Product SiteDocumentation Site

10.6. Serveur de noms (DNS)

10.6.1. Principe et fonctionnement

Le service de gestion des noms (Domain Name Service) est fondamental sur Internet : il associe des noms à des adresses IP (et vice versa), ce qui permet de saisir france.debian.net en lieu et place de 92.243.16.27.
Les informations DNS sont regroupées par zones, correspondant chacune à un domaine ou à une plage d'adresses IP (les adresses IP sont généralement allouées par blocs d'adresses consécutives). Un serveur primaire fait autorité sur le contenu d'une zone ; un serveur secondaire, normalement hébergé sur une autre machine, se contente de proposer une copie de la zone primaire, qu'il met à jour régulièrement.
Chaque zone peut contenir différents types d'enregistrements (Resource Records):
  • A : attribution d'une adresse IPv4.
  • CNAME : définition d'un alias.
  • MX : définition d'un serveur de courrier électronique, information exploitée par les serveurs de messagerie pour retrouver le serveur correspondant à l'adresse de destination d'un courrier électronique. Chaque enregistrement MX a une priorité associée. Le serveur de plus haute priorité (portant le nombre le plus petit) recevra les connexions SMTP (voir encadré B.A.-BA SMTP). S'il ne répond pas, le deuxième serveur sera contacté, etc.
  • PTR : correspondance adresse IP vers nom. Elle est stockée dans une zone dédiée à la résolution inverse, nommée en fonction de la plage d'adresses IP : par exemple 1.168.192.in-addr.arpa pour toutes les adresses du réseau 192.168.1.0/24.
  • AAAA : correspondance nom vers adresse IPv6.
  • NS : correspondance nom vers serveur de noms. Chaque domaine doit compter au moins un enregistrement NS. Tous ces enregistrements pointent sur un serveur DNS capable de répondre aux requêtes portant sur ce domaine ; ils signaleront les serveurs primaires et secondaires du domaine concerné. Ces enregistrements permettent aussi de mettre en place une délégation DNS. On pourra ainsi indiquer que le domaine interne.falcot.com est géré par un autre serveur de noms et déléguer ainsi une partie du service. Évidemment, le serveur concerné devra déclarer une zone interne.falcot.com.
Le logiciel serveur de noms de référence, Bind, est développé par l'ISC (Internet Software Consortium, ou consortium du logiciel Internet). Debian le fournit dans le paquet bind9. La version 9 apporte deux nouveautés majeures. Il est désormais possible d'employer le serveur DNS sous une identité utilisateur non privilégié de sorte qu'une faille de sécurité ne donne pas systématiquement les droits de root à l'attaquant, comme cela a souvent été le cas avec la version 8.x.
Par ailleurs, elle prend en charge DNSSEC, norme qui permet de signer et donc d'authentifier les enregistrements DNS, interdisant ainsi toute falsification de ces données, par exemple par des intermédiaires malintentionnés.

CULTURE DNSSEC

La norme DNSSEC est assez complexe ; pour en comprendre tous les tenants et aboutissants, nous vous suggérons de consulter les informations disponibles sur le site du NIC France (organisme gérant l'attribution des domaines en .fr), et particulièrement les supports de cours. Il faut savoir que cette norme, encore relativement expérimentale, n'est pas systématiquement employée (même si elle coexiste parfaitement avec des serveurs DNS qui ne la connaissent pas).
→ https://www.afnic.fr/fr/produits-et-services/services/dnssec-1.html

10.6.2. Configuration

Quelle que soit la version de bind employée, les fichiers de configuration ont la même structure.
Les administrateurs de Falcot ont créé une zone primaire falcot.com pour stocker les informations relatives à ce domaine et une zone 168.192.in-addr.arpa pour les résolutions inverses des adresses IP des différents réseaux locaux.

ATTENTION Noms des zones inverses

Une zone inverse porte un nom particulier. La zone couvrant le réseau 192.168.0.0/16 s'appellera ainsi 168.192.in-addr.arpa : les composants de l'adresse IP sont inversés et suivis du suffixe in-addr.arpa.
Pour les réseaux IPv6, le suffixe est ip6.arpa et les composants de l'adresse IP (qui sont listés dans l'ordre inverse) sont les caractères de la représentation hexadécimale complète de l'adresse. Ainsi, le réseau 2001:0bc8:31a0::/48 utilise une zone nommée 0.a.1.3.8.c.b.0.1.0.0.2.ip6.arpa.

ASTUCE Tester le serveur DNS

La commande host (du paquet bind9-host) interroge un serveur DNS, par exemple celui qu'on vient de configurer. La commande host machine.falcot.com localhost contrôlera donc la réponse du serveur DNS local pour la requête machine.falcot.com. La commande host adresseip localhost testera la résolution inverse.
On pourra configurer un serveur DNS en s'inspirant des extraits suivants, issus des fichiers de configuration de la société Falcot:

Exemple 10.12. Extrait du fichier /etc/bind/named.conf.local

zone "falcot.com" {
        type master;
        file "/etc/bind/db.falcot.com";
        allow-query { any; };
        allow-transfer {
                195.20.105.149/32 ; // ns0.xname.org
                193.23.158.13/32 ; // ns1.xname.org
        };
};

zone "interne.falcot.com" {
        type master;
        file "/etc/bind/db.interne.falcot.com";
        allow-query { 192.168.0.0/16; };
};

zone "168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.192.168";
        allow-query { 192.168.0.0/16; };
};

Exemple 10.13. Extrait du fichier /etc/bind/db.falcot.com

; Zone falcot.com
; admin.falcot.com. => contact pour la zone: admin@falcot.com
$TTL    604800
@       IN      SOA     falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
; Le @ fait référence au nom de la zone («falcot.com.» en l'occurrence)
; ou à $ORIGIN si cette directive a été employée
;
@       IN      NS      ns
@       IN      NS      ns0.xname.org.

interne IN      NS      192.168.0.2

@       IN      A       212.94.201.10
@       IN      MX      5 mail
@       IN      MX      10 mail2

ns      IN      A       212.94.201.10
mail    IN      A       212.94.201.10
mail2   IN      A       212.94.201.11
www     IN      A       212.94.201.11

dns     IN      CNAME   ns

ATTENTION Syntaxe d'un nom

La syntaxe désignant les noms de machines est particulière. machine sous-entend ainsi machine.domaine. S'il ne faut pas ajouter automatiquement le nom du domaine, il convient d'écrire machine. (en suffixant ce nom d'un point). Pour indiquer un nom DNS extérieur au domaine géré, on écrira donc machine.autredomaine.com. avec un point.

Exemple 10.14. Extrait du fichier /etc/bind/db.192.168

; Zone inverse pour 192.168.0.0/16
; admin.falcot.com. => contact pour la zone: admin@falcot.com
$TTL    604800
@       IN      SOA     ns.interne.falcot.com. admin.falcot.com. (
                        20040121        ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

        IN      NS      ns.interne.falcot.com.

; 192.168.0.1 -> arrakis
1.0     IN      PTR     arrakis.interne.falcot.com.
; 192.168.0.2 -> neptune
2.0     IN      PTR     neptune.interne.falcot.com.

; 192.168.3.1 -> pau
1.3     IN      PTR     pau.interne.falcot.com.