La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Dit UPM Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos.

Presentaciones similares


Presentación del tema: "Dit UPM Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos."— Transcripción de la presentación:

1 dit UPM Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos

2 dit UPM Servicios básicos de la red u Ya hemos visto: DHCP Acceso remoto: SSH u Administración de DNS Domain Name System: sistema de nombres de dominio u Sincronización de tiempo: NTP Network Time Protocol u Cortafuegos iptables Nr

3 dit UPM ADMINISTRACIÓN DE DNS Nr

4 dit UPM Índice u Definición del servicio u Configuración de un cliente u Configuración de un servidor u Arquitecturas de servicios de nombres u Administración de dominios u Facilidades avanzadas u Aspectos de seguridad Nr

5 dit UPM Nr Tabla de máquinas u Fichero /etc/hosts u Puede incluir máquinas en una o varias redes u La tabla de máquinas incluye: localhost localhost.localdomain itaca fax news nisitaca.dit.upm.es mailmail.dit.upm.es sanson dnssanson.dit.upm.es yeti dns2yeti.dit.upm.es mail2mail2.dit.upm.es loro www ftp proxy horaloro.dit.upm.es lincelince.dit.upm.es cajoncajon.dit.upm.es

6 dit UPM /etc/hosts u Establecía una correspondencia entre nombres y direcciones IP. u localhostlocalhost.localdomain u servidorservidor.adminlibre.dit.upm.es u iquitosiquitos.adminlibre.dit.upm.es u nautanauta.servicios.aminlibre.dit.upm.es u requenarequena.servicios.adminlibre.dit.upm.es u yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es u limalima.adminlibre.dit.upm.es u cuzco¡cuzco.imasd.adminlibre.dit.upm.es u icaica.imasd.adminlibre.dit.upm.es u huarazhuaraz.imasd.adminlibre.dit.upm.es u sanson dnssanson.dit.upm.es u dns2dns2.dit.upm.es u Contenía información de cada equipo u Demasiadas direcciones IP en uso hoy en día (>400M) u Cómo sincronizar los nombres con las direcciones IP? Nr

7 dit UPM Servicio de nombres u DNS (Domain Name Server) (RFC1034, RFC1035) Ampliado posteriormente para incluir muchas extensiones: Internacionalización – acentos, ñ, caracteres chinos…. Seguridad: DNSSEC u Establece una correspondencia dinámica entre nombres y direcciones IP. u Consiste en una base de datos distribuida por toda la Internet. se gestiona de forma descentralizada y redundante Sin ningún punto único de fallo el esquema de distribución es jerárquico fácil de usar en las aplicaciones (gethostbyname()) espacio de nombres es global Escalable No hay tamaño máximo de la base de datos (.com 60Millones) No hay límite de preguntas ( en HW normal) Nr

8 dit UPM Servicio de nombres u Almacena Direcciones IPv4 Direcciones IPv6 Nombres – búsquedas inversas u Almacena información adicional Se puede utilizar para otros fines Almacenamiento de características de máquinas Configuración de servicios Servidor de nombres Servidor de voip… Claves públicas Información de contacto … Nr

9 dit UPM Nr Modelo de información u Jerárquico en árbol invertido u Base de datos de información de dominios (DIB) mil edu gov int com net org us es jp uk ole upm dit etsit sanson jungla cisco sun nsf ac www ftp isoc. sanson.dit.upm.es ->

10 dit UPM Nr Modelo de información – DNS inverso u Jerárquico en árbol invertido u Base de datos de información de direcciones IP in-addr.arpa in-addr.arpa. ->sanson.dit.upm.es

11 dit UPM Nr Resolución de nombres Resolver TCP/IP Aplicación cliente 1 Máquina cliente DIB TCP/IP Servidor de nombres Máquina servidor 6 2 Otrosservidores 3 4 5

12 dit UPM Configuración y administración u Configuración de los clientes resolver En las aplicaciones En el sistema gethostbyname() gethostbyaddr() como un gancho en el núcleo como un proceso en el sistema u Configuración de un dominio Delegado en otro dominio Dominio en un solo servidor Dominio en varios servidores arquitectura de la base de datos distribuida Nr

