Administracin DNS

Toms P. de Miguel Dpto. de Ingeniera de Sistemas Telemticos Universidad Politcnica de Madrid

dit UPM

ndice
Definicin del servicio Configuracin de un cliente Configuracin de un servidores Arquitecturas de servicios de nombres Administracin de dominios Facilidades avanzadas Aspectos de seguridad

2 (Feb 2000)

Administracin de DNS

dit UPM

Servicio de nombres
DNS (Domain Name Server) (RFC1034, RFC1035) Establece una correspondencia entre nombres y direcciones IP. Consiste en una base de datos distribuida por toda la Internet.
4 se gestiona de forma descentralizada 4 el esquema de distribucin es jerrquico 4 fcil de usar en las aplicaciones (gethostbyname()) 4 espacio de nombres es global

Almacena informacin adicional

4 se puede utilizar para otros fines 4 almacenamiento de caractersticas de mquinas 4 configuracin de servicios
3 (Feb 2000)

Administracin de DNS

dit UPM

Modelo de informacin
Jerrquico en rbol invertido Base de datos de informacin de dominios (DIB)

mil

edu

gov nsf

int

com

net

org isoc

us ole

es

jp

uk

cisco sun www ftp

upm ac dit etsit

sanson jungla
4 (Feb 2000)

Administracin de DNS

dit UPM

Registros de recursos
Registro de recursos (RR)
4 informacin asociada a cada nodo

RR: es una tupla

<Owner Type Class TTL Value> 4 Owner nombre de dominio, propietario del RR 4 Type tipo de recurso
A MX NS CNAME HINFO PTR SOA IP address Mail eXchanger Name Server Canonical Name Host description Pointer (alias de un dominio) Start of a zone of authority

5 (Feb 2000)

Administracin de DNS

dit UPM

Registros de recursos
<Owner Type Class TTL Value> 4Class identifica a una familia de protocolos (IN en Internet) 4TTL time to live, cunto tiempo un RR puede estar en la copia cach antes de ser descartado 4Value datos, depende del tipo de RR
A MX NS CNAME HINFO PTR SOA Direccin IP de 32 bits Preferencia + nombre de dominio Nombre de dominio (sistema) Nombre de dominio Mquina, S.O. Nombre de dominio Varios campos

6 (Feb 2000)

Administracin de DNS

dit UPM

Resolucin de nombres
Aplicacin Mquina cliente cliente 4 1 Mquina servidor

Servidor de nombres
3

DIB

Resolver
2

TCP/IP

TCP/IP
Otros servidores

7 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin y administracin Configuracin de los clientes

4 resolver 4 En las aplicaciones 4 En el sistema
gethostbyname() como un gancho en el ncleo como un proceso en el sistema

Configuracin de un dominio
4 Delegado en otro dominio 4 Dominio en un solo servidor 4 Dominio en varios servidores
arquitectura de la base de datos distribuida

8 (Feb 2000)

Administracin de DNS

dit UPM

Versiones
UNIX
4 BIND 4 4 BIND 4.9 4 BIND 8

Windows 95 y Windows 98
4 solo resolver

Windows NT y Windows 2000

4 resolver 4 servidor de nombres
dominios sencillos incorpora opciones avanzadas

9 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin del cliente

Configurando el resolver se configuran todas las aplicaciones
4 gethostbyname()

Orden de traduccin de nombres

4 UNIX (host.conf, nsswitch.conf)
/etc/hosts Pginas amarillas NIS DNS

4 Windows
LMHOSTS WINS DNS

10 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin de DNS
Consiste en configurar el resolver local de la mquina En UNIX est en /etc/resolv.conf
4 domain 4 search 4 nameserver 4 sortlist 4 options

Todas las aplicaciones se comportan igual

11 (Feb 2000)

Administracin de DNS

dit UPM

Definicin de dominio
Para indicar el dominio por defecto En .rhosts (dominio mark) En hostname (lince.dit.upm.es) En el resolver 4domain dit.upm.es Si no se indica ninguno se obtiene de la configuracin general del sistema

12 (Feb 2000)

Administracin de DNS

dit UPM

Lista de bsqueda
Sirve para facilitar la bsqueda de un nombre. Simplifica la identificacin de una mquina:
4 lince 4 lince.dit.upm.es

El dominio por defecto determina la lista de bsqueda por defecto.

