La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Servicios básicos de la red

Publicada porPlinio Ciprian Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Servicios básicos de la red"— Transcripción de la presentación:

1 Servicios básicos de la red
Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos

2 Servicios básicos de la red
Ya hemos visto: DHCP Acceso remoto: SSH Administración de DNS Domain Name System: sistema de nombres de dominio Sincronización de tiempo: NTP Network Time Protocol Cortafuegos iptables ‹Nr.›

3 ADMINISTRACIÓN DE DNS ‹Nr.›

4 Índice Definición del servicio Configuración de un cliente
Configuración de un servidor Arquitecturas de servicios de nombres Administración de dominios Facilidades avanzadas Aspectos de seguridad ‹Nr.›

5 Tabla de máquinas Fichero /etc/hosts
Puede incluir máquinas en una o varias redes La tabla de máquinas incluye: localhost localhost.localdomain itaca fax news nis itaca.dit.upm.es mail mail.dit.upm.es sanson dns sanson.dit.upm.es yeti dns2 yeti.dit.upm.es mail2 mail2.dit.upm.es loro www ftp proxy hora loro.dit.upm.es lince lince.dit.upm.es cajon cajon.dit.upm.es ‹Nr.›

6 /etc/hosts Establecía una correspondencia entre nombres y direcciones IP. localhost localhost.localdomain servidor servidor.adminlibre.dit.upm.es iquitos iquitos.adminlibre.dit.upm.es nauta nauta.servicios.aminlibre.dit.upm.es requena requena.servicios.adminlibre.dit.upm.es yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es lima lima.adminlibre.dit.upm.es cuzco ¡cuzco.imasd.adminlibre.dit.upm.es ica ica.imasd.adminlibre.dit.upm.es huaraz huaraz.imasd.adminlibre.dit.upm.es sanson dns sanson.dit.upm.es dns2 dns2.dit.upm.es Contenía información de cada equipo Demasiadas direcciones IP en uso hoy en día (>400M) Cómo sincronizar los nombres con las direcciones IP? ‹Nr.›

7 Servicio de nombres DNS (Domain Name Server) (RFC1034, RFC1035)
Ampliado posteriormente para incluir muchas extensiones: Internacionalización – acentos, ñ, caracteres chinos…. Seguridad: DNSSEC Establece una correspondencia dinámica entre nombres y direcciones IP. Consiste en una base de datos distribuida por toda la Internet. se gestiona de forma descentralizada y redundante Sin ningún punto único de fallo el esquema de distribución es jerárquico fácil de usar en las aplicaciones (gethostbyname()) espacio de nombres es global Escalable No hay tamaño máximo de la base de datos (.com 60Millones) No hay límite de preguntas ( en HW normal) ‹Nr.›

8 Servicio de nombres Almacena Almacena información adicional
Direcciones IPv4 Direcciones IPv6 Nombres – búsquedas inversas Almacena información adicional Se puede utilizar para otros fines Almacenamiento de características de máquinas Configuración de servicios Servidor de nombres Servidor de voip… Claves públicas Información de contacto ‹Nr.›

9 mil edu gov int com net org us es jp uk
Modelo de información Jerárquico en árbol invertido Base de datos de información de dominios (DIB) mil edu gov int com net org us es jp uk ole upm dit etsit sanson jungla cisco sun nsf ac www ftp isoc . No hay restricciones al número de ramas o a la profundidad de las ramas Las ramas se crean con el . Y con un nuevo nombre generado Limitaciones en “.” root: gTLD – generic TLD, ccTLD country code TLD (TLD top level domain CADA rama es un espacio de nombres propio (nombres pueden repetirse en distintas ramas): se llaman dominios El dominio com. O el es. Dominio upm.es. Dominio dit.upm.es. sanson.dit.upm.es -> ‹Nr.›

10 Modelo de información – DNS inverso
Jerárquico en árbol invertido Base de datos de información de direcciones IP 10 32 20 162 80 in-addr.arpa. No hay restricciones al número de ramas o a la profundidad de las ramas Las ramas se crean con el . Y con un nuevo nombre generado Limitaciones en “.” root: gTLD – generic TLD, ccTLD country code TLD (TLD top level domain CADA rama es un espacio de nombres propio (nombres pueden repetirse en distintas ramas): se llaman dominios El dominio com. O el es. Dominio upm.es. Dominio dit.upm.es. in-addr.arpa. ->sanson.dit.upm.es ‹Nr.›