13 dit UPM Administración de un cliente Resolver de DNS

14 dit UPM Configuración del cliente u Configurando el resolver se configuran todas las aplicaciones gethostbyname(), gethostbyaddr() u FQDN Full Qualified Domain Name: nombre completo hasta la raiz. servidor.adminlibre.dit.upm.es. u Orden de traducción de nombres host.conf order hosts,bind multi on nsswitch.conf hosts files mdns4_minimal dns mdns4 hosts/files Entradas locales con el formato: Nr

15 dit UPM Configuración del resolver local u En UNIX está en /etc/resolv.conf domain search nameserver sortlist options u Todas las aplicaciones se comportan igual u ¿Cuál es nuestro dominio? hostname hostname -f Nr domainadminlibre.org searchadminlibre.org dit.upm.es nameserver nameserver

16 dit UPM Definición de dominio u FQDN está subdividido en dominios mediante el. Control administrativo de cada subdominio puede variar u sanson.dit.upm.es. Dominio raíz o. Dominio.es Dominio upm.es Dominio dit.upm.es u En /etc/resolv.conf Completa el nombre dado en /etc/hostname Nr

17 dit UPM /etc/resolv.conf - search u Sirve para facilitar la búsqueda de un nombre. u Simplifica la identificación de una máquina: lince lince.dit.upm.es. u El dominio por defecto determina la lista de búsqueda por defecto. Sin punto se añade el dominio por defecto Con punto: primero se busca sin dominio si falla se añade el dominio por defecto u La lista de búsqueda permite buscar en más de un dominio search dit.upm.es lab.dit.upm.es Nr

18 dit UPM /etc/resolv.conf - nameserver u El resolver inicia las búsquedas según lo definido en /etc/nsswitch.conf Mirando el fichero local /etc/hosts Conectando con el servidor de nombres local. u Como no es necesario tener un servidor de nombres en todas las máquinas se debe seleccionar al menos uno. nameserver u Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts u El resolver siempre busca en el mismo orden según lo indicado Nr

19 dit UPM Nr /etc/resolv.conf - sortlist u Si la respuesta a una petición contiene varios alternativas se puede indicar cual es la preferida u sortlist / u sortlist u sortlist / /

20 dit UPM Administración de un servidor DNS

21 dit UPM Tipos de acceso a Internet u Sin ningún tipo de acceso se pueden utilizar dominios inventados u Acceso completo hay que estar registrado en un dominio público Enganchado al árbol invertido del DNS conectado con el resto de la BD mundial desde. u Acceso limitado por un corta-fuegos se puede operar con una parte pública y otra privada Nr

22 dit UPM Servidores u Autoritario de una zona o dominio Master: servidor primario Slave: servidores secundarios u Servidor recursivo Pregunta a masters hasta hallar la respuesta Disponen de una caché para responder más rápidamente Entradas en la caché sólo es temporal (TTL) u Forwarders Servidor que re-envía preguntas de DNS Nr

23 dit UPM DIBUJO DE SERVIDORES Nr

24 dit UPM Servidor DNS: BIND u UNIX BIND 9 BIND 10 en desarrollo actualmente u Instalar u También para otros sistemas operativos FreeBSD, Windows XP, 2003, 2008 Solaris, Mandrake, Debian, Mac OS X, … Nr $ apt-get install bind9

25 dit UPM Configuración u Servidor lee la configuración de /etc/named.conf Qué tipo de servidor es Master Slave Qué información de traza dejo Opciones Qué zonas sirvo conversión de nombres a direcciones conversión de direcciones a nombres (reverse mapping) u Fichero de hints Como contactar con un servidor de la raíz. u Cada zona tiene su fichero de datos Con el nombre de la zona Con el nombre inverso Contiene la información de cada recurso de la zona Nr

26 dit UPM Configuración Master u El master tiene un fichero por cada zona con al información u El slave (esclavo) obtiene la información de la zona haciendo una transferencia del master u Cada zona tiene su fichero de datos Con el nombre de la zona Con el nombre inverso Contiene la información de cada recurso de la zona Nr

27 dit UPM Nr Registros de recursos u DNS mapea nombres a Registro de Recursos (RR) información asociada a cada nodo u RR: es una tupla Owner nombre de dominio, propietario del RR TTL time to live, cuánto tiempo un RR puede estar en la copia caché antes de ser descartado Class identifica a una familia de protocolos (IN en Internet)

