sri:t2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
| sri:t2 [2018/11/07 12:50] – creado José Manuel Guallar | sri:t2 [2024/11/26 11:55] (actual) – José Manuel Guallar | ||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| - | Contenidos | + | Configurar un servidor |
| - | • Sistemas de nombres planos vs jerárquicos. | + | |
| - | • Características y funcionamiento del servicio | + | |
| - | • Espacio de nombres de dominio. Nombres de dominio. Dominios y subdominios. Delegación. Registro de nombres de dominio. | + | |
| - | • Servidores de nombres. Zonas, tipos de servidores y servidores raíz. | + | |
| - | • Clientes DNS (resolvers). | + | |
| - | • Proceso de resolución. Consultas recursivas e iterativas. Cache y TTL. | + | |
| - | • Resolución inversa. | + | |
| - | • Base de datos DNS. Tipos de registros de recursos. | + | |
| - | • Transferencias de zona. Actualizaciones de DNS dinámicas. | + | |
| - | • Seguridad DNS. | + | |
| - | • Whois | + | |
| - | Objetivos | + | |
| - | • Identificar y describir escenarios | + | |
| - | • Clasificar los principales mecanismos de resolución de nombres y describir la estructura, nomenclatura y funcionalidad de los sistemas de nombres jerárquicos. | + | |
| - | • Instalar | + | |
| - | • Añadir registros de nombres correspondientes a una zona nueva, con opciones relativas a servidores de correo y alias y realizar transferencias de zona entre dos o más servidores. | + | |
| - | • Implementar soluciones de servidores de nombres en direcciones " | + | |
| - | • Documentar los procedimientos de instalación y configuración. | + | |
| - | 1.- Introducción | + | Requisitos previos |
| - | Las direcciones IP que identifican a los equipos en las redes TCP/IP, son números fáciles de manejar para las máquinas pero que pueden resultar complicados de utilizar y memorizar para los humanos. A las personas les resulta más sencillo usar y recordar nombres. | + | |
| - | Para facilitar el uso de los servicios y recursos que ofrece una red se han creado sistemas de nombres utilizados por servicios de resolución de nombres que permiten asociar nombres sencillos con direcciones numéricas. Los servicios de nombres almacenan las direcciones y sus nombres (por ejemplo, " | + | |
| - | El principal servicio de resolución de nombres usado en redes TCP/IP, y por lo tanto en Internet, es el servicio DNS (Domain Name System o Sistema de Nombres de Dominio). | + | |
| - | 2.- Sistemas de nombres planos vs jerárquicos | + | 1. Sistema operativo Debian instalado. |
| - | Los sistemas de nombres, no solo los usados en redes, se pueden clasificar en: | + | |
| - | ■ Sistemas de nombres planos: | + | |
| - | • Uso de nombres sin ningún tipo de agrupamiento. | + | |
| - | • No existe una jerarquía que permita clasificar dichos nombres. | + | |
| - | • Ejemplos: DNIs, nombres de ciudades, de calles, nombres NETBIOS de windows... | + | |
| - | ■ Sistemas de nombres jerárquicos: | + | |
| - | • Uso de nombres agrupados y clasificados según algún criterio( por ejemplo distribución geográfica, | + | |
| - | • Facilitan la administración y gestión y gestión distribuida | + | |
| - | • Ejemplos: numero de teléfono 0034918889999 identifica España y Madrid, C: | + | |
| - | DNS ofrece un sistema de nombres jerárquico | + | |
| - | 3.- Historia de DNS | + | 2. Acceso |
| - | En los comienzos de Internet se usaba un sistema de nombres planos. La relación entre nombres de equipos (hosts) y direcciones IP se almacenaba en un archivo (host.txt) localizado en un servidor central. Los equipos de la red obtenían periódicamente por FTP el archivo y así podían usar los nombres que contenía. | + | |
| - | + | ||
| - | Inicialmente, | + | |
| - | • Sobrecarga del servidor que contenía el fichero hosts como consecuencia del aumento del tamaño del fichero y del número | + | |
| - | • Tráfico y carga de la red como consecuencia de la descarga del fichero. | + | |
| - | • Aumento de la probabilidad de duplicidad de nombres al usarse un sistema de nombres plano. | + | |
| - | • Dificultad para administrar el fichero y gestionar las múltiples peticiones de nuevos nombres. | + | |
| - | Ante los problemas de funcionamiento se pensó en un nuevo sistema que ofreciera características tales como escalabilidad, | + | |
| - | 4. | + | 3. Configuración |
| - | DNS ofrece un servicio | + | |
| - | DNS puede almacenar varios tipos de información sobre cada nombre de dominio y por ello se puede utilizar para diferentes propósitos. Lo habitual es asociar direcciones IP con nombre de dominio y por eso se utiliza comúnmente para: | + | |
| - | ■ Resolución de nombres (búsqueda directa) | + | 4. Nombre de dominio que deseas configurar |
| - | • Obtener la información asociada a un nombre de dominio | + | |
| - | • Por ejemplo, ¿cuál es la dirección o direcciones IP asociada al nombre " | + | |
| - | ■ Resolución inversa de direcciones (búsqueda inversa) | + | |
| - | • Mecanismo inverso al anterior. | + | |
| - | • Por ejemplo, ¿cuál es o cuáles son los nombres de dominio asociados a la dirección IP 200.100.89.10? | + | |
| - | ■ Resolución de servidores de correo | + | |
| - | • Dado un nombre de dominio, por ejemplo " | + | |
| - | + | ||
| - | También se puede utilizar DNS para otros propósitos: | + | |
| - | + | ||
| - | En los siguientes apartados se explica el funcionamiento de DNS utilizando ejemplos basados en la resolución directa de nombres. Una vez tratado de forma global el servicio se explica la resolución inversa | + | |
| - | + | ||
| - | 3.5. | + | |
| - | El servicio que ofrece DNS se basa en los siguientes componentes, | + | |
| - | • Espacio de nombres de dominio (domain name space). Conjunto de nombres que se pueden utilizar para identificar maquinas o servicios de una red | + | |
| - | • Base de datos DNS. Base de datos distribuida | + | |
| - | • Servidores de nombres (o servidores DNS) (name servers): Programas que guardan parte de la base de datos DNS (zonas) y que responden a preguntas sobre la información almacenada. Por ejemplo, ¿cuál es la dirección IP asociada al nombre " | + | |
| - | • Cliente DNS (resolvers). Programas que realizan preguntas a los servidores de nombres y procesan las respuestas para ofrecerle la información a los usuarios y/o a las aplicaciones que los invocan | + | |
| - | • Protocolo DNS. Conjunto de normas y reglas en base a las cuales " | + | |
| - | + | ||
| - | El funcionamiento del servicio DNS se basa en el modelo cliente/ | + | |
| - | ■ Los clientes DNS (resolvers) preguntan a los servidores de nombres. | + | |
| - | ■ Los servidores de nombres también se comunican entre sí. | + | |
| - | • Pueden realizar preguntas a otros servidores de nombres cuando no tienen la información por la que le han preguntado. | + | |
| - | • Pueden intercambiar información sobre sus zonas (transferencias de zona) | + | |
| - | + | ||
| - | + | ||
| - | 6. Espacio de nombres de dominio | + | |
| - | El espacio de nombres de dominio | + | |
| - | + | ||
| - | 6.1. Nombres de dominio | + | |
| - | Cada nombre de dominio puede estar formado por una o varias cadenas de caracteres separadas por puntos. No se distingue entre mayúsculas y minúsculas, | + | |
| - | Ejemplos de nombres de dominio: | + | |
| - | " | + | |
| - | " | + | |
| - | " | + | |
| - | " | + | |
| - | El conjunto de nombre, forman el denominado espacio de nombres de dominio que se puede representar mediante una estructura jerárquica organizada en forma de árbol es decir todos los nombres forman un árbol donde cada nodo se separa de los otros nodos por un punto. | + | |
| - | Se pueden usar nombres que tengan como máximo 127 niveles y cada parte separada por puntos, es decir, cada uno puede tener como máximo 63 caracteres. En total un nombre de domino no puede superar los 255 carácteres | + | |
| - | + | ||
| - | 6.2 Dominio raíz. Dominios y subdominios | + | |
| - | Observa que en los ejemplos anteriores el dominio termina en punto " | + | |
| - | Como consecuencia de la organización jerárquica de los nombre de dominio es posible utilizar los términos dominio y subdominio, al igual que en un sistema de ficheros de un disco duro es posible referirse a directorios y subdirectorios. | + | |
| - | + | ||