11 Resolución de nombres Servidor de nombres Resolver TCP/IP TCP/IP
Aplicación cliente Máquina cliente DIB TCP/IP Servidor de nombres Máquina servidor 6 1 Resolver 5 2 Otros servidores 3 4 1 – Caché local? 2 – pregunto al servidor de nombres recursivo 3 – este pregunta hasta obtener respuesta 4 – obtiene la respuesta del servidor autoritario 5 – servidor recursivo contesta al resolver cliente 6 – la respuesta llega a la aplicación TCP/IP ‹Nr.›

12 Configuración y administración
Configuración de los clientes resolver En las aplicaciones En el sistema gethostbyname() gethostbyaddr() como un gancho en el núcleo como un proceso en el sistema Configuración de un dominio Delegado en otro dominio Dominio en un solo servidor Dominio en varios servidores arquitectura de la base de datos distribuida ‹Nr.›

13 Administración de un cliente Resolver de DNS

14 Configuración del cliente
Configurando el resolver se configuran todas las aplicaciones gethostbyname(), gethostbyaddr() FQDN Full Qualified Domain Name: nombre completo hasta la raiz “.” servidor.adminlibre.dit.upm.es. Orden de traducción de nombres host.conf order hosts,bind multi on nsswitch.conf hosts files mdns4_minimal dns mdns4 hosts/files Entradas locales con el formato: <IP nombre nombre FQDN> ‹Nr.›

15 Configuración del resolver local
En UNIX está en /etc/resolv.conf domain search nameserver sortlist options Todas las aplicaciones se comportan igual ¿Cuál es nuestro dominio? hostname hostname -f domain adminlibre.org search adminlibre.org dit.upm.es nameserver nameserver ‹Nr.›

16 Definición de dominio FQDN está subdividido en dominios mediante el “.” Control administrativo de cada subdominio puede variar sanson.dit.upm.es. Dominio raíz o “.” Dominio “.es” Dominio “upm.es” Dominio “dit.upm.es” En /etc/resolv.conf Completa el nombre dado en /etc/hostname ‹Nr.›

17 /etc/resolv.conf - search
Sirve para facilitar la búsqueda de un nombre. Simplifica la identificación de una máquina: lince lince.dit.upm.es. El dominio por defecto determina la lista de búsqueda por defecto. Sin punto se añade el dominio por defecto Con punto: primero se busca sin dominio si falla se añade el dominio por defecto La lista de búsqueda permite buscar en más de un dominio search dit.upm.es lab.dit.upm.es ‹Nr.›

18 /etc/resolv.conf - nameserver
El resolver inicia las búsquedas según lo definido en /etc/nsswitch.conf Mirando el fichero local /etc/hosts Conectando con el servidor de nombres local. Como no es necesario tener un servidor de nombres en todas las máquinas se debe seleccionar al menos uno. nameserver Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts El resolver siempre busca en el mismo orden según lo indicado ‹Nr.›

19 /etc/resolv.conf - sortlist
Si la respuesta a una petición contiene varios alternativas se puede indicar cual es la preferida sortlist / sortlist sortlist / / ‹Nr.›

20 Administración de un servidor DNS

21 Tipos de acceso a Internet
Sin ningún tipo de acceso se pueden utilizar dominios inventados Acceso completo hay que estar registrado en un dominio público Enganchado al árbol invertido del DNS conectado con el resto de la BD mundial desde “.” Acceso limitado por un corta-fuegos se puede operar con una parte pública y otra privada ‹Nr.›

22 Servidores Autoritario de una zona o dominio Servidor recursivo
Master: servidor primario Slave: servidores secundarios Servidor recursivo Pregunta a masters hasta hallar la respuesta Disponen de una caché para responder más rápidamente Entradas en la caché sólo es temporal (TTL) Forwarders Servidor que re-envía preguntas de DNS ‹Nr.›