28 dit UPM Nr Registros de recursos Type tipo de recurso AIPv4 address MXMail eXchanger NSName Server CNAMECanonical Name, alias HINFOHost description PTRPointer (alias de un dominio) SOAStart of a zone of authority Value datos, depende del tipo de RR ADirección IP de 32 bits MXPreferencia + nombre de dominio NSEquipo que sirve el dominio CNAMENombre de dominio HINFOMáquina, S.O. PTRDNS inverso: para un IP su nombre de dominio SOAVarios campos

29 dit UPM Ficheros de registros u Lista de todos los registros conocidos de una zona u Todas las líneas acaban en ; u Comentarios ; es un comentario en v4 /* es u comentario en v8 */ // y este también # y este también Nr

30 dit UPM Ficheros de registros - SOA u Información sobre autoridad de la zona Información de contacto del dueño de la zona Un equipo y un humano! Número de serie Incrementado al realizar un cambio en la zona, indica la versión más reciente Puede ser una fecha: AAAAMMDDXX Intervalo de refresco Cada cuanto tiempo comprueba un esclavo si el número de serie ha cambiado Intervalo de reintento Si el intento de comprobación del número de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo Intervalo de expiración Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona Caché negativo Cuanto tiempo se guarda en la caché un resultado negativo Nr

31 dit UPM Ficheros de registros - SOA u Ejemplo de SOA u O también con un formato más humano Nr exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( ; número de serie ; refresh 3h 3600 ; retry 1h ; expire 1w ) ; ncache 3h exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( h 1h 1w 3h ); Servidor master Contacto humano

32 dit UPM Ficheros de registros - NS u NSindica un servidor de nombres de la zona Se usa para delegar una zona a otro servidor Es conveniente tener más de uno RR de esa zona están en otro servidor Nr subdom.exmpl.com. IN NS servidor.otrodom.com. subdom.exmpl.com. INNS servidor2.otrodom.com. Último punto es imprescindible

33 dit UPM Ficheros de registros - A u Aconversión nombre a dirección IPv4 Proporciona el mapeo entre el dueño – owner y el número IP Puede haber más de un número IP por dueño Nr equipo.exmpl.com. IN A A equipo2 INA Si no acaba con. se le añade el dominio de la zona

34 dit UPM Ficheros de registros - CNAME u CNAMEnombres canónicos (ALIAS) Indican a un resolver que la información del RR pedido se halla bajo otro nombre Es el único RR que debe existir de un nombre Pregunta: Respuesta: Nueva Pregunta: Nueva respuesta: Nr alias.exmpl.com. IN CNAME real.exmpl.com. alias.exmpl.com A? alias.exmpl.com CNAME real.exmpl.com real.exmpl.com A? real.exmpl.com A

35 dit UPM Ficheros de registros - MX u MXservidor de correo de un dominio Nr

36 dit UPM Ficheros de registros - PTR u PTRconversión dirección a nombre Nr

37 dit UPM Nr Abreviaturas u El nombre del servidor primario se añade a todos los nombres no completos (que no terminan en.) lince.dit.upm.es.IN A linceIN A in-addr.arpa.IN PTR lince.dit.upm.es. 171IN PTR lince.dit.upm.es. u No olvidar el. en los nombres completos lince.dit.upm.esIN A equivale a lince dit.upm.es.dit.upm.es.

38 dit UPM Nr Abreviaturas de nombres u El nombre de dominio se puede reducir u Se puede asumir en nombre anterior selvaIN A IN A u Los nombres no pueden incluir el _ Solo se puede utilizar en las direcciones de correo

39 dit UPM Nr Servidor de nombres secundario u Es necesario tener al menos un servidor de nombres esclavo del primario u Muchas veces hay mas de dos. u Sirve además para repartir carga u Diferencias el primario tiene la información local el esclavo la coge por la red (zone transfer) u Como el loopback y la cache son iguales se pueden copiar a mano.

40 dit UPM Nr Configuración del correo u La Tabla de Máquinas solo sirve para dar nombres a las máquinas. u DNS permite encaminar el correo electrónico. u DNS ofrece la posibilidad de indicar servidores de correo alternativos u El registro MX sirve para indicar el servidor para procesar el correo distribuir correo u Originalmente estaba dividido en dos, MD y MF.

