DNS

DNS

Annotations:

https://thetechreader.com/files/2016/12/how-the-dns-system-works.png

BIND
1. centos
  Annotations:
  - Distribuições baseadas em RedHat seguem o padrão do BIND
  1. bind-utils
    1. /etc/named.conf
      Annotations:
      - Principal arquivo de configuração /etc/named.conf
    2. Configuração de zonas
      1. /var/named/
        Annotations:
        [root@instance-rh named]# ll total 16 drwxrwx---. 2 named named 6 Jan 3 11:57 data drwxrwx---. 2 named named 6 Jan 3 11:57 dynamic -rw-r-----. 1 root named 2281 May 22 2017 named.ca -rw-r-----. 1 root named 152 Dec 15 2009 named.empty -rw-r-----. 1 root named 152 Jun 21 2007 named.localhost -rw-r-----. 1 root named 168 Dec 15 2009 named.loopback drwxrwx---. 2 named named 6 Jan 3 11:57 slaves
        Diretório que armazena os arquivos de zona e outros registros
        named.ca
        Annotations:
        Arquivo que contêm os names severs. Root Severs
        logging
        Annotations:
        logging { channel default_debug { file "data/named.run"; severity dynamic; }; channel luiz { file "data/curso.log"; severity dynamic; }; category queries{ luiz; };
        severity
        Annotations:
        http://www.zytrax.com/books/dns/ch7/logging.html
        channel
        Annotations:
        Define o local em que o log será registrado e qual nível/severidade será adotado
        category
        Annotations:
        Define o que será logado, indicando-se também o canal (channel) que será utilizado.
        null
        Annotations:
        To turn off logging certain types of data, send it to the null channel. logging { category lame-servers { null; }; category cname { null; }; };
    3. systemctl status named
2. debian
  Annotations:
  - Distribuições baseadas em Debian armazenam os arquivos de configuração no diretório /etc/bind.
  1. bind9
    1. /etc/bind/
      Annotations:
      - Principal arquivo de configuração /etc/named.conf.
    2. Configuração de zonas
      1. /etc/bind/
        Annotations:
        root@instance-debian:/etc/bind# ls -la total 60 drwxr-sr-x 2 root bind 4096 Apr 23 21:42 . drwxr-xr-x 90 root root 4096 Apr 23 22:19 .. -rw-r--r-- 1 root root 3923 Jan 15 2018 bind.keys -rw-r--r-- 1 root root 237 Jan 15 2018 db.0 -rw-r--r-- 1 root root 271 Jan 15 2018 db.127 -rw-r--r-- 1 root root 237 Jan 15 2018 db.255 -rw-r--r-- 1 root root 353 Jan 15 2018 db.empty -rw-r--r-- 1 root root 270 Jan 15 2018 db.local -rw-r--r-- 1 root root 3171 Jan 15 2018 db.root -rw-r--r-- 1 root bind 463 Jan 15 2018 named.conf -rw-r--r-- 1 root bind 490 Jan 15 2018 named.conf.default-zones -rw-r--r-- 1 root bind 165 Jan 15 2018 named.conf.local -rw-r--r-- 1 root bind 890 Apr 23 21:42 named.conf.options -rw-r----- 1 bind bind 77 Apr 23 21:42 rndc.key -rw-r--r-- 1 root root 1317 Jan 15 2018 zones.rfc1918
        /etc/bind/db.root
        Annotations:
        Arquivo que contêm os names severs. Root Severs
        /etc/bind/named.conf
    3. systemctl status bind9
3. Principais comandos
  1. host
    Annotations:
    - Faz consultas DNS. Formas de uso:
    1. #host -t NS
    2. # host -l zonetransfer.me ns16.zoneedit.com
  2. dig
    Annotations:
    - Faz consultas DNS mais elaboradas. Formas de uso: dig - DNS lookup utility
    1. # dig -t NS globo.com.br
    2. # dig -t MX globo.com.br
    3. #dig bird.exemple.com A
    4. # dig @cat.exemple.com bird.exemple.com A
    5. #dig 4.240.123.224.in-addr.arpa PTR
  3. # rndc
    Annotations:
    - The rndc (Remote name daemon control) program can be used to control the named name server daemon, locally as well as remotely.
