servidor de nomes prof. vitor luiz ramos barbosa dns
Post on 22-Apr-2015
118 Views
Preview:
TRANSCRIPT
Servidor de Nomes
Prof. Vitor Luiz Ramos Barbosa
DNS
Serviço de Nomes - DNS
Um dos serviços mais fundamentais para o funcionamento da Internet.
Traduz nomes de hosts em números IP e vice-versa.
DNS – Domain Name System
Padrão Aberto para Resolução de Nomes Hierárquicos– Agrupa nomes em domínios;
Base de dados distribuída implementada em uma hierarquia de servidores DNS;
Protocolo de aplicação que permite as maquinas consultarem essa base de dados distribuída.– Atende requisições na porta 53
• Utiliza os protocolos UDP e TCP
Especificações do DNS (RFCs)– RFCs 1034, 1035, 1101, 1123, 1183 e 1536.
Serviço de Nomes - DNS
No Windows existe duas técnicas para fazer resoluções:– Através do arquivo de mapeamento de hosts
• Arquivo: c:\windows\system32\drivers\etc\hosts
– Através da consulta a um servidor de nomes (DNS)
• Banco de dados com servidores distribuídos e organizados de forma hierárquica, espalhados por toda Internet.
Base de dados hierárquica e distribuída
Estrutura hierárquica de nomes
.
pt com ar ge nl br
com
www
edu net ufg
yahooeti
senaigo
www
Servidores raiz – Nível 1
Servidores domíno – Nível 2
Servidores domínio - Nível 3
DNS – Domain Name System
Por que não centralizar o DNS?– ponto único de falha– volume de tráfego– manutenção da BD: grande demais, atualização,
problemas de autenticação– Não é escalável!
DNS e a Internet
O “root” da árvore de nomes da Internet é gerenciado pelo Internet Network Information Center (InterNIC)– https://www.isc.org/community/froot– http://root-servers.org
Internic provê um serviço de registro de nomes para os domínios .com, .net, .org, e .edu;– http://www.internic.net
O InterNIC delega a responsabilidade de administrar partes do domínio de nomes para as empresas e organizações conectadas na Internet
Domínios Gerenciados pelo InterNIC
Segundo a nomenclatura adotada na Internet, o “Domain Name Space“ é dividido em duas áreas principais:– Organization Domains:
• 3 caracteres para indicar a atividade da empresa.– .com, .edu, .gov, .int, .mil, .net, .org– .int: organizações internacionais– .mil: organizações militares– .org: organizações não comerciais
– Geographical Domains:• 2 caracteres para identificar o país.
– .br, .fr, .jp, etc.
DNS e a Internet
Desde 12/2005, o NIC (Núcleo de Informação e Coordenação) é o responsável pelo registro de nomes de dominio .br
www.registro.br
DNS e a Internet
DNS e a Internet
Descentralização
A descentralização e delegação de autoridade simplifica o gerenciamento, limita o tráfego e aumenta a confiabilidade.
Serviço de Nomes - DNS
Quem é www.senaigo.com.br
?
rootnameserver
.com.brnameserver
senaigo.com.brnameserver
192.5.5.241
200.160.2.3
201.56.58.121
tente 192.5.5.241
tente 200.160.2.3
tente 201.56.58.121
Serviços de Nomes
Processamento de Requisições
www.senaigo.com.br = 201.56.58.121
dns1.turbonet.net
cliente1.turbonet.net
www.senaigo.com.br
f.root-server.netnameserver
dns.nic.brnameserver
ns1.senaigo.com.brnameserver
www.senaigo.com.br
.com.br NS dns.nic.br
www.senaigo.com.br
senaigo.com.br NS ns1.senaigo.com.br
www.senaigo.com.brwww.senaigo.com.br A = 201.56.58.121cache
10.1.1.1
Exemplo de uso do DNS
Acesso a uma página web:– Browser extrai o nome de domínio do servidor;– Repassa-o para dns cliente– DNS cliente envia requisição para o servidor DNS;– DNS cliente eventualmente recebe uma resposta
com o IP associado ao nome de domínio;– Browser obtém o IP do servidor WEB a partir do
DNS cliente e inicia conexão TCP com o processo servidor HTTP.
