MEET Mestrado em Engenharia de Electrónica e Telecomunicaçãoes. IRS Integração de Redes e Serviços

Transcrição

1 MEET Mestrado em Engenharia de Electrónica e Telecomunicaçãoes Elaborado por: Pedro Ponte 22595

2 Índice de conteúdos Introdução...3 Instalação da máquina virtual...3 Preparar ambiente...3 Criar ambiente não volátil...4 Criar partições...4 Criar sistema de ficheiros...4 Instalar ficheiros do sistema...5 Configura o Portage...6 Comutar para o novo ambiente...6 Actualizar o Portage...6 Instalar Sources do Kernel...7 Gerar o kernel...7 Gerir os módulos do kernel...7 Ficheiro fstab...7 Boot Loader...7 Informação de sistema...8 Configuração das interfaces de rede...8 Suporte para IPv4...9 Configurar o servidor de DHCP...9 Configurar OSPFv Suporte para IPv Configurar o servidor de DHCP...10 Configurar OSPFv Radius...12 Configuração do Servidor...12 Parâmetros gerais...13 Configuração das redes a servir...13 Utilizadores...13 Autenticação...14 Configuração do Cliente...14 Servidor DNS...15 Insatalação do servidor...16 TSIG para actualização dinâmica...16 Suporte de DDNS...16 Transferência de zona...17 Ficheiros de configuração...19 Zonas de pesquisa directa...21 Zonas de pesquisa inversa...22

3 Introdução A elaboração deste trabalho tem como intuito a aplicação prática de conhecimentos de protocolos e tecnicas de redes, supostamente adquiridos em unidades curriculares anteriores, num ambiente virtual. O ambiente virtual foi implementado recorrendo ao VirtualBox e o sistema operativo adoptado foi o Gentoo. O Gentoo é uma distribuição baseada no gerenciador de pacotes portage que se baseia em scripts bash denominados por ebuilds que são executados pela sua principal ferramenta emerge. Instalação da máquina virtual O primeiro passo para a instalação da máquina virtual, que corresponde ao nosso target, consiste em criar uma máquina virtual no VirtualBox. As características da máquina a criar devem respeitar, no mínimo, os requisitos especificados pelo Handbook do Gentoo, desta forma iremos criar uma máquina com 8GB de disco rígido e 512 MB de RAM. O passo seguinte corresponde a escolher o suporte de instalação que, de entre as várias opções disponíveis, iremos optar por efectuar download do CD de instalação mínimo. Dos vários mirrors disponíveis iremos escolher o IST para efectuar o download, mais concretamente através do link Ao arrancar a máquina virtual com o suporte de instalação mínimo, este disponibiliza uma imagem de disco que irá ser descomprimido pelo boot loader e colocado em memória RAM, montado no sistema de ficheiros tmpfs. Esta imagem, colocada em RAM, cria um ambiente de trabalho com os recursos mínimos e com um caracter volátil, ou seja, se reenicializarmos a máquina esta volta ao seu estado original. A estratégia a seguir num ambiente de instalação destes será adicionar os recursos adicionais e indispensáveis à instalação para se proceder à instalação de um ambiente não volátil. Preparar ambiente Depois de inicializar a máquina com a imagem podemos verificar que esta não dispõe de alguns recursos necessários à instalação pelo que teremos de os instalar. Para instalar a interface de rede eth0 podemos recorrer ao script net-setup por forma a termos conectividade IP. Por outro lado, se pretendermos trabalhar num ambiente mais agradável, como por exemplo ssh, primeiro teremos de redefenir a palavra passe do utilizador root através do utilitário passwd e iniciar o deamon sshd através do comando /etc/init.d/sshd start.

