Apostila Servidor DNS PDF

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.
090-00
Curso 452
Linux Security
Servers in Cloud
Verso 2015_3.0
Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00
Servidor DNS
Fundamentao
Durante os anos 70, Arpanet era uma pequena comunidade de algumas centenas de
hosts. Um nico arquivo, HOSTS.TXT, continha toda a informao necessria sobre os
hosts. Este arquivo continha nome para enderear cada host conectado a ARPANET. O
arquivo era mantido pela Network Information Center (NIC) e distribuido por um nico
host, Stanford Research Institutes Network Information Center (SRI-NIC).
Os administradores da ARPANET enviavam ao NIC, por e-mail, quaisquer mudanas
que tivessem sido efeituadas e periodicamente SRI-NIC era atualizado, assim como o
arquivo HOSTS.TXT.
As mudanas eram compiladas em um novo HOSTS.TXT uma ou
duas vezes por semana. Com o crescimento da ARPANET, entretanto, este esquema
tornou-se invivel. O tamanho do arquivo HOST.TXT crescia na proporo em que
crescia o nmero de hosts. Alm disso, o trfego gerado com o processo de atualizao
crescia em propores ainda maiores uma vez que cada host que era includo no s
significava uma linha a mais no arquivo HOST.TXT, mas um outro host atualizando a
partir do SRI-NIC.
IT Experience
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
3
Objetivos da Aula
Aula 02 Servidor DNS (1/2)
Introduo a resoluo de nomes;
Executar diagnsticos utilizando servidor DNS externo;
Implementar na prtica um servidor de cache com bind9;
Implementar na prtica um servidor primrio com bind9;
Executar diagnsticos utilizando servidor DNS interno;
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
4
Objetivos da Aula
Aula 02 Servidor DNS (2/2)
Utilizar ferramenta de gerenciamento do named;
Implementar na prtica um servidor DNS reverso com bind9;
Implementar na prtica um servidor Secundrio com bind9;
Melhorar a segurana no servidor DNS.
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
5
Servidor DNS
DNS Domain Name System:
Responsvel pela resoluo de Nome para IP e de IP para Nome;
Criado e mantido pelo ISC (Internet System Consortium), mesmo grupo
que mantm DHCP e NTP;
Eles so divididos em "gTLD" (domnios genricos "com", "edu", "gov",
"mil", etc) e "ccTLD" (cdigos de pases ou "country-code", sempre com
duas letras);
A
ICANN
delega,
de
acordo
com
tratados
internacionais,
responsabilidade pela administrao de um "ccTLD";