    1. rndc reload
      Annotations:
      - Reload configuration file and zones.
    2. rndc flush
      Annotations:
      - Flushes all of the server's caches.
    3. rndc refresh zone
      Annotations:
      - [class [view]] Schedule immediate maintenance for a zone.
    4. rndc reconfig
      Annotations:
      - reconfig Reload configuration file and new zones only.
    5. rndc-confgen
      Annotations:
      - The command create a key for rndc.key case none is available on the system # Start of rndc.conf key "rndc-key" { algorithm hmac-md5; secret "bg7aN2dE7J4rrrDde3f5rw=="; }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf # Use with the following in named.conf, adjusting the allow list as needed: # key "rndc-key" { # algorithm hmac-md5; # secret "bg7aN2dE7J4rrrDde3f5rw=="; # }; # # controls { # inet 127.0.0.1 port 953 # allow { 127.0.0.1; } keys { "rndc-key"; }; # }; # End of named.conf
    6. rndc status
      Annotations:
      - Display status of the server.
  4. #named
    1. named-checkconf
      Annotations:
      - Valida a sintaxe das configurações do /etc/named.conf #named-checkconf /etc/bind/named.conf
    2. named-checkzone [dominio] [arquivo ]
      1. # named-checkzone test.com /var/named/test.com.zone
    3. systemctl <start|stop|restart|reload|force-reload> named
    4. named-compilezone
    5. named-journalprint journal
  5. dnswalk
    1. #dnswalk globo.com.br.
4. Componentes
  1. /usr/sbin/named
  2. /usr/sbin/rndc
  3. /usr/sbin/named-checkconf
  4. named.conf
  5. /var/named
5. Finalizar o serviço
  1. systemctl stop bind9
  2. rndc stop
  3. kill -SIGHUP PID
  4. kill -1 PID
  5. /etc/init.d/named <stop|start|status>
  6. service bind9 <start|stop|reload>
  7. kill -9|15<SIGKILL| SIGTERM>
6. named.conf
  1. directory
    Annotations:
    - specifies the working directory for the name daemon. A common value is /var/named. also, zone files without a directory part are looked up in this directory.
  2. forwarders
    Annotations:
    - The forwarders statement contains one or more IP address of name servers to query. How these IP addresses are used is specified by the forwarders.
  3. forward
    Annotations:
    - The forward works when forwarders are specified.
    1. forward only;
      Annotations:
      - The queries are limited only to the specified name-server IP address.
    2. forward first;
      Annotations:
      - The query is sent first to the specified name-server IP address and if this fails it should perform lookups elsewhere.
  4. Comments
    Annotations:
    - Legitimate clauses
  5. options
    Annotations:
    - Legitimate clauses
  6. include
    Annotations:
    - Legitimate clauses
  7. logging
    Annotations:
    - Legitimate clauses
caching server
Annotations:
- zone "." IN { type hint; file "named.ca"; };
Conceitos e Termos Importantes
1. NS (Name Server)
  Annotations:
  - Armazena informações sobre uma parte do Domain Name Space, também chamado de zona. https://upload.wikimedia.org/wikipedia/commons/f/f2/Structure_DNS.jpg
  1. Tipos de NS
    1. Primary (Master)
      Annotations:
      - Servidor que possui autoridade sobre o domínio, definindo todas as informações sobre esta zona de DNS. No registro de um domínio, sempre deve haver ao menos um dos NS como master
    2. Secondary (Slave)
      Annotations:
      - O NS Slave transfere para si as informações definidas para um domínio a partir de um NS Master. Dessa forma as informações também ficam armazenadas no servidor e assim também possui autoridade sobre o domínio.
      1. db.exemple.com
        Annotations:
        the db.exemple.com is created by the slave name server itself. The slave has no data for exemple.com. Instead, a slave receive its data from a master name server and store it in the specified file.