23 DIBUJO DE SERVIDORES ‹Nr.›

24 Servidor DNS: BIND UNIX Instalar
BIND 10 en desarrollo actualmente Instalar También para otros sistemas operativos FreeBSD, Windows XP, 2003, 2008 Solaris, Mandrake, Debian, Mac OS X, … $ apt-get install bind9 QUITAR? Bind, nsd, … Actualizar systemas operativos ‹Nr.›

25 Configuración Servidor lee la configuración de /etc/named.conf
Qué tipo de servidor es Master Slave Qué información de traza dejo Opciones Qué zonas sirvo conversión de nombres a direcciones conversión de direcciones a nombres (reverse mapping) Fichero de hints Como contactar con un servidor de la raíz “.” Cada zona tiene su fichero de datos Con el nombre de la zona Con el nombre inverso Contiene la información de cada recurso de la zona ‹Nr.›

26 Configuración Master El master tiene un fichero por cada zona con al información El slave (esclavo) obtiene la información de la zona haciendo una transferencia del master Cada zona tiene su fichero de datos Con el nombre de la zona Con el nombre inverso Contiene la información de cada recurso de la zona ‹Nr.›

27 Registros de recursos DNS mapea nombres a Registro de Recursos (RR)
información asociada a cada nodo RR: es una tupla <Owner TTL Class Type Value> Owner nombre de dominio, propietario del RR TTL time to live, cuánto tiempo un RR puede estar en la copia caché antes de ser descartado Class identifica a una familia de protocolos (IN en Internet) PONER AQUI ALGO DE VOIP ‹Nr.›

28 Registros de recursos <Owner TTL Class Type Value>
Type tipo de recurso A IPv4 address MX Mail eXchanger NS Name Server CNAME Canonical Name, alias HINFO Host description PTR Pointer (alias de un dominio) SOA Start of a zone of authority Value datos, depende del tipo de RR A Dirección IP de 32 bits MX Preferencia + nombre de dominio NS Equipo que sirve el dominio CNAME Nombre de dominio HINFO Máquina, S.O. PTR DNS inverso: para un IP su nombre de dominio SOA Varios campos ‹Nr.›

29 Ficheros de registros Lista de todos los registros conocidos de una zona Todas las líneas acaban en “;” Comentarios ; es un comentario en v4 /* es u comentario en v8 */ // y este también # y este también ‹Nr.›

30 Ficheros de registros - SOA
Información sobre autoridad de la zona Información de contacto del dueño de la zona Un equipo y un humano! Número de serie Incrementado al realizar un cambio en la zona, indica la versión más reciente Puede ser una fecha: AAAAMMDDXX Intervalo de refresco Cada cuanto tiempo comprueba un esclavo si el número de serie ha cambiado Intervalo de reintento Si el intento de comprobación del número de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo Intervalo de expiración Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona Caché negativo Cuanto tiempo se guarda en la caché un resultado negativo ‹Nr.›

31 Ficheros de registros - SOA
Ejemplo de SOA O también con un formato más “humano” Contacto humano Servidor master exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( ; número de serie ; refresh 3h ; retry 1h ; expire 1w 10800 ) ; ncache 3h exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( h 1h 1w 3h ); ‹Nr.›

32 Ficheros de registros - NS
NS indica un servidor de nombres de la zona Se usa para delegar una zona a otro servidor Es conveniente tener más de uno RR de esa zona están en otro servidor Último punto es imprescindible Último punto es imprescindible subdom.exmpl.com. IN NS servidor.otrodom.com. subdom.exmpl.com. IN NS servidor2.otrodom.com. ‹Nr.›

33 Ficheros de registros - A
A conversión nombre a dirección IPv4 Proporciona el mapeo entre el “dueño” – owner y el número IP Puede haber más de un número IP por dueño equipo.exmpl.com. IN A A equipo2 IN A Si no acaba con “.” se le añade el dominio de la zona ‹Nr.›

34 Ficheros de registros - CNAME
CNAME nombres canónicos (ALIAS) Indican a un resolver que la información del RR pedido se halla bajo otro nombre Es el único RR que debe existir de un nombre Pregunta: Respuesta: Nueva Pregunta: Nueva respuesta: alias.exmpl.com. IN CNAME real.exmpl.com. alias.exmpl.com A? alias.exmpl.com CNAME real.exmpl.com real.exmpl.com A? real.exmpl.com A ‹Nr.›

