: Audit
Servidor DNS:
1#aptgetinstallbind9
5#cd/etc/bind/
netstatnlup|grep53
2#vim/etc/resolv.conf
6#ls
7#catdb.root
8#catnamed.conf.defaultzones
nameserver127.0.0.1
9#catnamed.conf.options
nameserver192.168.200.130
3#hostgoogle.com
4#aptgetupdate
utiliza
opo
include
para
anexar
os
arquivos
Servidor DNS
Criao do arquivo de Zonas:
Servidor: Audit
1#vimnamed.conf.local
zone"dexter.com.br"{
typemaster;
file"db.dexter";
};
14
Utilizada
para
evitar
abusos
de
algumas
Servidor DNS
Servidor: Audit
$TTL86400;TempoemSegqueoCachepermanecenosDNSdoMundo
@INSOAns1.dexter.com.br.root.dexter.com.br.(
2015030301;serial
8h;refresh
1h;retry
3d;expire
3h);negativecachingttl
@INNSns1.dexter.com.br.
ns1INA192.168.200.30
@INA192.168.200.30
auditINA192.168.200.30
wwwINA192.168.200.130
15
15
Servidor DNS
Servidor: Audit
intranetINA192.168.200.130
bkpreportINCNAMEintranet
backupINCNAMEintranet
webmailINCNAMEintranet
sargINCNAMEintranet
ftpINCNAMEintranet
@INMX10mail.dexter.com.br.
mailINA192.168.200.131
smtpINCNAMEmail
popINCNAMEmail
imapINCNAMEmail
ldapINCNAMEmail
;ConfiguraodoDNSsecundrio
;@INNSns2.dexter.com.br.
;ns2INA192.168.200.130
16
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
16
Servidor DNS
Servidor: Audit
1#namedcheckzonedexter.com.br/var/cache/bind/db.dexter
2#tailf/var/log/daemon.log>/dev/tty2&
3#/etc/init.d/bind9stop
4#/etc/init.d/bind9start
5#digtsoadexter.com.br
6#hostdexter.com.br
7#hostintranet.dexter.com.br
17
17
Servidor DNS
Servidor: Audit
18
Utilitrio RNDC
O comando rndc (Remote Named Daemon Control) uma ferramenta de
gerenciamento do named.
A vantagem dessa ferramenta que ela permite controlar o named muito
facilmente sem ter que ficar enviando sinais ao processo do mesmo.
18
Transferncia de Zona
Servidor: Audit
19
19
Transferncia de Zona
Protegendo seu DNS
Servidor: Audit
1#vim/etc/bind/named.conf.local
zone"dexter.com.br"{
typemaster;
file"db.dexter";
allowtransfer{192.168.200.130;};
notifyyes;
alsonotify{192.168.200.130;};
};
2#/etc/init.d/bind9restart
3#digdexter.com.braxfr
allow-transfer
Restringir a
transferncia de zona
apenas para
Servidores
Autorizados;
As opes notify e
also-notify
determinam se o
servidor primrio
notifica servidores
secundrios quando a
informao de zona
for atualizada.
20
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
20
Servidor DNS
DNS Reverso:
Servidor: Audit
typemaster;
file"rev.dexter";
allowtransfer{192.168.200.130;};
notifyyes;
alsonotify{192.168.200.130;};
};
21
21
Servidor DNS
DNS Reverso:
1#cp/root/dns/rev.dexter/var/cache/bind/
2#vim/var/cache/bind/rev.dexter
$TTL86400
@
IN
SOA
ns1.dexter.com.br.
root.dexter.com.br.(
2015010101;serial
8h;refresh
1h;retry
3d;expire
3d);negativecachettl
@
ns1
131
IN
NS
IN
IN
ns1.dexter.com.br.
A
192.168.200.30
PTR
mail.dexter.com.br.
22
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
22
Servidor DNS
Servidor: Audit
mail.dexter.com.brhasaddress192.168.200.131
3#host192.168.200.131
131.200.168.192.inaddr.arpadomainnamepointer
mail.dexter.com.br.200.168.192.inaddr.arpa.