    3. Caching
      Annotations:
      - O Servidor do tipo caching é capaz de fazer pesquisas recursivas para fazer a resolução DNS e armazena esse resultado em cache. zone "." IN { type hint; file "named.ca";};
    4. Forwarding
      Annotations:
      - Nesse caso o NS encaminha (delega) as pesquisas para outo servidor. Após receber a resposta o resultado também é armazenado em cache.
      - No /etc/named.conf: Para redirecionar para outro servidor DNS todas as consultas recursivas, deve ser incluída a seguinte configuração na seção “options”: • forwarders { IP1; IP2; }; Para que o servidor encaminhe tanto as pesquisas recursivas quanto as pesquisas internas a outro servidor, deve ser incluída a configuração: • forward only;
      - zone “dominioexemplo.com.br” IN { type forward; forwarders { IP1; IP2; }; };
2. Root Domain
  Annotations:
  - Referente ao domínio/zona raiz do DNS, representando pelo . (ponto). Os NSs responsáveis pelo Root Domain são chamados de Root Servers.
3. TLD – Top Level Domains
  Annotations:
  - Domínios imediatamente abaixo da raiz (.), por exemplo .com, .br, .net , .org e etc
4. Programas
  1. DNS Resolver
    Annotations:
    - ◦ Software ou biblioteca responsável por fazer a consulta de DNS ◦ Utilizado no sistema local (DNS Client) e também é parte do DNS Server ◦ Pode armazenar os resultados em cache
  2. BIND
    Annotations:
    - (Berkeley Internet Domain Server) ◦ Open Source DNS Server ◦ Implementa o protocolo DNS ◦ Implementação de DNS Server mais utilizada
    1. Alternativas ao BIND
      Annotations:
      - ◦ djbdns - Implementação DNS criada por Daniel J. Bernstein ◦ dnsmasq – Combinação leve de um DNS Caching com DHCP ◦ PowerDNS – Implementação DNS de grande porte. “Concorrente” do BIND
      1. djbdns
      2. dnsmasq
        Annotations:
        dnsmasq is booth a lightweitgh dns forwarder and dhcp server. Dnsmasq supports static and dynamic DHCP leases and supports BOOT/TFTP/PXE network boot protocols.
      3. PowerDNS
        pacote
        pdns
        powerdns-server
        pdns-server
      4. Bundy
        Annotations:
        BUNDY - authoritative DNS Server. the BUNDY project is currently in hibernation status. BUNDY provides an authoritative DNS server
5. Combinations minimum two servers
  1. Primary and secondary
  2. Primary and forwarding
  3. Primary and caching
Criar e Manter Zonas de DNS
1. Domínio do Tipo Master
  Annotations:
  - No /etc/named.conf: zone "dominioexemplo.com.br" IN { type master; file "dominioexemplo.zone"; };
2. /var/named/dominioexemplo.zone)
  Annotations:
  - $TTL 3h @ IN SOA servidor.dominioexemplo.com.br. admin.dominioexemplo.com.br. ( 2018032801 ; serial. Número utilizado para indicar mudanças na zona 28800 ; refresh. Após quanto tempo o NS slave deve verificar novamente por atualizações 7200 ; retry. Em caso de falha no refresh, após quanto tempo deve haver uma retentativa 2419200 ; expire. Validade das informações. Após quanto tempo as informações não atualizadas do slave deixarão de ser válidas 150 ; negative caching. Por quanto tempo uma resposta negativa fica em cache ) NS servidor ; name server MX 5 mailserver ; mail exchange servidor A 192.168.1.5 ; glue record mailserver A 192.168.1.10 www CNAME servidor mail CNAME mailserver
  1. Concetos
    Annotations:
    - $TTL – Tempo de vida dos dados no cache de quem obter as informações • @ indica o nome do domínio indicado no named.conf • No registro SOA (Start of Authority), o primeiro endereço refere-se ao NS e o segundo ao email do administrador • O . sempre deve ser utilizado no final da referência ao FQDN (Fully Qualified Domain Name, ou endereço completo). Na falta do . , o BIND inclui o domínio automaticamente • Os números indicam tempos em segundos, mas também podem ser utilizados h (horas), d (dias) ou w (semanas). • Glue Record é um registro do tipo A que relaciona o nome do NS do domínio ao seu endereço IP
    1. serial.