35 Ficheros de registros - MX
MX servidor de correo de un dominio ‹Nr.›

36 Ficheros de registros - PTR
PTR conversión dirección a nombre ‹Nr.›

37 Abreviaturas El nombre del servidor primario se añade a todos los nombres no completos (que no terminan en .) lince.dit.upm.es. IN A lince IN A in-addr.arpa. IN PTR lince.dit.upm.es. 171 IN PTR lince.dit.upm.es. No olvidar el “.” en los nombres completos lince.dit.upm.es IN A equivale a lince dit.upm.es.dit.upm.es. ‹Nr.›

38 Abreviaturas de nombres
El nombre de dominio se puede reducir dit.upm.es. @ Se puede asumir en nombre anterior selva IN A IN A Los nombres no pueden incluir el _ Solo se puede utilizar en las direcciones de correo ‹Nr.›

39 Servidor de nombres secundario
Es necesario tener al menos un servidor de nombres esclavo del primario Muchas veces hay mas de dos. Sirve además para repartir carga Diferencias el primario tiene la información local el esclavo la coge por la red (zone transfer) Como el loopback y la cache son iguales se pueden copiar a mano. ‹Nr.›

40 Configuración del correo
La Tabla de Máquinas solo sirve para dar nombres a las máquinas. DNS permite encaminar el correo electrónico. DNS ofrece la posibilidad de indicar servidores de correo alternativos El registro MX sirve para indicar el servidor para procesar el correo distribuir correo Originalmente estaba dividido en dos, MD y MF. ‹Nr.›

41 Servidores de correo Se puede especificar mas de un servidor de correo
Para evitar bucles se añade un parámetro que es la preferencia, que indica la prioridad de cada servidor. dit.upm.es IN MX mail.dit.upm.es. Cuando se dan varios se ordenan por prioridad y se evalúan en ese mismo orden: selva IN A IN MX 0 mail.dit.upm.es. IN MX 10 mail2.dit.upm.es. IN MX 100 selva.dit.upm.es. Se pueden dar valores de 0 a 65535 Es recomendable indicar un registro MX para cada máquina ‹Nr.›

42 Características de un servidor de correo
Tamaño para manejar todo el correo para encolarlo si es necesario Disponible en funcionamiento la mayor parte del tiempo Conectividad bien conectado con los demás servidores Gestión y administración manteniendo la privacidad que no pierde mensajes cuando se producen fallos consigue una velocidad de entrega ‹Nr.›

43 Algoritmo de entrega de mensajes
Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. Si no está disponible se busca el siguiente en función del orden de prioridad. Se deben usar siempre nombres canónicos. muchos intercambiadores de correo no miran los alias (CNAME) ‹Nr.›

44 Entrega de mensajes Cuando se alcanza una máquina con baja prioridad
se descartan los servidores con igual o mayor prioridad se intenta mandar el mensaje al de prioridad mas baja si falla se encola y se prueba mas tarde. Si al intentar enviarlo se encuentra a si mismo da un error y devuelve el mensaje se puede configurar el sendmail para evitarlo ‹Nr.›

45 Ejemplos Configuración de servidores

46 Herramientas de diagnóstico
CAMBIAR POR DIG

47 dig Herramienta de diagnóstico de DNS Similar a nslookup o host
La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. Uso: dig <host> RR <host> RR $ dig tuenty.com. A $ dig gmail.com. MX $ lima A $ PTR ‹Nr.›

48 dig Herramienta de diagnóstico de DNS Similar a nslookup o host
La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. $ dig tuenty.com a ; <<>> DiG APPLE-P2 <<>> tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com. IN A ;; ANSWER SECTION: tuenty.com IN A ;; AUTHORITY SECTION: tuenty.com IN NS dns4.servidoresdns.net. tuenty.com IN NS dns3.servidoresdns.net. ;; ADDITIONAL SECTION: dns3.servidoresdns.net IN A dns4.servidoresdns.net IN A ;; Query time: 59 msec ;; SERVER: #53( ) ;; WHEN: Mon Mar 22 16:13: ;; MSG SIZE rcvd: 131 ‹Nr.›

