1 / 38

DOMAIN NAME SYSTEM

DOMAIN NAME SYSTEM. Ville Haanperä. Käyttötarkoitus. IP-osoitteita on vaikea muistaa. Muunnos domain-nimestä IP-osoitteeseen Jokaisella Internetiin liittyneellä koneella oma IP-osoite Osoitteita on valtava määrä Ratkaisuna hajautettu tietokanta

yaholo
Download Presentation

DOMAIN NAME SYSTEM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. DOMAIN NAME SYSTEM Ville Haanperä

  2. Käyttötarkoitus • IP-osoitteita on vaikea muistaa. • Muunnos domain-nimestä IP-osoitteeseen • Jokaisella Internetiin liittyneellä koneella oma IP-osoite • Osoitteita on valtava määrä • Ratkaisuna hajautettu tietokanta • Osoiteavaruus on jaettu paikallisesti hallinnoituun puu-rakenteeseen

  3. Käyttötarkoitus • IP-osoitteita on vaikea muistaa. • Muunnos domain-nimestä IP-osoitteeseen • Jokaisella Internetiin liittyneellä koneella oma IP-osoite • Osoitteita on valtava määrä • Ratkaisuna hajautettu tietokanta • Osoiteavaruus on jaettu paikallisesti hallinnoituun puu-rakenteeseen

  4. Käyttötarkoitus • IP-osoitteita on vaikea muistaa. • Muunnos domain-nimestä IP-osoitteeseen • Jokaisella Internetiin liittyneellä koneella oma IP-osoite • Osoitteita on valtava määrä • Ratkaisuna hajautettu tietokanta • Osoiteavaruus on jaettu paikallisesti hallinnoituun puu-rakenteeseen

  5. Toiminta • DNS-nimi osoittaa yleensä yhteen IP-osoitteeseen • Samalla osoitteella voi olla useita nimiä • Yksi nimi on varsinainen ja muut aliaksia • DNS-nimet ovat hierarkkisia • Jokaisella solmulla on oma nimensä • Alemman tason FQDN sisältää ylempien tasojen nimet juurisolmuun asti. • esimerkiksi elina.pc.lut.fi.

  6. Toiminta • DNS-nimi osoittaa aina yhteen IP-osoitteeseen • Samalla osoitteella voi olla useita nimiä • Yksi nimi on varsinainen ja muut aliaksia • DNS-nimet ovat hierarkkisia • Jokaisella solmulla on oma nimensä • Alemman tason FQDN sisältää ylempien tasojen nimet juurisolmuun asti. • esimerkiksi elina.pc.lut.fi.

  7. Reverse DNS • Käänteinen DNS-kysely selvittää domain-nimen tiedettäessä IP-osoite • Toteutus yhteensopiva normaalien kyselyiden kanssa • Käyttää aiemmin käytöstä poistettua ARPA. -domain-nimeä • IP-osoite käsitellään käänteisenä, jotta hierarkkisuus toteutuu, esimerkiksi 17.1.168.192.in-addr.arpa.

  8. DNS-puu

  9. Resource records • DNS-palvelimelle voi tehdä taulukon mukaisia kyselyitä

  10. DNS-palvelimet • Master-palvelin ja slave-palvelin • Useita palvelimia tarvitaan • Luotettavuus ja kuormantasaus • Master-palvelin • Sisältää aluetietokannan • Kaikki muutokset tehdään tänne • Slave-palvelin • Kopioi aluetietokannan Master-palvelimelta

  11. DNS-palvelimet • Master-palvelin ja slave-palvelin • Useita palvelimia tarvitaan • Luotettavuus ja kuormantasaus • Master-palvelin • Sisältää aluetietokannan • Kaikki muutokset tehdään tänne • Slave-palvelin • Kopioi aluetietokannan Master-palvelimelta

  12. DNS-palvelimet • Master-palvelin ja slave-palvelin • Useita palvelimia tarvitaan • Luotettavuus ja kuormantasaus • Master-palvelin • Sisältää aluetietokannan • Kaikki muutokset tehdään tänne • Slave-palvelin • Kopioi aluetietokannan Master-palvelimelta • Toiminnallisesti ei eroa Master-palvelimesta

