Está en la página 1de 52

Manual de Sistemas de Resolucin de Nombres (DNS) en Canaima GNU/Linux

Caracas, Octubre de 2009

Crditos y licencia

2008-2009 Centro Nacional de Tecnologas de Informacin 2008-2009 ONUVA Integracin de Sistemas Este documento se distribuye al pblico como

documentacin y conocimiento libre bajo los trminos de la


Licencia Pblica General GNU, que puede obtener en la direccin Web: http://www.gnu.org/copyleft/gpl.html Convenciones tipogrficas

Texto enfatizado, anglicismos, texto resaltado, comandos,


salidas, paquetes o contenido de archivos. Indica informacin muy importante con respecto al contenido Indica comandos, salidas en pantalla o contenido de archivos Indica los pasos de un procedimiento

Pgina 1 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Contenido
Crditos y licencia............................................................................................................... 2 Convenciones tipogrficas.................................................................................................. 2 INTRODUCCIN................................................................................................................... 6 UNIDAD I: BASES DEL SISTEMA DE NOMBRES DE DOMINIO DNS......................................7 Tema 1: Fundamentos de DNS......................................................................................... 7 Elementos de un Sistema de nombres de dominio.....................................................7 Sistema jerrquico de nombres de dominio..............................................................10 Dominios nivel superior............................................................................................. 13 Tema 2: Tipos de servidores DNS .................................................................................14 Servidores DNS Autoritarios...................................................................................... 14 Servidor de cache DNS.............................................................................................. 15 Tema 3: Proceso de resolucin de nombres de dominio y resoluciones reversas..........16 Tema 4: Registros DNS.................................................................................................. 18 Estructura y elementos de un registro DNS..............................................................18 Descripcin del contenido de una cabecera DNS.................................................19 Tipos de registros DNS.............................................................................................. 20 Tipos de consultas DNS............................................................................................. 22 Consultas iterativas. ............................................................................................. 22 Consultas recursivas............................................................................................. 22 UNIDAD II: SERVIDOR DNS ISC BIND9................................................................................23 Tema 1: ISC BIND........................................................................................................... 23 Tema 2: Instalacin de BIND9 sobre Canaima GNU/Linux..............................................25 Archivos de registro bsico....................................................................................... 25 Elementos de configuracin del servicio...................................................................26 Parmetros globales de operacin del servicio.........................................................26 Tema 3: Puesta en funcionamiento de una infraestructura DNS...................................28 Despliegue de un servidor de DNS cache..................................................................28 Configuracin de DNS cache.................................................................................28

Pgina 2 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Pruebas de funcionamiento................................................................................... 29 Despliegue de un servidor DNS maestro autoritario.................................................31 Declaracin de la zona DNS directa y la zona DNS reversa...................................31 Ejemplo de un registro o cabecera SOA en un archivo de zona......................33 Ejemplo del contenido de un archivo de zona..........................................................35 Ejemplo del contenido de un archivo de zona reversa.............................................36 Pruebas de funcionalidad.......................................................................................... 37 Despliegue del servidor DNS esclavo autoritario.......................................................39 Despliegue de subdominios DNS...............................................................................40 Ejercicio prctico del curso............................................................................................ 41 Solucin del ejercicio................................................................................................. 42 GLOSARIO DE TRMINOS................................................................................................... 46 REFERENCIAS.................................................................................................................... 52

Pgina 3 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

FICHA DESCRIPTIVA
CURSO: Sistema de Resolucin de Nombres (DNS) en Canaima GNU/Linux. MODALIDAD: a distancia. estudiantil de Colegios Universitarios y Politcnicos. REQUISITOS PREVIOS: nociones bsicas en el manejo de:

DURACIN: 3 semanas.

DIRIGIDO A: pblico y comunidad en general, as como personal docente, tcnico y

Permisos y ACL POSIX. Gestin de usuarios y permisos bajo Linux. Manejo de servicios SysV. Gestin de procesos POSIX. Manejo de Linux bajo CLI. Herramientas de paginacin y visualizacin de texto. Manejo del sistema de paquetes APT.