No caso do Brasil, essa responsabilidade pertence atualmente ao
"CGI.br", mais especificamente ao "REGISTRO.br";
6
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
6
Servidor DNS
Dois servidores, o primrio e o secundrio, devem ter um mecanismo
configurado corretamente para que eles se mantenham sincronizados;
O DNS reverso deve estar configurado;
O servidor deve trabalhar de forma autoritativa, responsvel apenas
pelo domnio dexter.com.br;
Configurar o servidor primrio para notificar o secundrio quando
houver atualizao na zona;
Restringir acesso apenas para a rede interna realizar consulta
recursiva;
Restringir acesso apenas para o servidor secundrio realizar
transferncia de Zona.
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
7
Servidor DNS
http://root-servers.org/map/
Root Servers
.com
.net
.org
gTLD (Generic Top Level Domain)
.br
.uk
.pt
ccTLD (Country Code Top Level Domain)
.com
.org
http://registro.br/dominio/
dexter
www
8
Resoluo Recursiva
Tomando um navegador web como exemplo, a resoluo para acesso a um "website"
tem as seguintes etapas:
1.Usurio solicita acesso a "www.exemplo.com.br"
2.Navegador checa se j conhece o endereo IP do "hostname" solicitado (cache
do"browser");
3.Se no conhece, o navegador passa a solicitao para a biblioteca de resoluo - o
"resolver";
4.O "resolver" procura o "hostname" solicitado no arquivo "/etc/hosts" local;
5.Se no encontrar, ele checa o arquivo "/etc/resolv.conf" para saber a quais "nameservers" deve solicitar a informao;
6.O "resolver" repassa a solicitao ao primeiro "nameserver" da lista, e logo aps para
o prximo at o fim da lista, aguardando por uma resposta de qualquer um deles;
7.O servidor de nomes acionado consulta seu "cache", se houver;
8.Se no encontrar em seu "cache", o servidor em questo vai diretamente ao servidor
raiz e transfere a consulta - www.exemplo.com.br;
9.O servidor raiz no faz "cache", e tambm no autoridade sobre zonas de baixo
nvel, ento ele apenas responde uma parte da questo: "No sei quem , mas sei
quem pode responder melhor: br.";
Servidor DNS
4. Indica o TLD
responsvel
Root
Servers
5. Indica o SOA
Responsvel
TLD
(.com)
1. Quem
Google.com ?
6. Responde com
o IP do
www.google.com
DNS Primrio
DNS
Autoridade
google.com
2. Tem no Cache?
3. Pergunta Root
Servers
Resoluo Recursiva
10.O servidor de nomes reenvia a consulta para o servidor ".br-www.exemplo.com.br;
11.".br" retorna o mesmo tipo de resposta, porm como uma dica mais prxima: "No
sei quem , mas sei quem pode responder melhor: com.br.";
12.Passos 10 e 11 so efetuados mais uma vez, e agora a resposta "No sei quem
, mas sei quem pode responder melhor: exemplo.com.br.";
13.Aps repetir o passo 10, finalmente a resposta ser da autoridade sobre o
domnio exemplo.com.br. Vai ser respondido o IP, juntamente ao TTL do registro, ou
ser respondido "inexistente";
14.O servidor de nomes far "cache" da resposta, ao mesmo tempo que a repassa
para o resolvedor original;
15.O resolvedor repassa a resposta para o navegador;
16.O navegador inicia uma conexo "HTTP" com o IP descoberto.
Servidor DNS
Tipos de DNS:
DNS AUTORITATIVO O servidor autoritativo de um domnio
possui os registros originais que associam aquele domnio a seu
endereo de IP. Tem sua responsabilidade na humanidade;
DNS DE CACHE Um cache DNS guarda localmente os resultados

dessa pesquisa para utilizao futura, evitando a repetio de
pesquisas e aumentando drasticamente a velocidade de resposta.
10
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
10
Servidor DNS
Tipos de Registros do DNS:
SOA
Start Of Authotity - Indica onde comea a autoridade da zona;
NS
Name Server - Indica um servidor de nomes para a zona;
Address - Mapeamento de nome a endereo (IPv4);
AAAA Address - Mapeamento de nome a endereo (IPv6);

MX
Mail eXchanger - Indica um servidor de email;
CNAME Canonical Name (Alias) - Mapeia um nome alternativo (Alias)

PTR
Pointer Record (IP reverso);
TXT
Text Permite incluir uma entrada de texto curto. Mais usado
para SPF.
11
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
11
Servidor DNS
Servidor: Audit
Exemplos de Consultas DNS:

Quem o servidor de e-mail do google?
host -t mx google.com
Qual o endereo do servidor webmail.4linux.com.br?
host -t A webmail.4linux.com.br
Quais so os servidores DNS da 4linux?
host -t NS 4linux.com.br
Fazendo uma pesquisa por um DNS em especfico:
dig @8.8.8.8 -t NS 4linux.com.br
12
Comando host
O comando "host" concebido para dar respostas objetivas, limitando-se
na maioria dos casos a uma s linha. Repostas detalhadas podem ser
obtidas com a utilizao de parmetros. Ao contrrio do "dig", o "host"
consulta a "search list" do arquivo "/etc/resolv.conf".
Comando dig
O comando "dig" o acrnimo para "Domain Information Groper", que
significa algo como "aquele que busca por informaes de domnio no
escuro", e ao mesmo tempo, a palavra "dig" em ingls significa literalmente
"escavar".
O "dig" no utiliza a opo "search" do "/etc/resolv.conf", por isso
necessrio utilizar "FQDN" em todas as buscas.
12
Servidor DNS
Servidor: Audit
Servidor DNS:
1#aptgetinstallbind9
5#cd/etc/bind/
netstatnlup|grep53
2#vim/etc/resolv.conf
6#ls
7#catdb.root
8#catnamed.conf.defaultzones
nameserver127.0.0.1
9#catnamed.conf.options
nameserver192.168.200.130
3#hostgoogle.com
4#aptgetupdate
ATENO: Por padro, o bind9 no traz o pacote dns-utils instalado,

responsvel pelos utilitrios de consulta DNS dig e host.
13
DNS com BIND (Berkeley Internet Name Domain)

