Product SiteDocumentation Site

10.7. Servidors de noms de domini (DNS)

El «Domain Name Service» o “Servei de noms de domini” (DNS) és un component fonamental d'Internet: assigna noms d'amfitrió a adreces IP (i viceversa), que permet l'ús de www.debian.org en lloc de 130.89.148.77 o 2001:67c:2564:a119::77.
Els registres DNS s'organitzen en zones; cada zona coincideix o bé amb un domini (o un subdomini) o amb un interval d'adreces IP (ja que les adreces IP generalment s'assignen en intervals consecutius). Un servidor primari és autoritatiu en el contingut d'una zona; els servidors secundaris, normalment allotjats en màquines separades, proporcionen còpies regularment refrescades de la zona primària.
Cada zona pot contenir registres de diversos tipus («Resource Records» o “registres de recursos”), aquests són alguns dels més comuns:

10.7.1. Programari DNS

El servidor de noms de referència, Bind, fou desenvolupat i és mantingut per l'ISC (l'Internet Software Consortium). És proporcionat a Debian pel paquet bind9. La versió 9 aporta dos canvis importants en comparació amb les versions anteriors. En primer lloc, el servidor DNS ara pot funcionar sota un usuari sense privilegis, de manera que una vulnerabilitat de seguretat en el servidor no concedeix privilegis d'arrel a l'atacant (com es va veure repetidament amb les versions 8.x).
A més, Bind dona suport a l'estàndard DNSSEC per signar (i per tant autenticar) registres de DNS, fet que permet bloquejar qualsevol espoli d'aquestes dades en atacs de tipus «man-in-the-middle».

CULTURA DNSSEC

La norma DNSSEC és força complexa; això explica en part per què encara no és d'ús generalitzat (fins i tot si coexisteix perfectament amb servidors DNS que no fan ús de DNSSEC). Per entendre tots els detalls, caldria revisar el següent article.
→ https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

10.7.2. Configurant bind

Els arxius de configuració de bind, independentment de la versió, tenen la mateixa estructura.
Els administradors de Falcot han creat una zona primària falcot.com per emmagatzemar informació relacionada amb aquest domini, i una zona 168.192.in-addr.arpa per a l'assignació inversa d'adreces IP a les xarxes locals.

COMPTE Noms de zones inverses

Les zones inverses tenen un nom particular. La zona que cobreix la xarxa 192.168.0.0/16 ha de ser anomenada 168.192.in-addr.arpa: els components d'adreça IP s'inverteixen, i se'ls afegeix el sufix in-addr.arpa.
En xarxes IPv6, el sufix és ip6.arpa i els components d'adreça IP que s'inverteixen són cada caràcter en la representació hexadecimal completa de l'adreça IP. Així, la xarxa 2001:0bc8:31a0::/48 utilitzaria una zona anomenada 0.a.1.3.8.c.b.0.1.0.0.2.ip6.arpa.

SUGGERIMENT Provant el servidor DNS

L'ordre host (al paquet bind9-host) interroga un servidor DNS, i es pot utilitzar per provar la configuració del servidor. Per exemple, host machine.falcot.com localhost comprova la resposta del servidor local per a la consulta machine.falcot.com. host adreça ip localhost prova la resolució inversa.
Els següents extractes de configuració, extrets dels arxius de Falcot, poden servir com a punts de partida per configurar un servidor DNS:

Exemple 10.12. Extracte de /etc/bind/named.conf.local

zone "falcot.com" {
        type master;
        file "/etc/bind/db.falcot.com";
        allow-query { any; };
        allow-transfer {
                195.20.105.149/32 ; // ns0.xname.org
                193.23.158.13/32 ; // ns1.xname.org
        };
};

zone "internal.falcot.com" {
        type master;
        file "/etc/bind/db.internal.falcot.com";
        allow-query { 192.168.0.0/16; };
};

zone "168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.192.168";
        allow-query { 192.168.0.0/16; };
};

Exemple 10.13. Extracte de /etc/bind/db.falcot.com

; Zona falcot.com 
; admin.falcot.com. => contacte per a la zona: admin@falcot.com
$TTL    604800
@       IN      SOA     falcot.com. admin.falcot.com. (
                        20040121        ; Sèrie
                         604800         ; Refrescar
                          86400         ; Reintentar
                        2419200         ; Expirar
                         604800 )       ; TTL per a la caché negativa
;
; El @ fa referència al nom de la zona ("falcot.com" aquí)
; o a $ORIGIN si la directiva ha estat usada
;
@       IN      NS      ns
@       IN      NS      ns0.xname.org.

internal IN      NS      192.168.0.2

@       IN      A       212.94.201.10
@       IN      MX      5 mail
@       IN      MX      10 mail2

ns      IN      A       212.94.201.10
mail    IN      A       212.94.201.10
mail2   IN      A       212.94.201.11
www     IN      A       212.94.201.11

dns     IN      CNAME   ns

COMPTE Sintaxi d'un nom

La sintaxi dels noms de les màquines segueix regles estrictes. Per exemple, màquina implica màquina.domini. Si el nom del domini no s'ha d'annexar a un nom, aquest nom s'ha d'escriure com a màquina. (amb un punt com a sufix). Indicar un nom DNS fora del domini actual requereix una sintaxi com ara màquina.dominidiferent.com. (amb el punt final).

Exemple 10.14. Extracte de /etc/bind/db.192.168

; Zona inversa per 192.168.0.0/16
; admin.falcot.com. => contacte de zona: admin@falcot.com
$TTL    604800
@       IN      SOA     ns.internal.falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

        IN      NS      ns.internal.falcot.com.

; 192.168.0.1 -> arrakis
1.0     IN      PTR     arrakis.internal.falcot.com.
; 192.168.0.2 -> neptune
2.0     IN      PTR     neptune.internal.falcot.com.

; 192.168.3.1 -> pau
1.3     IN      PTR     pau.internal.falcot.com.