OBJETIVO DEL CURSO: comprender los procedimientos para la configuracin de un servicio de DNS en GNU/Linux.

Pgina 4 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

INTRODUCCIN
El Domain Name System (DNS) es una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet.

Inicialmente, el DNS naci de la necesidad de recordar fcilmente los nombres de todos los servidores conectados a Internet. Anteriormente se alojaba un archivo llamado HOSTS que contena todos los nombres de dominio conocidos, pero el crecimiento masivo de la red hizo que este procedimiento no resultara prctico y entonces se cuenta hoy en da con esta base de datos distribuida que almacena gran cantidad de informacin.

A lo largo de este manual podremos estudiar y comprender los diferentes procedimientos que nos permitirn realizar la configuracin de servicios de DNS en ambiente GNU/Linux.

Pgina 5 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

UNIDAD I: BASES DEL SISTEMA DE NOMBRES DE DOMINIO DNS Tema 1: Fundamentos de DNS
El DNS1 es un sistema de nombres que permite traducir de nombres de dominio a direcciones IP y viceversa. Aunque la comunicacin en Internet slo funciona en base a direcciones IP, el DNS permite que usemos nombres de dominio que adems de ser ms simples de recordar, permiten una abstraccin til para los usuarios en general

Elementos de un Sistema de nombres de dominio


Sistema que, al recibir una peticin para resolver un nombre o una direccin, consulta su base de datos interna de equipos conocidos u otro sistema DNS para entregar bien sea la direccin IP de un dominio, o, si se le provee la direccin IP conocida, este
1 Sistema de Nombre de Dominio, por sus siglas en ingls. (Domain Name System) Pgina 6 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

devuelve el nombre de equipo y dominio al que pertenece.

Son programas que se ejecutan en la computadora del usuario y que generan peticiones DNS de resolucin de nombres a un servidor DNS. Por ej: qu direccin IP corresponde a www.venezuela.com?.

La configuracin de equipos cliente DNS suele implicar la ejecucin de las siguientes tareas administrativas:

Configurar en el computador cliente los nombres para cada computador en la red. Configurar un sufijo DNS principal para el computador. El sufijo DNS principal del equipo es el nombre del dominio del cual este es miembro.

Identificar los servidores DNS para los clientes y as realizar la consulta de resolucin de nombres de forma rpida. Puede configurar los servidores DNS preferidos y alternativos. Los servidores DNS alternativos o suplentes se consultan cuando el preferido no contesta.

Edicin del archivo /etc/resolv.conf2, cuyo formato bsico es el siguiente:

Lnea 1

Campo

Valor Un nombre de dominio que se agregar a los nombres consultados que no terminen en punto (.) , el formato de este valor es una cadena. p.ej: domain midominio.com. Solo puede existir una lnea domain.

domain (dominio) Opcional

2 Resolv.conf(5) - Linux man page (consultado mayo 2009), resolv.conf - resolver configuration
file. Disponible en: http://linux.die.net/man/5/resolv.conf Pgina 7 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

search (bsqueda) Opcional

Una entrada de bsqueda define los dominios en que se buscar para resolver los nombres de host (mquina). p. ej: search midominio.com cantv.net, esta lnea puede tener un mximo de 1024 caracteres. Es importante recalcar que search y

domain son mutuamente excluyentes, se utilizar la


ltima en aparecer en el archivo de existir ambas. 3

nameserver (servidor nombres o DNS) Obligatoria

Pueden

existir

un

mximo

de

entradas

de nameserver, (ya que las posteriores se ignorarn) y


debe existir al menos una. ejemplo: nameserver 192.168.1.1. El orden en el cual se coloquen los servidores DNS es predominante para la rapidez de las consultas, y de no responder alguno especificado se proceder al prximo. En caso de solo existir una entrada nameserver, cuya IP no responda a la solicitud, el sistema ser incapaz de resolver un nombre del host que no exista en su archivo /etc/hosts.