| - | 6.3. | + | |
| - | Supongamos que hemos decido usar dominio " | + | |
| - | + | ||
| - | Si hacemos referencia a " | + | |
| - | Cuando se hace referencia a un dominio usando un nombre se puede emplear su nombre relativo o su nombre absoluto. | + | |
| - | ■ Nombres Relativos: es necesario saber el contexto del dominio superior para determinar a que nombre se hace referencia exactamente. por ejemplo " | + | |
| - | ■ Nombres absolutos: nombre formado por todas las partes separadas por puntos desde el nodo correspondiente hasta el dominio raiz. Por ejemplo " | + | |
| - | Normalmente, | + | |
| - | + | ||
| - | 6.4. Uso de dominios | + | |
| - | Lo habitual os usar un dominio, por ejemplo " | + | |
| - | Se podría usar el dominio " | + | |
| - | + | ||
| - | | + | |
| - | La administración y organización del espacio de nombres de dominio de Internet se distribuye entre múltiples empresas | + | |
| - | + | ||
| - | 6.5.1. | + | |
| - | La ICANN' es una organización sin ánimo de lucro que tiene el objetivo de garantizar que Internet sea estable, operativa y segura. Se encarga, entre otras funciones, de administrar el dominio raíz y de mantener un registro de los dominios de nivel superior (TLD) existentes. | + | |
| - | InterNIC es la organización asociada a la ICANN que permite registrar dominios TLD | + | |
| - | + | ||
| - | 6.5.2. | + | |
| - | Los dominios de nivel superior (TLD, Top Level Domain) son clasificados por la ICANN desde un punto administrativo en: | + | |
| - | ■ Genéricos (gTLD, generic TLD) | + | |
| - | • | + | |
| - | • Se clasifican a su vez en: | + | |
| - | • Dominios patrocinados (sTLD, sponspred TLD), Operan según las reglas de una entidad que soporta su patrocinio (Ejemplos: " | + | |
| - | • Dominios no patrocinados (nTLD, unsponsored TLD). Operan según las reglas del ICANN con unas políticas de uso establecidas globalmente (Ejemplos: " | + | |
| - | ■ Geográficos (ccTLDs, country code TLDs) | + | |
| - | • Nombres de dos letras establecidos en función países o regiones. | + | |
| - | • Las tareas de gestión y políticas de uso se delegan en una entidad del país o territorio (el gobierno de cada país determina la entidad que gestiona el dominio) para favorecer las políticas locales, | + | |
| - | • Ejemplos: " | + | |
| - | ■ arpa | + | |
| - | • Además de los gTLD y ccTLD existe el dominio " | + | |
| - | • Los dominios " | + | |
| - | ■ Dominios reservados | + | |
| - | • Existen una serie de nombres de dominio de primer nivel que están reservados para que puedan usarse en pruebas privadas, ejemplos de documentación, | + | |
| - | • Los nombre reservados " | + | |
| - | + | ||
| - | La administración de cada TLD (incluyendo la gestión y el registro de los dominios de segundo nivel dentro del TLD) es delegado en una organización particular. Estas organizaciones se denominan operadores de registro (registry operators) o patrocinadores (sponsors) y están acreditadas | + | |
| - | + | ||
| - | Actividad: | + | |
| - | ■ Lee la información sobro la función de la ICANN en http: // | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | Actividad: | + | |
| - | ■ Consulta la web http:// | + | |
| - | ■ Accede a la web http:// | + | |
| - | + | ||
| - | 6.5.3. | + | |
| - | La administración descentralizada de DNS (recuerda que los nombre de dominio y la información asociada a ellos, como direcciones IP, constituyen una base de datos distribuida en múltiples servidores de nombres) se basa en la delegación | + | |
| - | La delegación consiste en que la organización que administra un dominio cede la administración a uno, varios o todos sus subdominios a otras organizaciones, | + | |
| - | + | ||
| - | La división de un dominio en subdominios no implica siempre ceder su delegación (por ejemplo, la Universidad Politécnica de Madrid puede crear los subdominios " | + | |
| - | La organización que administra un dominio es responsable de los nombres usados en ese dominio, de las direcciones IP asociadas a ellos y, del funcionamiento y mantenimiento de los servidores de nombres que almacenan esta información. | + | |
| - | + | ||
| - | 6.5.4. | + | |
| - | Registrar un dominio consiste en " | + | |
| - | Un nombre de dominio puede ser registrado a través de diferentes compañías, | + | |
| - | + | ||
| - | Actividad: | + | |
| - | ■ Consulta las preguntas frecuentes (FAQs) de la web de la ICANN ((http:// | + | |
| - | • ¿Cuáles son las normas de registro de los dominios gTLD'' | + | |
| - | • ¿Cuáles son las normas de registro de los dominios ccTLD? | + | |
| - | • Si hay problemas con un agente registrador ¿Hay que informar la ICANN? | + | |
| - | Consulta las web de la ICANN (http:// | + | |
| - | Consulta la web de Red.es (http:// | + | |
| - | Actividad | + | |
| - | Elige un nombre de dominio (por ejemplo, " | + | |
| - | ■ Comprueba que no está registrado. | + | |
| - | ■ Realiza una comparativa de precios entre los 3 agentes registradores. | + | |
| - | ■ Elige un agente registrador y completa el proceso de registro hasta el punto donde se pide que realices el pago. | + | |
| - | 3.7. Servidores de nombres | + | |
| - | Los servidores de nombres, también llamados servidores DNS, son programas que guardan información sobre nombres de dominio y responden a las preguntas que les realizan los clientes DNS y otros servidores de nombres. Almacenan por lo tanto, una parte de la base de datos DNS, | + | |
| - | Por defecto escuchan peticiones en los puertos 53/TCP y 53/UDP. | + | |
| - | 3.7.1. | + | |
| - | Los servidores de nombres mantienen información de una parte del espacio de nombres de dominio que se conoce como zona (por ejemplo, el servidor DNS del Instituto ASIR almacena la información de la zona " | + | |
| - | + | ||
| - | Las zonas se almacenan en ficheros de texto o en bases de datos (en tablas relacionales, | + | |
| - | En el siguiente ejemplo se puede observar una parte del fichero de zona del dominio " | + | |
| - | Cada una de las líneas del fichero es lo que se conoce como registro de recursos (RR Resource | + | |
| - | + | ||
| - | Fichero de zona de resolución directa del dominio asir.es. que se almacena en un servidor DNS que esta en el equipo con IP 193.100.200.100 y cuyo nombre es ns1.asir.es. | + | |
| - | + | ||
| - | asir.es. | + | |
| - | nsl.asir.es. | + | |
| - | obelix.asir.es. | + | |
| - | asterix.asir.es. | + | |
| - | www.asir.es. | + | |
| - | ftp.asir.es. | + | |
| - | + | ||
| - | Como se ha explicado anteriormente la organización que administra el servidor de nombres y por lo tanto la zona puede decidir si delega o no alguno de sus subdominios | + | |
| - | + | ||
| - | En los siguientes ejemplos se puede observar como el instituto ha delegado el subdomino " | + | |
| - | Una zona no es lo mismo que un dominio. Un dominio es un subarbol del espacio de nombres de dominio. Los datos asociados a los nombres de un dominio pueden estar almacenados en una o varias zonas distribuidas en uno o varios servidores DNS | + | |
| - | + | ||
| - | Fichero de zona de resolución directa del dominio asir.es. que se almacena en un servidor DNS que esta en el equipo con IP 193.100.200.100 y cuyo nombre es ns1.asir.es. | + | |
| - | asir.es. | + | |
| - | nsl.asir.es. | + | |
| - | obelix.asir.es. | + | |
| - | asterix.asir.es- | + | |
| - | www.asir.es. | + | |
| - | ftp.asxr.es. | + | |
| - | + | ||
| - | ;Subdominio redes.asir.es delegado | + | |
| - | redes.asir.es. | + | |
| - | nsl.redes.asir.es. | + | |
| - | + | ||
| - | ;Subdominio bbdd.asir.es. No delegado. | + | |
| - | www.bbdd.asir.es. | + | |
| - | pcOl.bbdd.asir.es. | + | |
| - | pc02.bbdd.asir.es. | + | |
| - | + | ||
| - | Fichero de zona de resolución directa del dominio redes.asir.es. que se almacena en un servidor DNS que esta en el equipo con IP 193.100.40.100 y cuyo nombre es ns1.redes.asir.es. | + | |
| - | + | ||
| - | redes.asir.es. | + | |
| - | nsl.redes.asir.es. | + | |
| - | www.redes.asir.es. | + | |
| - | pcOl.redes.asir.es. | + | |
| - | pc02.redes.asir.es. | + | |
| - | Un servidor de nombres puede tener autoridad sobre varias zonas (por ejemplo, el mismo servidor puede ser autorizado para la zona " | + | |
| - | Supongamos que el servidor autorizado para la zona " | + | |
