Servidor de Nomes Prof. Vitor Luiz Ramos Barbosa DNS.
Transcript of Servidor de Nomes Prof. Vitor Luiz Ramos Barbosa DNS.
Servidor de Nomes
Prof. Vitor Luiz Ramos Barbosa
DNS
Serviço de Nomes - DNS
Um dos serviços mais fundamentais para o funcionamento da Internet.
Traduz nomes de hosts em números IP e vice-versa.
DNS – Domain Name System
Padrão Aberto para Resolução de Nomes Hierárquicos– Agrupa nomes em domínios;
Base de dados distribuída implementada em uma hierarquia de servidores DNS;
Protocolo de aplicação que permite as maquinas consultarem essa base de dados distribuída.– Atende requisições na porta 53
• Utiliza os protocolos UDP e TCP
Especificações do DNS (RFCs)– RFCs 1034, 1035, 1101, 1123, 1183 e 1536.
Serviço de Nomes - DNS
No Windows existe duas técnicas para fazer resoluções:– Através do arquivo de mapeamento de hosts
• Arquivo: c:\windows\system32\drivers\etc\hosts
– Através da consulta a um servidor de nomes (DNS)
• Banco de dados com servidores distribuídos e organizados de forma hierárquica, espalhados por toda Internet.
Base de dados hierárquica e distribuída
Estrutura hierárquica de nomes
.
pt com ar ge nl br
com
www
edu net ufg
yahooeti
senaigo
www
Servidores raiz – Nível 1
Servidores domíno – Nível 2
Servidores domínio - Nível 3
DNS – Domain Name System
Por que não centralizar o DNS?– ponto único de falha– volume de tráfego– manutenção da BD: grande demais, atualização,
problemas de autenticação– Não é escalável!
DNS e a Internet
O “root” da árvore de nomes da Internet é gerenciado pelo Internet Network Information Center (InterNIC)– https://www.isc.org/community/froot– http://root-servers.org
Internic provê um serviço de registro de nomes para os domínios .com, .net, .org, e .edu;– http://www.internic.net
O InterNIC delega a responsabilidade de administrar partes do domínio de nomes para as empresas e organizações conectadas na Internet
Domínios Gerenciados pelo InterNIC
Segundo a nomenclatura adotada na Internet, o “Domain Name Space“ é dividido em duas áreas principais:– Organization Domains:
• 3 caracteres para indicar a atividade da empresa.– .com, .edu, .gov, .int, .mil, .net, .org– .int: organizações internacionais– .mil: organizações militares– .org: organizações não comerciais
– Geographical Domains:• 2 caracteres para identificar o país.
– .br, .fr, .jp, etc.
DNS e a Internet
Desde 12/2005, o NIC (Núcleo de Informação e Coordenação) é o responsável pelo registro de nomes de dominio .br
www.registro.br
DNS e a Internet
DNS e a Internet
Descentralização
A descentralização e delegação de autoridade simplifica o gerenciamento, limita o tráfego e aumenta a confiabilidade.
Serviço de Nomes - DNS
Quem é www.senaigo.com.br
?
rootnameserver
.com.brnameserver
senaigo.com.brnameserver
192.5.5.241
200.160.2.3
201.56.58.121
tente 192.5.5.241
tente 200.160.2.3
tente 201.56.58.121
Serviços de Nomes
Processamento de Requisições
www.senaigo.com.br = 201.56.58.121
dns1.turbonet.net
cliente1.turbonet.net
www.senaigo.com.br
f.root-server.netnameserver
dns.nic.brnameserver
ns1.senaigo.com.brnameserver
www.senaigo.com.br
.com.br NS dns.nic.br
www.senaigo.com.br
senaigo.com.br NS ns1.senaigo.com.br
www.senaigo.com.brwww.senaigo.com.br A = 201.56.58.121cache
10.1.1.1
Exemplo de uso do DNS
Acesso a uma página web:– Browser extrai o nome de domínio do servidor;– Repassa-o para dns cliente– DNS cliente envia requisição para o servidor DNS;– DNS cliente eventualmente recebe uma resposta
com o IP associado ao nome de domínio;– Browser obtém o IP do servidor WEB a partir do
DNS cliente e inicia conexão TCP com o processo servidor HTTP.
