Administracja Sieciowymi Systemami Operacyjnymi

Administracja Sieciowymi Systemami
Operacyjnymi
Lista zadań – laboratorium 5
Wojciech Penar
30 marca 2015
1 Ćwiczenia do wykonania
1. Zapoznaj się z narzędziami przeznaczonymi do odpytywania serwerów DNS – host i dig
• Zamiana adresu IP na nazwę domenową i odwrotnie, różne formaty odpowiedzi
• Co oznacza zapis: 240.33.104.10.in-addr.arpa. ?
• W jaki sposób odpytać o nazwę domenową konkretny serwer DNS?
• Jak dowiedzieć się, jakie serwery nazw (DNS) obsługują domenę?
2. Zainstaluj oprogramowanie serwera DNS – najbardziej popularną implementacją jest bind (bind9)
rozwijany przez ISC
3. Uruchom cache’ujący serwer DNS (aka resolver) i sprawdź jego działanie
Potencjalna pułapka: W sieci uczelnianej filtrowany jest port 53 UDP (odpowiedzialny za usługi
DNS) i nie jest możliwe korzystanie z nieautoryzowanych serwerów DNS. Stąd też konieczne
jest wykorzystanie uczelnianych serwerów DNS w charakterze pośredników. Służy temu dyrektywa forwarders umieszczona w sekcji options. W przypadku Debiana edytować należy plik
/etc/bind/named.conf.options :
forwarders {
156.17.40.91;
156.17.41.132;
};
4. Zdefiniuj własną strefę – domenę prostą
Domena może być dowolna, ale weź pod uwagę, że użycie nazwy domeny ogólnie znanej może
powodować problemy – można w ten sposób przesłonić prawdziwy serwer DNS.
• Zacznij od przykładowej strefy, np. stąd:
$TTL 86400 ; 24 hours could have been written as 24h or 1d
; $TTL used for all RRs without explicit TTL value
$ORIGIN example.com.
@ 1D IN SOA ns1.example.com. hostmaster.example.com. (
;YYYYMMDD#
200202241 ; serial
3H ; refresh
15 ; retry
1w ; expire
1
3h ; minimum
)
IN NS
ns1.example.com. ; in the domain
IN NS
ns2.smokeyjoe.com. ; external to domain
IN MX 10 mail.another.com. ; external mail provider
; server host definitions
ns1
IN A
192.168.0.1 ;name server definition
www
IN A
192.168.0.2 ;web server definition
ftp
IN CNAME www.example.com. ;ftp server definition
; non server domain hosts
bill
IN A
192.168.0.3
fred
IN A
192.168.0.4
• Możliwe do zastosowania typy rekordów można znaleźć w dokumentacji, podstawowe to:
A – adres IP(v4)
AAAA – adres IPv6
MX – host obsługujący pocztę
CNAME – alias (alternatywna nazwa)
NS – serwer DNS
Rekord SOA ma specjalne znaczenie.
• Uzupełnij konfigurację serwera i zrestartuj usługę DNS
• Zweryfikuj działanie serwera (np. co wskazują rekordy NS i SOA dla domeny)
5. Zmodyfikuj plik strefy (np. dopisz nowy adres), a następnie zweryfikuj poprawność przeprowadzonej operacji (logi serwera, odpytanie poleceniem dig lub host).
6. Zdefiniuj domenę odwrotną dla swojej sieci wewnętrznej:
• Zacznij od szkieletu, np. stąd:
$TTL 86400 ; 24 hours, could have been written as 24h or 1d
$ORIGIN 0.168.192.IN-ADDR.ARPA.
@ 1D IN SOA ns1.example.com. hostmaster.example.com. (
;YYYYMMDD#
200202241 ; serial
3H ; refresh
15 ; retry
1w ; expire
3h ; minimum
)
; Name servers for the zone - both out-of-zone - no A RRs required
IN NS ns1.example.com.
IN NS ns2.smokeyjoe.com.
; server host definitions
1
IN PTR
ns1.example.com.
2
IN PTR
www.example.com.
; non server domain hosts
3
IN PTR
bill.example.com.
4
IN PTR
fred.example.com.
• Ciekawostka: Niektóre usługi w ramach „paranoicznej” weryfikacji klienta sprawdzają mapowanie IP → nazwa domenowa → IP (!)
7. Zadbaj bezpieczeństwo serwera – minimum to:
2
• odpowiadać na wszystkie zapytania dotyczące własnych domen1
• odpowiadać na wszystkie zapytania pochodzące z własnych sieci2
• zezwalać na transfer domen tylko „zaufanym” serwerom DNS
8. Dla chętnych – dalsze uszczelnianie serwera:
• separacja widoków (sieć wewnętrzna/sieć zewnętrzna)
• uruchomienie serwera w środowisku chroot
2 Przydatne materiały
• Ściąga do przedmiotu (w permanentnym stanie tworzenia):
http://wojciech.penar.staff.iiar.pwr.edu.pl/download/Sciaga.pdf
• Poza serwerami wskazywanymi w DHCP dostępne są także:
– dns.pwr.edu.pl
– amargosa.iiar.pwr.edu.pl
• bind9 w Wiki Debiana: https://wiki.debian.org/Bind9
• DNS-HOWTO: http://www.tldp.org/HOWTO/DNS-HOWTO.html3
• Kilka słów o konfiguracji serwera:
http://www.ulos.pl/podstawowe-zabezpieczenie-serwera-dns-bind,2.html3
3 Podpowiedzi, wskazówki
• Standardowo usługa DNS działa na porcie 53 UDP – pamiętaj o firewallu!
• Po modyfikacji pliku strefy (Pamiętaj zmienić „numer seryjny”!) serwer można przeładować
poleceniem rndc. Pozwala ono także na przeładowywanie poszczególnych stref bez konieczności
zatrzymywania serwera.
• Dopóki nie zmieni się numer seryjny w pliku strefy serwer nie będzie uwzględniał wprowadzonych
zmian (!)
• Zarówno pliki stref jak i samą konfigurację usługi bind9 (named) można przetestować narzędziami
named-checkzone (strefa) i named-checkconf (pliki konfiguracyjne)
1W
praktyce – domen publicznych
open-resolver’em jest niewskazane z uwagi na podatność usługi DNS na ataki typu „DNS amplification” – więcej
pod adresem http://www.team-cymru.org/Open-Resolver-Challenge.html
3 Niekoniecznie uwzględnia specyfikę Debiana (podział konfiguracji na mniejsze pliki)
2 Bycie
3