| - | + | ||
| - | Para evitar este tipo de problemas y mejorar el funcionamiento del servicio, DNS permite almacenar una misma zona en varios servidores DNS, ofreciendo así balanceo de carga, rapidez y una mayor tolerancia a fallos. Teniendo en cuenta esto es posible distinguir entre zonas maestras o primarias y zonas esclavas o secundarias | + | |
| - | + | ||
| - | 7.2. Tipos de servidores de nombres | + | |
| - | Según la función que realizan loe servidores de nombres se pueden clasificar en diferentes tipos: | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | ■ Servidor reenviador (forwarding). | + | |
| - | ■ | + | |
| - | Es muy importante tener en cuenta que mismo servidor DNS puede combinar varias de estas funciones simultáneamente (por ejemplo, un servidor DNS puede ser simultáneamente maestro para una zona, secundario para otra y actuar como caché) | + | |
| - | + | ||
| - | 7.2.1. | + | |
| - | Un servidor DNS maestro (también denominado primario o principal) define una o varias zonas para las que es autorizado. Sus archivos de zona locales son de lectura y escritura y es en ellos donde el administrador añade, modifica o elimina nombres de dominio. | + | |
| - | ■ Si un cliente DNS u otro servidor DNS le pregunta por un nombre de dominio para el que es autorizado, consulta con los ficheros de zona y responde a la pregunta. | + | |
| - | ■ Si un cliente DNS u otro servidor DNS le pregunta por un nombre de dominio para el que el que no es autorizado, tendrá que buscar la información en otros servidores DNS o responder que no conoce la respuesta. | + | |
| - | + | ||
| - | 7.2.2. | + | |
| - | Un servidor esclavo (también denominado secundario) define una o varias zonas para las que es autorizado. La diferencia con un maestro es que obtiene los ficheros de zona de otro servidor autorizado para la zona (normalmente un servidor maestro) mediante un proceso que se denomina transferencia de zona. Los ficheros de zona del servidor esclavo son solo de lectura, y por lo tanto, el administrador no tiene que editar estos ficheros. La modificación de los ficharos de zona debe realizarse en el servidor maestro. | + | |
| - | El funcionamiento ante las respuestas de los clientes es similar al de un servidor maestro. | + | |
| - | Ten en cuenta que la definición de maestro o esclavo se determina a nivel de zona, así, un servidor DNS puede ser maestro para una o varias zonas y al mismo tiempo esclavo para otras (por ejemplo, el servidor DNS de instituto ASIR puede ser maestro para la zona asir.es y esclavo para la zona dam.es), Pueden exigir varios servidores esclavos para una misma zona. Las principales razones para su implantación son: | + | |
| - | ■ Reducir y repartir la carga entre varios servidores. | + | |
| - | ■ Favorecer la tolerancia a fallos (al menos un servidor primario y un secundario para cada zona). | + | |
| - | ■ Ofrecer respuestas mas rápidas. | + | |
| - | + | ||
| - | Lo ideal es que los servidores DNS de una zona esté ubicados en redes y localizaciones diferentes para evitar que un problema (como fallo eléctrico o un ataque de denegacón de servicio) les afecte simultáneamente y deje sin servicio de resolución a los nombres de dicha zona | + | |
| - | + | ||
| - | 7.2.3. | + | |
| - | El proceso de resolución de nombres es costoso ya que utiliza los recursos de la red y los recursos de los equipos que ejecutan los servidores y los clientes. Para mejorar los tiempos de respuesta de las consultas, reducir la carga de los equipos y disminuir el tráfico de red, los servidores de nombres pueden actuar como servidores caché | + | |
| - | Cuando un servidor DNS recibe una pregunta sobre un nombre de dominio de una zona para la que no es autorizado, es decir, de un nombre del que no tiene información, | + | |
| - | Un servidor de nombres es solo cache (caching only server) cuando: | + | |
| - | • No tiene autoridad sobre ningún dominio. | + | |
| - | • Pregunta a otros servidores para resolver las peticiones de los clientes DNS y guarda las respuestas en cache. | + | |
| - | + | ||
| - | Actividad: Busca en Internet un listado que muestre los servidores DNS cache que ofrecen las empresas de comunicación que operan en España. Buscar cuáles son los servidores DNS cache que pone Google a disposición de todos los usuarios de Internet | + | |
| - | + | ||
| - | 7.2.4. | + | |
| - | Cuando un servidor DNS recibe una pregunta sobre un nombre de dominio del que no dispone información puede preguntar a otros servidores DNS. ¿A cuantos servidores pregunta y como lo hace? Por ahora vamos a simplificar distinguiendo entre dos posibilidades: | + | |
| - | + | ||
| - | Se encarga de procesar la consulta preguntando a diversos servidores DNS y empezando por los servidores DNS raíz. | + | |
| - | Reenvía la consulta a otro servidor DNS, que se denomina reenviador (forwarder), | + | |
| - | Por lo tanto, un reenviador es un servidor DNS que otros servidores DNS designan para reenviarles consultas. Se utilizan para minimizar las consultas y el tráfico de peticiones DNS desde una red hacia Internet. Además permite a los equipos locales compartir la caché DNS del reenviador minimizando los tiempos de respuesta | + | |
| - | + | ||
| - | 3.7.2.5. | + | |
| - | El término solo autorizado (authoritative only) se usa para describir un servidor que: | + | |
| - | - Es autorizado para una o varias zonas como maestro y/o esclavo. | + | |
| - | - No responde a preguntas que no sean relativas a sus zonas, es decir, no pregunta a otros servidores DNS. Esto implica que no tiene activada le recursividad, | + | |
| - | Actividad accede a alguna de las máquinas de la red virtual debianXX, w7XX....) y abre un terminal. | + | |
| - | • Ejecuta el comando nslookup www.google.es | + | |
| - | • | + | |
| - | • | + | |
| - | • | + | |
| - | + | ||
| - | + | ||
| - | 3.7.3. | + | |
| - | Existen múltiples servidores DNS tanto para sistemas libres como para sistemas propietarios. Algunos de los más utilizados son: | + | |
| - | . BIND (http:// | + | |
| - | . Servidor DNS de Microsoft (http:// | + | |
| - | . PowerDNS (http:// | + | |
| - | . NSD (http:// | + | |
| - | . Simple DNS (http:// | + | |
| - | . Cisco network registrar (http:// | + | |
| - | . dnsmasq (http:// | + | |
| - | + | ||
| - | 7.4. Servidores raíz (root servers) | + | |
| - | Existen en Internet un conjunto de servidores DNS autorizados para el dominio raíz conocidos como servidores raíz (root servers). Contienen por lo tanto el fichero de la zona que almacena cuales son los servidores DNS autorizados para cada uno de los dominios TLD | + | |
| - | Los servidores raíz están bajo la responsabilidad de la ICANN pero son operados por un consorcio de organizaciones. El RSSAC (Root Servers Systems Advisory Committee) proporciona asesoramiento en su administración. " | + | |
| - | Estos servidores son claves en el proceso de resolución de nombres de dominio en Internet y deben ser conocidos por todos los servidores DNS que respondan a preguntas sobre nombres para los que no son autorizados. | + | |
| - | Actividad | + | |
| - | Actividad Consulta las webs http:// | + | |
| - | Actividad Consulta la web de enlaces populares de la de la IANA (http:// | + | |
| - | + | ||
| - | 3.8. Clientes DNS (resolvers) | + | |
| - | Se puede considerar que un resolver es cualquier software capaz de preguntar a un servidor DNS e interpretar sus respuestas. | + | |
| - | Los sistemas operativos incluyen o permiten instalar un conjunto de librerías, denominadas stub resolver, que realizan estas funciones. Son invocadas por las aplicaciones (navegador web, cliente ftp,...) cuando se utiliza un nombre de dominio. Si se configuran para ello pueden mantener una cache de respuestas, al igual que los servidores de nombres, para minimizar los accesos a la red e incrementar el rendimiento. | + | |
| - | La forma en la que se resuelven nombres de dominio en un sistema operativo es configurable. En la mayoría de los sistemas hay archivos de texto en donde se pueden asociar direcciones IP con nombres y es posible definir si el resolver mirará en primer lugar en estos archivos para hacer la resolución. También es posible habilitar o no la cache de respuestas. | + | |