4 Depois destes procedimentos poderemos aceder à máquina através de qualquer aplicação cliente de ssh recorrendo ao comando ifconfig para determinar o endereço IP da interface eth0. Criar ambiente não volátil O passo que se se segue prende- se em criar as condições para instalação de um ambiente não volátil da máquina. Criar partições As particões do sistema são um passo muito importante uma vez que vai afectar o desempenho da máquina e depende da finalidade que se pretende dar à máquina. Um maior número de partições irá permitir defenir o sistema de ficheiros que mais se adequa a cada ponto de montagem e os procedimentos de verificação do sistema de ficheiros são mais rápidos. Também se colocarmos o sistema operativo numa partição distinta a probabilidade de o estrangular será inferior. Para a máquina iremos particionar o disco da seguinte forma: Partição Sistema de ficheiros Dimensão Montagem /dev/sda1 ext2 32M /boot /dev/sda2 swap 1024M /dev/sda3 ext3 Restante /root As particções do disco, de 8GB, podem ser criadas com o utilitário fdisk indicando como argumento da linha de comandos o disco /dev/sda, ou seja, fdisk /dev/sda. Este utilitário disponibiliza as funcionalidades de listar, criar e eliminar particões através das opções p, n e d respectivamente. Para defenir a partição de boot recorre- se à opção a e selecciona- se a partição que, sendo a primeira a criar, será a partição 1. Para defenir uma partição swap recorre- se à opção t e selecciona- se a partição que, sendo a segunda a criar, será a partição 2. Para sair do utilitário e guardar a configuração gerada recorre- se à opção w. Criar sistema de ficheiros Depois de criar as partições é necessário criar o sistema de ficheiros nas mesmas. Tal como consta no quadro sintese do tópico anterior, iremos criar partição /dev/sda1 com o sitema de ficheiros ext2 e a partição /dev/sda3 com o sistema de ficheiros ext3. Este procedimento é efectuado recorrendo ao utilitário /sbin/mke2fs indicando no argumento a partição alvo, e no caso de ext3 terá de se indicar também a opção -j para activar a funcionalidade de journal que caracteriza este sistema de ficheiros.

5 No caso da partição swap, terão de ser invocados os utilitários /sbin/mkswap e /sbin/swapon para inicializar e activar a partição swap (/dev/sda2). Partição Sistema de ficheiros Comando Montagem /dev/sda1 ext2 mke2fs /dev/sda1 /boot /dev/sda2 swap mkswap /dev/sda2 swapon /dev/sda2 /dev/sda3 ext3 mke2fs -j /dev/sda3 /root Instalar ficheiros do sistema Para instalar o sitema operativo Gentoo no sistema de ficheiros anteriormente criado, em primeiro teremos de montar as particções. Recorde- se que foram criadas duas partições para o sistema operativo, nomeadamente /dev/sda1 que vai ser montado em /boot e /dev/sda3 para montar em /root. O directório raiz /boot irá ser instalada a imagem do kernel e o boot loader e os restantes ficheiros que constituem o sistema operativo serão mantidos no directório raiz /root. Durante a instalação do sistema operativo os directórios raiz /boot e /root irão residir em /mnt/gentoo por forma a manter a hierarquia FHS (Filesystem Hierarchy Standard), que pode ser consultado em Para montar as partições recorre- se ao utilitário mount indicando a partição e ponto de montagem como argumentos da linha de comandos. Uma vez que o directório /mnt/gentoo já está criado basta criar o directório /boot com o comando mkdir /mnt/gentoo/boot. Partição Comando Montagem /dev/sda1 mount /dev/sda1 /mnt/gentoo/boot /boot /dev/sda3 mount /dev/sda3 /mnt/gentoo /root Antes de proceder com a instalação é aconselhável acertar a data do sistema com o utilitário date MMDDhhmmYYYY. Para efectuar o download dos ficheiros do sistema operativo devemos colocar a linha de comandos no directório raiz da máquina /mnt/gentoo e recorrer ao utilitário links para seleccionar o mirror ( links ). De seguida procede- se à descompressão recorrendo ao utilitáriotar ( tar xvjpf stage3- i tar.bz2 ). Esta desconpressão irá originar a criação do sistema de ficheiros do target em confirmidade com a hierarquia FHS.