  13. Tietoturva? • DNS-palvelimet yleinen hyökkäysten kohde • Jos murtaa DNS-palvelimen voi mielivaltaisesti ohjata nimiä uudelleen • Vanhoissa versioissa useita reikiä • Käytä mahdollisimman uutta versiota • Piilota versio-numero, jottei voi suoraan päätellä mitä skriptaa käyttää

  14. Tietoturva? • DNS-palvelimet yleinen hyökkäysten kohde • Jos murtaa DNS-palvelimen voi mielivaltaisesti ohjata nimiä uudelleen • Vanhoissa versioissa useita reikiä • Käytä mahdollisimman uutta versiota • Piilota versio-numero, jottei voi suoraan päätellä mitä skriptaa käyttää

  15. Tietoturva? • Aluetietokantojen päivityksessä voidaan käyttää TSIG-suojausta • Vain avaimen haltija pystyy siirtämään • DNS-palvelimen ajaminen rajoitetuilla oikeuksilla • Bind-käyttäjä • Nimipalvelimelle CHROOT • Tehdään nimipalvelimelle oma hakemistorakenne

  16. Tietoturva? • Aluetietokantojen päivityksessä voidaan käyttää TSIG-suojausta • Vain avaimen haltija pystyy siirtämään • DNS-palvelimen ajaminen rajoitetuilla oikeuksilla • Bind-käyttäjä • Nimipalvelimelle CHROOT • Tehdään nimipalvelimelle oma hakemistorakenne

  17. Tietoturva? • Aluetietokantojen päivityksessä voidaan käyttää TSIG-suojausta • Vain avaimen haltija pystyy siirtämään • DNS-palvelimen ajaminen rajoitetuilla oikeuksilla • Bind-käyttäjä • Nimipalvelimelle CHROOT • Tehdään nimipalvelimelle oma hakemistorakenne

  18. BIND9-asennus • apt-get install bind9 • Asentaa nimipalvelimen • Suorittaa perusasetukset • Käynnistää nimipalvelimen kun asennus valmis • Periaatteessa ei vaadi kuin aluetietokannan lisäämisen

  19. Käynnistys • /etc/init.d/bind9 start • Sisältää asetetut perusparapetrit • named -ubind -t /var/lib/named/ • Kirjoittaa suoraan logiin • tail /var/log/syslog • named -g -ubind -t /var/lib/named/ • Käynnistyy etualalle ja tulostaa ruudulle

  20. Käynnistys • named -f -ubind -t /var/lib/named/ • Käynnistyy etualalle, muttei tulosta ruudulle • -v parametrilla tulostaa BIND-version • -p parametrilla valitaan portti • -c parametrilla eri konfiguraatio • -d parametrilla valitaan debug-taso • -n parametrilla CPU:iden määrä

  21. Sammuttaminen • kill -2 (pid) • INT eli interrupt signaali sammuttaa palvelimen siististi • Vastaavasti ctrl-c jos käynnistetty -f / -g • /etc/init.d/bind9 stop • Kannattaa tarkistaa syslog myös sammuttamisen jälkeen

  22. Asetukset:chroot • Ensimmäiseksi chroot • Sammuta nimipalvelin • mkdir -p /var/lib/named/etc • mkdir /var/lib/named/dev • mkdir -p /var/lib/named/var/cache/bind • mkdir -p /var/lib/named/var/run/bind/run • mv /etc/bind /var/lib/named/etc • ln -s /var/lib/named/etc/bind /etc/bind

  23. Asetukset:chroot • mknod /var/lib/named/dev/null c 1 3 • mknod /var/lib/named/dev/random c 1 8 • chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random • chown -R bind:bind /var/lib/named/var/* • chown -R bind:bind /var/lib/named/etc/bind

  24. Asetukset:chroot • /etc/init.d/sysklogd • SYSLOGD="-a /var/lib/named/dev/log" • /etc/init.d/sysklogd restart • /etc/default/bind9 • OPTS="-u bind -t /var/lib/named" • Nyt BIND9 käyttää omaa hakemistoaan

  25. Asetukset:named.conf • named.conf • Asetustiedosto, jossa on perusasetukset • Tätä ei tarvitse muuttaa • Käyttää seuraavia tiedostoja • named.conf.local • Paikallisen verkon alueiden asetukset • named.conf.options • Optiot säädetään täällä

