Serviço DNS no PoP-SC

Transcrição

1 Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis 04 e 05 Outubro/2012 Serviço DNS no PoP-SC Rodrigo Pescador PoP-SC/RNP Organização: Apoio: Patrocínio: Instituição:

2 Agenda O que é DNS? Como funciona e características Boas práticas Principais problemas Serviços PoP-SC Cache DNS Automatização de DNS Autoritativo DNSSEC em Servidor Autoritativo PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

3 O que é? Serviço para Tradução de Nomes em Endereços IP e vice-versa IP Nome PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

4 Sintaxe Os nomes de domínio formam uma estrutura hierárquica Quanto mais à esquerda, mais específico Quanto mais à direita, mais genérico específico genérico O domínio raiz é o menos específico possível PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

5 Tipos de mapeamento Direto: Nome Endereço IP Reverso: Endereço IP Nome PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

6 Resolução de Endereço rnp br. www pop-sc Endereço com o Ponto Final é resolvido normalmente ( Servidores envolvidos na consulta DNS sabem da existência dos servidores raiz DNS ex: db.root (bind) Na resolução de nomes, existe a quebra dos rótulos da direita para esquerda O primeiro componente, (Top Level Domain) é obtido no servidor raiz para alcançar o servidor responsável autoritativo As consultas retornam, para cada rótulo, servidores de nomes mais específicos até que um servidor de nomes retorne a resposta da consulta original Na prática, a maior parte desta informação não muda com muita frequência ao longo de várias horas e, portanto, é armazenada em cache por servidores de nomes intermediários PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

7 DNS Reverso Principal Função Tradução de IPs para Nomes Não é obrigatório, mas é recomendado Pode garantir que você não terá problemas em aplicações, principalmente em servidores SMTP (filtro de SPAM) PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

8 Consulta DNS Reverso WHOIS Consulta dos servidores responsáveis pela resolução reversa de IPs (WHOIS): # whois /24 inetnum: /24 aut-num: owner: AS10715 inetrev: /24 nserver: nsstat: INSTITUTO FEDERAL CATARINENSE CAMPUS VIDEIRA ns1.ifc-videira.edu.br AA nslastaa: nserver: nsstat: ns2.ifc-videira.edu.br AA PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

9 DNS Raiz Nível mais alto da hierarquia DNS Operados por diferentes entidades Distribuídos em cluster ao redor do mundo Atualmente 13 servidores no mundo Todos servidores DNS devem possuir cadastrados os servidores raiz são os pontos inicias da consulta DNS PoP-SC, hospeda 1 cópia do servidor-raiz L 1 cópia do.br PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

10 Tipos de servidores DNS Primário Contém todas as informações sobre os domínios que administra As atualizações de registros e demais informações devem ser feitas neste servidor Secundário Contém informações (cópias) dos dados disponibilizados no servidor primário Pode operar mesmo sem o servidor primário Não existe um número máximo de servidores secundários PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

11 Tipos de servidores DNS (2) Cache (cache-only) Não guardam informações de domínios Repassam solicitações de terceiros para servidores remotos Guardam resposta de consultas anteriormente realizadas Ajudam a aliviar a carga sobre os servidores primários e secundários PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

12 Zonas de Autoridade (SOA) Conhece todos os mapeamentos de endereços referentes à essa área (domínios) sob sua responsabilidade e é quem responde as perguntas (queries) feitas pelos resolvers Contém informações como: Nome do servidor de nomes primário Número de série da zona Intervalo de refresh Intervalo retry Tempo de expire Tempo de vida do registro (TTL) PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

13 Registro de Recursos Domínios podem ter um conjunto de registros associados Tipos de RR s mais utilizados: SOA A NS PTR MX Servidor de nomes, versão do arquivo, responsável Nome para IP Especifica servidores DNS para domínio, zona ou subzona IP para nome Hosts responsável pelo do domínio PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

14 DPNs sob o.br DPN Finalidade Categoria DNSSEC com.br Atividades comerciais Genérico Disponível net.br Atividades comerciais Genérico Disponível emp.br Pequenas e microempresas Genérico Disponível eco.br Atividades com foco eco-ambiental Genérico Disponível gov.br Entidades do governo federal Pessoas Jurídicas - com restrição Disponível edu.br Entidades de ensino superior Universidades Disponível Entre muitos outros PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