6 Configura o Portage O Portage é um conjunto de utilitários que visam automatizar o processo de instalação, actualização ou desisntalação de software de forma consistente. De seguida, à semelhança do passo anterior, iremos efectuar o download do Portage através do comando links e descomprimir com tar xvjf portage-latest.tar.bz2 -C /mnt/gentoo/usr/. O Portage utiliza a variável GENTOO_MIRROS do ficheiro make.conf que está no directório /mnt/gentoo/etc para determinar qual o mirror a utilizar. O utilitário mirrorselect pode ser utilizado para configurar esta variável de uma forma gráfica mirrorselect -i -o >> /mnt/gentoo/etc/make.conf. Outra variável do ficheiro make.conf, também utilizada pelo Portage é SINC que determina o servidor rsync utilizado para actualizar a àrvore de aplicações disponíveis para instalação. Esta variável também pode ser configurada recorrendo ao utilitário mirrorselect da seguinte forma:mirrorselect -i -r -o >> /mnt/gentoo/etc/make.conf. Comutar para o novo ambiente Antes de mudar para o ambiente que foi criado nos tópicos anteriores teremos de copiar o ficheiro de configuração de DNS, para que a conectividade se mantenha, através do comando cp -L /etc/resolv.conf /mnt/gentoo/etc/. Também será necessário montar os sistemas de ficheiros /proc e /dev pois sem estes o novo ambiente não terá autonomia para funcionar uma vez que, a título de exemplo, o sistema de ficheiros /dev contém os device nodes e sem eles o sistema não reconhece os periféricos da máquina. Para montar estes sistemas de ficheiros procedemos conforme o quadro sintese que se segue: Comando mount -t proc none /mnt/gentoo/proc mount -o bind /dev /mnt/gentoo/dev Montagem /proc /dev Note- se que os directórios /proc e /dev foram criados aquando a descompressão dos ficheiros de sistema. A comutação de ambiente é feita com o recurso ao comando chroot, que significa change root, e consiste na mudança do directório root da consola onde estamos a trabalhar e, consequentemente, todos os processos lançados na mesma. Desta forma, pretende- se comutar o directório root para o directório /mnt/gentoo uma vez que foi neste directório que montamos as partições anteriormente criadas, e após executarmos o comando chroot /mnt/gentoo /bin/bash esta deve ser a nossa raiz ficando disponível o sistema de ficheiros anteriormente criado. Também devem ser executados os seguintes comandos env-update, source /etc/profile e export PS1="(chroot) $PS1". Actualizar o Portage Este passo consiste na aplicação prática da variável SYNC anteriormente referida e é conseguido através do comando emerge sync.

7 Instalar Sources do Kernel O Gentoo disponibiliza uma série de pacotes com as sources do kernel para diversas arquitecturas com suporte para porting para arquitecturas mais específicas. Para instalar as sources recorre- se ao comando emerge gentoo-sources. As sources do kernel são instaladas no directório /usr/src/. Se executarmos o comando ls /usr/src -all podemos verificar que foi criado o directório linux gentoo-r5 e um link simbólico para linux que nos permite trabalhar com versões de kernel distintas alterando apenas o link. Gerar o kernel A configuração do kernel pode ser feita de uma forma manual, normalmente utilizada para arquitecturas mais específicas, nomeadamente quando se pretende efectuar porting do Gentoo, ou então de forma automática através do utilitário genkernel. Para instalar o utilitário genkernel recorre- se ao comando emerge genkernel. O genkernel utiliza o ficheiro de configuração do kernel /usr/share/genkernel/arch/x86/kernel-config pelo que devemos disponibilizar o ficheiro utilizado pela imagem utilizada para o arranque inicial da máquina recorrendo ao comando zcat /proc/config.gz /usr/share/genkernel/arch/x86/kernel-config. O comando genkernel all irá gerar a imagem do kernel e o ramdisk inicial no directório /boot bem como os respectivos módulos no directório /lib/modules. Gerir os módulos do kernel Os módulos são pacotes de software que são gerados na compilação do kernel e cuja configuração define- os como parte não integrante da sua imagem. Estes pacotes, apesar de estarem presentes no sistema podem, ou não, ser carregados durante a inicialização do kernel. Esta gestão é feita indicando no ficheiro /etc/modules.autoload.d/kernel Ficheiro fstab O ficheiro /etc/fstab é responsável por guardar informação sobre as partições, respectivos sistemas de ficheiros e pontos de montagem. /dev/sda1 /boot ext2 defaults,noatime 1 2 /dev/sda2 none swap sw 0 0 /dev/sda3 / ext3 noatime 0 1 /dev/cdrom /mnt/cdrom auto noauto,user 0 0 proc /proc proc defaults 0 0 shm /dev/shm tmpfs nodev,nosuid,noexec 0 0 Boot Loader Ficheiro /etc/fstab Para as funcionalidades de boot loader iremos optar pelo GRUB pelo que para instalar recorre- se ao comando emerge grub. O ficheiro de configuração do GRUB é /boot/grub/grup.conf, e de seguida podemos ver o mesmo:

8 default 0 timeout 30 splashimage=(hd0,0)/boot/grub/splash.xpm.gz title Gentoo Linux r1 root (hd0,0) kernel /boot/kernel-genkernel-x gentoo-r5 root=/dev/ram0 init=/linuxrc ramdisk=8192 real_root=/dev/sda3 initrd /boot/initramfs-genkernel-x gentoo-r5 Informação de sistema Ficheiro de configuração do GRUB Defenir palavra passe do utilizador Recorrer ao utilitário passwd Configuração do layout do teclado Defenido no ficheiro /etc/conf.d/keymaps Informações genéricas do sistema Defenidas no ficheiro /etc/rc.conf Configuração das interfaces de rede Com vista a dar suporte à virtualização de um ambiente que nos permitisse a emulação de um router a máquina virtual, que corresponde ao nosso target, dispõe de duas interfaces ethernet. A interface externa eth0 foi configurada no modo bridge por forma a utilizar a interface do host para aceder ao mundo externo da rede. Por outro lado, a interface interna eth1, que tem como objectivo fornecer conectividade ao host através do target, foi configurada no modo host only. Desta forma, se desactivarmos os protocolos TCP/IP na interface do host, o único caminho possível entre o host e o mundo exterior é feito através do target, conseguindose um ambiente de emulação entre duas redes distintas interligadas pelo target que, por sua vez, disponibiliza uma série de serviços indispénsáveis às redes locais actuais. Para activar ambas as interfaces de rede no arranque da máquina deve- se criar um symbolic link, para cada uma das interfaces, no directório /etc/init.d para o script responsável pela inicialização das interfaces ethernet net.lo. Depois de criar os symbolic links, estes devem ser adicionados ao default runlevel para que sejam incluidos no processo de arranque do kernel. cd /etc/init.d ln -s net.lo net.eth0 ln -s net.lo net.eth1

9 rc-update add net.eth0 defaul rc-update add net.eth1 defaul A configuração das interfaces ethernet é feita no ficheiro /etc/conf.d/net. Tal como referido anteriormente a interface externa é eth0 e está configurada para obter endereço por DHCP. Por outro lado, a interface interna eth1 tem endereços fixos em conformidade com o bloco atribuido para ambas as versões IPv4 e IPv6. config_eth0=( "dhcp" ) config_eth1=( " /28" "2001:690:2008:cfa0::1/64" ) Suporte para IPv4 Configurar o servidor de DHCP Para implementar o servidor de DHCP é necessária a instalação do pacote dhcp recorrendo ao comando emerge -av dhcp. No ficheiro /etc/conf.d/dhcpd, mais concretamente no parâmetro DHCPD_IFACE, defenir qual a interface que o deamon dhcpd deve atender a pedidos de DHCP, que neste caso concreto é a interface eth1. A configuração do deamon dhcpd é feita no ficheiro /etc/dhcp/dhcpd.conf option domain-name-servers , ; default-lease-time 600; max-lease-time 7200; subnet netmask { range ; #option domain-name-servers ; #option domain-name "mynet.local"; option domain-name-servers ; option domain-name "g7.lrcd.local"; option routers ; #option broadcast-address ; default-lease-time 600; max-lease-time 7200; } Depois de concluida a configuração do deamon é necessário adicionar ao arranque do kernel através do comando rc-update add dhcpd default.

10 Configurar OSPFv4 O serviço OSPFv4, com vista a dar suporte de routing, foi implementado recorrendo ao quagga, instalado com o comando emerge -av quagga.e adicionando o deamon ospfd ao arranque do kernel com o comando rc-update add ospfd default. A interface de configuração do quagga está acessível através da aplicação vtysh e a sintaxe de configuração é igual à dos equipamentos cisco. De seguida podemos visualizar o excerto da configuração do quagga referente às configurações de OSPFv4. localhost# show running-config Building configuration... Current configuration:! interface eth0 ip ospf message-digest-key 20 md5 mesmosimples! interface eth1! interface lo! router ospf network /24 area network /28 area area 75 authentication message-digest! ip forwarding! line vty! Quagga - OSPFv4 Suporte para IPv6 Configurar o servidor de DHCP Com vista va implementar um servidor de DHCP para IPv6 optamos por utilizar o quagga uma vez que o pacote dhcp comporta- se de forma instavél para este tipo de serviços. Uma vez que o quagga não dispões de funcionalidades de servidor de DHCP, pois não foi concebido com este intuito, a alternativa passa por recorrer à configuração stateless e contar com o mecanismo de autoconfiguração por parte do cliente. Do lado do cliente, este, gera um endereço link-local constituido pelo prefixo FE80 e pelo EUI-64 gerado em função do endereço MAC da interface e junta- se aos grupos de multicast all-nodes multicast ( FF02::1 ) e solicited-node multicast (FF02::1:FFXX:YYZZ onde XX:YYZZ são os 3 bytes de menor peso do endereço IPv6). Com vista a verificar a unicidade do endereço link-local envia uma menssagem