41 dit UPM Nr Servidores de correo u Se puede especificar mas de un servidor de correo u Para evitar bucles se añade un parámetro que es la preferencia, que indica la prioridad de cada servidor. u dit.upm.es. IN MX 10 mail.dit.upm.es. u Cuando se dan varios se ordenan por prioridad y se evalúan en ese mismo orden: selvaINA INMX 0mail.dit.upm.es. INMX 10mail2.dit.upm.es. INMX100selva.dit.upm.es. u Se pueden dar valores de 0 a u Es recomendable indicar un registro MX para cada máquina

42 dit UPM Nr Características de un servidor de correo u Tamaño para manejar todo el correo para encolarlo si es necesario u Disponible en funcionamiento la mayor parte del tiempo u Conectividad bien conectado con los demás servidores u Gestión y administración manteniendo la privacidad que no pierde mensajes cuando se producen fallos consigue una velocidad de entrega

43 dit UPM Nr Algoritmo de entrega de mensajes u Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. u Si no está disponible se busca el siguiente en función del orden de prioridad. u Se deben usar siempre nombres canónicos. muchos intercambiadores de correo no miran los alias (CNAME)

44 dit UPM Nr Entrega de mensajes u Cuando se alcanza una máquina con baja prioridad se descartan los servidores con igual o mayor prioridad se intenta mandar el mensaje al de prioridad mas baja si falla se encola y se prueba mas tarde. u Si al intentar enviarlo se encuentra a si mismo da un error y devuelve el mensaje se puede configurar el sendmail para evitarlo

45 dit UPM Ejemplos Configuración de servidores

46 dit UPM Herramientas de diagnóstico

47 dit UPM dig u Herramienta de diagnóstico de DNS u Similar a nslookup o host u La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. u Uso: Nr dig RR RR $ dig tuenty.com. A $ dig gmail.com. MX $ lima A $ PTR

48 dit UPM dig u Herramienta de diagnóstico de DNS u Similar a nslookup o host u La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. Nr $ dig tuenty.com a ; > DiG APPLE-P2 > tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com.INA ;; ANSWER SECTION: tuenty.com.86400INA ;; AUTHORITY SECTION: tuenty.com.86400INNSdns4.servidoresdns.net. tuenty.com.86400INNSdns3.servidoresdns.net. ;; ADDITIONAL SECTION: dns3.servidoresdns.net.1979INA dns4.servidoresdns.net.1979INA ;; Query time: 59 msec ;; SERVER: #53( ) ;; WHEN: Mon Mar 22 16:13: ;; MSG SIZE rcvd: 131

49 dit UPM Mantenimiento de un servidor DNS

50 dit UPM Nr Añadir y quitar máquinas u Actualizar siempre el primario si se actualiza el secundario se pierde el cambio con la siguiente actualización u Fichero db.DOMINIO Actualizar el número de serie Añadir los registros: A, CNAME, MX u Fichero db.DIRECCION Actualizar el número de serie Añadir los registros: PTR u Relanzar el servidor de nombres kill -HUP `cat /etc/named.pid`

51 dit UPM Nr Trazas de funcionamiento u Durante la operación se generan trazas de funcionamiento u Como mínimo se deben volcar los errores u Se suele enviar la información al syslog u Hay dos categorías de mensajes estadísticas peticiones u Hay dos canales donde enviar la información syslog (estadísticas) fichero de log (estadísticas y peticiones)

52 dit UPM Nr Trazas de funcionamiento u Hay diferentes tipos de mensajes critical error warning notice info debug nivel dynamic u En BIND 8 es fácil definirlo logging { channel mi_syslog { syslog daemon; severity info; }; channel mi_fich { file log.mens; severity dynamic; }; category statistics {mi_syslog; mi_fich;} category queries {mi_fich;} };

53 dit UPM Nr Arquitecturas de DNS u Cuantos servidores se deben instalar Como mínimo un primario Un secundario directamente conectado a cada subred asociarlos a los servidores de ficheros Poner un secundario fuera de las redes del dominio u Factores a tener en cuenta conectividad versiones de software homogeneidad seguridad

54 dit UPM Nr Servidores muy cargados u Si un servidor recibe muchas peticiones puede ser necesario replicarlo en varios procesos (BIND 4) limitar la carga que admite (BIND 4.9) u Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP. Los sistemas tradicionales solo ponen un registro en cada mensaje DNS.

