Embed Size (px)
Citation preview
I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina
Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis
04 e 05
Outubro/2012
Organização: Apoio: Patrocínio: Instituição:
Serviço DNS no PoP-SC
Rodrigo Pescador
PoP-SC/RNP
Agenda
• O que é DNS?
• Como funciona e características
• Boas práticas
• Principais problemas
• Serviços PoP-SC
– Cache DNS
– Automatização de DNS Autoritativo
– DNSSEC em Servidor Autoritativo
2
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012
O que é?
Serviço para Tradução de Nomes em
Endereços IP e vice-versa
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 3
Nome IP
Sintaxe
• Os nomes de domínio formam uma estrutura
hierárquica – Quanto mais à esquerda, mais específico
– Quanto mais à direita, mais genérico
O domínio raiz é o menos específico possível
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 4
www.pop-sc.rnp.br. específico genérico
Tipos de mapeamento
• Direto:
Nome → Endereço IP
• Reverso:
Endereço IP → Nome
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 5
Resolução de
Endereço
• Endereço com o Ponto Final é resolvido
normalmente (www.pop-sc.rnp.br.)
– Servidores envolvidos na consulta DNS sabem da
existência dos servidores raiz DNS • ex: db.root (bind)
• Na resolução de nomes, existe a quebra
dos rótulos da direita para esquerda
• O primeiro componente, (Top Level
Domain) é obtido no servidor raiz para
alcançar o servidor responsável autoritativo
• As consultas retornam, para cada rótulo,
servidores de nomes mais específicos até
que um servidor de nomes retorne a
resposta da consulta original
• Na prática, a maior parte desta informação
não muda com muita frequência ao longo
de várias horas e, portanto, é armazenada
em cache por servidores de nomes
intermediários
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 6
br
rnp
pop-sc
www
www.pop-sc.rnp.br.
.
DNS Reverso
Principal Função
Tradução de IPs para Nomes
Não é obrigatório, mas é
recomendado
Pode garantir que você não terá
problemas em aplicações,
principalmente em servidores
SMTP (filtro de SPAM)
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 7
Consulta DNS Reverso
WHOIS
Consulta dos servidores responsáveis pela resolução reversa de IPs (WHOIS):
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 8
# whois 200.135.55.0/24
inetnum: 200.135.55/24
aut-num: AS10715
owner: INSTITUTO FEDERAL CATARINENSE CAMPUS VIDEIRA
inetrev: 200.135.55/24
nserver: ns1.ifc-videira.edu.br
nsstat: 20121001 AA
nslastaa: 20121001
nserver: ns2.ifc-videira.edu.br
nsstat: 20121001 AA
DNS Raiz
• Nível mais alto da hierarquia DNS
• Operados por diferentes entidades
• Distribuídos em cluster ao redor do mundo
• Atualmente 13 servidores no mundo
• Todos servidores DNS devem possuir cadastrados os servidores raiz – são os pontos inicias da consulta DNS
– PoP-SC, hospeda • 1 cópia do servidor-RAIZ L
• 1 cópia do .br
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 9
Tipos de servidores DNS
• Primário
– Contém todas as informações sobre os domínios que administra
– As atualizações de registros e demais informações devem ser feitas neste servidor
• Secundário
– Contém informações (cópias) dos dados disponibilizados no servidor primário
– Pode operar mesmo sem o servidor primário
– Não existe um número máximo de servidores secundários
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 10
Tipos de servidores DNS (2)
• Cache (cache-only)
– Não guardam informações de domínios
– Repassam solicitações de terceiros para
servidores remotos
– Guardam resposta de consultas
anteriormente realizadas
– Ajudam a aliviar a carga sobre os servidores
primários e secundários
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 11
Zonas de Autoridade
(SOA)
Conhece todos os
mapeamentos de endereços
referentes à essa área
(domínios) sob sua
responsabilidade e é quem
responde as perguntas
(queries) feitas pelos resolvers
Contém informações como:
• Nome do servidor de
nomes primário
• Número de série da zona
• Intervalo de refresh
• Intervalo retry
• Tempo de expire
• Tempo de vida do registro
(TTL)
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 12
Registro de Recursos
• Domínios podem ter um conjunto de registros associados
• Tipos de RR’s mais utilizados:
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 13
SOA • Servidor de nomes, versão do arquivo, responsável
A • Nome para IP
NS • Especifica servidores DNS para domínio, zona ou subzona
PTR • IP para nome
MX • Hosts responsável pelo email do domínio
DPNs sob o .br
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 14
DPN Finalidade Categoria DNSSEC
com.br Atividades comerciais Genérico Disponível
net.br Atividades comerciais Genérico Disponível
emp.br Pequenas e micro-empresas
Genérico Disponível
eco.br Atividades com foco eco-ambiental
Genérico Disponível
