1 / 80

Servicios básicos de la red

Servicios básicos de la red. Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos. Servicios básicos de la red. Ya hemos visto: DHCP Acceso remoto: SSH Administración de DNS Domain Name System: sistema de nombres de dominio Sincronización de tiempo: NTP Network Time Protocol

wei
Télécharger la présentation

Servicios básicos de la red

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos

  2. Servicios básicos de la red • Ya hemos visto: • DHCP • Acceso remoto: SSH • Administración de DNS • Domain Name System: sistema de nombres de dominio • Sincronización de tiempo: NTP • Network Time Protocol • Cortafuegos • iptables

  3. ADMINISTRACIÓN DE DNS

  4. Índice • Definición del servicio • Configuración de un cliente • Configuración de un servidor • Arquitecturas de servicios de nombres • Administración de dominios • Facilidades avanzadas • Aspectos de seguridad

  5. Tabla de máquinas • Fichero /etc/hosts • Puede incluir máquinas en una o varias redes • La tabla de máquinas incluye: 127.0.0.1 localhost localhost.localdomain 138.4.2.9 itaca fax news nis itaca.dit.upm.es 138.4.2.9 mail mail.dit.upm.es 138.4.2.10 sanson dns sanson.dit.upm.es 138.4.2.13 yeti dns2 yeti.dit.upm.es 138.4.2.13 mail2 mail2.dit.upm.es 138.4.2.60 loro www ftp proxy hora loro.dit.upm.es 138.4.3.171 lince lince.dit.upm.es 138.4.23.170 cajon cajon.dit.upm.es

  6. /etc/hosts • Establecía una correspondencia entre nombres y direcciones IP. • 127.0.0.1 localhost localhost.localdomain • 10.0.1.1 servidor servidor.adminlibre.dit.upm.es • 10.0.1.2 iquitos iquitos.adminlibre.dit.upm.es • 10.0.2.2 nauta nauta.servicios.aminlibre.dit.upm.es • 10.0.2.3 requena requena.servicios.adminlibre.dit.upm.es • 10.0.2.4 yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es • 10.0.1.3 lima lima.adminlibre.dit.upm.es • 10.0.3.2 cuzco ¡cuzco.imasd.adminlibre.dit.upm.es • 10.0.3.3 ica ica.imasd.adminlibre.dit.upm.es • 10.0.3.4 huaraz huaraz.imasd.adminlibre.dit.upm.es • 138.4.2.10 sanson dns sanson.dit.upm.es • 138.4.2.32 dns2 dns2.dit.upm.es • Contenía información de cada equipo • Demasiadas direcciones IP en uso hoy en día (>400M) • Cómo sincronizar los nombres con las direcciones IP?

  7. Servicio de nombres • DNS (Domain Name Server) (RFC1034, RFC1035) • Ampliado posteriormente para incluir muchas extensiones: • Internacionalización – acentos, ñ, caracteres chinos…. • Seguridad: DNSSEC • Establece una correspondencia dinámica entre nombres y direcciones IP. • Consiste en una base de datos distribuida por toda la Internet. • se gestiona de forma descentralizada y redundante • Sin ningún punto único de fallo • el esquema de distribución es jerárquico • fácil de usar en las aplicaciones (gethostbyname()) • espacio de nombres es global • Escalable • No hay tamaño máximo de la base de datos (.com 60Millones) • No hay límite de preguntas (24.000 en HW normal)

  8. Servicio de nombres • Almacena • Direcciones IPv4 • Direcciones IPv6 • Nombres – búsquedas inversas • Almacena información adicional • Se puede utilizar para otros fines • Almacenamiento de características de máquinas • Configuración de servicios • Servidor de nombres • Servidor de voip… • Claves públicas • Información de contacto • …

  9. . mil edu gov int com net org us es jp uk cisco sun isoc ole upm ac nsf www ftp dit etsit sanson jungla Modelo de información • Jerárquico en árbol invertido • Base de datos de información de dominios (DIB) sanson.dit.upm.es -> 138.4.2.10

  10. in-addr.arpa. 20 185 143 59 27 201 3 26 138 145 193 10 31 80 88 4 162 20 20 245 2 49 10 32 Modelo de información – DNS inverso • Jerárquico en árbol invertido • Base de datos de información de direcciones IP 10.2.4.138.in-addr.arpa. ->sanson.dit.upm.es