Domínio x Zonas
Domínio– Espaço de nome reservado para uma entidade
Zonas– Armazenam informações (base de dados) sobre
um ou mais domínios. – Contém os registros para um domínio
Registro de nomes na Internet
Realizado no site:– www.registro.br
Requer ao menos dois servidores DNS configurados para o domínio– Um servidor primário e um secundário
Obtendo informações sobre um domínio já registrado– whois globo.com– whois senaigo.com.br
Domínio X Zonas
Domínio:microsoft.com
Domínio X Zonas
Tipos de Pesquisas
Direta– Resolução de nomes em endereço IP.
Reversa – Têm a função de, recebido um número IP, localizar
qual o nome associado a ele. Integrada com o Active Directory
– Armazena informações relativas ao AD, replica as alterações ocorridas nele para as outras zonas.
Stub– Contém apenas as informações sobre quem pode
resolver nome para a zona.
Registros de Recursos - RR
SOA significa Start of authority (inicio de autoridade) - Indica qual o servidor que é autoridade do domínio e armazena o arquivo de zona.
NS Name Server - Indica qual o servidor que responde pelo domínio.
A significa “Address” - Faz o mapeamento de um nome DNS para um endereço IPv4.
AAAA - Faz o mapeamento de um nome DNS para um endereço IPv6.
MX Mail Exchange - Identifica o servidor de email do domínio. CNAME significa canonical name – Mapeia um apelido ou nome
DNS alternativo PTR – Utilizado em zonas reversas, faz mapeamento ao contrário
Exemplo dos RR
@ SOA dns.meudominio.com.br
@ NS dns.meudominio.com.br
dns A 200.1.1.2
www A 200.1.1.4
mail MX 200.1.1.4
webmail CNAME mail.meudominio.com.br
200.1.1.2 PTR dns.meudominio.com.br
Tipos de Servidores
Primário– É o servidor autoritário para zona. – Envia uma cópia dos seus arquivos de dados para o
servidor secundário “transferência de zona”. Secundário
– Funciona como backup. – Apenas lê os arquivos de dados do servidor primário, e
responde as requisições dos clientes quando requisitado. Caching
– São servidores DNS que apenas efetuam consultas e guardam o resultado numa cache e retornam os resultados;
Funções de servidores DNS
Autoritativo – Responsável por manter os mapas referentes a uma
zona local e responder a requisições vindas de máquinas de todo o mundo, que precisarem resolver nomes de domínio da zona sobre a qual este servidor tem autoridade;
Recursivo– Responsável por receber as consultas DNS dos
clientes locais e consultar os servidores externos, de modo a obter respostas às consultas efetuadas.
Problemas com DNS
Configuração incorreta permitindo que qualquer máquina na Internet faça consultas ao servidor DNS recursivo de uma determinada rede, pois apenas o servidor autoritativo é que deve responder a consultas vindas de máquinas externas.
Riscos
Ser vítima de ataques de envenenamento de cache
Ter o servidor abusado por atacantes e utilizado para desferir ataques de negação de serviço distribuídos (DDoS)– Grande número de consultas DNS forjadas
recebidas e, principalmente, a quantidade de respostas grandes enviadas para a vítima;
Riscos
Solução
Separar os servidores autoritativo e recursivo e atribuir políticas de acesso diferentes a cada um.
Solução
É necessário ter o seguinte conjunto de regras no firewall:– Tráfego vindo dos clientes autorizados, com destino
às portas 53/UDP e 53/TCP do servidor recursivo, deve ser liberado;
– Permitir tráfego originado do servidor recursivo com destino às portas 53/UDP e 53/TCP de qualquer máquina.
– Bloquear quaisquer outras conexões externas ao servidor DNS recursivo.
Teste de servidores DNS recursivos
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
Razões para Rodar um Servidor de Nome Alguém quer servir informação DNS para o
mundo. Localmente, pode fazer cache e responder
mais rapidamente do que pesquisar em um servidor de nome externo.
DNS Resumo
Vantagens:– Implementa um mecanismo de resolução de nomes
hierárquico.• Isto facilita a organização dos nomes em redes de grande porte.
– O banco de dados que armazena os nomes é distribuído.• Cada servidor DNS contém informações de zonas específicas, e
pode ser administrado separadamente.– É o mecanismo de nomes adotado na Internet.
• Pode ser utilizado para resolver nomes na rede local (intranet) e na rede Internet.
Desvantagem:– Não é dinâmico
• É responsabilidade do administrador manter as entradas do arquivo de nomes (ZONAS) atualizadas
top related