| - | Cuando una aplicación quiere resolver un nombre invoca al resolver | + | |
| - | 1. El resolver consulta la cache de resolución de nombres del hosts (si está configurada) (almacenada en memoria). Si obtiene una respuesta positiva se la entrega a la aplicación. | + | |
| - | 2. Si el nombre buscado no está en la cache, el resolver buscará en el archivo hosts local del equipo. En sistemas Windows el archivo es %SYSTEMROOT %\system32\drivers\etc\hosts y en sistemas Linux/Unix el archivo es / | + | |
| - | 3. Si el nombre buscado no está en el archivo hosts, el resolver efectuará una consulta recursiva al servidor de nombres que esté configurado y le entregará la respuesta a la aplicación. | + | |
| - | + | ||
| - | 9. Proceso de resolución | + | |
| - | Ya hemos visto que los clientes y los servidores DNS consultan a otros servidores para resolver nombres de dominio. En este apartado se explica qué tipos de consultas existen y qué características tienen. Pretendemos que estas explicaciones sirvan para afianzar conceptos como delegación, | + | |
| - | Las consultas a un servidor DNS pueden ser de dos tipos: recursivas o iterativas. | + | |
| - | + | ||
| - | 9.1. Consultas recursivas | + | |
| - | Una consulta recursiva es aquella en la que el servidor tiene que dar una respuesta completa o exacta. Hay tres posibles respuestas: | + | |
| - | • Respuesta positiva, es decir, da la información del nombre por el que se ha preguntado. En ella se indica si es autorizada o no. No es posible saber si el servidor que responde con autoridad es maestro o esclavo para el dominio preguntado. | + | |
| - | ■ Respuesta negativa, indica que el nombre no se pudo resolver (NXDOMAIN). | + | |
| - | Una indicación de error (por ejemplo, que no se puede preguntar a otros servidores por un fallo de red). | + | |
| - | Cuando un servidor recibe una consulta recursiva: | + | |
| - | 1. Si es autorizado para alguna zona (maestro o esclavo) comprueba sus archivos de zona. Si encuentra respuesta responde indicando que la respuesta es autoritativa | + | |
| - | 2. Si no encuentra la respuesta o no es autorizado y actúa como caché, consulta su cache de respuestas anteriores. Si encuentra la respuesta responde indicando que la respuesta no es autoritativa. | + | |
| - | 3. En otro caso: | + | |
| - | a Si tiene configurados reenviadores entonces reenvia la consulta recursiva a otro servidor DNS. La respuesta que obtenga se la traslada al cliente o al servidor que le preguntó. | + | |
| - | b Si no tiene configurados reenviadores: | + | |
| - | Inicia una serie de consultas iterativas a otros servidores DNS. | + | |
| - | Los servidores DNS consultados devuelven referencias (referrals) a otros servidores DNS que se usan para realizar otra pregunta | + | |
| - | La recursividad finaliza siempre cuando un servidor autorizado del espacio de nombres proporcione una respuesta positiva o negativa | + | |
| - | Si un servidor que actúa como cache obtiene la respuesta directamente de un servidor maestro, dará una respuesta autoritativa. Si la obtiene de cache dará una respuesta no autoritativa | + | |
| - | + | ||
| - | + | ||
| - | Ejemplo de resolución DNS: | + | |
| - | 1.- El resolver del equipo envía una consulta recursiva al servidor DNS. El servidor DNS recibe la pregunta. Como no es autorizado para la zona " | + | |
| - | 2. La primera consulta iterativa se la envía a uno de los servidores raiz. El servidor sabe cuales son los servidores raíz por qué almacena el fichero hits file | + | |
| - | 3.- El servidor raíz que recibe la consulta iterativa responde con una referencia al servidor autorizado para el dominio " | + | |
| - | 4. A continuación el servidor DNS envía una consulta iterativa al servidor autorizado del dominio " | + | |
| - | + | ||
| - | 5. El servidor autorizado para el dominio " | + | |
| - | Realmente le envía la referencia de todos los que existan En el fichero de la zona raiz se indica cual es el servidor autorizado del dominio " | + | |
| - | + | ||
| - | 6. Posteriormente, | + | |
| - | 7. El servidor autorizado para el dominio " | + | |
| - | 8. El servidor que recibió la consulta recursiva responde al resolver con la información por la que se le preguntó. | + | |
| - | Ten en cuenta que si a continuación un cliente DNS pregunta al servidor DNS de la figura por el nombre de dominio " | + | |
| - | Las consultas recursivas son iniciadas por un cliente DNS (resolver) o por un servidor DNS que reenvía la consulta recursiva a otro servidor (reenviador). | + | |
| - | Actividad | + | |
| - | En el ejemplo anterior, el servidor que recibe la consulta recursiva está configurado como reenviador y por eso le reenvía la consulta a otro servidor DNS. | + | |
| - | Las consultas recursivas son costosas para los servidores DNS, y por eso es habitual que un servidor DNS es autorizado para una zona no responda a consultas recursivas. Los servidores DNS raíz y los servidores DNS autorizados para los dominios TLD no responden a consultas recursivas. | + | |
| - | + | ||
| - | + | ||
| - | 9.2. | + | |
| - | Una consulta iterativa (o no recursiva) es aquella en la que el servidor DNS puede proporcionar una respuesta parcial. Hay cuatro posibles respuestas: | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | ■ Una indicación de error. | + | |
| - | Cuando un servidor recibe una consulta recursiva: | + | |
| - | 1. Si es autorizado para alguna zona (maestro o esclavo) comprueba sus archivos de zona. Si encuentra la respuesta responde indicando que la respuesta es autoritativa. | + | |
| - | 2. Si no encuentra la respuesta o no es autorizado y actúa como cache, consulta su cache de respuestas anteriores. Si encuentra la respuesta responde indicando que la respuesta no es autoritativa. | + | |
| - | 3. Si no se encuentra respuesta exacta con el nombre, devuelve una referencia que apunta a un servidor DNS que está autorizado para un nivel inferior del espacio de nombres de dominio. | + | |
| - | Como va se ha explicado, esta información es usada por el servidor que realizó la consulta iterativa para continuar su proceso de resolución (proceso recursivo). | + | |
| - | Las consultas iterativas son realizadas por servidores a otros servidores DNS después de haber recibido una consulta recursiva (y no encontrar respuesta en sus archivos de zona o caché) | + | |
| - | + | ||
| - | 9.3. Cache y TTL | + | |
| - | Los clientes y los servidores DNS mantienen en memoria cache, | + | |
| - | Los clientes y servidores DNS almacenan en cache: | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | En los ficheros de zona se define el tiempo que se guardarán en cache las respuestas positivas y el tiempo que se guardan en cache las respuestas negativas. Por lo tanto, se diferencia entre TTL de respuestas positivas y TTL de respuestas negativas. | + | |
| - | La RFC 1912 recomienda que el valor TTL positivo sea de 1 día o mayor, y para los registros de recursos que cambien poco se usen valores de 2 o 3 semanas. La RFC 2308 indica que el máximo valor del TTL negativo sea de 3 horas. | + | |
| - | El administrador de un servidor DNS debe hacer un balance teniendo en cuenta la frecuencia con la que cambian los registros de recursos, la carga de los servidores DNS y el tráfico de red. Los valores TTL pequeños ayudan a asegurar que la información acerca del dominio es más coherente en la red, en caso de que estos datos cambien a menudo, pero incrementan la carga en los servidor e incrementan el tráfico en la red. | + | |
| - | + | ||
| - | 9.4. Recursividad y cache | + | |
| - | Para que un servidor DNS pregunte a otros servidores | + | |
| - | + | ||
| - | 10. Resolución inversa | + | |
| - | Ahora que ya se ha explicado el funcionamiento del servicio DNS basándose en la resolución directa, vamos a tratar la resolución inversa. Recuerda que una consulta inversa a un servidor DNS consiste en preguntar por una dirección IP en lugar de preguntar por un nombre de dominio, ejemplo ¿cuál o cuales son los nombres de dominio asociados a la dirección ip 200.100.89.10? | + | |
| - | + | ||