  11. Aplicación cliente Servidor de nombres Resolver TCP/IP TCP/IP Resolución de nombres Máquina cliente Máquina servidor 6 1 DIB 3 4 2 5 Otros servidores

  12. Configuración y administración • Configuración de los clientes • resolver • En las aplicaciones • En el sistema • gethostbyname() • gethostbyaddr() • como un gancho en el núcleo • como un proceso en el sistema • Configuración de un dominio • Delegado en otro dominio • Dominio en un solo servidor • Dominio en varios servidores • arquitectura de la base de datos distribuida

  13. Administración de un cliente Resolver de DNS

  14. Configuración del cliente • Configurando el resolver se configuran todas las aplicaciones • gethostbyname(), gethostbyaddr() • FQDN • Full Qualified Domain Name: nombre completo hasta la raiz “.” • servidor.adminlibre.dit.upm.es. • Orden de traducción de nombres • host.conf • order hosts,bind • multi on • nsswitch.conf • hosts files mdns4_minimal dns mdns4 • hosts/files • Entradas locales con el formato: • <IP nombre nombre FQDN>

  15. Configuración del resolver local • En UNIX está en /etc/resolv.conf • domain • search • nameserver • sortlist • options • Todas las aplicaciones se comportan igual • ¿Cuál es nuestro dominio? • hostname • hostname -f domain adminlibre.org search adminlibre.orgdit.upm.es nameserver 138.4.2.10 nameserver 10.0.1.1

  16. Definición de dominio • FQDN está subdividido en dominios mediante el “.” • Control administrativo de cada subdominio puede variar • sanson.dit.upm.es. • Dominio raíz o “.” • Dominio “.es” • Dominio “upm.es” • Dominio “dit.upm.es” • En /etc/resolv.conf • Completa el nombre dado en /etc/hostname

  17. /etc/resolv.conf - search • Sirve para facilitar la búsqueda de un nombre. • Simplifica la identificación de una máquina: • lince • lince.dit.upm.es. • El dominio por defecto determina la lista de búsqueda por defecto. • Sin punto se añade el dominio por defecto • Con punto: • primero se busca sin dominio • si falla se añade el dominio por defecto • La lista de búsqueda permite buscar en más de un dominio • search dit.upm.es lab.dit.upm.es

  18. /etc/resolv.conf - nameserver • El resolver inicia las búsquedas según lo definido en /etc/nsswitch.conf • Mirando el fichero local /etc/hosts • Conectando con el servidor de nombres local. • Como no es necesario tener un servidor de nombres en todas las máquinas se debe seleccionar al menos uno. • nameserver 138.4.2.10 • Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts • El resolver siempre busca en el mismo orden según lo indicado

  19. /etc/resolv.conf - sortlist • Si la respuesta a una petición contiene varios alternativas se puede indicar cual es la preferida • sortlist 138.4.2.0/255.255.255.192 • sortlist 138.4.0.0 • sortlist 138.4.2.0/255.255.255.0 138.4.22.0/255.255.255.0

  20. Administración de un servidor DNS

  21. Tipos de acceso a Internet • Sin ningún tipo de acceso • se pueden utilizar dominios inventados • Acceso completo • hay que estar registrado en un dominio público • Enganchado al árbol invertido del DNS • conectado con el resto de la BD mundial desde “.” • Acceso limitado por un corta-fuegos • se puede operar con una parte pública y otra privada

  22. Servidores • Autoritario de una zona o dominio • Master: servidor primario • Slave: servidores secundarios • Servidor recursivo • Pregunta a masters hasta hallar la respuesta • Disponen de una caché para responder más rápidamente • Entradas en la caché sólo es temporal (TTL) • Forwarders • Servidor que re-envía preguntas de DNS

  23. DIBUJO DE SERVIDORES

  24. Servidor DNS: BIND • UNIX • BIND 9 • BIND 10 en desarrollo actualmente • Instalar • También para otros sistemas operativos • FreeBSD, Windows XP, 2003, 2008 • Solaris, Mandrake, Debian, Mac OS X, … $ apt-get install bind9

  25. Configuración • Servidor lee la configuración de /etc/named.conf • Qué tipo de servidor es • Master • Slave • Qué información de traza dejo • Opciones • Qué zonas sirvo • conversión de nombres a direcciones • conversión de direcciones a nombres (reverse mapping) • Fichero de hints • Como contactar con un servidor de la raíz “.” • Cada zona tiene su fichero de datos • Con el nombre de la zona • Con el nombre inverso • Contiene la información de cada recurso de la zona