11 de NEIGHBOR SOLICITATION para o solicited-node multicast com o endereço linklocal no campo target. Num contexto de configuração stateless o deamon do quagga, ospfd6, responsável pela componente IPv6 irá enviar periódicamente mensagens de ROUTER ADVERTISEMENT com o prefixo da rede (2001:690:2008:CFA0::/64) para que o cliente possa gerar um endereço IPv6 fruto da combinação deste com o endereço MAC da interface. De seguida podemos visualizar o excerto da configuração do quagga referente às configurações de DHCPv6. interface eth0 ipv6 nd suppress-ra! interface eth1 ipv6 nd prefix 2001:690:2008:cfa0::/64 ipv6 nd ra-interval 60 no ipv6 nd suppress-ra Configurar OSPFv6 Para dar suporte ao OSPFv6 recorreu- se ao Quagga associando o deamon ospf6d ao arranque do sistema, no runlevel default, através do comando rc-update add ospf6d default e rc-update add zebra default. O Quagga disponibiliza um ficheiro de configuração de exemplo na directoria /etc/quagga/samples/ospf6d.conf.sample pelo que podemos copiar este ficheiro para a directoria onde constam todos os ficheiros de configuração do Quagga (/etc/quagga/) através do comando cp /etc/quagga/samples/ospf6d.conf.sample /etc/quagga/ospf6d.conf. interface eth0 ipv6 ospf6 cost 1 ipv6 ospf6 dead-interval 40 ipv6 ospf6 hello-interval 10 ipv6 ospf6 instance-id 0 ipv6 ospf6 priority 1 ipv6 ospf6 retransmit-interval 5 ipv6 ospf6 transmit-delay 1! interface eth1 ipv6 ospf6 cost 1 ipv6 ospf6 dead-interval 40 ipv6 ospf6 hello-interval 10 ipv6 ospf6 instance-id 0 ipv6 ospf6 passive ipv6 ospf6 priority 1 ipv6 ospf6 retransmit-interval 5 ipv6 ospf6 transmit-delay 1 no ipv6 nd suppress-ra

12 ! interface lo! router ospf6 area range 2001:690:2008:cfa0::/64 interface eth0 area interface eth1 area ! ipv6 forwarding Radius Para implenetar o servidor de RADIUS vamos recorrer ao FreeRadius. A sua instalação é feita através do comando emerge -av freeradius. Para implementar um cenário de testes optámos configurar um router Cisco por forma a que a autenticação via o servidor de RADIUS que está a correr no target Gentoo. O deamon radiusd deve ser adicionado ao runn-level default por forma a que este seja lançado automaticamente quando o target arranca com o comando rc-update add radiusd default. Numa fase inicial, e senpre que se desejar reenicializaro deamon recorre- se ao comando /etc/init.d/radiusd restart. Configuração do Servidor Os ficheiros de configuração estão localizados no directório /etc/raddb. Ficheiro radiusd.conf clients.conf eap.conf users modules/ Observações Especificar parâmetros gerais do servidor e defenir quais os módulos a utilizar. Especificar quais as redes a servir. Especificar parametrizações EAP Especificar utilizadores e respectivas palavras chave. Ficheiros de configuração dos módulos seleccionados no ficheiro radiusd.conf. sites-enabled/ Suporte para virtual hosting. Default é o ficheiro por defeito. modules/ Configuração do módulos Note- se que nas versões anteriores, onde ainda não existia suporte para hosting, a configuração relativa ao AAA era feita de uma forma global no ficheiro radius.conf. As versões mais recentes, como a actualmente em uso, já suportam hosting e a configuração é feita com base nos ficheiros que constam no directório sites-enabled/ e o ficheiro default toma efeitos para as soluções sem implementação de hosting. Uma vez que não nos vamos debruçar com uma solução de hosting apenas será considerado o ficheiro default.

