DNS Catalog Zones - Internet Systems Consortium

DNS Catalog Zones
łatwe tworzenie i synchronizacja serwowanych stref
Witold Kręcicki
Internet Systems Consortium
23 lutego 2016
Witold Kręcicki
DNS Catalog Zones
Internet Systems Consortium
ISC-DHCP
Kea
BIND9
Software
Engineering
Internet Systems
Consortium
Operations
Hosted@ISC
SNS-PB
Subscription
version
Support
F-root
Witold Kręcicki
24/7
support
DNS Catalog Zones
ASN
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Problem?
Witold Kręcicki
DNS Catalog Zones
Historia
1983 - RFC882, RFC883 - pierwsze podejście, już z XFR!
1986 - RFC1034, RFC1035 - DNS jaki mamy dziś
2010 - RFC5963 - oczyszczenie AXFR
w 1986 roku domen było kilkaset, dodanie nowej było
’wydarzeniem’, nikt nie potrzebował automatyzacji
zone catalog - dziura...
Witold Kręcicki
DNS Catalog Zones
Co mamy teraz
Generowanie na podstawie bazy danych
SCP (jak XFR u DJB)
’supermaster’ w PowerDNS - notify tworzy domenę, nie można
usunąć
skrypty, hacki, śrubokręty
brak rozwiązania systemowego
brak interoperability
out-of-band
Witold Kręcicki
DNS Catalog Zones
Czego potrzebują użytkownicy?
90% definicji stref to:
z o n e ” f o o . com” { m a s t e r s ” 1 . 2 . 3 . 4 ” ; } ;
z o n e ” b a r . com” { m a s t e r s ” 1 . 2 . 3 . 4 ” ; } ;
z o n e ” baz . com” { m a s t e r s ” 1 . 2 . 3 . 4 ” ; } ;
Z pozostałych 10% - 90% to:
z o n e ” l o r . com” { m a s t e r s ” 5 . 6 . 7 . 8 ” ; } ;
z o n e ” emi . com” { m a s t e r s ” 9 . 1 0 . 1 1 . 1 2 ” ; } ;
z o n e ” psu . com” { m a s t e r s ” 1 3 . 1 4 . 1 5 . 1 6 ” ; } ;
Czasami zdarza się allow-query, allow-transfer
Witold Kręcicki
DNS Catalog Zones
Zone catalog zone
Pierwsze podejście - Paul Vixie - Metazones (2005)
Wbudowane w serwer
Ustandaryzowane w ramach IETF - draft w DNSOP
Docelowo obsługiwane przez różne implementacje
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Rozwiązanie!
Witold Kręcicki
DNS Catalog Zones
Najprostsza strefa
catz . i s c
catz . i s c
catz . i s c
version .
. org .
. org .
. org .
catz . i s c . org .
IN
IN
IN
IN
SOA . . 2016022901 900 600 86400 1
NS m a s t e r . i s c . o r g .
NS s l a v e . i s c . o r g .
TXT ”1”
masters . catz . i s c . org .
masters . catz . i s c . org .
IN A 1 4 9 . 2 0 . 6 4 . 3
IN AAAA 2 0 0 1 : 5 0 0 : 2 c : : 2 5 4
5 c e 8 b 9 . . . c9 . z o n e s . c a t z . i s c . o r g .
IN PTR mojadome . na
f47be8 . . . 1 6 . zones . catz . i s c . org .
masters . f47be8 . . . 1 6 . catz . i s c . org .
IN PTR drugadome . na
IN A 1 9 9 . 2 5 4 . 6 3 . 2 5 4
4 f1be1 . . . 6 7 . catz . i s c . org .
IN PTR t r z e c i a d o m e . na
a l l o w −q u e r y . 4 f 1 b e 1 . . . 6 7 . c a t z . i s c . o r g . IN APL 1 : 1 0 . 0 . 0 . 0 / 8 ! 1 : 1 0 . 1 0 . 0 . 0 / 1 6
masters .4 f1be1 . . . 6 7 . catz . i s c . org .
IN MX 0 m o j m a s t e r . s e r v e r s . c a t z . i s c . o r g .
mojmaster . s e r v e r s . c a t z . i s c . org .
mojmaster . s e r v e r s . c a t z . i s c . org .
Witold Kręcicki
IN A 1 9 9 . 6 . 0 . 3 0
IN TXT ” t s i g k e y ”
DNS Catalog Zones
Konfiguracja
master.conf
slave.conf
options {
l i s t e n −on {
10.53.0.1;
};
a l l o w −new−z o n e s y e s ;
};
options {
l i s t e n −on {
10.53.0.2;
};
a l l o w −new−z o n e s y e s ;
c a t a l o g −z o n e s {
zone ” c a t z . i s c . org ” ;
};
};
zone ” c a t z . i s c . org ” {
type master ;
f i l e ” c a t z . i s c . o r g . db ” ;
a l l o w −t r a n s f e r {
10.53.0.2;
};
};
Witold Kręcicki
zone ” c a t z . i s c . org ” {
type s l a v e ;
masters {
10.53.0.1;
};
};
DNS Catalog Zones
Sposób użycia
rndc addzone:
$ rndc addzone dome.na { type master; file ”domena.db”; allow-transfer { 10.53.0.2; }; }
nsupdate:
$ cat << EOF |nsupdate
server 10.53.0.1
update add 345f0ef372cb4f8fa1df416e5edc4b6be7c162b7.catz.isc.org. 3600 IN PTR dome.na
send
EOF
Witold Kręcicki
DNS Catalog Zones
Finalnie
Wykorzystujemy istniejącą infrastrukturę
Wszystko jest przesyłane po DNS
Brak haków, zewnętrznych skryptów
Docelowo - RFC, wspierane przez różne implementacje
Witold Kręcicki
DNS Catalog Zones
Koniec.
Pytania?
[email protected]
Witold Kręcicki
DNS Catalog Zones