      Annotations:
      - Número utilizado para indicar mudanças na zona
    2. refresh.
      Annotations:
      - Após quanto tempo o NS slave deve verificar novamente por atualizações
    3. retry.
      Annotations:
      - Em caso de falha no refresh, após quanto tempo deve haver uma retentativa
    4. expire.
      Annotations:
      - Validade das informações. Após quanto tempo as informações não atualizadas do slave deixarão de ser válidas
    5. negative caching.
      Annotations:
      - Por quanto tempo uma resposta negativa fica em cache
    6. @
      Annotations:
      - indica o nome do domínio indicado no named.conf No registro SOA (Start of Authority), o primeiro endereço refere-se ao NS e o segundo ao e- mail do administrador
    7. $TTL
      Annotations:
      - Tempo de vida dos dados no cache de quem obter as informações
    8. TXT
      Annotations:
      - Texto
    9. SOA
      Annotations:
      - Start of Authority A zone database has resource records of various types. One such record identifies the authority zone's start and includes zone's authoritative data.
    10. NS
      Annotations:
      - Name Server
    11. MX
      Annotations:
      - Mail Exchange (Servidor de E-mail). É acompanhado de um número em que quanto menor o valor, maior a prioridade entre os servidores de e-mail.
    12. PTR
      Annotations:
      - DNS Reverso
    13. A
      Annotations:
      - The A record is address record.It connects an ip address to a hostname. IPV4
    14. AAAA
      Annotations:
      - IPV6
    15. CNAME
    16. CLASS value
      1. IN
        Annotations:
        the Internet
      2. CH
        Annotations:
        the CHAOS class
      3. HS
        Annotations:
        Hesiod [Dyer 87]
      4. CS
        Annotations:
        the CSNET class (Obsolete - used only for examples in some obsolete RFCs)
3. Principais Tipos de Registros:
  Annotations:
  - A : Endereço IPv4 • AAAA : Endereço IPv6 • CNAME : Canonical Name (apelido) • TXT : Texto • SOA : Start of Authority • NS : Name Server • MX : Mail Exchange (Servidor de E-mail). É acompanhado de um número em que quanto menor o valor, maior a prioridade entre os servidores de e-mail. • PTR : DNS Reverso
4. DNS Reverso
  Annotations:
  - Possibilita a descoberta de um nome de DNS a partir de um endereço IP. Each IP has a reverse zone, that consist of part of the IP numbers in reverse order, plus in-addr.arpa. This system is among other things used to check whether a host name belongs to a specific address.
  1. Configuração no /etc/named.conf:
    Annotations:
    - zone "1.168.192.in-addr.arpa" IN { type master; file "1.168.192.in-addr.arpa.zone"; };
    1. /var/named/1.168.192.in-addr.arpa.zone
      Annotations:
      - $TTL 3h @ IN SOA servidor.dominioexemplo.com.br. admin.dominioexemplo.com.br. ( 2018032801 ; serial 28800 ; refresh 7200 ; retry 2419200 ; expire 150 ; minium ) NS servidor.dominioexemplo.com.br. 5 PTR servidor.dominioexemplo.com.br. 10 IN PTR mailserver.dominioexemplo.com.br.
      1. host 192.168.1.5
        named-checkzone
        Annotations:
        • named-checkzone : Verifica a sintaxe do arquivo de zona
        named-compilezone
        Annotations:
        • named-compilezone : Converte um arquivo de zona slave em formato texto legível
        # dig @192.168.1.220 axfr dominioexemplo.com.br
      2. CENTOS
  2. Debian
    1. /etc/bind/1.168.192.in-addr.arpa.zone
  3. Best describe
    Annotations:
    - A special zone that provides a mapping from an IP address to an FQDN
Segurança no Servidor DNS
Annotations:
- O serviço BIND deve estar sempre atualizado O processo do BIND (named) não pode ser executado pelo usuário root Em ambientes críticos o servidor DNS não deve compartilhar o servidor com outros serviços Considerar a separação (split) do serviço de DNS de acordo com o cenário. Ter servidores (ou views) diferentes para tipos de requests diferentes, por exemplo Internet e Intranet.