49 Mantenimiento de un servidor DNS

50 Añadir y quitar máquinas
Actualizar siempre el primario si se actualiza el secundario se pierde el cambio con la siguiente actualización Fichero db.DOMINIO Actualizar el número de serie Añadir los registros: A, CNAME, MX Fichero db.DIRECCION Añadir los registros: PTR Relanzar el servidor de nombres kill -HUP `cat /etc/named.pid` ‹Nr.›

51 Trazas de funcionamiento
Durante la operación se generan trazas de funcionamiento Como mínimo se deben volcar los errores Se suele enviar la información al syslog Hay dos categorías de mensajes estadísticas peticiones Hay dos canales donde enviar la información syslog (estadísticas) fichero de log (estadísticas y peticiones) ‹Nr.›

52 Trazas de funcionamiento
En BIND 8 es fácil definirlo logging { channel mi_syslog { syslog daemon; severity info; }; channel mi_fich { file “log.mens”; severity dynamic; category statistics {mi_syslog; mi_fich;} category queries {mi_fich;} Hay diferentes tipos de mensajes critical error warning notice info debug nivel dynamic ‹Nr.›

53 Arquitecturas de DNS Cuantos servidores se deben instalar
Como mínimo un primario Un secundario directamente conectado a cada subred asociarlos a los servidores de ficheros Poner un secundario fuera de las redes del dominio Factores a tener en cuenta conectividad versiones de software homogeneidad seguridad ‹Nr.›

54 Servidores muy cargados
Si un servidor recibe muchas peticiones puede ser necesario replicarlo en varios procesos (BIND 4) limitar la carga que admite (BIND 4.9) Las transferencias de zonas suponen muchos mensajes de DNS sobre conexiones TCP. Los sistemas tradicionales solo ponen un registro en cada mensaje DNS. ‹Nr.›

55 Acciones para reducir la carga
limitar las transferencias iniciadas con un servidor no traer todas las BD de golpe sino poco a poco limitar el número total de zonas a transferir transferencias por servidor * número de servidores limitar la duración de una transferencia de zona por defecto son 2 horas después de ese tiempo se considera que el servidor ha muerto transferencias de zona mas eficientes se pueden poner varios registros en un mensaje DNS ‹Nr.›

56 Recursos limitados Limitando el tamaño del segmento de datos
limitar el tamaño del proceso antes de que se pare. Limitando el tamaño de la pila Limitando el tamaño del proceso Limitando el número de ficheros abiertos ficheros que el proceso puede abrir simultáneamente ‹Nr.›

57 Como aumentar la capacidad
Añadiendo mas servidores primarios maestros Aumentando los intervalos de refresco para que los secundarios no tengan que sondear con mucha frecuencia. Cargar unos secundarios de otros Crear servidores cache Crear servidores secundarios parciales ‹Nr.›

58 Cuando añadir un subdominio
Cuando es necesario delegar o distribuir la gestión entre varios grupos (organizaciones) Cuando el tamaño del dominio es muy grande al dividirlo se simplifica la gestión se reduce la carga en el servidor Cuando es necesario distinguir las máquinas dentro de una organización por grupos ‹Nr.›

59 Como nombrar subdominios
Elegir nombres que no sean susceptibles de cambios frecuentes Si los nombres de la organización no son estables usar nombres geográficos No sacrificar la legibilidad Utilizar nombres obvios No utilizar nombres de dominios existentes a nivel mundial DNSSEC ‹Nr.›

60 Mantenimiento Borrar entradas obsoletas
periódicamente se revisa la cache y se eliminan las entradas obsoletas BIND 8 consume menos disco que BIND 4 donde no se limpia Intervalo de inspección de interfaces para que el servidor atienda por todas las interfaces aunque estas se activen y desactiven. Intervalo entre estadísticas plazo para volcar estadísticas para no entorpecer el funcionamiento normal ‹Nr.›

61 Máquinas con varias interfaces
La mayoría de los servicios mejoran si se accede a la interfaz correcta Si se accede al nombre (selva) se puede elegir la interfaz no deseada Se puede dar nombre a las interfaces físicas. red 10 selva10 selva selva20 selva30 red 20 red 30 ‹Nr.›