Domínio x Zonas
Domínio– Espaço de nome reservado para uma entidade
Zonas– Armazenam informações (base de dados) sobre
um ou mais domínios. – Contém os registros para um domínio
Registro de nomes na Internet
Realizado no site:– www.registro.br
Requer ao menos dois servidores DNS configurados para o domínio– Um servidor primário e um secundário
Obtendo informações sobre um domínio já registrado– whois globo.com– whois senaigo.com.br
Domínio X Zonas
Domínio:microsoft.com
Domínio X Zonas
Tipos de Pesquisas
Direta– Resolução de nomes em endereço IP.
Reversa – Têm a função de, recebido um número IP, localizar
qual o nome associado a ele. Integrada com o Active Directory
– Armazena informações relativas ao AD, replica as alterações ocorridas nele para as outras zonas.
Stub– Contém apenas as informações sobre quem pode
resolver nome para a zona.
Registros de Recursos - RR
SOA significa Start of authority (inicio de autoridade) - Indica qual o servidor que é autoridade do domínio e armazena o arquivo de zona.
NS Name Server - Indica qual o servidor que responde pelo domínio.
A significa “Address” - Faz o mapeamento de um nome DNS para um endereço IPv4.
AAAA - Faz o mapeamento de um nome DNS para um endereço IPv6.
MX Mail Exchange - Identifica o servidor de email do domínio. CNAME significa canonical name – Mapeia um apelido ou nome
DNS alternativo PTR – Utilizado em zonas reversas, faz mapeamento ao contrário
Exemplo dos RR
@ SOA dns.meudominio.com.br
@ NS dns.meudominio.com.br
dns A 200.1.1.2
www A 200.1.1.4
mail MX 200.1.1.4
webmail CNAME mail.meudominio.com.br
200.1.1.2 PTR dns.meudominio.com.br
Tipos de Servidores
Primário– É o servidor autoritário para zona. – Envia uma cópia dos seus arquivos de dados para o
servidor secundário “transferência de zona”. Secundário
– Funciona como backup. – Apenas lê os arquivos de dados do servidor primário, e
responde as requisições dos clientes quando requisitado. Caching
– São servidores DNS que apenas efetuam consultas e guardam o resultado numa cache e retornam os resultados;
Funções de servidores DNS
Autoritativo – Responsável por manter os mapas referentes a uma
zona local e responder a requisições vindas de máquinas de todo o mundo, que precisarem resolver nomes de domínio da zona sobre a qual este servidor tem autoridade;
Recursivo– Responsável por receber as consultas DNS dos
clientes locais e consultar os servidores externos, de modo a obter respostas às consultas efetuadas.
Problemas com DNS
Configuração incorreta permitindo que qualquer máquina na Internet faça consultas ao servidor DNS recursivo de uma determinada rede, pois apenas o servidor autoritativo é que deve responder a consultas vindas de máquinas externas.
Riscos
Ser vítima de ataques de envenenamento de cache
Ter o servidor abusado por atacantes e utilizado para desferir ataques de negação de serviço distribuídos (DDoS)– Grande número de consultas DNS forjadas
recebidas e, principalmente, a quantidade de respostas grandes enviadas para a vítima;
Riscos
Solução
Separar os servidores autoritativo e recursivo e atribuir políticas de acesso diferentes a cada um.
Solução
É necessário ter o seguinte conjunto de regras no firewall:– Tráfego vindo dos clientes autorizados, com destino
às portas 53/UDP e 53/TCP do servidor recursivo, deve ser liberado;
– Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina.
– Bloquear quaisquer outras conexões externas ao servidor DNS recursivo.
Teste de servidores DNS recursivos
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
Razões para Rodar um Servidor de Nome Alguém quer servir informação DNS para o
mundo. Localmente, pode fazer cache e responder
mais rapidamente do que pesquisar em um servidor de nome externo.
DNS Resumo
Vantagens:– Implementa um mecanismo de resolução de nomes
hierárquico.• Isto facilita a organização dos nomes em redes de grande porte.
– O banco de dados que armazena os nomes é distribuído.• Cada servidor DNS contém informações de zonas específicas, e
pode ser administrado separadamente.– É o mecanismo de nomes adotado na Internet.
• Pode ser utilizado para resolver nomes na rede local (intranet) e na rede Internet.
Desvantagem:– Não é dinâmico
• É responsabilidade do administrador manter as entradas do arquivo de nomes (ZONAS) atualizadas