Anteprima
Vedrai una selezione di 3 pagine su 8
Ricerca su DNS Pag. 1 Ricerca su DNS Pag. 2
Anteprima di 3 pagg. su 8.
Scarica il documento per vederlo tutto.
Scarica
Ricerca su DNS Pag. 6
1 su 8
D/illustrazione/soddisfatti o rimborsati
Disdici quando
vuoi
Acquista con carta
o PayPal
Scarica i documenti
tutte le volte che vuoi
Estratto del documento

Secondary name server

Serve:

  • Duplica una zona
  • Svolge le funzioni di backup name server
  • Aggiorna automaticamente i dati di zona
  • Si basa sul numero seriale

named.conf (parziale) per un server secondario:

zone "prova.it" {
  type slave;
  file "prova.it";
  masters {127.0.0.1;};
};

Name server "particolari":

  • Name server "lite"

Server DNS con un insieme ridotto di funzioni:

  • Solo resolver: tmdns
  • Proxy DNS: DNRD
  • DNS "dinamici":

Il termine DNS dinamico, o DDNS, indica un insieme di tecnologie che permettono di inserire automaticamente in una zona DNS gli indirizzi di calcolatori che ottengono un indirizzo non predefinito, tipicamente attraverso il protocollo DHCP o PPP. A questo scopo, sono definite query DNS di "UPDATE". In una rete locale, questa funzionalità può essere utilizzata direttamente dai client, è presente nei servizi Active Directory di windows, o può

essere configuratausando BIND e il server DHCP di Internet Systems Consortium (ISC). Il DDNS viene inoltreutilizzato da servizi commerciali per permettere agli utenti dial-up (modem, ADSL) di registrare unnome corrispondente all'indirizzo che viene loro assegnato di volta in volta dal loro provider. Inquesto modo, un host con indirizzo IP dinamico è sempre raggiungibile. Esistono client DDNS siasotto forma di applicazioni che all'interno di router destinati al mercato domestico.

Implementare un name server:

  • Linux --->BIND (Berkeley Internet Name Domain), D.J. Bernstein DNS, MaraDNS, PowerDNS
  • Windows--->Servizio DNS (Incluso in Windows Server)

Come fa windows a creare e risolvere i nomi dei PC sulla rete?

Quando è nato il protocollo di rete microsoft, TCP/IP era ancora poco diffuso, quindi tale protocollosostituiva TCP/IP. aveva anche un meccanismo di risoluzione dei nomi (usato ancora oggi): erapensato per il layer 2, e si usava direttamente un

Messaggio broadcast per scoprire i nomi del pc. Oggi si usa il broadcast livello 3. Non è comunque un modo furbo XD. La lista viene mantenuta da uno dei PC connessi in rete, anche non dedicato, scelto tramite elezione. Comunque ormai si utilizza il servizio DNS anche in ambito Windows e di solito si configurano 2 DNS per avere ridondanza.

Usi della porta TCP:

  • Comunicazione tra due DNS (per zone server)
  • Comunicazione con il client in caso di connessione non affidabile

Poi si usa UDP per avere latenza minima (con la three hand shake di TCP aumento di molto i tempi, inoltre devo chiudere la connessione, ecc...)

BIND è il server dns più diffuso. Progetto gestito da ISC (Internet Software Consortium) ne esistono diverse versioni (9.x, 8.x) ed è composto da più parti: un server DNS (named), una libreria (DNS resolver), alcuni tool per verificare il funzionamento del DNS. BIND si è rivelato fonte di diversi problemi di sicurezza, che sono stati tra i motivi che

Introduzione a BIND9

La versione aggiornata di BIND, chiamata BIND9, ha subito una completa riscrittura dell'architettura. Questa nuova versione è compatibile con le evoluzioni del protocollo DNS e include nuove funzionalità come estensioni per la sicurezza, compatibilità con IPv6 e supporto per i sistemi multiprocessore.

Pro

  • Grande diffusione: quasi la totalità dei server DNS utilizza BIND
  • Sistema "molto affidabile" e robusto

Contro

  • Considerazioni sulla sicurezza
  • Considerazioni sulle prestazioni: il programma è monolitico e ricco di funzionalità

Considerazioni sulla sicurezza

In origine, il processo named veniva eseguito con i privilegi di root, il che gli conferiva pieno accesso al file system e alle risorse del sistema. Di conseguenza, named è un bersaglio frequente di attacchi, in quanto fornisce molte informazioni utili. Per aumentare la sicurezza del sistema, è possibile eseguire named in modalità "chroot", limitando così il suo accesso alle risorse del sistema.

processo ha ancora i privilegi di root, ma "vede" solo una parte ridotta del file systemACL in BIND • Tipi di ACL (access control list) e può essere su ip, su nome ecc.., e i tipi di restrizioni possono essere del tipo allow-query, allow-tranfert ecc. Configurazione di base • Avvio di named/etc/rc.d/init.d/named start (mediante script)/usr/sbin/named (da eseguibile) • Configurazione di named/etc/named.conf options { directory "/var/named"; --------------------> directory delle zone // query-source port 53; }; zone "prova" { // definizione della zona "prova" }; Il formato del file di configurazione è cambiato da BIND4 a BIND8 Testare un name server Per testare il DNS c'è il comando nslookup presente su tutti gli host, oppure il comando host oppure dei siti dedicati come http://www.dnsstuff.com. cambiare server all'interno di nslookup: server Oss: anche il server nuovo non

configurato funge da resolver.whois --> servizio simile a dns ma per scoprire i proprietari del dominio

Esempio> server c.root-servers.net.

----------------------------------------------->imposta un server

Default Server: c.root-servers.net

Address: 192.33.4.12

> set q=ns

edu. -------------------------------------------------->chiede le informazioni sulla zona edu.