| - | Actividad Accede a alguna de las máquinas de la red virtual (debianXX. w7XX,...) y abre un terminal. Ejecuta el comando nslookup 8.8.4.4 Y observa los resultados. El comando nslookup realiza una pregunta al servidor DNS que esté configurado en las propiedades TCP/IP del equipo y muestra por pantalla información sobre la respuesta obtenida. En dicha respuesta se puede observar cual es el servidor DNS que responde y qué nombres de dominio se asocian con la dirección IP. | + | |
| - | Existen muchos motivos para preguntar por los nombres de dominio asociados a una IP, por ejemplo, resolver problemas de red, detectar spam en los servidores de correo, seguir la traza de un ataque, conocer qué nombres aloja un servidor de hosting, etc. | + | |
| - | + | ||
| - | | + | |
| - | 10.1. Mapeo de direcciones IP y dominio arpa | + | |
| - | La resolución de direcciones IP funciona igual que la resolución de nombres de dominio. Las direcciones IP se tratan como nombres donde cada byte es un dominio que cuelga de los dominios " | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | + | ||
| - | 10.2. Zonas de resolución inversa | + | |
| - | Los servidores de nombres tienen que almacenar zonas de resolución inversa con registros de recursos que asocien nombres de dominio con direcciones IP. Pueden existir zonas de resolución inversa maestras o primarias, y zonas de resolución inversa esclavas o secundarias. | + | |
| - | Las zonas directas e inversas son independientes, | + | |
| - | + | ||
| - | vamos a analizar los siguientes ejemplos: | + | |
| - | - Si un cliente DNS pregunta por el nombre de dominio " | + | |
| - | - Si un cliente DNS pregunta la dirección IP 193.100.200.101 el servidor DNS consultará el fichero de resolución inversa y devolverá el nombre " | + | |
| - | - Si un cliente DNS pregunta por el nombre de dominio " | + | |
| - | - Si un cliente DNS pregunta la dirección IP 193.100.200.103 el servidor DNS consultará el fichero de resolución inversa y devolverá que no ha encontrado nada. En este caso, la zona de resolución directa o inversa no son coherentes | + | |
| - | - Si un cliente DNS pregunta la dirección IP 193.100.200.123 el servidor DNS consultará el fichero de resolución inversa y devolverá " | + | |
| - | + | ||
| - | 3.10.3. | + | |
| - | Las direcciones IP se tratan como nombres de dominio, por lo tanto, el proceso de resolución inversa es similar al de resolución directa. Existen consultas recursivas, iterativas, cache, TTL, etc. | + | |
| - | + | ||
| - | Fichero de la zona de resolución directa asir.es. que permite resolver las consultas directas de los nombres del dominio asir.es. | + | |
| - | ... | + | |
| - | asir.es. IN NS ns1.asir.es. | + | |
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | obelix.asir.es. IN A 193.100.200.101 | + | |
| - | axterix.asir.es IN A 193.100.200.102 | + | |
| - | panoramix.asir.es. IN A 193.100.200.103 | + | |
| - | ... | + | |
| - | + | ||
| - | Fichero de la zona de resolución inversa 200.100.193.in-addr.arpa., | + | |
| - | + | ||
| - | ... | + | |
| - | 200.100.193.in-addr.arpa. IN NS ns1.asir.es. | + | |
| - | 100.200.100.193.in-addr.arpa. IN PTR ns1.asir.es. | + | |
| - | 101.200.100.193.in-addr.arpa. IN PTR obelix.asir.es. | + | |
| - | 102.200.100.193.in-addr.arpa. IN PTR asterix.asir.es. | + | |
| - | 133.200.100.193.in-addr .arpa. IN PTR panoramix.asir.es. | + | |
| - | ... | + | |
| - | + | ||
| - | Por ejemplo, si un cliente DNS realiza una consulta recursiva de la IP 192.168.200.100 a un servidor DNS, éste, si no lo tiene en cache, iniciaría una serie de consultas iterativas a los servidores DNS raíz, a los servidores autorizados para el dominio " | + | |
| - | + | ||
| - | 10.4. Delegación y resolución inversa | + | |
| - | La delegación de zonas de resolución inversa cuando las mascaras de red son múltiplos de 8 (/8, /16, /24) es similar a la delegación en la resolución directa, pero cuando las máscaras son diferentes, por ejemplo /27, hay que usar registros de tipo CNAME en las zonas de resolución inversa. Este tema no lo vamos a tratar, pero se recomienda buscar información adicional una vez que hayas hecho varias prácticas y tengas claro cómo funciona la delegación. | + | |
| - | + | ||
| - | 11. Registros de recursos DNS | + | |
| - | Ya sabemos que el servicio DNS gestiona una base de datos distribuida entre múltiples servidores DNS que almacenan ficheros de zona con información sobrenombres de dominio Cada fichero de zona organiza esta información en registros de recurso (RR, Resource Records) los cuales se envían en las preguntas y respuestas entre clientes y servidores DNS | + | |
| - | + | ||
| - | 11.1. | + | |
| - | Los RR tienen dos representaciones. La representación textual utilizada en los archivos de zona y la representación en binario, que es la que se emplea en los mensajes del protocolo DNS (definida en la RFC 1035). A continuación se explica la representación textual. | + | |
| - | + | ||
| - | Formato: NombreDeDominio | + | |
| - | + | ||
| - | Ejemplo: obelix.asir.es. | + | |
| - | + | ||
| - | ■ | + | |
| - | • Nombre de dominio con el que se asocia el recurso | + | |
| - | • Ejemplos: obelix.asir.es, | + | |
| - | ■ TTL (Time To Livé) | + | |
| - | • Número de segundos que puede estar el registro en caché antes de ser descartado. | + | |
| - | • Es opcional a nivel de recurso. | + | |
| - | • Se puede definir un tiempo global que se aplica a todos los registros de una zona. | + | |
| - | • Un TTL de 0 indica que el registro no tiene que ser almacenado en caché. | + | |
| - | Clase | + | |
| - | • Define la arquitectura de protocolos usada. | + | |
| - | • IN para la TCP/IP. | + | |
| - | Tipo | + | |
| - | • Tipo de registro. | + | |
| - | • Son diferentes en función del campo clase. | + | |
| - | • Para el campo IN existen muchos tipos ( A, CNAME, NS, MX ) | + | |
| - | Tipo-Dato | + | |
| - | • Información asociada al nombre de dominio. | + | |
| - | • Varía en función del tipo de registro. | + | |
| - | • Ejemplo: dirección IP para el tipo A. | + | |
| - | + | ||
| - | 11.2. Tipos de registros | + | |
| - | A continuación de explican los mas utilizados. Puedes consultar todos los existentes en http:// | + | |
| - | + | ||
| - | 11.2.1. | + | |
| - | El registro SOA (Start Of Authority) es el primer registro de una zona y define una serie de opciones generales | + | |
| - | Los datos asociados con un registro SOA son los siguientes (consulta el apartado relativo a transferencias de zona para relacionarlo con los valores que se definen en este registro): | + | |
| - | ■ | + | |
| - | • | + | |
| - | • | + | |
| - | ■ | + | |
| - | • Correo de la persona responsable del dominio. | + | |
| - | • Es parecido a una dirección de correo electrónico normal, a excepción que la arroba se remplaza con un punto. | + | |
| - | • Ejemplo: admi.asir.es | + | |
| - | ■ | + | |
| - | • Indica la versión del archivo de zona, y debe ser incrementado cada vez que el archivo se modifique. | + | |
| - | • Los servidores secundarios consultan el registro SOA para realizar transferencias de zona. Si ha cambiado, entonces se realiza la transferencia de zona. | + | |
| - | • Una práctica muy común es utilizar la fecha en el formato aaaammdd y agregarle dos dígitos más para los cambios que se hacen al archivo en el mismo día. | + | |
| - | • Ejemplo: 2001032201. | + | |
| - | ■ Actualización (refresh) | + | |
| - | • Tiempo que esperan los servidores esclavos para preguntar al servidor maestro si hay cambios en la zona. | + | |
| - | • La RFC 1912 recomienda valores entre 1200 y 43200 segundos (12 horas) dependiendo de la frecuencia de cambios en los archivos de zona. | + | |
| - | • Si se usan notificaciones (NOTIFY) se puede usar un valor muy alto (1 o más días). | + | |
| - | ■ | + | |
| - | • Si la transferencia de zona ha fallado, indica el tiempo que espera el servidor secundario antes de volver a intentarlo, | + | |
| - | • Valores inferiores al tiempo de actualización. | + | |
| - | ■ Caducidad (expire) | + | |
| - | • Determina el tiempo que el servidor esclavo puede estar intentando contactar con el maestro para ver si hay cambios de zona. | + | |
| - | • Si el tiempo expira, el servidor esclavo considera que algo ha pasado y se declara como no autorizado para la zona, y por lo tanto, no responde a preguntas sobre esa zona. | + | |