Nombres de dominio: son direcciones nemotcnicas o alias que identifican un sitio de Internet. Esta direccin, es la "traduccin" a caracteres alfanumricos de una direccin IP, que en realidad es lo que entienden los enrutadores que hacen la conexin del usuario hacia el sitio requerido. Cada dominio es nico en Internet.

Zonas DNS: permiten al servidor maestro o primario cargar la informacin de una zona. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos ltimos no son delegados a otras zonas de autoridad. La informacin de cada zona de autoridad es almacenada de forma local en un archivo en el servidor DNS.
Pgina 8 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Sistema jerrquico de nombres de dominio


El sistema de nombres de dominios en Internet es un sistema distribuido, jerrquico, replicado y tolerante a fallas. Aunque estos objetivos parecen muy difciles de lograr, la solucin no es tan compleja en realidad. El punto central se basa en un rbol que define la jerarqua entre los dominios y los subdominios.

En un nombre de dominio, la jerarqua se lee de derecha a izquierda. Por ejemplo, en lab.dominio.com, el dominio ms alto es com. Para que exista una raz del rbol, se puede ver como si existiera un punto al final del nombre: lab.dominio.com., y todos los dominios estn bajo esa raz (tambin llamada ``punto"). Un trmino que veremos comnmente ser FQDN3, lo que se refiere a un nombre como www.misitio.com.

Un nombre de dominio usualmente consiste en dos o ms partes 4 , separadas por puntos cuando se las escribe en forma de texto. P. ej. www.mohamedali.org. En este ltimo ejemplo la etiqueta ubicada ms a la derecha se le llama dominio de nivel superior o TLD5. Como org en www.mohamedali.org.

Cada etiqueta a la izquierda especifica una subdivisin o subdominio. Ntese que estos expresan dependencia relativa, no dependencia absoluta. En teora, esta subdivisin puede tener hasta 127 niveles, y cada etiqueta puede contener hasta 63 caracteres, pero restringidos a que la longitud total del nombre de dominio no exceda los 255 caracteres, aunque en la prctica los dominios son casi siempre mucho ms cortos.

3 Nombre de dominio completamente calificado, por sus siglas en ingls 4 Tcnicamente, etiquetas 5 Siglas en ingls de top level domain. Pgina 9 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Finalmente, la parte ms a la izquierda del dominio suele expresar el nombre de la mquina6. El resto del nombre de dominio simplemente especifica la manera de crear una ruta lgica a la informacin requerida. Por ejemplo, el dominio es.wikipedia.org tendra el nombre de la mquina "es", aunque en este caso no se refiere a una mquina fsica en particular. Dominios y servidores raz

Ejemplo de la jerarquizacin de dominios y subdominios

La raz del sistema de dominios es provista por algunos servidores ''bien conocidos o autorizados'', llamados servidores raz. Todo servidor de nombres debe ser configurado con la lista de los servidores raz conocidos (en general, vienen de fbrica configurados con estos valores).

Estos servidores dicen cuales dominios de primer nivel existen y cuales son sus
6 Comnmente llamado nombre de host o hostname Pgina 10 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

servidores de nombres. Recursivamente, los servidores de esos dominios dicen qu subdominios existen y cuales son sus servidores.

Existen trece (13) servidores raz principales en toda Internet distribuidos en diferentes partes de la red. Cuyo nombre sigue la convencin: letra.root-servers.net Estos servidores reciben miles de consultas por segundo, la mayora no est compuesta de un solo nodo, en cambio, su carga est distribuida entre varios servidores que pueden estar o no en regiones geogrficas cercanas.