Resource Record

Ad un nome DNS possono corrispondere diversi tipi di informazioni. Per questo motivo, esistono diversi tipi di record DNS. Ogni voce del database DNS deve essere caratterizzata da un tipo. I principali tipi sono:

SOA (Start of Authority dello standard RR)

Definisce l'inizio dei dati di una zona (contiene alcune informazioni globali)

  • nome del DNS server primario
  • indirizzo di email del responsabile (si utilizza "." al posto di "@")
  • numero di versione del file dati (usato dai secondari) normalmente nel formato YYYYMMDD#

Esempio:@ IN SOA dns.prova.it. hostmaster.prova.it.

(200510011 ; Serial21600 ; Refresh - 6 ore1800 ; Retry - 30 min1209600 ; Expire - 2 sett3600); Minimum – 1 ora

NS (NAME SERVER)

Definisce il name server per un dominio: ad ogni dominio è possibile associare più name server.

Utilizzato per indicare quali siano i server DNS authoritative per un certo dominio, ovvero per delegarne la gestione.

Esempio:

IN NS dns.prova.it.

IN NS dns2.prova.it.

• “Delegare” un sottodominio: il dominio l3.prova.it viene “delegato”. Esempio:

l3 IN NS dns.l3.prova.it.

Altri RR

• MX : specifica dove inviare la posta di un dominio

• A : Indica la corrispondenza tra un nome ed uno (o più) indirizzi Ipv4 (per gli ipv6 c'è AAAA)

• PTR: Il DNS viene utilizzato anche per realizzare la risoluzione inversa, ovvero per far corrispondere ad un indirizzo IP il corrispondente nome di dominio.

• CNAME : Sono usati per creare un alias, ovvero per fare in modo che lo stesso host sia noto con più nomi.

Uno degli utilizzi di questo tipo di record consiste nell'attribuire ad un host che offre più servizi un nome per ciascun servizio. In questo modo, i servizi possono poi essere spostati su altri host senza dover riconfigurare i client, ma modificando solo il DNS.

Esempio:

<IN MX 10 mail.prova.it.
server IN A 192.168.4.1
www IN CNAME server>

I parametri temporali:

  • Validità in cache: Esito negativo definito da minimum (Da Bind 8.2 in poi) - Minimum - TTL delle risoluzioni errate (utile salvarsi anche gli errori così se richiedono, rimando l'errore)
  • Esito positivo definito da TTL o da $TTL (viene prima del record SOA) - TTL (Time To Live) - tempo per cui un resource record viene considerato valido una volta ottenuto da parte di un resolver. Inoltre alcuni client fanno anche da resolver (DNSClient - nome del servizio dns di Windows) per svuotare ipconfig \flush-dns
  • Parametri degli slave (Refresh, Retry, Expire)

Manutenzione di un DNS

server

  • Definire ACL (access control list) opportune
  • Backup delle zone
  • Aggiornare periodicamente la lista dei root server - si utilizza un tool specifico per questo compito (dig)Esempio: dig @e.root-servers.net . ns >root.hints.new
  • Aggiornare in modo coerente le proprie zone - definire la reverse zone - aggiornare in modo corretto i seriali
  • Verificare che il server DNS sia sempre in funzione - usare strumenti di monitoraggio per il test - Fault tolerant
  • Gestione automatica di un DNS server di backup - Modalità single-master e multi-slave - quando il DNS server primario di una zona non è in funzione, sono i server secondari a mantenere in funzione il servizio - ogni client andrebbe configurato con almeno due DNS server...
  • Il servizio DNS è il più critico di Internet, ma è anche estremamente affidabile! Ridondanza gestita a livello di servizio - Importanza di dns in ambito aziendale:
ambito aziendale si usano i dns server anche per risolvere i nomi all'interno della rete aziendale infatti ogni azienda ha una zona dns interna da amministrare. Perché utilizzarlo? - privacy (non è buono affidare dati a Google) - sicurezza (Google è abbastanza sicuro, ma non fidarsi è meglio) - è stupido configurare 50 postazioni per andare tutti sul server di Google, è meglio avere dei resolver interni in modo da ottimizzare la banda - permettere a chiunque di connettersi all'esterno è male. Inoltre perdo il controllo delle comunicazioni di rete. Posso controllare tutto dal dns resolver. Ci si collega all'esterno solo attraverso server di frontiera (DMZ). Nel caso del DNS è il resolver. Ogni azienda ha delle risoluzioni di nomi anche interne (posta elettronica interna, intranet aziendali, ecc) - Alcuni servizi basano il loro funzionamento sul servizio DNS Il DNS ha dei problemi di sicurezza: è un protocollo in chiaro senza meccanismo di

autenticità dei messaggi. Esiste lo standard DNSSec, ma non lo usa ancora nessuno

Terminologia

Il Namespace = spazio dei nomi e in questo caso è Case insensitive, ha un insieme di caratteri utilizzabili e una lunghezza massima.

Zona = parte di un "name space" dedicata ad un server (anche più di uno)

Dominio = parte di un "name space" che copre più zone

TLD (Top Level Domain) o "First Level Domains" = etichetta che identifica in maniera univoca il suffisso di un albero di nomi a dominio Internet, immediatamente sotto la root

ccTLD (country code TLD) = etichetta che identifica in maniera univoca il suffisso assegnato ad una Nazione in base alla codifica ISO-3166 nell'albero

Dettagli
Publisher
worms22
A.A. 2019-2020
8 pagine
SSD Ingegneria industriale e dell'informazione ING-INF/03 Telecomunicazioni
I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher worms22 di informazioni apprese con la frequenza delle lezioni di Reti di telecomunicazioni e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Brescia o del prof Mauro Andrea.