Trabalho 4 - DNS

Teoria/Howto/Referências

• DNS for Rocket Scientists
  • ORIGIN and @ Substitution
  • The DOT in a Zone File
  • Forwarding (a.k.a Proxy) Name Servers
  • 'named.conf' Parameters
    • 'named.conf' Parameters- Options
      
    • forward
      
  • DNS Resource Records
  • Howto Delegate a Sub-domain (a.k.a. subzone)
• Bind Manual Pages
  • Configuration Reference
• Glossário DNS
• Protocolo DNS
  
• Common DNS Operational and Configuration Errors (RFC 1912)

Notas prévias

• O comando rndc usa-se para controlar (local ou remotamente) o servidor de nomes (named), e.g., para carregar uma configuração actualizada (rndc reload) ou para limpar a cache (rndc flush).
• Por uma questão de segurança, é aconselhável mudar a chave default para comunicação entre o rndc e o named. Pode gerar uma nova chave usando o seguinte comando:

  rndc-confgen -a -b 384 -k rndc-key
  

  Este comando cria (ou modifica) o ficheiro /etc/rndc.key, com a definição de uma chave com o seguinte aspecto:

  key "rndc-key" {
          algorithm hmac-md5;
          secret "TqeiABSAEUqqREJhDDkHrcMK9o7mnNihXEbMAW/dBSU=";
  };
  

  Se o ficheiro /etc/rndc.conf existir, certifique-se de que não contém a definição dessa chave (se contiver, apague-a) mas inclui o /etc/rndc.key. Exemplo de configuração:

  include "/etc/rndc.key";
  options {
      default-server   localhost;
      default-key      rndc-key;
  };
  

  Faça o mesmo em relação ao ficheiro /etc/named.conf, certificando-se ainda de que a secção controls está configurada para usar a chave definida, e.g.:

  include "/etc/rndc.key";
  controls {
      inet 127.0.0.1 port 953
      allow { 127.0.0.1; } keys { rndc-key; };
  };
  

  Altere o grupo e as permissões do ficheiro com a chave usando

  chgrp named rndc.key
  chmod 640 rndc.key
  

• Para verificar se o named.conf e os ficheiros de zona estão correctos pode utilizar, respectivamente, named-checkconf e named-checkzone zone file, onde file é o pathname do ficheiro de zona. Faça sempre estes testes antes de pôr o serviço a correr.
• Sempre que alterar as configurações e fizer rndc reload para as activar, verifique nos logs que não ocorreram erros.
• Para resolver nomes, usam-se os comandos host ou dig. Normalmente, o servidor a consultar é o indicado no ficheiro /etc/resolv.conf, que é actualizado ao obter endereços por DHCP. Se quisermos usar outro servidor (e.g., 172.16.0.2), podemos especificá-lo na linha de comando:
  host www.dcc.fc.up.pt 172.16.0.2
dig @172.16.0.2 www.dcc.fc.up.pt
• Depois de fazer as configurações iniciais e antes de iniciar a resolução das questões, e usando um dos comandos acima descritos, certifique-se de que consegue consultar qualquer um dos servidores DNS configurados a partir do terminal 1 e do outro servidor DNS. Se não conseguir, verifique no named.conf as opções listen-on e allow-query.
• Por questões de segurança, o bind (processo named) não corre como root, mas sim como named. Para que possa ler os ficheiros de zona, certifique-se de que estes pertencem ao grupo named e são legíveis pelo grupo.

Objectivo

No emulador de rede GNS3 dentro da VM a correr no sistema de virtualização deve configurar a rede da seguinte figura segundo as indicações dadas abaixo:

• Faça download do ficheiro com o projecto, guarde-o no directório ~ar/GNS3/projects/trab4, e depois abra-o no GNS3.
• Pode usar esta configuração para o router R1 (para a importar, o router deve estar desligado). Esta configuração faz NAT (masquerading) das redes internas. O router também está configurado para servir aos servidores DNS e ao terminal, por DHCP, os endereços IP indicados. Se não estiver a atribuir o endereço IP aos servidores e ao terminal, use o comando debug ip dhcp server packet em R1 para descobrir o client identifier que cada uma das máquinas envia e altere a configuração das pools DHCP em conformidade.
• A máquina dns.admredes.pt é o servidor master do domínio admredes.pt.
• A máquina dns.dept.admredes.pt é o servidor master do sub-domínio dept do domínio admredes.pt.
• Deve configurar os servidores para resolução de nomes directa e inversa
• Além de masters, ambos os servidores devem funcionar também como caching nameservers, permitindo recursão apenas para a gama de endereços IP da respectiva rede local.
• Deverá configurar mail.admredes.pt (endereço IP 172.16.0.7) como servidor de email (entrada MX) em ambos os servidores DNS.
• Deve haver uma entrada para o router em ambos os domínios.
• Deve configurar um alias www.admredes.pt para o dns.admredes.pt.
• Por enquanto, nenhum dos servidores tem slaves.
• Para simplificar as capturas, desactive no named.conf dos servidores DNS o DNSSEC e o EDNS. Para tal, inclua as seguintes declarações na cláusula options:

       dnssec-enable no;
       dnssec-validation no;
       dnssec-lookaside no;
  

  e a seguinte linha no top-level do ficheiro (i.e., fora de qualquer cláusula):

       server 0.0.0.0/0 { edns no; };
  