Letra
A B C D E F G H I J K L M

Direccin IP
198.41.0.4 192.228.79.201 192.33.4.12 128.8.10.90 192.203.230.10 192.5.5.241 192.112.36.4 128.63.2.53 192.36.148.17 192.58.128.30 193.0.14.129 199.7.83.42 202.12.27.33

Operador
VeriSign USC-ISI Cogent Communications, Inc. Universidad de Maryland NASA ISC Agencia de Defensa de los Sistemas de Informacin

Ubicacin
Dulles, VA, EEUU. Marina del Rey, CA, EEUU. Distribuido. College Park, MA, EEUU. Mountain View, CA, EEUU. Distribuido. Columbus, OH, EEUU.

Laboratorio de Investigacin Campos de prueba de de la Armada Estadounidense Aberdeen, MA, EEUU. Autonomica/NetNod VeriSign RIPE NCC ICANN Proyecto WIDE Distribuido. Distribuido. Distribuido. Distribuido. Distribuido.

Lista de servidores raz principales de Internet

Pgina 11 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Dominios nivel superior


El sistema DNS permite la resolucin en ambas direcciones. La conversin hacia adelante convierte los nombres en direcciones IP, y la resolucin reversa convierte direcciones IP en nombres. Existen muy pocos dominios de nivel superior, pero en cada nivel se despliegan muchos ms. Siguiendo esta lgica, las direcciones IP deben tener tambin un dominio de alto nivel. Este dominio se llama in-addr.arpa.

Diagrama de resolucin reversa de un nombre de host

A diferencia del FQDN, como se muestra en el grfico anterior, las direcciones IP se resuelven de izquierda a derecha, una vez que estn bajo el dominio in-addr.arpa. Cada octeto de una direccin IP reduce an ms los posibles nombres de mquinas. Esta resolucin devuelve nombres FQDN para las bsquedas hechas por direcciones IP. Los grandes proveedores de servicio, y en algunos casos las empresas, son quienes se hacen cargo de las zonas de resolucin una resolucin reversa.

Pgina 12 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Tema 2: Tipos de servidores DNS

Servidores DNS Autoritarios


Los servidores DNS autoritarios hacen visibles y accesibles los servicios de red para los usuarios. Mientras los servicios de redes IP crecen para incluir nuevos canales de comunicacin y aplicaciones, el rol del servidor autoritario se torna ms crtico.

La experiencia inicial del usuario como cliente o suscriptor de los servicios de red es usualmente a travs de los servidores autoritarios de dominios (nombres), los cuales ayudan a los clientes para recibir los servicios de una manera rpida y consistente. El rendimiento y la fiabilidad son esenciales a la experiencia del cliente usuario. En el encontramos los siguientes servidores:

Servidor DNS maestro. Los servidores DNS maestros, son los que se consideran autorizados para uno o ms dominios en particular, en estos residen los archivos de configuracin de los dominios para los cuales responden en forma autoritativa. Cuando se produzca una actualizacin de las tablas de dominio DNS se harn en este servidor.

Servidor DNS esclavo. Los servidores DNS esclavos se encargan de copiar la informacin de los servidores maestros, de manera que si el servidor maestro deja de funcionar, el servidor esclavo retoma el trabajo y puede seguir proporcionando informacin sobre las zonas.
Pgina 13 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Servidor de cache DNS


Este tipo de servidores DNS no poseen archivos de configuracin de ningn dominio, en cambio, cuando una mquina cliente realiza una peticin a un servidor DNS cache para que resuelva un nombre, este servidor comprueba su cache 7 local. Si no encuentra un registro, buscar en un servidor primario y le preguntar por la direccin de ese servidor, luego, esta respuesta del primario pasar a un cache que este mantiene. Un servidor DNS cualquiera podra actuar como cache de otros dominios sin importar si son primarios o secundarios, siempre que sea configurado para reenviar las peticiones.