  26. named.conf.local • zone "3.168.192.in-addr.arpa" in { • type slave; • file "/etc/bind/bak.192.168.3"; • masters { 192.168.1.17;}; • }; • key lahi1-lahi2.lahiverkot. { • algorithm hmac-md5; • secret "ozr0ZjN36peFSuC+eR/vTg=="; • };

  27. named.conf.options • options { • directory "/var/cache/bind"; • auth-nxdomain no; #RFC1035 • allow-query{ 192.168.1/24; }; • allow-transfer{ none; }; • allow-recursion{ 192.168.1/24; }; • version ""; • };

  28. Asetukset:resolv.conf • Tämä tiedosto sisältää nimipalvelin-asetukset kyseiselle tietokoneelle • Tätä luetaan aina ennen DNS-kyselyiden tekemistä • Nameserver rivit kertovat nimipalvelimet • Search rivi kertoo kuinka epätäydellisiä domain-nimiä yritetään täydentää haettaessa • resolv.conf-tiedoston sisältö saadaan halutessa DHCP-palvelimelta, jolloin asetukset asetetaan DHCP-palvelimen asetuksiin

  29. resolv.conf • search lahiverkot. • nameserver 192.168.1.17 • nameserver 192.168.1.13

  30. Asetukset:aluetietokannat • Ns. zone-tiedostot • Sisältävät Nimet ja osoitteet ja näiden väliset yhteydet. • Täältä löytyy vastaus kyselyihin • Käänteiset DNS tiedot talletetaan erilliseen tiedostoon. • Tällä alueella: db.lahiverkot, db.192.168.1, db.192.168.3

  31. Aluetietokanta esimerkki • $TTL 3h • lahiverkot. IN SOA lahi1.lahiverkot. root.lahi1.lahiverkot. ( • 2 ;serial • 3h;refresh after • 1h;retry after • 1w;expire after • 1h;negative caching ttl • ) • ;nameservers • lahiverkot. IN NS lahi1.lahiverkot. • ;hosts • lahi1.lahiverkot. IN A 192.168.1.17

  32. rndc • Rndc on komentoriviohjelma, jolla voi hallita nimipalvelinta etänä • Tulee BIND9 paketin mukana • Käyttää avainta tunnistautumiseen • Vaatii kontrolliasetusten säätämistä named.conf.local-tiedostossa • rndc status | refresh | flush | reload [zone]

  33. Ylläpito • Nimipalvelun ylläpito varsin yksinkertaista • Usean palvelimen käyttö takaa palvelun toimivuuden • Slave-palvelimilla asetuksia ei tarvitse muuttaa, vaikka verkossa tapahtuisi muutoksia

  34. DNSSEC TSIG • Avaimen käyttö aluesiirtojen allekirjoittamiseen • Varmistaa, että slave-palvelimet saavat master-palvelimelta tiedostot muuttamattomina • Vaatii avaimen käyttämistä • Säädetään palvelimelle allow-transfer avaimen mukaan.

  35. Dns notify • Master-palvelin lähettää huomautuksen slave-palvelimille, kun aluetietokannan sarjanumero kasvaa • Slave-palvelin tietää tämän jälkeen, että on syytä päivittää aluetietokanta • Vältetään timeouttien odottaminen tai manuaalinen reload päivitysten jälkeen

  36. Dynamic update • Tarkoitettu DHCP-palvelimen kanssa käytettäksi • DHCP-palvelimen tarjotessa IP:n uudelle asiakkaalle se lähettää IP-osoitteen ja domain-nimen sekä alueen tiedot DNS-palvelimelle

  37. IXFR • Incremental zone transfer • Normaalisti aluetietokannat siirretään aina kokonaisina • Suuressa dynaamisessa verkossa tämä aiheuttaa suuren liikenteen • IXFR-siirroissa lähetetään vain muutokset vanhaan tietokantaan verrattuna.

  38. IPv6? • IPv6-osoitteet 128-bittisiä • Näiden muistaminen erittäin vaikeaa, joten nimipalvelu erittäin tarpeellinen • Ei vaadi suuria muutoksia DNS:ltä • Uudet osoitetyypit

More Related