gov.br Entidades do governo federal
Pessoas Jurídicas - com restrição
Disponível
edu.br Entidades de ensino superior
Universidades Disponível
Entre muitos outros…
Sistema de Automatização de DNS
• Sistema de Gerência e Controle automatizado do serviço de DNS secundário no PoP-SC
– Autoritativo
• Operado pela instituição
– Cadastro dos servidores primários
• Permite o cadastro de zonas diretas, reversas
• Suporte a IPv4 e IPv6
• Verificações periódicas sobre a “saúde” do sistema
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 15
Status: Em desenvolvimento pelo PoP-SC
Boas práticas para DNS
• Utilização de sistema de cache de consultas
• Possuir mais de um servidor respondendo pela zona
• Não permitir recursão para Internet
• Separar servidores autoritativos de recursivos
• Implantar DNSSEC em suas zonas autoritativas
• Firewall – Porta TCP e UDP 53
– Recomenda-se utilizar firewall com DIP
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 16
Problemas comuns com DNS
• Lame delegation
• Glue record – Requeridos quando se deseja apontar servidores de nome de um
determinado domínio para um host abaixo deste próprio domínio
– Deseja-se apontar os servidores DNS da zona pop-sc.rnp.br para ns1.pop-sc.rnp.br. Neste caso é necessário indicar o IP deste host ns1.pop-sc.rnp.br na configuração do arquivo da zona
• Servidor aberto para consultas recursivas na Internet
• Bloqueio da porta TCP 53 (AXFR)
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 17
lame server resolving '190.229.135.200.in-addr.arpa' (in '229.135.200.in-addr.arpa'?): 200.135.228.237#53
Cache DNS PoP-SC
Motivações
Diminuir o tempo de resolução de
consultas DNS
Fazer um cache DNS com as
consultas mais acessadas no
meio acadêmico
Instituições apontavam
servidores DNS do Google como
forward
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 18
Infraestrutura
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 19
Configuração – BIND9
options {
...
forwarders {
200.135.14.2;
2001:12f0:200:a014::2;
200.237.194.1;
2001:12f0:200:FFFF:F::D1;
};
…
};
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 20
Exemplo utilizando sistema de cache do PoP-SC
IPs anycast dos servidores
cache forward
Solicitando o serviço
• Sou cliente e quero utilizar o serviço,
como procedo?
– Enviar um email para noc {at} pop-sc.rnp.br, com
as seguintes informações:
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 21
• Nome da Instituição;
• Endereços IPs dos servidores da instituição.
DNSSEC
• Extensão do DNS
• Corrige falhas da implementação comum do DNS
• Utiliza criptografia assimétrica
Domínio .edu.br possui suporte ao DNSSEC
• O DNSSEC garante: – Origem
– Integridade
– Não existência de um domínio
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 22
DNSSEC (2)
Ataques DNS são difíceis de serem identificados e
praticamente impossíveis de serem prevenidos
O DNSSEC valida os dados e
garante a origem da informação
I WORKSHOP DE TECNOLOGIA DE REDES
PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 23
DNSSEC
Servidor autoritativo com BIND9
• Criação das chaves
– Geração de arquivo .key e .private
• Assinatura do domínio
– Geração de arquivo de zona com a extensão .signed
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 24
$ dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b 1024 -n ZONE pop-sc.rnp.br
$ dnssec-signzone -S -z -o pop-sc.rnp.br pop-sc.rnp.br.zone
DNSSEC
Servidor autoritativo com BIND9 (2)
Ajuste do arquivo de zona no BIND
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 25
zone “pop-sc.rnp.br" {
type master;
file "/etc/namedb/pop-sc.rnp.br.zone.signed";
...
};
DNSSEC
Cadastro no registro.br
• Tela de inserção dos registros DNS no registro.br
• Inserir os dados do arquivo dsset-pop-sc.rnp.br.
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 26
$ cat dsset-pop-sc.rnp.br.
pop-sc.rnp.br. IN DS 63244 5 1 E8BA8C5056C1196630F831512AD0160977F80E94
DNSSEC
Requisitos de implantação
• O servidor necessita suporte a EDNS
– Suporte a pacotes DNS maiores que 512 bytes (RFC
2671)
• Configuração do BIND e do firewall
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 27
DNSSEC
Add-on para Firefox
DNSSEC Validator
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 28
Referências
• http://www.infowester.com/dns.php
• Uma Introdução ao Sistema de Nomes da Internet, Dalton
Nunes e Paulino Ng
• http://pt.wikipedia.org/wiki/Servidor_Raiz
• http://registro.br/dominio/dpn.html
• http://www.icann.org.br/tlds/
• http://www.ntchosting.com/dns/reverse-dns.html
• http://www.abusar.org.br/ftp/pitanga/Intranet/dns1ppt.pdf
• http://registro.br/suporte/tutoriais/dnssec.html
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012 29
OBRIGADO
Rodrigo Pescador
30
Organização: Apoio: Patrocínio:
I WORKSHOP DE TECNOLOGIA DE REDES PoP-SC/RNP & REMEP-FLN – FLORIANÓPOLIS/SC – 04 & 05 de OUTUBRO de 2012
