Administracja Sieciowymi Systemami Operacyjnymi
Transkrypt
Administracja Sieciowymi Systemami Operacyjnymi
Administracja Sieciowymi Systemami Operacyjnymi Lista zadań – laboratorium 5 Wojciech Penar 30 marca 2015 1 Ćwiczenia do wykonania 1. Zapoznaj się z narzędziami przeznaczonymi do odpytywania serwerów DNS – host i dig • Zamiana adresu IP na nazwę domenową i odwrotnie, różne formaty odpowiedzi • Co oznacza zapis: 240.33.104.10.in-addr.arpa. ? • W jaki sposób odpytać o nazwę domenową konkretny serwer DNS? • Jak dowiedzieć się, jakie serwery nazw (DNS) obsługują domenę? 2. Zainstaluj oprogramowanie serwera DNS – najbardziej popularną implementacją jest bind (bind9) rozwijany przez ISC 3. Uruchom cache’ujący serwer DNS (aka resolver) i sprawdź jego działanie Potencjalna pułapka: W sieci uczelnianej filtrowany jest port 53 UDP (odpowiedzialny za usługi DNS) i nie jest możliwe korzystanie z nieautoryzowanych serwerów DNS. Stąd też konieczne jest wykorzystanie uczelnianych serwerów DNS w charakterze pośredników. Służy temu dyrektywa forwarders umieszczona w sekcji options. W przypadku Debiana edytować należy plik /etc/bind/named.conf.options : forwarders { 156.17.40.91; 156.17.41.132; }; 4. Zdefiniuj własną strefę – domenę prostą Domena może być dowolna, ale weź pod uwagę, że użycie nazwy domeny ogólnie znanej może powodować problemy – można w ten sposób przesłonić prawdziwy serwer DNS. • Zacznij od przykładowej strefy, np. stąd: $TTL 86400 ; 24 hours could have been written as 24h or 1d ; $TTL used for all RRs without explicit TTL value $ORIGIN example.com. @ 1D IN SOA ns1.example.com. hostmaster.example.com. ( ;YYYYMMDD# 200202241 ; serial 3H ; refresh 15 ; retry 1w ; expire 1 3h ; minimum ) IN NS ns1.example.com. ; in the domain IN NS ns2.smokeyjoe.com. ; external to domain IN MX 10 mail.another.com. ; external mail provider ; server host definitions ns1 IN A 192.168.0.1 ;name server definition www IN A 192.168.0.2 ;web server definition ftp IN CNAME www.example.com. ;ftp server definition ; non server domain hosts bill IN A 192.168.0.3 fred IN A 192.168.0.4 • Możliwe do zastosowania typy rekordów można znaleźć w dokumentacji, podstawowe to: A – adres IP(v4) AAAA – adres IPv6 MX – host obsługujący pocztę CNAME – alias (alternatywna nazwa) NS – serwer DNS Rekord SOA ma specjalne znaczenie. • Uzupełnij konfigurację serwera i zrestartuj usługę DNS • Zweryfikuj działanie serwera (np. co wskazują rekordy NS i SOA dla domeny) 5. Zmodyfikuj plik strefy (np. dopisz nowy adres), a następnie zweryfikuj poprawność przeprowadzonej operacji (logi serwera, odpytanie poleceniem dig lub host). 6. Zdefiniuj domenę odwrotną dla swojej sieci wewnętrznej: • Zacznij od szkieletu, np. stąd: $TTL 86400 ; 24 hours, could have been written as 24h or 1d $ORIGIN 0.168.192.IN-ADDR.ARPA. @ 1D IN SOA ns1.example.com. hostmaster.example.com. ( ;YYYYMMDD# 200202241 ; serial 3H ; refresh 15 ; retry 1w ; expire 3h ; minimum ) ; Name servers for the zone - both out-of-zone - no A RRs required IN NS ns1.example.com. IN NS ns2.smokeyjoe.com. ; server host definitions 1 IN PTR ns1.example.com. 2 IN PTR www.example.com. ; non server domain hosts 3 IN PTR bill.example.com. 4 IN PTR fred.example.com. • Ciekawostka: Niektóre usługi w ramach „paranoicznej” weryfikacji klienta sprawdzają mapowanie IP → nazwa domenowa → IP (!) 7. Zadbaj bezpieczeństwo serwera – minimum to: 2 • odpowiadać na wszystkie zapytania dotyczące własnych domen1 • odpowiadać na wszystkie zapytania pochodzące z własnych sieci2 • zezwalać na transfer domen tylko „zaufanym” serwerom DNS 8. Dla chętnych – dalsze uszczelnianie serwera: • separacja widoków (sieć wewnętrzna/sieć zewnętrzna) • uruchomienie serwera w środowisku chroot 2 Przydatne materiały • Ściąga do przedmiotu (w permanentnym stanie tworzenia): http://wojciech.penar.staff.iiar.pwr.edu.pl/download/Sciaga.pdf • Poza serwerami wskazywanymi w DHCP dostępne są także: – dns.pwr.edu.pl – amargosa.iiar.pwr.edu.pl • bind9 w Wiki Debiana: https://wiki.debian.org/Bind9 • DNS-HOWTO: http://www.tldp.org/HOWTO/DNS-HOWTO.html3 • Kilka słów o konfiguracji serwera: http://www.ulos.pl/podstawowe-zabezpieczenie-serwera-dns-bind,2.html3 3 Podpowiedzi, wskazówki • Standardowo usługa DNS działa na porcie 53 UDP – pamiętaj o firewallu! • Po modyfikacji pliku strefy (Pamiętaj zmienić „numer seryjny”!) serwer można przeładować poleceniem rndc. Pozwala ono także na przeładowywanie poszczególnych stref bez konieczności zatrzymywania serwera. • Dopóki nie zmieni się numer seryjny w pliku strefy serwer nie będzie uwzględniał wprowadzonych zmian (!) • Zarówno pliki stref jak i samą konfigurację usługi bind9 (named) można przetestować narzędziami named-checkzone (strefa) i named-checkconf (pliki konfiguracyjne) 1W praktyce – domen publicznych open-resolver’em jest niewskazane z uwagi na podatność usługi DNS na ataki typu „DNS amplification” – więcej pod adresem http://www.team-cymru.org/Open-Resolver-Challenge.html 3 Niekoniecznie uwzględnia specyfikę Debiana (podział konfiguracji na mniejsze pliki) 2 Bycie 3