7 En informtica, cache es todo duplicado del una informacin original que se almacena en un lugar de acceso ms rpido que el original. Pgina 14 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Tema 3: Proceso de resolucin de nombres de dominio y resoluciones reversas


Cuando una aplicacin (cliente) necesita resolver un FQDN enva un requerimiento al servidor de nombres configurado en el sistema, el cual es normalmente entregado por el proveedor de servicios. A partir de entonces se desencadena el proceso de resolucin del nombre:

1. El servidor de nombres inicial consulta a uno de los servidores raz (cuya direccin IP debe conocer previamente). 2. Este devuelve el nombre del servidor a quien se le ha delegado la sub-zona. 3. El servidor inicial interroga al nuevo servidor. 4. El proceso se repite nuevamente a partir del punto 2 si es que se trata de una sub-zona delegada. 5. Al obtener el nombre del servidor con autoridad sobre la zona en cuestin, el servidor inicial lo interroga. 6. El servidor resuelve el nombre correspondiente, si este existe. 7. El servidor inicial informa al cliente el nombre resuelto.

Si el proceso es con una IP, es decir, una resolucin reversa, el proceso es idntico, solo que se sigue al servidor con la raz in-addr.arpa para la direccin IP particular para la cual se desea conocer el nombre FQDN.

Ilustremos este proceso por medio del siguiente ejemplo:

Pgina 15 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Supongamos que el navegador necesita resolver el nombre blog.smaldone.com.ar. 1. El sistema tiene configurado el servidor de nombres 200.49.156.3 (perteneciente al proveedor argentino Fibertel). Por lo tanto enva a ste el requerimiento de resolver blog.smaldone.com.ar. 2. El servidor de 200.49.156.3 enva la consulta al servidor raz 198.41.0.4. 3. 198.41.0.4 le informa que el servidor con autoridad sobre el dominio de nivel superior ar es athea.ar, cuya direccin IP es 200.16.98.2. (En realidad, informa la lista de todos los servidores con tal autoridad, pero para simplificar el ejemplo tomaremos solamente uno.) 4. 200.49.156.3 enva nuevamente el requerimiento a athea.ar (el cual, recordemos, tambin tiene autoridad sobre com.ar). 5. athea.ar responde la que la autoridad sobre cuya

smaldone.com.ar

tiene

ns1.mydomain.com

direccin IP es 64.94.117.213. 6. 200.49.156.3 enva ahora la consulta a

ns1.mydomain.com. 7. ns1.mydomain.com informa que la direccin IP de blog.smaldone.com.ar es 208.97.175.41. 8. Finalmente, 200.49.156.3 devuelve este resultado a la aplicacin que origin la consulta.

Pgina 16 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Tema 4: Registros DNS

Estructura y elementos de un registro DNS


El servidor ISC BIND8 trabaja en la capa de aplicacin. Si el segmento a enviar es menor a 512 Bytes utiliza el protocolo UDP, de lo contrario utiliza el protocolo TCP.

El nmero de puerto que utiliza el protocolo DNS para comunicarse con la capa de aplicacin es el nmero 53. Todos los mensajes generados por el protocolo DNS, sean o no generados por la implementacin de referencia ISC BIND, utilizan un nico formato de cabecera, descrito a continuacin:

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | ID | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ |QR| Opcode |AA|TC|RD|RA| Z | RCODE | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | QDCOUNT | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | ANCOUNT | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+ | NSCOUNT | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
8 Internet Systems Consortium (consultado abril 2009), ISC BIND. Disponible en:

https://www.isc.org/software/bind Pgina 17 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

| ARCOUNT | +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

Cabecera del protocolo DNS

Descripcin del contenido de una cabecera DNS


ID. Es un identificador de diecisis (16) bits asignado por el programa. Este identificador se copia en la respuesta correspondiente del servidor de nombres y se puede usar para diferenciar respuestas cuando concurren mltiples consultas. QR. Bandera de un bit que indica consulta (0) o respuesta (1). Opcode. Cdigo de operacin. campo de cuatro (4) bits que especifica el tipo de consulta: 0 consulta estndar (QUERY). 1 consulta reversa (IQUERY). 2 solicitudes del estado del servidor (STATUS). - Se reservan los otros valores para su uso en el futuro.