O BIND o servidor de nomes utilizado na grande maioria dos servidores
da Internet, provendo uma estvel e robusta arquitetura sobre a qual as
organizaes podem construir sua estrutura de nomes.
O principal arquivo do BIND o arquivo "/etc/bind/named.conf". Esse
arquivo
utiliza
opo
include
para
anexar
os
arquivos
"/etc/bind/named.conf.options" e "/etc/bind/named.conf.local". Sendo

que o primeiro usado para personalizar as opes referentes ao
funcionamento do prprio "BIND", enquanto o segundo serve para declarar
as zonas pelas quais este servidor deve responder.
Completando o time temos o arquivo "db.root" (no RedHat localizado em
"/var/named/named.a") Este arquivo relaciona os endereos dos 13
servidores raiz e lido como uma zona do tipo hint conceito a ser estudado
em aula.
13
Servidor DNS
Criao do arquivo de Zonas:
Servidor: Audit
1#vimnamed.conf.local
zone"dexter.com.br"{
typemaster;
file"db.dexter";
};
Verifique se as configuraes foram realizadas com sucesso:

2#namedcheckconf
Entre dentro do diretrio /var/cache/bind e copie o arquivo de registro:

3#cd/var/cache/bind
4#cp/root/dns/db.dexter/var/cache/bind/
5#vimdb.dexter
14
O "BIND" pode operar de acordo com 6 tipos de zonas:

MASTER Zona de autoridade sobre o domnio. Os dados da "zona"
sero criados, publicados e administrados a partir deste ponto.
SLAVE Basicamente uma cpia da zona original, nenhuma criao ou
alterao respectiva a essa "zona" ser feita diretamente neste DNS.
STUB Tipo de "zona" similar a Slave no previsto em nenhuma "RFC"
foi implementado apenas no "BIND".
HINT Especfica para o "BIND" onde ele deve comear uma busca
recursiva quando estiver operando como "cache".
FORWARD Serve para orientar o "BIND"a encaminhar a consulta sobre
uma determinada "zona"para outro servidor em especial.
DELEGATION-ONLY
Utilizada
para
autoridades sobre domnios de primeiro.

14
evitar
abusos
de
algumas
Servidor DNS
Servidor: Audit
$TTL86400;TempoemSegqueoCachepermanecenosDNSdoMundo
@INSOAns1.dexter.com.br.root.dexter.com.br.(
2015030301;serial
8h;refresh
1h;retry
3d;expire
3h);negativecachingttl
@INNSns1.dexter.com.br.
ns1INA192.168.200.30
@INA192.168.200.30
auditINA192.168.200.30
wwwINA192.168.200.130
15
Informaes encontradas em um Registro de Zona

Dono o nome do registro. Quando substitudo pelo smbolo "@", o
dono o prprio domnio. Caso o dono fique em branco, o "BIND"assume o
nome do registro imediatamente superior;
TTL Um valor, em segundos, para a permanncia dos dados deste
registro no "cache"de um servidor. Raramente utilizado. classe - Podem ser
"CH" (Chaos), "HS" (Hesiod) ou "IN" (Internet).
Tipo No momento existem mais de 30 tipos de registro, dentre os quais
veremos "SOA", "NS", "MX", "A", "CNAME", "TXT" e "PTR".
Serial a referncia para os "slaves" saberem se a "zona" sofreu
alteraes;
15
Servidor DNS
Servidor: Audit
intranetINA192.168.200.130
bkpreportINCNAMEintranet
backupINCNAMEintranet
webmailINCNAMEintranet
sargINCNAMEintranet
ftpINCNAMEintranet
@INMX10mail.dexter.com.br.
mailINA192.168.200.131
smtpINCNAMEmail
popINCNAMEmail
imapINCNAMEmail
ldapINCNAMEmail
;ConfiguraodoDNSsecundrio
;@INNSns2.dexter.com.br.
;ns2INA192.168.200.130
16
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
16
Servidor DNS
Servidor: Audit
1#namedcheckzonedexter.com.br/var/cache/bind/db.dexter
2#tailf/var/log/daemon.log>/dev/tty2&
3#/etc/init.d/bind9stop
4#/etc/init.d/bind9start
5#digtsoadexter.com.br
6#hostdexter.com.br
7#hostintranet.dexter.com.br
17
Informaes encontradas em um Registro de Zona