62 Ordenación de respuestas
Si una máquina pregunta por otra de su misma red, se ordena la respuesta para que la dirección de esa red aparezca la primera. Si la máquina que pide la dirección es de otra red no conectada directamente a ninguna de las interfaces no se ordena la lista se puede forzar en la configuración una ordenación sortlist esto solo funciona con redes, no subredes se puede indicar varias redes en la lista Se puede ordenar los servidores ‹Nr.›

63 Forwarders Cuando un sitio tiene una conexión de baja capacidad con Internet Interesa minimizar al máximo las peticiones fuera y mantener una cache local Servidor buscado Forwarder Servidor local Clientes ‹Nr.›

64 Configuración Los clientes no tienen nada especial
Los servidores locales deben saber que existe uno o mas forwarders options { ; ; }; forwarders Se puede restringir la configuración aun mas forward-only; slave ‹Nr.›

65 Servidor en grupo Cuando un servicio de Internet se da con mas de una máquina Ayudar a repartir carga entre servidores espejo Versiones antiguas Un registro especial: Shuffle Address Record Versiones modernas (4.9) varios registros A 60 IN A 60 IN A 60 IN A va rotando las direcciones en las respuestas ‹Nr.›

66 DNS y páginas amarillas
El orden de búsqueda es el siguiente /etc/hosts NIS DNS Ignorar NIS mv /etc/hosts /etc/hosts.tmp touch /etc/hosts (cd /var/yp; make) mv /etc/hosts.tmp /etc/hosts En Linux se puede establecer un orden cualquiera /etc/host.conf /etc/nsswitch.conf ‹Nr.›

67 DNS y Windows 95 Se puede configurar el resolver local
Dial-up networking TCP/IP settings El orden de búsqueda es LMHOSTS WINS DNS Se puede indicar el nombre de la máquina los servidores en los que buscar dominios en los que buscar ‹Nr.›

68 Notificaciones de cambio
Los esclavos se actualizan periódicamente (refresh time) Cuando se efectúa un cambio en el primario no se percibe hasta que vence el plazo de actualización DNS NOTIFY (RFC 1996) el primario envía una petición NOTIFY a los esclavos el esclavo asiente NOTIFY el esclavo hace como se el periodo de actualización hubiera vencido solo si el número de serie ha aumentado se transfiere la zona ‹Nr.›

69 Configuración Está configurado por defecto
El servidor DNS para NT dispone de esta facilidad No siempre se desea que este activada options { notify no; }; de esa forma un esclavo no notifica a otro en cascada si se tienen esclavo con BIND 4 es mejor no notificar se notifica a todos los servidores NS ‹Nr.›

70 Configuración explícita
Se pueden añadir máquinas a mano zone “acmebw.com” { type master; file “acmebd.com.db”; notify yes; also-notify ; }; ‹Nr.›

71 Movilidad Se desea que la misma máquina se pueda conectar a varias redes Se puede utilizar DHCP para asignar número de IP al cliente Pero hay que actualizar la BD de DNS Actualización dinámica (RFC 2136) Hay que actualizarlo en el servidor zone “acmebw.com” { type master; file “acmebw.com.db”; allow_update { ; }; }; ‹Nr.›

72 Actualización dinámica
Por línea de comandos (nsupdate) o por programa Establecer prerequisitos antes de actualizar prereg yxrrset domain name type [rdata] prereg nxrrset prereg yxdomain domain name prereg nxdomain Actualizar la base de datos update delete domain name [type][name] update add domain name ttl [class] type rdata ‹Nr.›

73 Ejemplos Añadir una máquina
nsupdate prereg nxdomain dit.upm.es. update add lince.dit.upm.es 333 in a Si una máquina tiene MX borrarlo y poner otros dos en su lugar prereg yxrrset yeti.dit.upm.es. in mx update delete yeti.dit.upm.es. In mx update add yeti.dit.upm.es. In mx 10 yeti.dit.upm.es. Update add yeti.dit.upm.es. In mx 50 selva.dit.upm.es. ‹Nr.›

74 Aspectos de seguridad La mayoría de los aspectos de seguridad no son necesarios en corporaciones A quien contestar A quien ofrecer la notificación de cambios A quien permitir que se actualice dinámicamente ‹Nr.›