| - | • La RFC 1912 recomienda valores entre 2 y 4 semanas. | + | |
| - | TTL negativo (Time To Live) | + | |
| - | • Tiempo mínimo que se almacenan las respuestas negativas sobre esa zona. | + | |
| - | • Diferente al TTL de los RR | + | |
| - | + | ||
| - | asir.es. | + | |
| - | 1 ; Número de serie | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | | + | |
| - | + | ||
| - | Actividad 3.15: Inicia una sesión en el equipo debianXX de la red virtual y abre un terminal. Ejecuta el comando dig @8.8.8.8 google.es SOA para preguntarle al servidor DNS 8.8.8.8 cuál es el registro SOA del dominio " | + | |
| - | + | ||
| - | 11.2.2. | + | |
| - | El registro de recursos NS (Name Server) permite establecer: | + | |
| - | ■ El/los servidores de nombres autorizados una zona | + | |
| - | asir.es. IN | + | |
| - | asir.es. IN | + | |
| - | asir.es. IN | + | |
| - | + | ||
| - | ns1.asir.es. IN | + | |
| - | ns2.asir.es. IN | + | |
| - | • Cada zona debe de contener, como mínimo un registro NS | + | |
| - | • Los servidores DNS, pueden tener un nombre de la misma zona o de otras | + | |
| - | + | ||
| - | ■ Quiénes son los servidores de nombre con autoridad en los subdominios delegados | + | |
| - | • Cada zona debe contener al menos un registro NS por cada subdominio que haya delegado. | + | |
| - | asir.es. IN | + | |
| - | asir.es. IN | + | |
| - | asir.es. IN | + | |
| - | + | ||
| - | ns1.asir.es. IN | + | |
| - | ns2.asir.es. IN | + | |
| - | + | ||
| - | ; Delegación | + | |
| - | redes.asir.es IN NS ns1.redes.asir.es. ; | + | |
| - | sistemas.asir.es IN NS dns.asir.org. ; | + | |
| - | + | ||
| - | ns1.redes.asir.es. IN A 193.100.40.100 ; | + | |
| - | La parte de derecha de un registro NS no debe ser un nombre de tipo CNAME. | + | |
| - | + | ||
| - | Actividad 3.16: Inicia una sesión en el equipo debianXX de la red virtual y abre un terminal. Ejecuta el comando dig @8.8.8.8 google.es NS para preguntarle al servidor DXS 8.8.8.8 cuáles son los registros NS del dominio " | + | |
| - | + | ||
| - | 11.2.3. | + | |
| - | El registro de recursos A (Address) establece una correspondencia entre un nombre de dominio completamente cualificado (FQDN) y una dirección IP versión 4 | + | |
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | ns2.asir.es. IN A 193.100.200.200 | + | |
| - | obelix.asir.es IN A 193.100.200.101 | + | |
| - | marmita.asir.es IN A 193.100.200.101 | + | |
| - | asterix.asir.es IN A 193.100.200.102 | + | |
| - | + | ||
| - | Actividad 3.17: Inicia una sesión en el equipo debianXX de la red virtual y abre un terminal. Ejecuta el comando dig ©8.8.8.8 a.root-servers.net A para preguntarle al servidor DNS 8.8.8.8 cuáles son los registros A del nombre " | + | |
| - | + | ||
| - | 11.2.4. | + | |
| - | El registro de recursos AAAA (Address Address Address Address) establece una correspondencia entre un nombre de dominio completamente cualificado (FQDN) y una dirección IP versión 6. | + | |
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | ns2.asir.es. IN A 193.100.200.200 | + | |
| - | obelix.asir.es IN A 193.100.200.101 | + | |
| - | marmita.asir.es IN A 193.100.200.101 | + | |
| - | asterix.asir.es IN A 193.100.200.102 | + | |
| - | obelix.asir.es IN AAAA 2001: | + | |
| - | asterix.asir.es IN AAAA 2001: | + | |
| - | + | ||
| - | Actividad: Inicia una sesión en el equipo debianXX de la red virtual y abre un terminal. Ejecuta el comando dig @8.8.8.8 a.root-servers.net AAAA para preguntarle al servidor DXS 8.8.8.8 cuáles son los registros AAAA del nombre " | + | |
| - | + | ||
| - | 11.2.5. | + | |
| - | El registro de recursos CNAME (Canonical name) permite crear alias para nombres de dominio especificados en registros A y AAAA, | + | |
| - | + | ||
| - | obelix.asir.es. IN A 193.100.200.101 | + | |
| - | www. asir.es. IN CNAME obelix.asir.es. | + | |
| - | db.asir.es. IN CNAME obelix.asir.es. | + | |
| - | + | ||
| - | Un registro CNAME puede apuntar a un nombre de otro dominio. | + | |
| - | + | ||
| - | www.asrr.es. | + | |
| - | + | ||
| - | No se deben usar registros C'NAME en la parte derecha de los registros MX y NS. La parte derecha de estos recursos tiene que ser un nombre que aparezca un registro de tipo A | + | |
| - | ; mal | + | |
| - | asir.es. | + | |
| - | + | ||
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | dns.asir.es. IN CNAME ns1.asir.es. | + | |
| - | + | ||
| - | ; bien | + | |
| - | asir.es. | + | |
| - | + | ||
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | dns.asir.es. IN CNAME ns1.asir.es. | + | |
| - | + | ||
| - | Hay que tener en cuenta que el uso de muchos CNAME perjudica el rendimiento de los servidores DNS. Cuando se pregunta por un registro CNAME hay que buscar dos veces en el fichero de zona para encontrarlo. En servidores con poco tráfico su impacto en el rendimiento es insignificante, | + | |
| - | + | ||
| - | 11.2.6. | + | |
| - | El registro de recursos MX (Mail Exchange) permite definir equipos encargados de la entrega de correo en el dominio. Son consultados por los agentes de transporte de correo SMTP (MTA, Mail Transport Agent) | + | |
| - | asir.es. | + | |
| - | asir.es. | + | |
| - | mail1.asir.es. IN A 153.100.200.221 | + | |
| - | mail2.asir.es. IN A 133.100.200.222 | + | |
| - | + | ||
| - | Un registro MX puede apuntar a un nombre de otro dominio. | + | |
| - | + | ||
| - | mail3.asir.es. | + | |
| - | + | ||
| - | Es posible definir varios registros MX para un mismo dominio, es decir varios servidores de correo para ese dominio. En cada registro MX se especifica un número positivo (entre 0 y 65535) que determina la preferencia en el caso de que existan varios registros MX. Un número más pequeño indica mayor preferencia. Fíjate en los ejemplos anteriores, el servidor de correo consultará los registros MX e intentará enviar el correo a mail1.asir.es, | + | |
| - | La parte derecha de un registro MX no debe ser un nombre de tipo CNAME. | + | |
| - | + | ||
| - | 11.2.7. | + | |
| - | El rcgfetro de recurso* SRV (Service Record) permite definir equipos que soportan un servicio en particular | + | |
| - | + | ||
| - | _http._tcp.asir.es. IN SRV 0 5 80 www.asir.es. | + | |
| - | _ldap._tcp.asir.es. IN SRV 0 0 389 ldap.asir.es. | + | |
| - | Puedes consultar más información en RFC 2782 | + | |
| - | + | ||
| - | 11.2.8. | + | |
| - | El registro de recursos PTR (Pointer Record) establece una correspondencia entre nombres de direcciones IPv4 e IPv6 y nombres de dominio. Se utilizan por lo tanto en las zonas de resolución inversa. | + | |
| - | En una misma zona no puede haber registros PTR IPv4 y registros PTR IPv6. Existen por lo tanto zonas de resolución inversa IPv4 y zonas IPv6. | + | |
| - | + | ||
| - | 100.200.100.193.in-addr.arpa. IN PTR ns1.asir.es. | + | |
| - | 200.200.100.193.in-addr.arpa. IN PTR ns2.asir.es | + | |
| - | 101.200.100.193.in-addr.arpa. IN PTR obelix.asir.es | + | |
| - | + | ||
| - | 11-3. Delegación y registros pegamento (Glue Record) | + | |
| - | + | ||
| - | La organización que administra un servidor de nombres y por lo tanto, sus zonas, puede decidir si delega o no alguno de sus subdominios en otros servidores de nombres. Se puede diferenciar dos casos: | + | |
| - | ■ Si el nombre del servidor DNS autorizado del subdominio (en el que se delega) se encuentra a su vez dentro del propio subdominio. | + | |
| - | asir.es. IN NS ns1.asir.es.; | + | |
| - | asir.es. IN NS ns2.asir.es.; | + | |
| - | asir.es. IN NS dns.asir.org. ; | + | |
| - | + | ||
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | ns2.asir.es. IN | + | |
| - | + | ||
| - | ; | + | |
| - | redes.asir.es. | + | |
| - | ns1.redes.asir.es. IN A 193.100.40.100 ; | + | |
| - | • Hay que añadir un registro NS en la zona del padre que define el servidor de nombres autorizado para la zona delegada. | + | |
| - | • Hay que añadir un registro de tipo A para indicar la dirección IP del servidor de nombres autorizado para la zona delegada. | + | |
| - | o A este tipo de registros se les denomina "glue record" | + | |