13 Para iniciar o deamon no modo debug efectuar o comando radiusd -X, caso o deamon esteja a correr terá de ser parado. Parâmetros gerais Tal como já foi referido, os parâmetros gerais constam no ficheiro radius.conf. Parâmetro ipaddr port Observações Endereço ip da interface onde vão ser atendidos os pedidos. * significa todos. Porta TCP/UDP. 0 significa que vão ser utilizados os valores especificados em /etc/services (1812) Configuração das redes a servir A configuração das redes a servir é feita nop ficheiro clients.conf. Esta consiste em, para cada rede a servir, especificar o parâmetro secret a utilizar. Neste caso concreto as redes serão /28 e 2001:690:2008:CFA0::/64 para os respectivos domínios Ipv4 e Ipv6. client /28 { secret = secret shortname = shortname } client 2001:690:2008:CFA0::/64 { secret = secret shortname = shortname } Utilizadores Independentemente do mecanismo de segurança a utilizar, a informação relativa aos utilizadores (utilizador e respectiva palavra passe) é configurada no ficheiro users. Estão disponíveis integração com outras fontes de autenticação, nomeadamente LDAP, SQL etc, no entanto estas facilidades não irão ser exploradas. telnet Cleartext-Password := "telnet" #"John Doe" Cleartext-Password := "hello" # Reply-Message = "Hello, %{User-Name}"

14 Autenticação A autenticação é configurada activando os módulos pretendidos que implementam os mecanismos de autenticação pretendidos. Esta secção está no ficheiro sitesenabled/default, mais concretamente na secção authenticate{ }. O primeiro passo para a configuração da autenticação consiste em activar os máodulos que implementam os mecanismos de autenticação pretendidos no ficheiro sitesenabled/default. E seguidamente, configurar os respectivos módulos no directório modules/. Neste ficheiro, podemos verificar que a secção authenticate está a enibir os mecanismos de autenticação eap mschap chap pap e unix. Destes iremos nos debruçar apenas nos mecanismos PAP e CHAP uma vez que os routers cisco disponibilizados em laboratório não disponibilizamos restantes mecanismos. Configuração do Cliente Na fase inicial de configuração do servidor de RADIUS, evitando- se a utilização do router, instalamos o utilitário de testes de RADIUS NTRadPing. De seguida podemos visualizar o output do deamon radiusd, lançado com o argumento -X, por forma a obtermos informação de debug da sessão. Podemos verificar que foi gerada uma sessão de autenticação utilizando o mecanismo PAP com as credenciais telnet para utilizador e palavra passe. Uma vez que as credenciais são descodificadas de forma correcta pelo servidor de radius podemos

15 concluir que o parâmetro secret é do conhecimento de ambos os intervenientes neste processo, pois caso contrário o servidor não seria capaz de descodificar correctamente as credenciais e a sessão numca teria sucesso. Outro factor relevante é o facto de o servidor, ao receber uma sessão irá percorrer os mecanismos para os quais está habilitado pelo que o administrador tem aqui uma boa oprtunidade de preveligiar determinados tipos de autenticação. Outra aplicação cliente interessante é o Xsupplicant, disponível em que implementa a parte cliente (Supplicant) de 802.1x Em podemos obter informação adicional acerca da sua instalação e configuração. De seguida podemos verificar o script de configuração do router: ################################################### # Autenticação RADIUS #################################################### username telnetuser privilege 15 password telnet aaa new-model radius-server host auth-port 1812 acct-port 1813 key pass_radius radius-server key pass_radius # aaa group server radius vpn_radius server auth-port 1812 acct-port 1813 aaa authentication login default local group vpn_radius aaa authentication enable default none aaa authentication ppp default group vpn_radius aaa session-id common # line vty 0 4 login authentication default exit Servidor DNS Neste capítulo iremos instalar o named que implementa um servidor DNS. Desta forma teremos um servidor a responder de forma autoritária para a zona g7.lrcd.local e para o nível superior da hierarquia anteriormnete referida. No entanto este será um servidor primário apenas para a zona g7.lrcd.local, e a restante zona será transferida dos restantes servidores que são os primários das restantes zonas da hierarquia. Para toda a hierarquia, as respostas serão autoritárias, pela activação do bit AA nas respostas, no entanto a hierarquia será transferoda dos respectivos servidores primários. Outra quetão importante na configuração de um servidor DNS diz respeito à recursividade que coresponde à habilidade de o servidor guardar em cache as zonas para o qual não é primário nem secundário. Por norma os servidores efectuam cache das zonas por forma a optimizar os recursos da rede e minimizar as latências no pedidos de DNS no entanto deve- se ter o cuidade de não permitir pesquizas recursivas através do