1. Configurações do named.conf para Segurança
  Annotations:
  - version “hidden” : Esconder a versão do software backhole : IPs/Redes que não serão respondidos pelo servidor allow-query : IPs/Redes que podem fazer consultas no servidor allow-recursion : IPs/Redes que podem fazer consultas recursivas no servidor allow-transfer : IPs/Redes que podem realizar operações de transferência de zonas acl : definir grupos de IPs/Redes view : Definir grupos de regras e declarações
  1. version “hidden”;
    Annotations:
    - Esconder a versão do software
  2. backhole
    Annotations:
    - IPs/Redes que não serão respondidos pelo servidor
  3. allow-query
    Annotations:
    - IPs/Redes que podem fazer consultas no servidor
    1. On master server
      Annotations:
      - acl "myhosts" { 224.123.40.0/24; }; zone "exemple.com" IN { allow-queries { myhosts; }; };
  4. allow-recursion
    Annotations:
    - IPs/Redes que podem fazer consultas recursivas no servidor
  5. allow-transfer
    Annotations:
    - IPs/Redes que podem realizar operações de transferência de zonas
  6. acl
    Annotations:
    - definir grupos de IPs/Redes. Limit access to nameserver data. acl "truted" { localhost; 192.168.1.0/24; }
    1. On master server
      Annotations:
      - acl "my_slave_servers" { 224.123.240.3; }; zone "exemple.com" IN{ type master; allow-transfer{ my_slave_servers; }; };
    2. On slave server
      Annotations:
      - zone "exemple.com" IN{ type slave; allow-transfer{none;};};
  7. view
    Annotations:
    - Definir grupos de regras e declarações
2. TSIG – Transaction Signature
  Annotations:
  - Utiliza uma chave simétrica compartilhada para aumentar a segurança na comunicação entre servidores DNS. Essa chave é utilizada para se autorizar o acesso às informações de um servidor. Muito utilizado para proteger a comunicação entre servidores master e slave.
  - O comando dnssec-keygen é utilizado para gerar as chaves. Exemplo: # dnssec-keygen -a HMAC-MD5 -b 256 -r /dev/urandom -n HOST chaves
  1. Exemplo de configuração no master
    Annotations:
    - key exemplo { algorithm HMAC-MD5; secret “xxxxxxxxxxxxx”; }; allow-transfer { key exemplo; };
  2. Exemplo de configuração no slave
    Annotations:
    - key exemplo { algorithm HMAC-MD5; secret “xxxxxxxxxxxxx”; }; server IP { keys { exemplo; }; };
3. DNSSEC
  Annotations:
  - DNSSEC (BIND DNS Security Extensions) https://www.youtube.com/watch?v=_8M_vuFcdZU Utiliza chaves assimétricas (públicas e privadas) para assegurar a autenticidade e integridade das respostas enviadas pelos servidores DNS.Através da chave privada uma zona de DNS é assinada e a chave pública possibilita garantir aautenticidade da resposta.As chaves são geradas pelo comando dnssec-keygen. Por exemplo:# dnssec-keygen -a DSA -b 1024 -r /dev/urandom -n ZONE exemploO arquivo Kexemplo.+999.+99999.key conterá a chave pública, que deve ser inserida como umregistro na zona de DNS.O arquivo da zona de DNS deve ser assinado com o comando dnssec-signzone, utilizando oarquivo de chave privada Kexemplo.+999.+99999.private. Exemplo:# dnssec-signzone -P -r /dev/urandom -o exemplo.com.br exemplo.zone Kexemplo.+999.+99999.private.O comando dnssec-signzone gerará um arquivo de zona assinado (exemplo.zone.signed), que deve ser configurado no /etc/named.conf.
  1. MASTER - #dnssec-keygen
    Annotations:
    - dnssec-keygen is a part of the dnssec security extension for DNS. Is used to create either TSIG or DNSSEC keys!!!!May be used to generate public/private and symmetric keys.