  26. Configuración Master • El master tiene un fichero por cada zona con al información • El slave (esclavo) obtiene la información de la zona haciendo una transferencia del master • Cada zona tiene su fichero de datos • Con el nombre de la zona • Con el nombre inverso • Contiene la información de cada recurso de la zona

  27. Registros de recursos • DNS mapea nombres a Registro de Recursos (RR) • información asociada a cada nodo • RR: es una tupla <Owner TTL Class Type Value> • Ownernombre de dominio, propietario del RR • TTL time to live, cuánto tiempo un RR puede estar en la copia caché antes de ser descartado • Classidentifica a una familia de protocolos (IN en Internet)

  28. Registros de recursos <Owner TTL Class Type Value> • Type tipo de recurso A IPv4 address MX Mail eXchanger NS Name Server CNAME Canonical Name, alias HINFO Host description PTR Pointer (alias de un dominio) SOA Start of a zone of authority • Value datos, depende del tipo de RR A Dirección IP de 32 bits MX Preferencia + nombre de dominio NS Equipo que sirve el dominio CNAME Nombre de dominio HINFO Máquina, S.O. PTR DNS inverso: para un IP su nombre de dominio SOA Varios campos

  29. Ficheros de registros • Lista de todos los registros conocidos de una zona • Todas las líneas acaban en “;” • Comentarios • ; es un comentario en v4 • /* es u comentario en v8 */ • // y este también • # y este también

  30. Ficheros de registros - SOA • Información sobre autoridad de la zona • Información de contacto del dueño de la zona • Un equipo y un humano! • Número de serie • Incrementado al realizar un cambio en la zona, indica la versión más reciente • Puede ser una fecha: AAAAMMDDXX • Intervalo de refresco • Cada cuanto tiempo comprueba un esclavo si el número de serie ha cambiado • Intervalo de reintento • Si el intento de comprobación del número de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo • Intervalo de expiración • Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona • Caché negativo • Cuanto tiempo se guarda en la caché un resultado negativo

  31. Ficheros de registros - SOA Contacto humano correo@exmpl.org • Ejemplo de SOA • O también con un formato más “humano” Servidor master • exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( • 2010040400 ; número de serie • 10800 ; refresh 3h • 3600 ; retry 1h • 604800 ; expire 1w • 10800 ) ; ncache 3h • exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( • 2010040400 3h 1h 1w 3h );

  32. Ficheros de registros - NS • NS indica un servidor de nombres de la zona • Se usa para delegar una zona a otro servidor • Es conveniente tener más de uno • RR de esa zona están en otro servidor Último punto es imprescindible Último punto es imprescindible • subdom.exmpl.com. IN NS servidor.otrodom.com. subdom.exmpl.com. IN NS servidor2.otrodom.com.

  33. Ficheros de registros - A • A conversión nombre a dirección IPv4 • Proporciona el mapeo entre el “dueño” – owner y el número IP • Puede haber más de un número IP por dueño • equipo.exmpl.com. IN A 10.0.1.200 • A 10.3.20.114 • equipo2 IN A Si no acaba con “.” se le añade el dominio de la zona

  34. Ficheros de registros - CNAME • CNAME nombres canónicos (ALIAS) • Indican a un resolver que la información del RR pedido se halla bajo otro nombre • Es el único RR que debe existir de un nombre • Pregunta: • Respuesta: • Nueva Pregunta: • Nueva respuesta: • alias.exmpl.com. IN CNAME real.exmpl.com. alias.exmpl.com A? alias.exmpl.com CNAME real.exmpl.com real.exmpl.com A? real.exmpl.com A 10.10.10.10

  35. Ficheros de registros - MX • MX servidor de correo de un dominio

  36. Ficheros de registros - PTR • PTR conversión dirección a nombre

  37. Abreviaturas • El nombre del servidor primario se añade a todos los nombres no completos (que no terminan en .) lince.dit.upm.es. IN A 138.4.3.171 lince IN A 138.4.3.171 171.3.4.138.in-addr.arpa. IN PTR lince.dit.upm.es. 171 IN PTR lince.dit.upm.es. • No olvidar el “.” en los nombres completos • lince.dit.upm.es IN A 138.4.3.171 • equivale a lince dit.upm.es.dit.upm.es.