AA. Bandera de respuesta autoritativa. Si est activa en una respuesta, especifica que el servidor de nombres que responde tiene autoridad para el nombre de dominio enviado en la consulta.

TC. Bandera de truncado. Se activa si el mensaje es ms largo de lo que permite la lnea de transmisin.

RD. Bandera de recursividad. Este bit se copia en la respuesta e indica al servidor de nombres una resolucin recursiva.

RA. Bandera de recursividad disponible. Indica si el servidor de nombres soporta resolucin recursiva.

Z. Tres (3) bits reservados para uso futuro. Deben ser cero.
Pgina 18 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

RCODE. Cdigo de respuesta de cuatro (4) bits. Los posibles valores son: 0. Ningn error. 1. Error de formato. El servidor fue incapaz de interpretar el mensaje. 2. Fallo en el servidor. El mensaje no fue procesado debido a un problema con el servidor. 3. Error en nombre. El nombre de dominio de la consulta no existe. Slo vlido si el bit AA est activo en la respuesta. 4. No implementado. El tipo solicitado de consulta no est implementado en el servidor de nombres. 5. Rechazado. El servidor rechaza responder por razones polticas. Los dems valores se reservan para su usuario en el futuro.

QDCOUNT. Un nmero entero sin signo de 16 bits que especifica el nmero de entradas en la seccin "question".

ANCOUNT. Un nmero entero sin signo de 16 bits que especifica el nmero de registros en la seccin "answer".

NSCOUNT. Un nmero entero sin signo de 16 bits que especifica el nmero de registros la seccin "authority".

ARCOUNT. Un nmero entero sin signo de 16 bits que especifica el nmero de registros en la seccin "additional records".

Tipos de registros DNS

MX (Mail exchanger). Este registro especifica el FQDN de el servidor dentro del dominio consultado que est encargado de recibir el correo electrnico para ese dominio.
Pgina 19 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

NS (Name server). Servidor de nombres. Este registro posee la informacin de los servidores de nombres autoritativos y esclavos asociados con uno o ms dominios, es crucial y se considera una prctica altamente recomendada para los servidores de nombres alrededor de la Internet tener la posibilidad de contactar a ms de un servidor de nombres para un dominio de manera de proveer tolerancia a fallos, en caso de que alguno de los primarios se encuentre inalcanzable.

LOC (Localizator). Localizacin. Este registro contiene coordenadas en latitud y longitud de la ubicacin en el planeta del servidor de nombres consultado.

PTR (Pointer). Registro apuntador. Este registro posee el registro in-addr.arpa principal del dominio, de manera de ubicar los registros reversos que estn presentes en el dominio y est comprendido por direcciones IP.

A (Address). Direccin, este registro es el que contiene la direccin IP de un nombre particular dentro del dominio. P. ej: www.dominio.com tiene un registro tipo A con la direccin: 192.204.44.12, lo que significa que a www.dominio.com le corresponde la direccin: 192.204.44.12. Tambin existe el registro AAAA para direcciones IP de 128bit del protocolo IPv6.

CNAME (Canonical Name). Nombre cannico. Es un alias para un nombre determinado, no define direcciones IP. p.ej: se puede definir: ejemplo.dominio.com como un nombre cannico para www.dominio.com, lo que quiere decir que una misma IP en un registro tipo A, pertenece tanto a: www.dominio.com como a

ejemplo.dominio.com.

TXT (Text). Registro de texto, en este campo se almacena un texto que puede ser entregado a los clientes DNS para la consulta de algn parmetro adicional. Entre sus usos ms habituales est la configuracin de SPF 9, o para guardar un registro de una llave pblica para los clientes de una red privada virtual segura que pertenece al dominio donde se encuentra configurada.

9 Wikipedia (modificada por ltima vez el 09:16, 4 mar 2009), Sender Policy Framework. Disponible en: http://es.wikipedia.org/wiki/SPF Pgina 20 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

SRV (Server). Registro de servidor, estos registros especiales son usualmente utilizados para hacer difusin de servicios provistos por uno o ms servidores dentro de la red.