Refresh Tempo que o servidor secundrio vai aguardar at checar se h
atualizaes no servidor primrio;
Retry Em caso de falha do "refresh", o tempo at a prxima verificao;
Expire O tempo que o secundrio aguardar o primrio voltar, se
esgotar, o secundrio para de responder por essa zona;
Negative caching TTL Se a zona expirar, esse ser o tempo pelo qual
um servidor "cache" armazenar a informao "NXDOMAIN" antes de
iniciar uma nova busca recursiva. O mximo so 3 horas.
17
Servidor DNS
Servidor: Audit
Explorando a ferramenta RNDC:

1#rndcstatus
2#rndcreload
3#hostuol.com.br
4#rndcdumpdbcache
5#cat/var/cache/bind/named_dump.db
6#grepuol/var/cache/bind/named_dump.db
7#rndcflush
8#rndcdumpdbcache
9#grepuol/var/cache/bind/named_dump.db
18
Utilitrio RNDC
O comando rndc (Remote Named Daemon Control) uma ferramenta de
gerenciamento do named.
A vantagem dessa ferramenta que ela permite controlar o named muito
facilmente sem ter que ficar enviando sinais ao processo do mesmo.
18
Transferncia de Zona
Servidor: Audit
Transferncia de Zona consiste no Servidor DNS;

Primrio passar toda a configurao de uma determinada Zona;
Pensando em Segurana, essa ao sempre deve ser restrita
apenas a servidores DNS autorizados a receber as suas
configuraes;
muito comum SysAdmins deixarem a Transferncia de Zona
aberta no Servidor causando uma brecha de segurana:
1#digdexter.com.braxfr
19
Canivete suo da resoluo de Nomes

No "dig" h dezenas de opes e incontveis combinaes entre elas, como o
formato acima onde atravs do dig fizemos uma consulta de zona utilizando
mecanismo AXFR ( Protocolo para a replicao de dados entre servidores DNS ).
Para entender bem o dig consultar o "man" e ter um forte domnio do funcionamento
do sistema de nomes so itens necessrios!
19
Transferncia de Zona
Protegendo seu DNS
Servidor: Audit
1#vim/etc/bind/named.conf.local
typemaster;
file"db.dexter";
allowtransfer{192.168.200.130;};
notifyyes;
alsonotify{192.168.200.130;};
};
2#/etc/init.d/bind9restart
3#digdexter.com.braxfr
allow-transfer
Restringir a
transferncia de zona
apenas para
Servidores
Autorizados;
As opes notify e
also-notify
determinam se o
servidor primrio
notifica servidores
secundrios quando a
informao de zona
for atualizada.
20
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
20
Servidor DNS
DNS Reverso:
Servidor: Audit
DNS reverso um recurso que permite que outros servidores verifiquem a

autenticidade do seu servidor. Para isso, ele checa se o endereo IP atual
bate com o endereo IP informado pelo servidor DNS:
1#hostmail.dexter.com.br
2#host192.168.200.131
3#vim/etc/bind/named.conf.local
zone"200.168.192.inaddr.arpa"{ Adicione abaixo da Zona J exitente.
typemaster;
file"rev.dexter";
allowtransfer{192.168.200.130;};
notifyyes;
alsonotify{192.168.200.130;};
};
21
Configurando o DNS reverso

DNS reverso um recurso que permite que outros servidores verifiquem a
autenticidade do seu servidor. Para isso, ele checa se o endereo IP atual
bate com o endereo IP informado pelo servidor DNS.
Os servidores de e-mail iro recusar seus e-mails ou classific-los como
spam caso o DNS reverso no esteja configurado.
21
Servidor DNS
DNS Reverso:
1#cp/root/dns/rev.dexter/var/cache/bind/
2#vim/var/cache/bind/rev.dexter
$TTL86400
@
IN
SOA
ns1.dexter.com.br.
root.dexter.com.br.(
2015010101;serial
8h;refresh
1h;retry
3d;expire
3d);negativecachettl
@
ns1
131
IN
NS
IN
IN
ns1.dexter.com.br.
A
192.168.200.30
PTR
mail.dexter.com.br.
22
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
22
Servidor DNS
Servidor: Audit
Checando o DNS Reverso:

2#hostmail.dexter.com.br
mail.dexter.com.brhasaddress192.168.200.131
3#host192.168.200.131
131.200.168.192.inaddr.arpadomainnamepointer
mail.dexter.com.br.200.168.192.inaddr.arpa.
23
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
23
Servidor DNS
DNS Secundrio:
Servidor: WebServerInterno
Os servidores DNS Secundrios ajudam a fornecer equilbrio de

carga e tolerncia a falhas. Os servidores DNS secundrios
mantm uma cpia somente leitura dos dados da zona
transferidos periodicamente do servidor DNS Primrio:
1#yuminstallbindbindutils
2#vim/etc/named.conf
include/etc/named.conf.local; Adicionar no final do Arquivo
3#vim/etc/resolv.conf
nameserver127.0.0.1
nameserver192.168.200.30
4#systemctlenablenamed.service
24
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
24
Servidor DNS
DNS Secundrio:
Servidor: WebServerInterno
1#vim/etc/named.conf.local
typeslave;
masters{192.168.200.30;};
file"/var/named/slaves/db.slave.dexter";
};
zone"200.168.192.inaddr.arpa"{
typeslave;
masters{192.168.200.30;};
file"/var/named/slaves/rev.slave.dexter";
};
2#systemctlrestartnamed.service
3#ls/var/named/slaves/
Hmm algum problema

25
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
25
Servidor DNS
Servidor: Security Cloud
Mascaramento no Firewall:
Os servidores DNS no esto conseguindo se comunicar, pois os
pacotes esto sendo mascarados pelo firewall ou seja, quando o
pacote est indo com destino a Lan interna, o mesmo mascarado
e se perde, no chegando ao destino correto.
Devemos trabalhar com excees, onde o pacote somente ser
mascarado se o destino for a internet e no as Lans internas.
26
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
26
Servidor DNS
Servidor: Security Cloud
Mascaramento no Firewall:
Abra o arquivo de configurao do firewall e edite as regras de
mascaramento de ip:
1#vim+55/root/firewall/rules
55iptablestnatAPOSTROUTINGs$LAN1!d$LAN2j
MASQUERADE
Tudo que sair da Lan 192.168.200.0/25 ser mascarado EXCETO se for com destino a Subnet2
56iptablestnatAPOSTROUTINGs$LAN2!d$LAN1j
MASQUERADE
Tudo que sair da Lan 192.168.200.128/25 ser mascarado EXCETO se for com destino a Subnet1
2#servicefirewallrestart
27
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
27
Laboratrio Dexter
Servidor: Webserver Interno
Validando a transferncia de Zona

No servidor Webserver Interno, restarte o bind e verifique se a
transferncia de zona consegue ser realizada com sucesso:
2#ls/var/named/slaves/
Transferncia de zona realizada com sucesso!
28
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
28
Laboratrio Dexter
Servidor: Audit
Validando os Servidores DNS:

Validando o DNS MASTER:
1#dig@192.168.200.30google.com.br
Validando o DNS SLAVE:

2#dig@192.168.200.130google.com.br
Alguma coisa de errado no arquivo de conf. do servidor DNS Slave.

Encontre qual o problema e resolva.
29
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
29
Servidor DNS
Servidor: Webserver Interno
Resolvendo o problema no DNS Slave:

1#vim/etc/named.conf
options{
listenonport53{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
listenonv6port53{::1;};
directory"/var/named";
dumpfile/var/named/data/cache_dump.db;
memstatisticsfile/var/named/data/named_stats.txt;
allowquery{localhost;192.168.200.0/25;
192.168.200.128/25;};
};
30
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
30
DNS Recursivo
DNS Recursivo a funcionalidade que o DNS possui por padro

de realizar consultas para todos os domnios mesmo que ele no
seja o servidor autoritativo daquele domnio;
Para evitar abuso em servidores DNS que ficam disponveis na
internet, importante limitar a recursividade apenas para redes
autorizadas;
1#host8.8.8.8
2#dig@8.8.8.8tauol.com.br
3#hostns1.google.com
4#dig@216.239.32.10tauol.com.br
31
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
31
Servidor DNS
DNS Recursivo no DNS Primrio:
Servidor: Audit
1#vim/etc/bind/named.conf.options
options{
directory"/var/cache/bind";
allowrecursion{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
allowquery{127.0.0.1;192.168.200.0/25;
192.168.200.128/25;};
authnxdomainno;
listenonv6{any;};
};
32
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
32
DICA
Criao de ACL no BIND
O bind tem uma funcionalidade que a criao de acls, uma forma
de deixar seus arquivos de configurao mais limpos e organizados.
Exemplo de Criao de ACL