4 Sin punto se aade el dominio por defecto 4 Con punto:
primero se busca sin dominio si falla se aade el dominio por defecto

La lista de bsqueda permite buscar en mas de un dominio 4search dit.upm.es lab.dit.upm.es

13 (Feb 2000)

Administracin de DNS

dit UPM

Servidor de nombres
El resolver inicia las bsquedas conectando con el servidor de nombres local. Como no es necesario tener un servidor de nombres en todas las mquinas se debe seleccionar uno. 4nameserver 138.4.2.10 Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts El resolver siempre busca en el mismo orden

14 (Feb 2000)

Administracin de DNS

dit UPM

Elegir entre varias respuestas

Si la respuesta a una peticin contiene varios alternativas se puede indicar cual es la preferida sortlist 138.4.2.0/255.255.255.192 sortlist 138.4.0.0 sortlist 138.4.2.0/255.255.255.0 138.4.22.0/255.255.255.0

15 (Feb 2000)

Administracin de DNS

dit UPM

Ejemplos Configuracin de resolvers

dit UPM

nslookup utilizando el servicio DNS

dit UPM

nslookup
Herramienta para consultar DNS
4 dig 4 host

nslookup es la ms extendida. Se puede probar el comportamiento del resolver o el de cualquier servidor. Solo habla con un servidor cada vez, mientras que el resolver puede dialogar con varios.

18 (Feb 2000)

Administracin de DNS

dit UPM

Servidor
Siempre se trabaja con un nico servidor. Se utiliza por defecto el primero que se indica en la configuracin del resolver. Ajusta los mismos plazos de espera del traductor. No trata de optimizar plazos. En esta herramienta lo importante es la respuesta no el tiempo empleado en conseguirla.

19 (Feb 2000)

Administracin de DNS

dit UPM

Opciones
Depuracin
4 debug y d2 4 defname, domain o nosearch 4 recurse

Considerar un dominio por defecto Realizar peticiones recursivas Ignorar paquetes errneos Utilizar otro puerto
4 port 4 por defecto intenta resolver el problema utilizando TCP

Muestra diferentes tipos de recursos

4 querytype, class 4 tiemout, retry

Configuracin de plazos y repeticiones

20 (Feb 2000)

Administracin de DNS

dit UPM

Ejemplos Buscando informacin con nslookup

dit UPM

Administracin de un servidor DNS

dit UPM

Tipos de acceso a Internet

Sin ningn tipo de acceso
4 se pueden utilizar dominios inventados

Acceso completo
4 hay que estar registrado en un dominio pblico 4 conectado con el resto de la BD mundial

Acceso limitado por un corta-fuegos

4 se puede operar con una parte pblica y otra privada

23 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin de un servidor

Escribir la tabla de mquinas Traducir la tabla de mquinas a ficheros de configuracin DNS Definir la arquitectura local
4 un servidor primario 4 varios secundarios (esclavos) 4 forwarders (cache)

Configurar el servicio named Probar la configuracin con nslookup

24 (Feb 2000)

Administracin de DNS

dit UPM

Tabla de mquinas
Fichero /etc/hosts Puede incluir mquinas en una o varias redes La tabla de mquinas incluye:
127.0.0.1 localhost 138.4.2.9 itaca fax news nis 138.4.2.9 mail 138.4.2.10 sanson dns 138.4.2.13 yeti dns2 138.4.2.13 mail2 138.4.2.60 loro www ftp proxy hora 138.4.3.171 lince 138.4.23.170 cajon localhost.localdomain itaca.dit.upm.es mail.dit.upm.es sanson.dit.upm.es yeti.dit.upm.es mail2.dit.upm.es loro.dit.upm.es lince.dit.upm.es cajon.dit.upm.es

25 (Feb 2000)

Administracin de DNS

dit UPM

Traduccin de la Tabla de Mquinas

DNS se compone de varios ficheros
4 conversin de nombres a direcciones 4 conversin de direcciones a nombres (reverse mapping) 4 Otros ficheros redundantes:
db.cache y db.127.0.0

Cada red tiene una resolucin inversa Por convenio se utilizan los siguientes nombres
4 Conversin de nombres a direcciones: db.DOMINIO 4 Conversin de direccin a nombre: db.DIRECCION-RED

Los nombres se indican en el fichero de configuracin

4 /etc/named.boot (para BIND 4) 4 /etc/named.conf (para BIND 8)
26 (Feb 2000)