23
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
23
Servidor DNS
DNS Secundrio:
Servidor: WebServerInterno
2#vim/etc/named.conf
3#vim/etc/resolv.conf
nameserver127.0.0.1
nameserver192.168.200.30
4#systemctlenablenamed.service
24
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
24
Servidor DNS
DNS Secundrio:
Servidor: WebServerInterno
1#vim/etc/named.conf.local
zone"dexter.com.br"{
typeslave;
masters{192.168.200.30;};
file"/var/named/slaves/db.slave.dexter";
};
zone"200.168.192.inaddr.arpa"{
typeslave;
masters{192.168.200.30;};
file"/var/named/slaves/rev.slave.dexter";
};
2#systemctlrestartnamed.service
3#ls/var/named/slaves/
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
25
Servidor DNS
Servidor: Security Cloud
Mascaramento no Firewall:
Os servidores DNS no esto conseguindo se comunicar, pois os
pacotes esto sendo mascarados pelo firewall ou seja, quando o
pacote est indo com destino a Lan interna, o mesmo mascarado
e se perde, no chegando ao destino correto.
Devemos trabalhar com excees, onde o pacote somente ser
mascarado se o destino for a internet e no as Lans internas.
26
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
26
Servidor DNS
Servidor: Security Cloud
Mascaramento no Firewall:
Abra o arquivo de configurao do firewall e edite as regras de
mascaramento de ip:
1#vim+55/root/firewall/rules
55iptablestnatAPOSTROUTINGs$LAN1!d$LAN2j
MASQUERADE
Tudo que sair da Lan 192.168.200.0/25 ser mascarado EXCETO se for com destino a Subnet2
56iptablestnatAPOSTROUTINGs$LAN2!d$LAN1j
MASQUERADE
Tudo que sair da Lan 192.168.200.128/25 ser mascarado EXCETO se for com destino a Subnet1
2#servicefirewallrestart
27
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
27
Laboratrio Dexter
Servidor: Webserver Interno
28
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
28
Laboratrio Dexter
Servidor: Audit
29
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
29
Servidor DNS
Servidor: Webserver Interno
options{
listenonport53{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
listenonv6port53{::1;};
directory"/var/named";
dumpfile/var/named/data/cache_dump.db;
memstatisticsfile/var/named/data/named_stats.txt;
allowquery{localhost;192.168.200.0/25;
192.168.200.128/25;};
};
2#systemctlrestartnamed.service
30
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
30
DNS Recursivo
31
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
31
Servidor DNS
DNS Recursivo no DNS Primrio:
Servidor: Audit
1#vim/etc/bind/named.conf.options
options{
directory"/var/cache/bind";
allowrecursion{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
allowquery{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
authnxdomainno;
listenonv6{any;};
};
2#/etc/init.d/bind9restart
32
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
32
DICA
Criao de ACL no BIND
O bind tem uma funcionalidade que a criao de acls, uma forma
de deixar seus arquivos de configurao mais limpos e organizados.
127.0.0.1;192.168.200.0/25;192.168.200.128/25;
};
allowrecursion{rede_dexter;};
allowquery{rede_dexter;};
33
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
33
Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?
34
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
34
Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?
Resposta: rndc reload
Os usurios de uma rede local se queixam de que a resoluo de nomes
no rpida o suficiente. Insira o comando, sem o caminho ou opo,
que mostra o tempo necessrio para resolver uma consulta DNS.
Resposta: dig
35
O comando dig traz entre outras informaes uma linha chamada Query
time, aqui encontramos a informao do tempo que foi necessrio para a
resoluo de nomes proposta.
35
Prximos Passos
Para que voc tenha um melhor aproveitamento do curso,
participes das seguintes atividades disponveis no Netclass:
Executar as tarefas do Practice Lab;
Resolver o Desafio Appliance Lab e postar o resultado no
Frum Temtico;
Responder as questes do Teste de Conhecimento sobre o
contedo visto em aula.
Mos obra!
36
36