| - | o Observa que si no se define este registro, el cliente que realiza una pregunta iterativa (por ejemplo pc1.redes.asir.es) y obtiene una referencia al siguiente servidor DNS al que preguntar (ns1.redes.asir.es) no podría obtener la IP del nuevo servidor DNS hasta que no acceda a él (ns1 es un nombre del dominio redes.asir.es). Observa que no puede preguntarle si no sabe su IP (" ...la pescadilla que se muerde la cola ..." | + | |
| - | o Si se omiten o se colocan registros de pegamento incorrectos, | + | |
| - | o Por lo tanto, los servidores de un dominio padre deben conocer la dirección IP de los servidores de nombres de todos sus subdominios. | + | |
| - | Si el nombre del servidor DNS del subdominio (en el que se delega) no se encuentra en el subdominio, véase Figura 3.35. | + | |
| - | • Hay que añadir un registro NS en la zona del padre que define el servidor de nombres autorizado para la zona delegada. | + | |
| - | • No hace falta ni hay que añadir un registro de tipo A para indicar la dirección IP del servidor de nombres para la zona delegada. | + | |
| - | o En este caso, el cliente que realiza una pregunta iterativa (por ejemplo pc1.sistemas.asir.es) y obtiene una referencia al siguiente servidor DNS al que preguntar (dns.asir.org) podrá resolver el nombre dns.asir.org normalmente. | + | |
| - | o Es un error incluir registros de pegamento para nombres de host que no los necesitan. La regla general es que se deben incluir registros A únicamente para los hosts que están dentro del dominio o cualquiera de sus subdominios. | + | |
| - | asir.es. IN NS ns1.asir.es.; | + | |
| - | asir.es. IN NS ns2.asir.es.; | + | |
| - | asir.es. IN NS dns.asir.org. ; | + | |
| - | + | ||
| - | ns1.asir.es. IN A 193.100.200.100 | + | |
| - | ns2.asir.es. IN | + | |
| - | + | ||
| - | ; | + | |
| - | sistemas.asir.es IN NS dns.asir.org.; | + | |
| - | + | ||
| - | 12. | + | |
| - | Los servidores DNS que declaran zonas esclavas o secundarias obtienen los archivos de zona (los registros de recursos) de otros servidores DNS autorizados para esas zonas. A este proceso se le denomina transferencia de zona. Existen diferentes formas de llevarlo a cabo y es posible configurarlo en los servidores de nombres. El objetivo es que todos los servidores autorizados para una zona tengan la misma información. | + | |
| - | Los servidores maestros usan el puerto 53/TCP para el intercambio de datos en las transferencias de zona. | + | |
| - | + | ||
| - | 12.1. Tipos de transferencias de zona | + | |
| - | Existen dos tipos de transferencias de zona entre servidores maestros y esclavos. | + | |
| - | + | ||
| - | 12.1.1. | + | |
| - | En una transferencia de zona completa el servidor maestro le envía al servidor esclavo todos los datos de la zona. Una petición AXFR de un servidor esclavo a uno maestro es una solicitud para una transferencia de zona completa. Las especificaciones originales del servicio DNS (RFC 1034 y RFC 1035) solo contemplaban este tipo de transferencias | + | |
| - | + | ||
| - | 12.1.2. | + | |
| - | Las transferencias completas de zonas con muchos registros de recursos consumen ancho de banda, y pueden llegar a tardar "mucho tiempo" | + | |
| - | En una transferencia de zona incremental el servidor maestro le envía al servidor esclavo solo los datos que han cambiado desde la última transferencia de zona. Una petición IXFR de un servidor esclavo a uno maestro es una solicitud para una transferencia de zona incremental. | + | |
| - | + | ||
| - | 12.2. Proceso de transferencia de zona | + | |
| - | El proceso de transferencia de zona se puede iniciar de dos maneras: | + | |
| - | ■ El servidor esclavo pregunta al servidor maestro para comprobar si hay cambios en los archivos de zona. Lo hace cuando se inicia por primera vez y posteriormente, | + | |
| - | ■ El servido maestro notifica (NOTIFY) al servidor o servidores esclavos que se han producido cambios en sus archivos de zona. | + | |
| - | + | ||
| - | 12.2.1. | + | |
| - | Este mecanismo es el que se definió en las especificaciones DNS originales. | + | |
| - | 1. El servidor esclavo, cuando se inicia por primera vez o cada cierto tiempo (especificado en el campo refresh del registro de recursos SOA que el servidor secundario consiguió del servidor maestro), solicita al servidor maestro su SOA. | + | |
| - | 2. El servidor maestro responde con el registro de recursos SOA. | + | |
| - | 3. El servidor esclavo compara el número de serie devuelto con su propio número de serie. Si el número de serie que el servidor maestro envía para la zona es superior al suyo propio, su base de datos de zonas no está actualizada. | + | |
| - | 4. El servidor maestro envía una petición AXFR para solicitar una transferencia de zona completa o una petición IXFR para solicitar una transferencia de zona incremental. | + | |
| - | 5. El servidor maestro envía los datos de la zona al servidor secundario. | + | |
| - | + | ||
| - | 12.2.2. | + | |
| - | Cuando el método anterior si se produce una actualización en los archivos de zona del servidor maestro, el servidor esclavo "no se entera" | + | |
| - | Por ello en la RFC 1996 se introdujo un nuevo mecanismo. El servidor maestro envía un mensaje de notificación (NOTIFY) a los servidores esclavos cuando se produce un cambio en sus archivos de zona. | + | |
| - | 1. Cuando se actualiza un archivo de zona el servido maestro envía un mensaje de notificación a los servidores esclavos. | + | |
| - | 2. El servidor esclavo solicita al servidor maestro su SOA. | + | |
| - | 3 El servidor maestro responde con el registro de recursos SOA. | + | |
| - | 4 El servidor esclavo compara el número de serie devuelto con su propio número de serie. Si el número de serie que el servidor maestro envía para la zona es superior al suyo propio, su base do datos de zonas no está actualizada. | + | |
| - | 5 El servidor maestro envía una consulta AXFR para solicitar una transferencia de zona completa o una consulta IXFR para solicitar una transferencia de zona incremental. | + | |
| - | 6. El servidor maestro envía los datos de la zona al servidor secundario. | + | |
| - | La notificación ayuda a mejorar la coherencia de los datos entre servidores DNS autorizados para una zona. | + | |
| - | + | ||
| - | 13. DNS Dinámico (DDNS, Dynamic DNS) | + | |
| - | Para que los usuarios tengan acceso a los recursos DNS correctamente, | + | |
| - | + | ||
| - | 13.1. Actualizaciones manuales | + | |
| - | En las actualizaciones manuales el administrador crea, elimina o modifica registros de recursos editando los ficheros de zona. Cuando el volumen de actualizaciones de los archivos de zona es elevado y hay varias zonas (imagina una red en la que se asignan direcciones usando un servidor DHCP y se quieren registrar los nombres DNS de los clientes DHCP) el trabajo del administrador y las probabilidades de equivocarse y no mantener los archivos de zona actualizados crece considerablemente. | + | |
| - | + | ||
| - | 13.2. Actualizaciones dinámicas | + | |
| - | La RFC 2162 define el proceso mediante el cual una fuente externa puede actualizar los registros de recursos de una zona. Una actualización dinámica es por lo tanto, el proceso por el cual se crean o modifican registros de recursos por parte de una fuente externa (cliente DNS. servidor DHCP,...) sin que el administrador del servidor DNS edite los ficheros de zona. | + | |
| - | + | ||
| - | Las actualizaciones dinámicas pueden ser realizadas: | + | |
| - | ■ Directamente por los equipos | + | |
| - | o Hay que configurar el cliente DNS de cada equipo. | + | |
| - | o Hay que configurar el servidor DNS para que permita actualizaciones dinámicas por parte de los equipos. | + | |
| - | ■ Por servidores DHCP | + | |
| - | o Hay que configurar adecuadamente el servidor DHCP para que envíen su nombre al servidor DHCP o configurar el servidor DHCP para que les asigne un nombre | + | |
| - | o Hay que configurar el servidor DNS para que permita actualizaciones dinámicas por parte del servidor DHCP. | + | |
| - | + | ||
| - | 13.3. DNS dinámico en Internet | + | |
| - | Los proveedores de acceso a Internet (ISP, Internet Services Provider) asignan una dirección IP por DHCP al router que nos conecta a su red (a no ser que contratemos una dirección IP fija). La dirección IP puede cambiar cada cierto tiempo o cada vez que se apaga o enciende el router, por lo tanto, no tenemos control sobre ella. ¿Qué ocurre si queremos asignar un nombre de dominio asociado a la IP del router para ofrecer servicios, por ejemplo, un servidor web en nuestra red? ¿Qué IP le asociamos a nuestro nombre de dominio?, la que tengamos en el momento actual ¿Y si cambia? | + | |