Administracin de DNS

dit UPM

Generacin de ficheros DNS

Se puede hacer a mano, pero es peligroso si hay muchas mquinas y muchas redes En Windows NT se hace a travs de mens
4 muy lento si hay que administrar muchas redes 4 no est conectado con otros servicios

Hay muchas utilidades en UNIX para traducir los nombres de una BD local a la de DNS

27 (Feb 2000)

Administracin de DNS

dit UPM

Ficheros de registros
En UNIX
4 dos formatos parecidos
BIND 4 BIND 8 src/bin/named/named-bootconf.pl (pasa de 4 a 8)

4 ficheros textuales donde no se distingue entre maysculas y minsculas

En Windows
4 Se introducen los datos por menus 4 Se registran en el Fichero oculto de Registros 4 Es posible volcar el fichero de registros a un fichero de texto 4 Tambin se pueden aadir ficheros de texto al registro de Windows.

28 (Feb 2000)

Administracin de DNS

dit UPM

Ficheros de registros
Se componen de Registros de Recursos Formato parcialmente libre
4 un registro por lnea

Tipos de registros
4 SOA indica la autoridad de la zona 4 NS indica un servidor de nombres de la zona 4 Aconversin nombre a direccin 4 PTR conversin direccin a nombre 4 CNAME nombre cannicos (ALIAS) 4 comentarios
; es un comentario en v4 /* es u comentario en v8 */ // y este tambin # y este tambin

29 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin del servidor

Directorio con los ficheros de datos
4 directory /usr/local/named 4 options { directory /usr/local/named; };

Servidor maestro primario

4 contiene una linea por cada fichero de datos 4 cada lnea tiene tres campos:
primary (en la primera columna) el nombre de dominio nombre de fichero

30 (Feb 2000)

Administracin de DNS

dit UPM

Abreviaturas
El nombre del servidor primario se aade a todos los nombres no completos (que no terminan en .)
lince.dit.upm.es. lince 171.3.4.138.in-addr.arpa 171 IN A 138.4.3.171 IN A 138.4.3.171 IN PTR lince.dit.upm.es. IN PTR lince.dit.upm.es.

No olvidar el . en los nombres completos

4 lince.dit.upm.es IN A 138.4.3.171 4 equivale a lince dit.upm.es.dit.upm.es.

31 (Feb 2000)

Administracin de DNS

dit UPM

Abreviaturas de nombres
El nombre de dominio se puede reducir
4 dit.upm.es. 4@

Se puede asumir en nombre anterior

4 selva 4 IN A IN A 138.4.2.7 138.4.22.1

Los nombres no pueden incluir el _

4 Solo se puede utilizar en las direcciones de correo

32 (Feb 2000)

Administracin de DNS

dit UPM

Servidor de nombres secundario

Es necesario tener al menos un servidor de nombres esclavo del primario Muchas veces hay mas de dos. Sirve adems para repartir carga Diferencias
4 el primario tiene la informacin local 4 el esclavo la coge por la red (zone transfer)

Como el loopback y la cache son iguales se pueden copiar a mano.

33 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin del correo

La Tabla de Mquinas solo sirve para dar nombres a las mquinas. DNS permite encaminar el correo electrnico. DNS ofrece la posibilidad de indicar servidores de correo alternativos El registro MX sirve para indicar el servidor para
4 procesar el correo 4 distribuir correo

Originalmente estaba dividido en dos, MD y MF.

34 (Feb 2000)

Administracin de DNS

dit UPM

Servidores de correo
Se puede especificar mas de un servidor de correo Para evitar bucles se aade un parmetro que es la preferencia, que indica la prioridad de cada servidor. dit.upm.es. IN MX 10 mail.dit.upm.es. Cuando se dan varios se ordenan por prioridad y se evalan en ese mismo orden:
selva IN IN IN IN A MX MX MX 0 10 100 138.4.22.1 mail.dit.upm.es. mail2.dit.upm.es. selva.dit.upm.es.

Se pueden dar valores de 0 a 65535 Es recomendable indicar un registro MX para cada mquina

35 (Feb 2000)

Administracin de DNS

dit UPM

Caractersticas de un servidor de correo

Tamao
4 para manejar todo el correo 4 para encolarlo si es necesario

Disponible
4 en funcionamiento la mayor parte del tiempo

Conectividad
4 bien conectado con los dems servidores

Gestin y administracin
4 manteniendo la privacidad 4 que no pierde mensajes cuando se producen fallos 4 consigue una velocidad de entrega

36 (Feb 2000)

Administracin de DNS

dit UPM

Algoritmo de entrega de mensajes

Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. Si no est disponible se busca el siguiente en funcin del orden de prioridad. Se deben usar siempre nombres cannicos.
4 muchos intercambiadores de correo no miran los alias (CNAME)

37 (Feb 2000)

Administracin de DNS

dit UPM

Entrega de mensajes
Cuando se alcanza una mquina con baja prioridad
4 se descartan los servidores con igual o mayor prioridad 4 se intenta mandar el mensaje al de prioridad mas baja 4 si falla se encola y se prueba mas tarde.