    1. -a option | Algorithm
      Annotations:
      - RSAMD5: [512...4096] RSASHA1:[512...4096] DH:[128...4096] DSA:[512...1024]and multiple of 64 HMAC-MD5:[1...512]
    2. -b option | key size
    3. #dnssec-keygen -a DSA -b 768 -n zone exemple.com
      1. kexemple.com.+003+54444.key
        Annotations:
        chave pública
      2. kexemple.com.+003+54444.private
        Annotations:
        chave privada
      3. Usando a chave
        Annotations:
        key key.exemplo.com. { algorithm "hmac-md5'; secret "5HUcmGO7Vz...." }; To allow client use the key: server 224.123.400.1 { keys key.exemplo.com; };
    4. -n option| zone, host, entity, user, other
  2. #dnssec-keygen -a DSA -b 1024 -r /dev/urandom -n ZONE dominioexemplo.com.br
    Annotations:
    - As chaves são geradas pelo comando dnssec-keygen. Por exemplo:
    1. # dnssec-sigzone -P -r /dev/urandom -o dominioexemplo.com.br dominioexemplo.zone Kdominioexemplo.com.br.+003+10370.private
  3. #dnssec-sigzone
    Annotations:
    - O comando dnssec-signzone gerará um arquivo de zona assinado (exemplo.zone.signed), que deve ser configurado no /etc/named.conf
4. DANE
  Annotations:
  - DANE (DNS -Based Authentication of Named Entities) Solução criada para resolver o problema dos CAs (Certification Authorities), criando uma forma de associar um domínio a um CA específico através de um registro do tipo TLSA inserido dentro do arquivo de zona.
  1. TLSA
  2. CA
5. chroot jail
  Annotations:
  - Forma de executar o serviço de DNS em um ambiente isolado do resto do servidor, impedindo que brechas no serviço impactem a segurança do servidor como um todo. Na prática, é criado um novo / exclusivo para o BIND, por isso chroot. Nessa nova raiz são instalados, criados e copiados todos os arquivos e diretórios utilizados pelo BIND, incluindo arquivos do /etc/, /lib, /sbin, /var/run e etc, em uma nova estrutura completa. Na execução do processo bind, deve ser utilizada a opção -t para definir o diretório chroot, por exemplo: # named -u bind -t /chroot/
  1. /etc/, /lib, /sbin, /var/run e etc,
  2. # named -u bind -t /chroot/
6. Transferência de zona
  1. #dig axfr @ns12.zoneedit.com zonetransfer.me
  2. #host -l zonetransfer.me ns12.zoneedit.com
  3. allow-query statement can be used insine a zone statement or an options statement as well. It can contain either an acl label (truted), none, or one or more IP or ip ranges.
  4. alow-transfer { none; };
  5. allow-queries {myhosts; };
7. DNSSEC VS TSIG
  Annotations:
  - DNSSEC: Utilia chaves públicas e privadas assícronas TSIG: Utiliza chaves compartilhadas para permitir a comunicação entre servidores dns
  1. DNSSEC
    1. chaves públicas e privadas assícronas
  2. TSIG
    1. chaves compartilhadas
8. Executar o bind com menos privilégio
9. Running bind in a chroot jail
  1. start...... --exec /usr/sbin/named -t /var/cache/bind
  2. /usr/sbin -u named -c /etc/named.conf -t /var/named/chroot
Portas
Annotations:
- O DNS utiliza a porta 53 e em geral o protocolo UDP, o protocolo TCP é usado apenas para transferências de zona.
1. UDP - 53
2. TCP para transferências
Zone information be copied from de primary
Annotations:
- Why might authoritative zone information be copied from the primary name server's zone databases over to the secondary name server (Called a zone transfer)
1. the secondary daemon start
  Annotations:
  - The secondary server's bind daemon has started up
2. the rndc was used on the secondary server
  Annotations:
  - the rndc utility was used on the secondary server, and a manual zone data refresh was requested.
3. Secondary zone data's refresh time has expired
  Annotations:
  - the secondary server's zone data's refresh time has expired

Next up

Description

Resource summary

Media attachments

Similar

	Created by Luiz Eduardo over 5 years ago