| - | Existen webs que ofrecen servicios de DNS dinámico en Internet. Permiten registrar un nombre DNS y actualizar su dirección IP "en tiempo real" | + | |
| - | Lo habitual es configurar un programa en el router de conexión a Internet o en un equipo de la red para que actualice el servidor DNS cuando la IP asignada por DHCP cambie Los routers que se comercializan actualmente suelen integrar estos programas. | + | |
| - | Algunas webs que ofrecen servicios de DNS Dinámico en Internet son: | + | |
| - | ■ | + | |
| - | ■ No-ip (http:// | + | |
| - | ■ | + | |
| - | ■ | + | |
| - | ■ Cdmon (https:// | + | |
| - | + | ||
| - | 14. Protocolo DNS | + | |
| - | El protocolo DNS determina el conjunto de normas y reglas en base a las cuales " | + | |
| - | HEADER | + | |
| - | QUESTION | + | |
| - | ANSWER | + | |
| - | AUTHORITY | + | |
| - | ADDITIONAL | + | |
| - | + | ||
| - | ■ Header: específica cuales son las secciones presentes, el tipo de mensaje y otros campos. | + | |
| - | ■ Question : campos que definen una consulta a un servidor de nombres. | + | |
| - | ■ Answer: RRs que responden a la consulta. | + | |
| - | ■ Authority: RRs que apuntan a los servidores de nombre autoritativos. | + | |
| - | ■ Additional. RRs que contienen información adicional. | + | |
| - | + | ||
| - | 15. Seguridad DNS | + | |
| - | El servicio DNS es un servicio vital para el funcionamiento de Internet y de cualquier red TCP/IP. Los usuarios y el resto de servicios de la red dependen de él se verían afectados sino funcionase correctamente. Por ello, está en el punto de mira de potenciales atacantes. | + | |
| - | Se diseñó como un sistema abierto y en sus especificaciones originales no se contemplaban astectos de seguridad. Además, su seguridad es difícil de gestionar y administrar al ser un servicio distribuido formado por varios componentes que se comunican entre sí. | + | |
| - | La seguridad de DNS es un tema muy amplio que no se abordamos en esta asignatura. El objetivo de este apartado es ofrecer una visión global de los peligros, los mecanismos de seguridad existentes, y concienciar sobre la importancia de la seguridad en los servidores y clientes DNS. | + | |
| - | + | ||
| - | 15.1. Vulnerabilidades, | + | |
| - | Cuándo se pregunta a un servidor DNS ¿Podemos fiarnos de que es quien dice ser o ha sido suplantado? ¿Las respuestas son reales o están falsificadas? | + | |
| - | Desde su puesta en marcha en Internet DNS ha sufrido muchos tipos de ataques y se han publicado múltiples vulnerabilidades. Además, la información que se puede obtener de los servidores DNS de una organización se puede utilizar como punto de partida para otros tipos de ataques. | + | |
| - | Actividad: Busca en Internet: | + | |
| - | ■ | + | |
| - | ■ Información sobre el ataque Pharming. | + | |
| - | ■ Información sobre técnicas de Footprinting basadas en DNS. | + | |
| - | + | ||
| - | Teniendo en cuenta loe componente, del servicio DNS y el flujo de información entre ellos es posible definir diferentes puntos de amenazas | + | |
| - | 1. | + | |
| - | o Ataques contra el propio servidor aprovechando vulnerabilidades (uso de exploits). | + | |
| - | o Modificación de los archivos de zona por una mala configuración de seguridad en el sistema donde está instalado el servidor | + | |
| - | o Ataques de denegación de servicio (DoS). | + | |
| - | 2. | + | |
| - | o Envenenamiento de la cache del cliente DNS suplantando al servidor DNS remoto y enviado registros de recursos incorrectos | + | |
| - | 3. | + | |
| - | o Envenenamiento de la cache del senador suplantado al servidor DNS remoto y enviado registros de recursos incorrectos. | + | |
| - | 4. Transferencias de zona | + | |
| - | o Suplantación del servidor maestro que envía registros de recursos a los secundarios. | + | |
| - | 5. Actualizaciones dinámicas a servidores DNS | + | |
| - | o Suplantación de la fuente externa que envía las actualizaciones al servidor DNS. | + | |
| - | + | ||
| - | + | ||
| - | 15.2. Mecanismos de seguridad | + | |
| - | Las vulnerabilidades y las amenazas a DNS están relativamente controladas. Además, se han creado mecanismos para poder configurar el servicio de forma segura. | + | |
| - | ■ Seguridad local en los servidores DNS | + | |
| - | • Actualizar a las últimas versiones y parches de seguridad. | + | |
| - | • En sistemas Linux/Unix ejecutar el servidor en un entorno chroot. | + | |
| - | • Configurar adecuadamente los privilegios de acceso a los ficheros de zonas. | + | |
| - | • Realizar copias de segundad de los archivos de zona. | + | |
| - | • Evitar puntos de fallo y prevenir ataques de denegación de servicio (DoS) creando al menos un servidor secundario por cada zona, distribuyendo los servidores DNS en diferentes redes y ubicaciones, | + | |
| - | ■ Seguridad en las transferencias de zona y en las actualizaciones dinámicas | + | |
| - | o Establecer a ni de direcciones IP y/o nombres de dominio (usando listas de control de acceso) los servidores desde los que se permiten transferencias de zona y/o actualizaciones dinámicas. | + | |
| - | o Utilizar cortafuegos para controlar las solicitudes de transferencias de zona y/o actualizaciones dinámicas. | + | |
| - | o Mecanismos TSIG v TKEY que proporcionan autenticación entre servidores. | + | |
| - | TSIG: Usa algoritmos de clave secreta para autenticar a los servidores entre sí. Los dos servidores usan una clave secreta compartida. No contempla la distribución de la clave secreta. Hay que distribuirla por otros medios (ssh, correo cifrado) | + | |
| - | TKEY: Similar a TSIG pero los servidores generan la clave secreta de manera automática y la intercambian básicamente el algorito Diffie-Hellman. | + | |
| - | o Mecanismos de autenticación de Active Directory en dominios Microsoft para garantizar transferencias de zona y actualizaciones dinámicas seguras. | + | |
| - | + | ||
| - | ■ Seguridad en las consultas DNS de clientes o servidores a otros servidores | + | |
| - | o El problema de envenenamiento de cache es difícil de solucionar porque pueden existir muchos servidores involucrados en la resolución. | + | |
| - | o Algunos mecanismos para mejorar la seguridad son: | + | |
| - | Configurar los senadores DNS para que resuelvan consultas recursivas solo si es necesario. Si un servidor resuelve consultas recursivas preguntará iterativamente a otros servidores que pueden enviar información falsa si han sido comprometidos o suplantados. | + | |
| - | Restringir a nivel de direcciones IP quienes son los clientes que puede preguntar a un servidor. Por ejemplo, que solo puedan hacer preguntas recursivas los equipos de la red de la organización a la que pertenece el servidor y que el resto puedan hacer preguntas iterativas sobre las zonas para las que es autorizado. | + | |
| - | o En los últimos años se están definiendo e implantando un conjunto especificaciones, | + | |
| - | + | ||
| - | 16. | + | |
| - | Whois es un protocolo que permite realizar consultas a bases de datos que contienen información sobre el usuario, empresa u organización que registra un nombre de dominio y/o una dirección IP en Internet. | + | |
| - | El protocolo whois se encapsula en TCP y solo especifica el intercambio de peticiones y respuestas, no en el formato de datos a intercambiar. Por eso, los resultados de las consultas whois pueden ser diferentes dependiendo de la base de datos whois a la que se pregunte. | + | |
| - | + | ||
| - | Usando webs especializadas (http:// | + | |
| - | Usando clientes instalados en un equipo. | + | |
| - | Actividad: | + | |
| - | ■ Accede a la web http:// | + | |
| - | " | + | |
| - | ■ Inicia sesión en ubuntuXX abre un terminal y ejecuta whois google.com. | + | |
| - | . Inicia sesión en ubuntuXX y accede a Sistema, Administración, | + | |
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
| + | {{: | ||
sri/t2.1541595054.txt.gz · Última modificación: (editor externo)