Si al intentar enviarlo se encuentra a si mismo

4 da un error y devuelve el mensaje 4 se puede configurar el sendmail para evitarlo

38 (Feb 2000)

Administracin de DNS

dit UPM

Ejemplos Configuracin de servidores

dit UPM

Mantenimiento de un servidor DNS

dit UPM

Aadir y quitar mquinas

Actualizar siempre el primario
4 si se actualiza el secundario se pierde el cambio con la siguiente actualizacin

Fichero db.DOMINIO
4 Actualizar el nmero de serie 4 Aadir los registros: A, CNAME, MX

Fichero db.DIRECCION
4 Actualizar el nmero de serie 4 Aadir los registros: PTR

Relanzar el servidor de nombres

4 kill -HUP `cat /etc/named.pid`

41 (Feb 2000)

Administracin de DNS

dit UPM

Trazas de funcionamiento
Durante la operacin se generan trazas de funcionamiento Como mnimo se deben volcar los errores Se suele enviar la informacin al syslog Hay dos categoras de mensajes
4 estadsticas 4 peticiones

Hay dos canales donde enviar la informacin

4 syslog (estadsticas) 4 fichero de log (estadsticas y peticiones)

42 (Feb 2000)

Administracin de DNS

dit UPM

Trazas de funcionamiento
Hay diferentes tipos de mensajes
4 critical 4 error 4 warning 4 notice 4 info 4 debug nivel 4 dynamic

En BIND 8 es fcil definirlo

logging { channel mi_syslog { syslog daemon; severity info; }; channel mi_fich { file log.mens; severity dynamic; }; category statistics {mi_syslog; mi_fich;} category queries {mi_fich;} };

43 (Feb 2000)

Administracin de DNS

dit UPM

Arquitecturas de DNS
Cuantos servidores se deben instalar
4 Como mnimo un primario 4 Un secundario directamente conectado a cada subred
asociarlos a los servidores de ficheros

4 Poner un secundario fuera de las redes del dominio

Factores a tener en cuenta

4 conectividad 4 versiones de software 4 homogeneidad 4 seguridad

44 (Feb 2000)

Administracin de DNS

dit UPM

Servidores muy cargados

Si un servidor recibe muchas peticiones puede ser necesario
4 replicarlo en varios procesos (BIND 4) 4 limitar la carga que admite (BIND 4.9)

Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP.
4 Los sistemas tradicionales solo ponen un registro en cada mensaje DNS.

45 (Feb 2000)

Administracin de DNS

dit UPM

Acciones para reducir la carga

limitar las transferencias iniciadas con un servidor
4 no traer todas las BD de golpe sino poco a poco

limitar el nmero total de zonas a transferir

4 transferencias por servidor * 4 nmero de servidores

limitar la duracin de una transferencia de zona

4 por defecto son 2 horas 4 despus de ese tiempo se considera que el servidor ha muerto

transferencias de zona mas eficientes

4 se pueden poner varios registros en un mensaje DNS

46 (Feb 2000)

Administracin de DNS

dit UPM

Recursos limitados
Limitando el tamao del segmento de datos
4 limitar el tamao del proceso antes de que se pare.

Limitando el tamao de la pila Limitando el tamao del proceso Limitando el nmero de ficheros abiertos
4 ficheros que el proceso puede abrir simultneamente

47 (Feb 2000)

Administracin de DNS

dit UPM

Como aumentar la capacidad

Aadiendo mas servidores primarios maestros Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia. Cargar unos secundarios de otros Crear servidores cache Crear servidores secundarios parciales

48 (Feb 2000)

Administracin de DNS

dit UPM

Cuando aadir un subdominio

Cuando es necesario delegar o distribuir la gestin entre varios grupos (organizaciones) Cuando el tamao del dominio es muy grande
4 al dividirlo se simplifica la gestin 4 se reduce la carga en el servidor

Cuando es necesario distinguir las mquinas dentro de una organizacin por grupos

49 (Feb 2000)