aclrede_dexter{
127.0.0.1;192.168.200.0/25;192.168.200.128/25;
};
allowrecursion{rede_dexter;};
allowquery{rede_dexter;};
33
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
33
Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?
Os usurios de uma rede local se queixam de que a resoluo de nomes

no rpida o suficiente. Insira o comando, sem o caminho ou opo,
que mostra o tempo necessrio para resolver uma consulta DNS.
34
Anotaes:
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
_________________________________________________
34
Pergunta LPI
Usando apenas comandos presentes no named, qual o comando, com
opes ou parmetros para fazer com que o named releia os arquivos
de zona?
Resposta: rndc reload
Os usurios de uma rede local se queixam de que a resoluo de nomes
no rpida o suficiente. Insira o comando, sem o caminho ou opo,
que mostra o tempo necessrio para resolver uma consulta DNS.
Resposta: dig
35
REPOSTA CORRETA: rndc reload
Ao efetuar alteraes em arquivos de zona utilizamos o comando rndc para

forar a releitura do arquivo de zona acelerando o processo de difuso da
informao alterada no daemon do DNS.
_______________________________________________________________________________________________________________________________________
REPOSTA CORRETA: dig
O comando dig traz entre outras informaes uma linha chamada Query
time, aqui encontramos a informao do tempo que foi necessrio para a
resoluo de nomes proposta.
35
Prximos Passos
Para que voc tenha um melhor aproveitamento do curso,
participes das seguintes atividades disponveis no Netclass:
Executar as tarefas do Practice Lab;
Resolver o Desafio Appliance Lab e postar o resultado no
Frum Temtico;
Responder as questes do Teste de Conhecimento sobre o
contedo visto em aula.
Mos obra!
36
36

Apostila Servidor DNS PDF

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Servidor DNS PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

responsabilidade pela administrao de um "ccTLD";

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

gTLD (Generic Top Level Domain)

ccTLD (Country Code Top Level Domain)

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

DNS DE CACHE Um cache DNS guarda localmente os resultados

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Start Of Authotity - Indica onde comea a autoridade da zona;

Name Server - Indica um servidor de nomes para a zona;

Address - Mapeamento de nome a endereo (IPv4);

AAAA Address - Mapeamento de nome a endereo (IPv6);

Mail eXchanger - Indica um servidor de email;

CNAME Canonical Name (Alias) - Mapeia um nome alternativo (Alias)

Pointer Record (IP reverso);

Text Permite incluir uma entrada de texto curto. Mais usado

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Exemplos de Consultas DNS:

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

ATENO: Por padro, o bind9 no traz o pacote dns-utils instalado,

DNS com BIND (Berkeley Internet Name Domain)

"/etc/bind/named.conf.options" e "/etc/bind/named.conf.local". Sendo

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Verifique se as configuraes foram realizadas com sucesso:

Entre dentro do diretrio /var/cache/bind e copie o arquivo de registro:

O "BIND" pode operar de acordo com 6 tipos de zonas:

autoridades sobre domnios de primeiro.

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Informaes encontradas em um Registro de Zona

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Informaes encontradas em um Registro de Zona

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Explorando a ferramenta RNDC:

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Transferncia de Zona consiste no Servidor DNS;

Canivete suo da resoluo de Nomes

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

DNS reverso um recurso que permite que outros servidores verifiquem a

zone"200.168.192.inaddr.arpa"{ Adicione abaixo da Zona J exitente.

Configurando o DNS reverso

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Checando o DNS Reverso:

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Os servidores DNS Secundrios ajudam a fornecer equilbrio de

include/etc/named.conf.local; Adicionar no final do Arquivo

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Hmm algum problema

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Fabian Vitali Da Silva / fabianvitali@gmail.com / 55-34312743 / 006.222.090-00

Validando a transferncia de Zona

Transferncia de zona realizada com sucesso!