16 mundo exterior, ou seja, o servidor DNS apenas deve agir de forma recursiva na interface interna eth1. Insatalação do servidor O servidor DNS será implementado através do pacote bind que distribui o named,e a sua instalação é feita através do comando emerge -av bind. O ficheiro de configuração do named está em /etc/bind/named.conf e as zonas estão no directório /var/bind. Para além do pacote bind interessa instalar o pacote bind-tools que, entre outros, disponibiliza a ferramenta dig indispensável para o teste de um servidor de DNS. TSIG para actualização dinâmica O TSIG é um protocolo, defenido no RFC 2845, utilizado no DNS para implementar autenticação e integridade nos procedimentos de actualização e transferência de zonas. Para gerar a chave recorre- se ao utilitário dnssec-keygen especificando o algoritmo de encriptação pretendido, a dimensão da chave e o nome do detentor da mesma: dnssec-keygen -a HMAC-MD5 -b 64 -n HOST rndc-key O comando anterior irá gerar dois ficheiros com as chaves privada e pública, pelo que para visualizar a chave privada podemos recorrer ao seguinte comando: cat Krndc-key*.private O passo que seguinte consiste em gerar um ficheiro.key para incluir na configuração dos intervenientes no processo de actualização key "dhcp-dns" { algorithm hmac-md5; secret "SNZcOrE2zBc="; Suporte de DDNS O DDNS consiste em abilitar o servidor de DHCP a registar os endereços IP dos hosts da rede na respectiva zona de pesquisa directa e inversa recorrendo ao protocolo TSIG por forma a evitar eventuais registos de caracter abusivo. Para além do recurso ao protocolo TSIG podemos acrescentar mais um nível de segurança expondo a zona, que está abilitada a receber estas actualizações por parte do servidor de DHCP, apenas à rede interna uma vez que na maioria dos casos o mundo externo não necessita de ter conhecimento dos hosts da rede. As alterações a efectuar no ficheiro de configuração do servidor de DHCP podem ser vistas no excerto que se segue: ddns-update-style interim; ignore client-updates; Include "/etc/bind/tsig.key"; subnet netmask { ddns-updates on; ddns-domainname "g7.lrcd.local"; ddns-rev-domainname " in-addr.arpa.";

17 zone g7.lrcd.local { primary ; key "dhcp-dns"; } zone in-addr.arpa { primary ; key "dhcp-dns"; } } /etc/dhcp/dhcpd.conf Por outro lado, no ficheiro de configuração do servidor DNS ambas as zonas, de pesquisa directa e inversa, devem permitir as actualizações provenientes do servidor de DHCP. include "/etc/bind/tsig.key"; Server { Keys{dhcp-dns... view "internal" { match-clients { trusted;... zone "g7.lrcd.local" IN { type master; //also-notify { ; file "pri/g7.lrcd.local.internal.zone"; //allow-update { localhost; Update-policy {grant dhcp-dns subdomain g7.lrcd.local. A TXT; notify no; zone " in-addr.arpa" IN { type master; file "pri/ zone"; //allow-update { localhost; Update-policy {grant dhcp-dns subdomain in-addr.arpa PTR TXT; notify no; /etc/bind/named.conf Transferência de zona A transferência de zonas consiste no mecanismo utilizado pelos servidores DNS para replicarem as respectivas zonas entre os masters e slave. Este mecanismo, mais uma vez

18 envolve certos riscos uma vez que um determinado slave pode ser alvo de ataques por parte de masters não filedignos. A formas mais simples de implementar alguma segurança na transferência de uma zona consiste em recorrer aos parâmetros allow-transfer e masters que são incluídos no ficheiro de configuração da zona no master e slave respectivamente. Desta forma, o slave apenas aceita uma transferência de zona do peer especificado no parâmetro masters. Uma outra alternativa ao cenário anterior consiste em recorrer ao protocolo TSIG para implementar autenticação e integridade no processo de transferência de zona. Neste cenário o parâmetro masters, incluído no slave, tem a mexma sintaxe mas o parâmetro allow-transfer, em vez de conter os endereços dos slaves para a zona, passa a conter a chave ( allow-transfer { key dns1-dns2 ; ). include "/etc/bind/tsig.key"; Server { Keys{dns1-dns2 options {... allow-transfer{key dns1-dns2 ; view "external" { match-clients { any; zone "g7.lrcd.local" IN { type master; file "pri/g7.lrcd.local.external.zone"; Master - /etc/bind/named.conf include "/etc/bind/tsig.key"; Server { Keys{dns1-dns2 options {... allow-transfer{key dns1-dns2 ; view "external" { match-clients { any; zone "g7.lrcd.local" IN { type slave