Administracin de DNS

dit UPM

Como nombrar subdominios

Elegir nombres que no sean susceptibles de cambios frecuentes Si los nombres de la organizacin no son estables usar nombres geogrficos No sacrificar la legibilidad Utilizar nombres obvios No utilizar nombres de dominios existentes a nivel mundial

50 (Feb 2000)

Administracin de DNS

dit UPM

Mantenimiento
Borrar entradas obsoletas
4 peridicamente se revisa la cache y se eliminan las entradas obsoletas 4 BIND 8 consume menos disco que BIND 4 donde no se limpia

Intervalo de inspeccin de interfaces

4 para que el servidor atienda por todas las interfaces aunque estas se activen y desactiven.

Intervalo entre estadsticas

4 plazo para volcar estadsticas 4 para no entorpecer el funcionamiento normal

51 (Feb 2000)

Administracin de DNS

dit UPM

Mquinas con varias interfaces

La mayora de los servicios mejoran si se accede a la interfaz correcta Si se accede al nombre (selva) se puede elegir la interfaz no deseada Se puede dar nombre a las interfaces fsicas.

red 10 selva10 selva selva20 red 20 selva30 red 30

52 (Feb 2000)

Administracin de DNS

dit UPM

Ordenacin de respuestas
Si una mquina pregunta por otra de su misma red, se ordena la respuesta para que la direccin de esa red aparezca la primera. Si la mquina que pide la direccin es de otra red no conectada directamente a ninguna de las interfaces
4 no se ordena la lista 4 se puede forzar en la configuracin una ordenacin
sortlist 10.0.0.0 esto solo funciona con redes, no subredes se puede indicar varias redes en la lista

Se puede ordenar los servidores

53 (Feb 2000)

Administracin de DNS

dit UPM

Forwarders
Cuando un sitio tiene una conexin de baja capacidad con Internet Interesa minimizar al mximo las peticiones fuera y mantener una cache local

Servidor buscado Forwarder Servidor local

Administracin de DNS

Clientes
54 (Feb 2000)

dit UPM

Configuracin
Los clientes no tienen nada especial Los servidores locales deben saber que existe uno o mas forwarders
4 options { 138.4.2.10; 138.4.3.130; }; 4 forwarders 138.4.2.10 138.4.3.130

Se puede restringir la configuracin aun mas

4 options { 138.4.2.10; 138.4.3.130; }; forward-only; 4 forwarders 138.4.2.10 138.4.3.130 slave

55 (Feb 2000)

Administracin de DNS

dit UPM

Servidor en grupo
Cuando un servicio de Internet se da con mas de una mquina Ayudar a repartir carga entre servidores espejo Versiones antiguas
4 Un registro especial: Shuffle Address Record

Versiones modernas (4.9)

4 varios registros A
www.foo.com. 60 www.foo.com. 60 www.foo.com. 60 IN IN IN A A A 192.1.1.1 192.1.1.2 192.1.1.3

4 va rotando las direcciones en las respuestas

56 (Feb 2000)

Administracin de DNS

dit UPM

DNS y pginas amarillas

El orden de bsqueda es el siguiente
4 /etc/hosts 4 NIS 4 DNS

Ignorar NIS
4 mv /etc/hosts /etc/hosts.tmp 4 touch /etc/hosts 4 (cd /var/yp; make) 4 mv /etc/hosts.tmp /etc/hosts

En Linux se puede establecer un orden cualquiera

4 /etc/host.conf 4 /etc/nsswitch.conf

57 (Feb 2000)

Administracin de DNS

dit UPM

DNS y Windows 95
Se puede configurar el resolver local
4 Dial-up networking 4 TCP/IP settings

El orden de bsqueda es
4 LMHOSTS 4 WINS 4 DNS

Se puede indicar
4 el nombre de la mquina 4 los servidores en los que buscar 4 dominios en los que buscar

58 (Feb 2000)

Administracin de DNS

dit UPM

Notificaciones de cambio
Los esclavos se actualizan peridicamente (refresh time) Cuando se efecta un cambio en el primario no se percibe hasta que vence el plazo de actualizacin DNS NOTIFY (RFC 1996)
4 el primario enva una peticin NOTIFY a los esclavos 4 el esclavo asiente NOTIFY 4 el esclavo hace como se el periodo de actualizacin hubiera vencido 4 solo si el nmero de serie ha aumentado se transfiere la zona