SOA (Start of authority). Inicio de autoridad, este registro contiene los datos principales de cabecera de la zona, como su ltima fecha de modificacin, tiempos de vida para su refrescamiento contra otros servidores de nombre y tiempos de expiracin para clientes que hacen consultas al mismo.

Tipos de consultas DNS

Consultas iterativas.
El cliente hace una consulta al servidor DNS y este le responde con la mejor respuesta que pueda darse basada sobre su cache o en las zonas locales. Si no es posible dar una respuesta, la consulta se reenva hacia otro Servidor DNS repitindose este proceso hasta encontrar al Servidor DNS que tiene la Zona de Autoridad capaz de resolver la consulta.

Consultas recursivas
El servidor DNS asume toda la carga de proporcionar una respuesta completa para la consulta realizada por el cliente DNS. El servidor DNS desarrolla entonces consultas iterativas separadas hacia otros servidores DNS (en lugar de hacerlo el cliente DNS) para obtener la respuesta solicitada.

Pgina 21 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

UNIDAD II: SERVIDOR DNS ISC BIND9 Tema 1: ISC BIND


BIND, como ya es sabido, significa: Berkeley Internet Name Domain, es la implementacin del estndar DNS de uso ms habitual en la Internet, especialmente en los sistemas tipo Unix, en los cuales es un estndar de facto. Es patrocinado y desarrollado por la Internet Systems Consortium 10. BIND fue creado originalmente por cuatro estudiantes de grado en la universidad de california en Berkeley y liberado por primera vez en el sistema operativo 4.3BSD. Paul Vixie comenz a mantenerlo en 1988 mientras trabajaba para la Digital Equipment Corporation.

La ltima versin del popular sistema de resolucin de nombres, es una reescritura total del cdigo de la aplicacin, principalmente para hacer frente a necesidades de rendimiento, seguridad, facilidad de configuracin y operacin, adems de incluir las ltimas caractersticas del estndar que rige al protocolo DNS.

Este software contiene tres partes importantes:

Un servidor de resolucin de nombres (DNS): es un programa, cuyo nombre es: named, y significa demonio de nombres, su funcin es, principalmente, contestar a las preguntas sobre nombres de dominios recibidas por red, siguiendo para ello, los estndares de Internet acerca de DNS.

Una librera de resolucin de nombres: cuya funcin es enviar las preguntas recibidas por named a los servidores de nombres, inclusive cuando el dominio por el que se pregunta no es un dominio manejado directamente por la instalacin actual. Una ventaja de esta separacin, es que cualquier programador que deba preocuparse por escribir funciones que se encarguen de la resolucin de nombres

10 Internet Systems Consortium (consultado abril 2009), Internet Systems Consortium. Disponible en: http://www.isc.org Pgina 22 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

en su programa, que podra ser, por ejemplo, un navegador web, slo necesita integrar su programa a esta librera, la cual le ahorrar la necesidad de escribir funciones de resolucin de nombres y cometer posibles errores desvindose del estndar DNS que est implementado en la librera que provee BIND.

Herramientas para la prueba de los servidores: Permiten al usuario hacer pruebas extensivas de funcionamiento de los servicios DNS de BIND.

Pgina 23 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Tema 2: Instalacin de BIND9 sobre Canaima GNU/Linux


La instalacin de un servidor DNS es sencilla. Est a cargo del paquete bind9 y a continuacin veremos como realizarla:

aptitude install bind9 dnsutils

Archivos de registro bsico


Los siguientes archivos son parte bsica de cualquier instalacin BIND, en ellos se mantiene informacin bsica de operacin local para el servidor de nombres, como norma comn de la configuracin de BIND, todos sus archivos de configuracin estn bajo el directorio /etc/bind. /etc/bind/db.local. Datos de resolucin directa para interfaz local "loopback". /etc/bind/db.127. Datos de resolucin reversa para interfaz local "loopback". /etc/bind/db.0. Registros inversos para zona de

difusin, segn lo requerido por las normas. /etc/bind/db.255. Registros inversos para zona de difusin, segn lo requerido por las normas. /etc/bind/db.root. nombres raz de Informacin de servidores mximas de en

Internet,

autoridades

servicio de nombres; estos servidores son la referencia esencial para iniciar la actividad del servidor DNS local en bsqueda de nombres por Internet.