75 Seguridad Protegerse contra ataques maliciosos Limitar las peticiones
utilizar versiones modernas protegidas Limitar las peticiones dando una lista de acceso Evitar transferencias no autorizadas No ejecutar el servidor como root ‹Nr.›

76 Limitar las peticiones
Rechazar el acceso a la información ofrecer nombres solo al grupo local options { allow-query { lista_de_acceso }; }; options { allow-query { /6; /6; } }; ‹Nr.›

77 Limitar las peticiones por zonas
Se puede limitar la información por zonas zone “hp.com” { type slave; file “db.hp”; masters { ; }; allow-query { “HP-NET”; }; }; En BIND 4.9 se utiliza el registro secure_zone limita las transferencias de zona además de las peticiones secure_zone IN TXT “ : ” secure_zone IN TXT “ : ” secure_zone IN TXT “ :H” ‹Nr.›

78 Limitar las transferencias de zonas
Asegurar que solo los servidores esclavos pueden transferir la zona Configuración allow-transfer (BIND 8) xfrnets (BIND 4.9) Configuración del primario indicar las máquinas autorizadas Configuración del esclavo prohibir la transferencia totalmente ‹Nr.›

79 Ejemplo (BIND 8) primario esclavo zone “acmebw.com” { type master;
file “db.acmebw”; allow-transfer { ; ; }; }; esclavo type slave; masters { ; }; allow-transfer { none; }; ‹Nr.›

80 Reglas de seguridad Evitar las peticiones recursivas en los servidores de nombres delegados para evitar el spoofing No se puede evitar la recursión en los forwarders limitar las peticiones a un grupo allow-query { 138.4/16; }; Restringir la transferencia de zona a servidores conocidos ‹Nr.›

Descargar ppt "Servicios básicos de la red"

Presentaciones similares

Dirección IP Las direcciones IP son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo.

Dirección IP Las direcciones IP son un número único e irrepetible con el cual se identifica una computadora conectada a una red que corre el protocolo.
Servicios de directorio de Internet

Servicios de directorio de Internet
Servicio DNS.

Servicio DNS.
S ERVICIOS DE RED E I NTERNET T EMA 3: DNS Nombre: Adrián de la Torre López.

S ERVICIOS DE RED E I NTERNET T EMA 3: DNS Nombre: Adrián de la Torre López.
SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher

SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher
SERVICIOS DE TCP/IP.

SERVICIOS DE TCP/IP.
Protocolos de alto nivel

Protocolos de alto nivel
Capítulo 24: Nombres con el Sistema de Nombres de Dominio

Capítulo 24: Nombres con el Sistema de Nombres de Dominio
ESPACIO DE NOMBRES DE DOMINIO

ESPACIO DE NOMBRES DE DOMINIO
Registros de recursos DNS: - Formato general

Registros de recursos DNS: - Formato general
Clientes DNS (Resolutores – “resolvers” de nombres) .

Clientes DNS (Resolutores – “resolvers” de nombres) .
Servidores de nombres de dominio (DNS):

Servidores de nombres de dominio (DNS):
Transferencias de Zona:

Transferencias de Zona:
Servidores de nombres de dominio (DNS)

Servidores de nombres de dominio (DNS)
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.
Sistemas Distribuidos

Sistemas Distribuidos
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.

5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
DNS Pamela Millán Ana Laura Félix Teresa Treviño

DNS Pamela Millán Ana Laura Félix Teresa Treviño
DOMAIN NAME SYSTEM, SISTEMA DE RESOLUCIÓN DE NOMBRES). DNS.

DOMAIN NAME SYSTEM, SISTEMA DE RESOLUCIÓN DE NOMBRES). DNS.
PROCESO DE RESOLUCIÓN DE UN NOMBRE DE DOMINIO. El resolver o cliente DNS es la parte del sistema operativo encargada de resolver nombres de dominio cuando.

PROCESO DE RESOLUCIÓN DE UN NOMBRE DE DOMINIO. El resolver o cliente DNS es la parte del sistema operativo encargada de resolver nombres de dominio cuando.

Presentaciones similares

Anuncios Google