59 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin
Est configurado por defecto El servidor DNS para NT dispone de esta facilidad No siempre se desea que este activada
4 options { notify no; }; 4 de esa forma un esclavo no notifica a otro en cascada 4 si se tienen esclavo con BIND 4 es mejor no notificar 4 se notifica a todos los servidores NS

60 (Feb 2000)

Administracin de DNS

dit UPM

Configuracin explcita
Se pueden aadir mquinas a mano

zone acmebw.com { type master; file acmebd.com.db; notify yes; also-notify 15.255.152.4; };

61 (Feb 2000)

Administracin de DNS

dit UPM

Movilidad
Se desea que la misma mquina se pueda conectar a varias redes Se puede utilizar DHCP para asignar nmero de IP al cliente Pero hay que actualizar la BD de DNS Actualizacin dinmica (RFC 2136) Hay que actualizarlo en el servidor
zone acmebw.com { type master; file acmebw.com.db; allow_update { 192.168.0.1; }; };

62 (Feb 2000)

Administracin de DNS

dit UPM

Actualizacin dinmica
Por lnea de comandos (nsupdate) o por programa Establecer prerequisitos antes de actualizar
4 prereg yxrrset domain name type [rdata] 4 prereg nxrrset 4 prereg yxdomain domain name 4 prereg nxdomain

Actualizar la base de datos

4 update delete domain name [type][name] 4 update add domain name ttl [class] type rdata

63 (Feb 2000)

Administracin de DNS

dit UPM

Ejemplos
Aadir una mquina
4 nsupdate 4 prereg nxdomain dit.upm.es. 4 update add lince.dit.upm.es 333 in a 138.4.23.58

Si una mquina tiene MX borrarlo y poner otros dos en su lugar

4 nsupdate 4 prereg yxrrset yeti.dit.upm.es. in mx 4 update delete yeti.dit.upm.es. In mx 4 update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es. 4 Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es.

64 (Feb 2000)

Administracin de DNS

dit UPM

Aspectos de seguridad
La mayora de los aspectos de seguridad no son necesarios en corporaciones A quien contestar A quien ofrecer la notificacin de cambios A quien permitir que se actualice dinmicamente

65 (Feb 2000)

Administracin de DNS

dit UPM

Seguridad
Protegerse contra ataques maliciosos
4 utilizar versiones modernas protegidas

Limitar las peticiones

4 dando una lista de acceso

Evitar transferencias no autorizadas No ejecutar el servidor como root

66 (Feb 2000)

Administracin de DNS

dit UPM

Limitar las peticiones

Rechazar el acceso a la informacin ofrecer nombres solo al grupo local options { allow-query { lista_de_acceso }; }; options { allow-query { 138.4.1.0/6; 138.4.2.64/6; } };

67 (Feb 2000)

Administracin de DNS

dit UPM

Limitar las peticiones por zonas Se puede limitar la informacin por zonas
zone hp.com { type slave; file db.hp; masters { 15.255.152.2; }; allow-query { HP-NET; }; };

En BIND 4.9 se utiliza el registro secure_zone

4 limita las transferencias de zona adems de las peticiones 4 secure_zone IN TXT 138.4.23.0:255.255.255.0 4 secure_zone IN TXT 138.4.2.0:255.255.255.192 4 secure_zone IN TXT 127.0.0.1:H

68 (Feb 2000)

Administracin de DNS

dit UPM

Limitar las transferencias de zonas Asegurar que solo los servidores esclavos pueden transferir la zona Configuracin
4allow-transfer (BIND 8) 4xfrnets (BIND 4.9)

Configuracin del primario

4indicar las mquinas autorizadas

Configuracin del esclavo

4prohibir la transferencia totalmente

69 (Feb 2000)

Administracin de DNS

dit UPM

Ejemplo (BIND 8)
primario
zone acmebw.com { type master; file db.acmebw; allow-transfer {192.168.0.1; 192.168.1.1; }; };

esclavo
zone acmebw.com { type slave; masters { 192.168.0.4; }; allow-transfer { none; }; };

70 (Feb 2000)

Administracin de DNS

dit UPM

Reglas de seguridad
Evitar las peticiones recursivas en los servidores de nombres delegados
4 para evitar el spoofing

No se puede evitar la recursin en los forwarders

4 limitar las peticiones a un grupo 4 allow-query { 138.4/16; };

Restringir la transferencia de zona a servidores conocidos

71 (Feb 2000)

Administracin de DNS

dit UPM