15 Sistema de Automatização de DNS Sistema de Gerência e Controle automatizado do serviço de DNS secundário no PoP-SC Autoritativo Operado pela instituição Cadastro dos servidores primários Permite o cadastro de zonas diretas, reversas Suporte a IPv4 e IPv6 Verificações periódicas sobre a saúde do sistema Status: Em desenvolvimento pelo PoP-SC PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

16 Boas práticas para DNS Utilização de sistema de cache de consultas Possuir mais de um servidor respondendo pela zona Não permitir recursão para Internet Separar servidores autoritativos de recursivos Implantar DNSSEC em suas zonas autoritativas Firewall Porta TCP e UDP 53 Recomenda-se utilizar firewall com DIP PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

17 Problemas comuns com DNS Lame delegation lame server resolving ' in-addr.arpa' (in ' in-addr.arpa'?): #53 Glue record Requeridos quando se deseja apontar servidores de nome de um determinado domínio para um host abaixo deste próprio domínio Deseja-se apontar os servidores DNS da zona pop-sc.rnp.br para ns1.pop-sc.rnp.br. Neste caso é necessário indicar o IP deste host ns1.pop-sc.rnp.br na configuração do arquivo da zona Servidor aberto para consultas recursivas na Internet Bloqueio da porta TCP 53 (AXFR) PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

18 Cache DNS PoP-SC Motivações Instituições apontavam servidores DNS do Google como forward Fazer um cache DNS com as consultas mais acessadas no meio acadêmico Diminuir o tempo de resolução de consultas DNS PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

19 Infraestrutura PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

20 options {... Configuração BIND9 Exemplo utilizando sistema de cache do PoP-SC forwarders { ; 2001:12f0:200:a014::2; ; 2001:12f0:200:FFFF:F::D1; }; }; IPs anycast dos servidores cache forward PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

21 Solicitando o serviço Sou cliente e quero utilizar o serviço, como procedo? Enviar um para noc {at} pop-sc.rnp.br, com as seguintes informações: Nome da Instituição; Endereços IPs dos servidores da instituição. PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

22 DNSSEC Extensão do DNS Corrige falhas da implementação comum do DNS Utiliza criptografia assimétrica Domínio.edu.br possui suporte ao DNSSEC O DNSSEC garante: Origem Integridade Não existência de um domínio PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

23 DNSSEC (2) Ataques DNS são difíceis de serem identificados e praticamente impossíveis de serem prevenidos O DNSSEC valida os dados e garante a origem da informação PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

24 DNSSEC Servidor autoritativo com BIND9 Criação das chaves Geração de arquivo.key e.private $ dnssec-keygen -r /dev/urandom -f KSK -a RSASHA1 -b n ZONE pop-sc.rnp.br Assinatura do domínio Geração de arquivo de zona com a extensão.signed $ dnssec-signzone -S -z -o pop-sc.rnp.br pop-sc.rnp.br.zone PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

25 DNSSEC Servidor autoritativo com BIND9 (2) Ajuste do arquivo de zona no BIND zone pop-sc.rnp.br" { type master; file "/etc/namedb/pop-sc.rnp.br.zone.signed";... }; PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

26 DNSSEC Cadastro no registro.br Tela de inserção dos registros DNS no registro.br Inserir os dados do arquivo dsset-pop-sc.rnp.br. $ cat dsset-pop-sc.rnp.br. pop-sc.rnp.br. IN DS E8BA8C5056C F831512AD F80E94 PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

27 DNSSEC Requisitos de implantação O servidor necessita suporte a EDNS Suporte a pacotes DNS maiores que 512 bytes (RFC 2671) Configuração do BIND e do firewall PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

28 DNSSEC Add-on para Firefox DNSSEC Validator PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

29 Referências Uma Introdução ao Sistema de Nomes da Internet, Dalton Nunes e Paulino Ng PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de

30 Organização: Apoio: Patrocínio: Rodrigo Pescador OBRIGADO PoP-SC/RNP & REMEP-FLN FLORIANÓPOLIS/SC 04 & 05 de OUTUBRO de