19 masters { ; ; file "pri/g7.lrcd.local.external.zone"; Slave - /etc/bind/named.conf Numa transferência de zona o slave vai efectuando polling ao master em intervais de tempo especificado no parâmetro REFRESH do registo SOA do ficheiro da zona que comtém os parâmetros globais para a zona. O polling consiste no envio de uma query pedindo o registo SOA e verificando se o parâmetro SERIAL se mantém, pois caso contrário verificaram- se alterações na zona. Nos cenários onde as zonas sofrem alterações com alguma dinâmica, ou seja, que ultrapassem em grande escala o valor do parâmetro REFRESH podemos recorrer aos parâmetros notify, also-notify e notify-source para que o master envie mensagens NOTIFY para o slave com o intuito de forcar a uma actualização. Ficheiros de configuração De seguida podemos vizualizar o ficheiro de configuração do servidor DNS: include "/etc/bind/tsig.key"; Server { Keys{dhcp-dns acl "trusted" { /28; localhost; options { directory "/var/bind"; // uncomment the following lines to turn on DNS forwarding, // and change the forwarding ip address(es) : //forward first; //forwarders { // ; // ; // listen-on-v6 { none; listen-on { ; ; // to allow only specific hosts to use the DNS server: //allow-query { // ; // // if you have problems and are behind a firewall:

20 //query-source address * port 53; pid-file "/var/run/named/named.pid"; allow-query { any; allow-recursion { trusted; allow-query-cache { trusted; dnssec-enable yes; /*************************************************************** //provide recursive queries and caching for internal users ****************************************************************/ view "internal" { match-clients { trusted; zone "." IN { type hint; file "named.cache"; zone "localhost" IN { type master; file "pri/localhost.zone"; allow-update { none; notify no; zone "127.in-addr.arpa" IN { type master; file "pri/127.zone"; allow-update { none; notify no; zone "g7.lrcd.local" IN { type master; //also-notify { ; file "pri/g7.lrcd.local.internal.zone"; //allow-update { localhost; Update-policy {grant dhcp-dns subdomain g7.lrcd.local. A TXT; notify no; zone " in-addr.arpa" IN { type master; file "pri/ zone"; //allow-update { localhost;

21 Update-policy {grant dhcp-dns subdomain in-addr.arpa PTR TXT; notify no; /* zone "lrcd.local" IN { type slave; file "sec/lrcd.local.zone"; masters { ; */ /****************************************************************** //provide nom recursive dns service *******************************************************************/ view "external" { match-clients { any; zone "g7.lrcd.local" IN { type master; //also-notify { ; //allow-transfer { ; ;); file "pri/g7.lrcd.local.external.zone"; Zonas de pesquisa directa A informação relativa às zonas é guardada nos ficheiros.zone no directório /var/bind. Estes ficheiros contêm os diversos tipos de registos da zona. $TTL IN SOA g7.lrcd.local. root.g7.lrcd.local. ( ; Serial ; Refresh ; Retry ; Expire - 1 week ) ; IN NS IN MX 10 mail webmail IN CNAME mail ns IN A ns IN AAAA 2001:690:2008:cfa0::1 www IN A

22 www IN AAAA 2001:690:2008:cfa0::1 mail IN A zona g7.lrcd.local O primeiro registo da zona é o SOA que contém os parâmetros adminstrativos da zona, dos quais se destacam o parâmetro SERIAL para que o slave consiga verificar se a zona se mantem intacta e REFRESH que determina ao fin de quanto tempo o slave deve efectuar poll ao master. NS MX Definem quais os servidores DNS responsáveis por manter a zona Definem o endereço do servidor de smtp disponíveis para a zona CNAME Definem aliases para os hosts da rede A Definem a relação directa entre o host e o respectivo endereço IP. Zonas de pesquisa inversa O ficheiro da zona de pesquisa inversa é constituido pelo registo SOA, que tem as mensmas funcionalidades que o da zona de pesquisa directa e por registos PTR que definem a relação directa entre os endereços IP e os respectivos hosts. $ORIGIN. $TTL ; 1 day in-addr.arpa IN SOA g7.lrcd.local. root.g7.lrcd.local. ( ; serial ; refresh (3 hours) 900 ; retry (15 minutes) ; expire (1 week) ; minimum (1 day) ) IN NS localhost. $ORIGIN in-addr.arpa PTR localhost. $TTL 300 ; 5 minutes PTR pedro-portatil.g7.lrcd.local. zona in-addr.arpa