55 dit UPM Nr Acciones para reducir la carga u limitar las transferencias iniciadas con un servidor no traer todas las BD de golpe sino poco a poco u limitar el número total de zonas a transferir transferencias por servidor * número de servidores u limitar la duración de una transferencia de zona por defecto son 2 horas después de ese tiempo se considera que el servidor ha muerto u transferencias de zona mas eficientes se pueden poner varios registros en un mensaje DNS

56 dit UPM Nr Recursos limitados u Limitando el tamaño del segmento de datos limitar el tamaño del proceso antes de que se pare. u Limitando el tamaño de la pila u Limitando el tamaño del proceso u Limitando el número de ficheros abiertos ficheros que el proceso puede abrir simultáneamente

57 dit UPM Nr Como aumentar la capacidad u Añadiendo mas servidores primarios maestros u Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia. u Cargar unos secundarios de otros u Crear servidores cache u Crear servidores secundarios parciales

58 dit UPM Nr Cuando añadir un subdominio u Cuando es necesario delegar o distribuir la gestión entre varios grupos (organizaciones) u Cuando el tamaño del dominio es muy grande al dividirlo se simplifica la gestión se reduce la carga en el servidor u Cuando es necesario distinguir las máquinas dentro de una organización por grupos

59 dit UPM Nr Como nombrar subdominios u Elegir nombres que no sean susceptibles de cambios frecuentes u Si los nombres de la organización no son estables usar nombres geográficos u No sacrificar la legibilidad u Utilizar nombres obvios u No utilizar nombres de dominios existentes a nivel mundial

60 dit UPM Nr Mantenimiento u Borrar entradas obsoletas periódicamente se revisa la cache y se eliminan las entradas obsoletas BIND 8 consume menos disco que BIND 4 donde no se limpia u Intervalo de inspección de interfaces para que el servidor atienda por todas las interfaces aunque estas se activen y desactiven. u Intervalo entre estadísticas plazo para volcar estadísticas para no entorpecer el funcionamiento normal

61 dit UPM Nr Máquinas con varias interfaces u La mayoría de los servicios mejoran si se accede a la interfaz correcta u Si se accede al nombre (selva) se puede elegir la interfaz no deseada u Se puede dar nombre a las interfaces físicas. selva red 10 red 20red 30 selva10 selva20selva30

62 dit UPM Nr Ordenación de respuestas u Si una máquina pregunta por otra de su misma red, se ordena la respuesta para que la dirección de esa red aparezca la primera. u Si la máquina que pide la dirección es de otra red no conectada directamente a ninguna de las interfaces no se ordena la lista se puede forzar en la configuración una ordenación sortlist esto solo funciona con redes, no subredes se puede indicar varias redes en la lista u Se puede ordenar los servidores

63 dit UPM Nr Forwarders u Cuando un sitio tiene una conexión de baja capacidad con Internet u Interesa minimizar al máximo las peticiones fuera y mantener una cache local Forwarder Servidor buscado Servidor local Clientes

64 dit UPM Nr Configuración u Los clientes no tienen nada especial u Los servidores locales deben saber que existe uno o mas forwarders options { ; ; }; forwarders u Se puede restringir la configuración aun mas options { ; ; }; forward-only; forwarders slave

65 dit UPM Nr Servidor en grupo u Cuando un servicio de Internet se da con mas de una máquina u Ayudar a repartir carga entre servidores espejo u Versiones antiguas Un registro especial: Shuffle Address Record u Versiones modernas (4.9) varios registros A va rotando las direcciones en las respuestas

66 dit UPM Nr DNS y páginas amarillas u El orden de búsqueda es el siguiente /etc/hosts NIS DNS u Ignorar NIS mv /etc/hosts /etc/hosts.tmp touch /etc/hosts (cd /var/yp; make) mv /etc/hosts.tmp /etc/hosts u En Linux se puede establecer un orden cualquiera /etc/host.conf /etc/nsswitch.conf