  38. Abreviaturas de nombres • El nombre de dominio se puede reducir • dit.upm.es. • @ • Se puede asumir en nombre anterior • selva IN A 138.4.2.7 • IN A 138.4.22.1 • Los nombres no pueden incluir el _ • Solo se puede utilizar en las direcciones de correo

  39. Servidor de nombres secundario • Es necesario tener al menos un servidor de nombres esclavo del primario • Muchas veces hay mas de dos. • Sirve además para repartir carga • Diferencias • el primario tiene la información local • el esclavo la coge por la red (zone transfer) • Como el loopback y la cache son iguales se pueden copiar a mano.

  40. Configuración del correo • La Tabla de Máquinas solo sirve para dar nombres a las máquinas. • DNS permite encaminar el correo electrónico. • DNS ofrece la posibilidad de indicar servidores de correo alternativos • El registro MX sirve para indicar el servidor para • procesar el correo • distribuir correo • Originalmente estaba dividido en dos, MD y MF.

  41. Servidores de correo • Se puede especificar mas de un servidor de correo • Para evitar bucles se añade un parámetro que es la preferencia, que indica la prioridad de cada servidor. • dit.upm.es. IN MX 10 mail.dit.upm.es. • Cuando se dan varios se ordenan por prioridad y se evalúan en ese mismo orden: selva IN A 138.4.22.1 IN MX 0 mail.dit.upm.es. IN MX 10 mail2.dit.upm.es. IN MX 100 selva.dit.upm.es. • Se pueden dar valores de 0 a 65535 • Es recomendable indicar un registro MX para cada máquina

  42. Características de un servidor de correo • Tamaño • para manejar todo el correo • para encolarlo si es necesario • Disponible • en funcionamiento la mayor parte del tiempo • Conectividad • bien conectado con los demás servidores • Gestión y administración • manteniendo la privacidad • que no pierde mensajes cuando se producen fallos • consigue una velocidad de entrega

  43. Algoritmo de entrega de mensajes • Se busca el servidor adecuado con mas prioridad y se entrega el mensaje a ese. • Si no está disponible se busca el siguiente en función del orden de prioridad. • Se deben usar siempre nombres canónicos. • muchos intercambiadores de correo no miran los alias (CNAME)

  44. Entrega de mensajes • Cuando se alcanza una máquina con baja prioridad • se descartan los servidores con igual o mayor prioridad • se intenta mandar el mensaje al de prioridad mas baja • si falla se encola y se prueba mas tarde. • Si al intentar enviarlo se encuentra a si mismo • da un error y devuelve el mensaje • se puede configurar el sendmail para evitarlo

  45. EjemplosConfiguración de servidores

  46. Herramientas de diagnóstico

  47. dig • Herramienta de diagnóstico de DNS • Similar a nslookup o host • La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. • Uso: dig <host> RR dig @server <host> RR $ dig tuenty.com. A $ dig gmail.com. MX $ dig @10.0.1.1 lima A $ dig @10.0.1.1 10.0.1.2 PTR

  48. dig • Herramienta de diagnóstico de DNS • Similar a nslookup o host • La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio. $ dig tuenty.com a ; <<>> DiG 9.6.0-APPLE-P2 <<>> tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com. IN A ;; ANSWER SECTION: tuenty.com. 86400 IN A 217.76.128.34 ;; AUTHORITY SECTION: tuenty.com. 86400 IN NS dns4.servidoresdns.net. tuenty.com. 86400 IN NS dns3.servidoresdns.net. ;; ADDITIONAL SECTION: dns3.servidoresdns.net. 1979 IN A 217.76.128.129 dns4.servidoresdns.net. 1979 IN A 217.76.129.129 ;; Query time: 59 msec ;; SERVER: 138.4.2.10#53(138.4.2.10) ;; WHEN: Mon Mar 22 16:13:09 2010 ;; MSG SIZE rcvd: 131

  49. Mantenimiento de un servidor DNS

  50. Añadir y quitar máquinas • Actualizar siempre el primario • si se actualiza el secundario se pierde el cambio con la siguiente actualización • Fichero db.DOMINIO • Actualizar el número de serie • Añadir los registros: A, CNAME, MX • Fichero db.DIRECCION • Actualizar el número de serie • Añadir los registros: PTR • Relanzar el servidor de nombres • kill -HUP `cat /etc/named.pid`

More Related