Questões/Traces/Análise

1. No dns.admredes.pt, descubra o servidor de email do domínio dept.admredes.pt usando host -t mx dept.admredes.pt. (outRes)
2. No dns.dept.admredes.pt, limpe a cache de DNS (rndc flush) e inicie uma captura wireshark. Em term1, tente descobrir o servidor de email do domínio admredes.pt. Explique o que se passou. (capRes + texRes)
3. No dns.dept.admredes.pt, limpe cache de DNS e inicie uma captura wireshark. Em term1 use o comando dig para resolver o nome www.jn.pt.
   1. Recorrendo à captura feita, diga qual foi o caminho seguido pelo(s) pedido(s) do registo A e respectiva(s) resposta(s). Na imagem da captura deverá mostrar apenas os pacotes relevantes. (capRes + texRes)
   2. Indique se a resposta dada ao terminal é autoritária, identificando os campos da mensagem que o levam a essa conclusão. (capRes + texRes)
   3. Diga se a resposta obtida pelo dns.dept.admredes.pt é autoritária e justifique. (texRes)
   4. Note que existe mais do que um endereço para este nome e que a ordem dos endereços é round-robin. Que vantagens se podem obter destes factos? (texRes)
4. Diga o que entende por glue record e qual a sua utilidade. Foi necessário usar um nesta montagem? Em caso afirmativo, em que máquina? (texRes)
5. Quando é usado NAT, a resolução de endereços tem que ser diferente consoante o pedido veio de uma máquina interna ou externa. Isto faz-se usando vistas.
   Nesta pergunta vamos alterar o NAT no router R1 para NAT puro (sem tradução de portas), de modo a que as máquinas da rede 172.16.0.0/24 sejam vistas no exterior como pertencendo à rede 192.168.80.0/24, mantendo a parte de host. Para tal, corra em R1 (modo de configuração) os seguintes comandos:

   no ip nat inside source list 2 interface FastEthernet2/0 overload
   ip nat inside source static network 172.16.0.0 192.168.80.0 /24 no-alias no-payload
   

   1. Configure vistas no dns.admredes.pt de modo a que, quando os pedidos são feitos de fora das redes 172.16.0.0/24 ou 10.0.0.0/24, os endereços da rede 172.16.0.0/24 sejam vistos como estando na rede 192.168.80.0/24. Indique as alterações que teve de fazer nos ficheiros de configuração. (confRes)
   2. Teste a configuração da vista interna descobrindo o endereço IP de router.admredes.pt a partir do próprio dns.admredes.pt. (outRes)
   3. Na própria máquina onde está a correr o GNS3, que também está ligada à rede 192.168.123.0/24, adicione uma rota para a rede 192.168.80.0/24 através do 192.168.123.a (o endereço IP obtido por DHCP pelo router Cisco na interface f2/0). Para testar a configuração da vista externa, obtenha o endereço IP de router.admredes.pt a partir dessa máquina usando o comando host router.admredes.pt. 192.168.80.2 (outRes)
   Após concluir esta questão, reponha a configuração original no router R1. Reponha também a configuração anterior a esta pergunta (sem vistas) no dns.admredes.pt.
6. Sendo o DNS um serviço fundamental na rede, praticamente todas as redes implementam, além do master, um ou mais servidores slave para obter tolerância a falhas e/ou distribuição de carga. Faça as alterações necessárias aos ficheiros de configuração para que dns.admredes.pt funcione também como slave de dns.dept.admredes.pt para o subdomínio dept.admredes.pt.
   1. Indique as alterações que teve de fazer nos ficheiros de configuração. (confRes)
   2. Faça uma captura de pacotes em dns.dept.admredes.pt e active as novas configurações. Identifique na captura a transferência do domínio dept.admredes.pt do master para o slave. (capRes) Se já tinha activado as novas configurações antes de fazer a captura, provavelmente não será feita nova transferência de domínio. Se isto acontecer, vá ao dns.admredes.pt, pare o serviço named, apague os ficheiros slave, volte a iniciar o serviço named e repita esta alínea.
   3. Antes da transferência de domínio é feito um outro pedido para o registo SOA. Explique para que serve este registo e por que razão é pedido antes de fazer a transferência de domínio. (texRes)
   4. Verifica alguma diferença entre o protocolo de transporte usado para a transferência de domínio e o normalmente usado para as outras perguntas DNS? Qual a razão para essa diferença? (texRes)
   5. No dns.admredes.pt, faça uma captura de pacotes na pseudo-interface any (use o comando tcpdump -i any -w askslave.pcap port 53 & e depois copie o ficheiro askslave.pcap para a VM onde está a correr o GNS3 e use o Wireshark para o abrir). Teste a nova configuração descobrindo o servidor de email de dept.admredes.pt a partir de dns.admredes.pt. (capRes)
   6. A resposta que obteve na alínea anterior é autoritária? Justifique. (texRes)
7. A configuração da zona ".", do tipo hint, necessita dum ficheiro (normalmente chamado named.ca). Observe o conteúdo desse ficheiro e explique a sua função. (texRes)