67 dit UPM Nr DNS y Windows 95 u Se puede configurar el resolver local Dial-up networking TCP/IP settings u El orden de búsqueda es LMHOSTS WINS DNS u Se puede indicar el nombre de la máquina los servidores en los que buscar dominios en los que buscar

68 dit UPM Nr Notificaciones de cambio u Los esclavos se actualizan periódicamente (refresh time) u Cuando se efectúa un cambio en el primario no se percibe hasta que vence el plazo de actualización u DNS NOTIFY (RFC 1996) el primario envía una petición NOTIFY a los esclavos el esclavo asiente NOTIFY el esclavo hace como se el periodo de actualización hubiera vencido solo si el número de serie ha aumentado se transfiere la zona

69 dit UPM Nr Configuración u Está configurado por defecto u El servidor DNS para NT dispone de esta facilidad u No siempre se desea que este activada options { notify no; }; de esa forma un esclavo no notifica a otro en cascada si se tienen esclavo con BIND 4 es mejor no notificar se notifica a todos los servidores NS

70 dit UPM Nr Configuración explícita u Se pueden añadir máquinas a mano zone acmebw.com { type master; file acmebd.com.db; notify yes; also-notify ; };

71 dit UPM Nr Movilidad u Se desea que la misma máquina se pueda conectar a varias redes u Se puede utilizar DHCP para asignar número de IP al cliente u Pero hay que actualizar la BD de DNS u Actualización dinámica (RFC 2136) u Hay que actualizarlo en el servidor zone acmebw.com { type master; file acmebw.com.db; allow_update { ; }; };

72 dit UPM Nr Actualización dinámica u Por línea de comandos (nsupdate) o por programa u Establecer prerequisitos antes de actualizar prereg yxrrset domain name type [rdata] prereg nxrrset prereg yxdomain domain name prereg nxdomain u Actualizar la base de datos update delete domain name [type][name] update add domain name ttl [class] type rdata

73 dit UPM Nr Ejemplos u Añadir una máquina nsupdate prereg nxdomain dit.upm.es. update add lince.dit.upm.es 333 in a u Si una máquina tiene MX borrarlo y poner otros dos en su lugar nsupdate prereg yxrrset yeti.dit.upm.es. in mx update delete yeti.dit.upm.es. In mx update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es. Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es.

74 dit UPM Nr Aspectos de seguridad u La mayoría de los aspectos de seguridad no son necesarios en corporaciones u A quien contestar u A quien ofrecer la notificación de cambios u A quien permitir que se actualice dinámicamente

75 dit UPM Nr Seguridad u Protegerse contra ataques maliciosos utilizar versiones modernas protegidas u Limitar las peticiones dando una lista de acceso u Evitar transferencias no autorizadas u No ejecutar el servidor como root

76 dit UPM Nr Limitar las peticiones u Rechazar el acceso a la información u ofrecer nombres solo al grupo local u options { allow-query { lista_de_acceso }; }; options { allow-query { /6; /6; } };

77 dit UPM Nr Limitar las peticiones por zonas u Se puede limitar la información por zonas zone hp.com { type slave; file db.hp; masters { ; }; allow-query { HP-NET; }; }; u En BIND 4.9 se utiliza el registro secure_zone limita las transferencias de zona además de las peticiones secure_zone IN TXT : secure_zone IN TXT : secure_zone IN TXT :H

78 dit UPM Nr Limitar las transferencias de zonas u Asegurar que solo los servidores esclavos pueden transferir la zona u Configuración allow-transfer (BIND 8) xfrnets (BIND 4.9) u Configuración del primario indicar las máquinas autorizadas u Configuración del esclavo prohibir la transferencia totalmente

79 dit UPM Nr Ejemplo (BIND 8) u primario zone acmebw.com { type master; file db.acmebw; allow-transfer { ; ; }; }; u esclavo zone acmebw.com { type slave; masters { ; }; allow-transfer { none; }; };

80 dit UPM Nr Reglas de seguridad u Evitar las peticiones recursivas en los servidores de nombres delegados para evitar el spoofing u No se puede evitar la recursión en los forwarders limitar las peticiones a un grupo allow-query { 138.4/16; }; u Restringir la transferencia de zona a servidores conocidos


Descargar ppt "Dit UPM Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos."

Presentaciones similares


Anuncios Google