Servidor DNS en Linux
0 recomendaciones2,135 vistas
Este documento describe la configuración de varios servidores DNS en una red. Incluye la instalación y configuración de un servidor DNS caché, un servidor DNS primario para una zona directa e inversa, la adición de un subdominio, la configuración de un servidor secundario y la delegación de un subdominio a un servidor delegado. Se proporcionan detalles sobre los archivos de configuración de DNS y las herramientas de consulta para validar las configuraciones.
Servidor DNS en Linux
- 1. PRÁCTICA 2.2. LINUX SERVIDOR DNS Apellidos,Nombre: Martin Rivero Javier 1. Qué tipo de información encontramos en www.dnssec.net. Indica qué es. Menciona qué es el pharming y dns spoofing en relación a ataques conocidos sobre DNS. Pharming: Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio. Dns spoofing: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning). 2. Mira el fichero /etc/hosts, fichero para la resolución estática de nombres (normalmente de la red local). Incluye una nueva línea para un equipo de tu esquema virtual y prueba su funcionamiento con ping. Mira el /etc/resolv.conf, fichero que especifica los servidores DNS y los dominios de búsqueda(search y domain). Mira el fichero nsswitch.conf. Para qué sirve.
- 2. 3. SERVIDOR DNS SÓLO CACHE. Instala el servidor DNS (bind9). Por defecto es solo cache (no es autorizado para ninguna zona). a) Configuralo en named.conf.options para que tenga como reenviador un DNS público caché que eligas
- 3. b) Comprueba con ps –ef|grep named que el servidor se ha iniciado y con netstat –ltun que escucha los puertos 53. c) Muestra los ficheros e indica brevemente qué contienen: – /etc/bind/named.conf Es el fichero principal, dentro de el hace una llamada a los otros ficheros de configuracion de nuestro servicio dns.
- 4. – /etc/bind/named.conf.options Es un fichero que contiene las opciones del demonio named, en el se pueden definir los reenviadores. – /etc/bind/named.conf.local Es el fichero donde se crean la zona directa y la zona inversa Es el fichero donde se crean la zona directa y la zona inversa – /etc/bind/db.root En esta archivo describe los servidores de nombre raiz que hay en el mundo. c) Configura el archivo resolv.conf de tu ubuntucliente e indícale a mano que su servidor será el ubuntuserver y dominio de sri.com.
- 5. d) Usa el comando dig para preguntar por el dominio google.es. Vuelve a hacer la operación para comprobar que el tiempo de respuesta es mucho menor dado que ya lo tenía en la caché. Y ejecuta otra vez dicho comando. e) En el servidor DNS edita de nuevo named.conf.options para poner como reenviador o forwaders el
- 6. del instituto, utiliza previamente dig –t NS y dig –t A d nobtenido para saber cúales son. forwarders{ ………. }; f) Reinicia el servicio DNS y comprueba el fichero de logs del sistema y verifica que no ha habido fallos al arrancar: sudo tail /var/log/syslog
- 7. 4. SERVIDOR DNS PRIMARIO. Configura tu servidor (UbuntuServer) de dominio como primario(maestro) para una zona directa e inversa con las siguientes características: • La red del aula tendrá las direcciones 10.33.1.0/24 • El dominio se llamará “sri.com” • No se permiten actualizaciones dinámicas • El servidor DNS maestro se llama sri-ubuntu-server.sri.com • Añade como equipo de tu esquema de red a tu ubuntuserverNAT. • Añade el alias userver para el servidor primario • Añade también el alias www el servidor primario. • El servidor de correo será él mismo y prioridad 10. • El TTL absoluto es de 12 horas. • Parámetros de SOA: Serial,1, refresco cada hora, reintentos cada media hora, los datos expiran en un día y el TTL por defecto de los RR es de 12 horas. • Sólo responda a consultas recursivas de los equipos pertenecientes a la red 10.33.1.0/24 Creamos la zona directa sri.com dentro de named.conf.local. Creamos la zona inversa dentro de named.conf.local.
- 8. En el named.conf.options le decimos que solo permita consultas recursivas a la red 10.33.1.0 Creamos el db.sri.com donde recoge todos los parametros de la zona directa.
- 9. Luego creamos el dbrev.sri.com con todos sus parametros. Comprobaciones del archivo named.conf.local para ver si esta correcto Comprobacion de la zona directa e inversa de sri.com Miramos el syslog para comprobar que todo funciona correctamente
- 10. Usamos el comando rndc reload para reiniciar el dominio sin reiniciar el servidor. Informacion sobre rnd reload: BIND incluye una utilidad llamada rndc la cual permite la administración de línea de comandos del demonio named desde el host local o desde un host remoto. Para prevenir el acceso no autorizado al demonio named, BIND utiliza un método de autenticación de llave secreta compartida para otorgar privilegios a hosts. Esto significa que una llave idéntica debe estar presente en los archivos de configuración /etc/named.conf y en el rndc, /etc/rndc.conf. Rndc reload — Recarga los archivos de zona pero mantiene todas las respuestas precedentes situadas en caché. Esto le permite realizar cambios en los archivos de zona sin perder todas las resoluciones de nombres almacenadas. Configuracion del dhcpd.conf con sus respectivos ambitos
- 11. Comprobamos en el sri-ubuntucliente.sri.com dentro de resolv.conf que el dhcp le da la ip y el dominio donde tiene que buscar. h) Prueba con la herramienta dig que tu servidor DNS resuelve consultas directa e inversa desde tu equipo Linux cliente. Consultas directa DIG SRI-UBUNTUCLIENTE.SRI.COM DIG SRI-UBUNTUSERVERNAT.SRI.COM
- 12. Consulta Inversa
- 14. 5.-SERVIDOR DNS PRIMARIO CON SUBDOMINIO. Crea en tu userver una nueva zona para el subdominio llamado windows.sri.com. El tiempo en que los registros de la zona se mantendrán en la cache de los clientes será de 2 días, y el tiempo de las respuestas negativas de la zona será de 3 horas. A este subdominio, pertenecerá tu máquina xwp. Usa desde tu equipo ubuntucliente para comprobar y practicar las herramientas de consulta DNS, a saber, host wxp, dig –x IP de tu equipoXP, y nslookup ubuntucliente.
- 17. 6.-SERVIDOR DNS SECUNDARIO O ESCLAVO. Configura el equipo subuntuservernat para que sea secundario o esclavo para la zona sri.com. Usa como alias ns2.sri.com para este servidor. Usa rndc retransfer sri.com para provocar una transferencia de zona aunque no haya cambio en el serial. Asimismo, prueba a hacer dig@ipubuntuserver sri.com axfr y ixfr. Edita el syslog para ver lo ocurrido. Indica el directorio donde guarda el esclavo los registros de las actualizaciones del maestro.
- 19. 7.-SERVIDOR DNS DELEGADO. Configura tu equipo ubuntucliente para que sea servidor DNS delegado del dominio nat.sri.com y para que se delegue en él la autoridad de este subdomino. A este subdominio pertenece tu máquina wserverNAT. No te olvides de indicar el forwarder padre, ni el glue record. Haz un dig wservernat.nat.sri.com para comprobar que la autoridad reside en el servidor delegado, aunque el ubuntuserver es el servidor principal.
- 23. 8.-MUESTRA GRÁFICAMENTE TU ESQUEMA DE RED COMO HA QUEDADO INDICANDO QUE MÁQUINA ES SERVIDOR DE QUÉ O CLIENTE CON QUÉ DOMINIO.