Pgina 24 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Elementos de configuracin del servicio


Los elementos de configuracin que encontramos en el proceso de instalacin del servicio son:

/etc/bind.

Archivos

de

configuracin,

archivos

de

nmeros IP y nombres de mquinas de la zona local atendida por esta mquina. /var/cache/bind. Directorio de trabajo donde bind

guarda la informacin sobre nmeros IP y nombres de mquinas que va recogiendo en sus actividades de bsqueda consultando otras mquinas DNS de la red.

Parmetros globales de operacin del servicio


A continuacin se presentan los archivos con los parmetros globales de operacin del servicio: /etc/bind/named.conf. Archivo de configuracin para el servidor DNS local. Aqu figuran todos los nombres de archivos locales consultados, direcciones de servidores DNS prximos y ajustes de operacin para el DNS. /etc/bind/named.conf.options. Opciones genricas. /etc/bind/named.conf.local. Especificacin de

configuracin para este servidor DNS. /etc/bind/rndc.key. Llave cifrada para la comunicacin con el servidor de nombres en comunicaciones TCP con

Pgina 25 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

autenticacin, tambin es til para la comunicacin con el servidor de protocolo de configuracin de host dinmico: DHCP11 /etc/bind/zones.rfc1918. especificadas en el RFC1918
12

Direcciones

IP

vlidas

para disear redes privadas

o intranets y recomendadas cuando se experimenta con redes. Estas son: 10. - 172.16 172.31 y 192.168 /etc/bind/db.empty. Archivo vaco de ejemplo.

11 Fbrega,

Pedro

Pablo

(consultado

mayo

2009),

DHCP

Gua

bsica.

Disponible

en:

http://dns.bdat.net/dhcp/ 12 Rekhter, Y., Moskowitz B.(Febrero 1996), Asignacin de direcciones para Internet privadas, Network Working Group. Disponible en: http://www.rfc-es.org/rfc/rfc1918-es.txt Pgina 26 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Tema 3: Puesta en funcionamiento de una infraestructura DNS


El primer paso a seguir para configurar un servidor DNS implica la edicin de los archivos /etc/bind/named.conf, /etc/bind/named.conf.options y /etc/bind/named.conf.local, respectivamente. El primero de estos archivos se considera el archivo maestro y segn el esquema de configuracin, el mismo no debera (en la mayora de los casos) ser modificado ya que las configuraciones adicionales se pueden realizar en named.conf.local y named.conf.options.

Despliegue de un servidor de DNS cache


Por defecto al instalar BIND, este actuar como un servidor cache. Recordemos que la funcin de un servidor cache es consultar a otros servidores DNS, por lo que las respuestas de esas consultas realizadas por los clientes, se almacenan en el cache del servidor local. Veremos a continuacin los pasos para configurar los clientes y el servidor para realizar las pruebas del funcionamiento del servidor DNS cache.

Configuracin de DNS cache

Configuracin del Cliente. Es necesario editar el archivo /etc/resolv.conf de la siguiente forma: editor /etc/resolv.conf search pruebadns.org cantv.net nameserver (Servidor DNS LOCAL) nameserver (Direccin IP DNS1) nameserver (Direccin IP DNS2)

Configuracin

del

servidor:

en

el

servidor

editaremos

el

archivo

Pgina 27 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

/etc/bind/named.conf.options y localizaremos la lnea que tiene comentados los

forwarders13. Aqu asignaremos los DNS externos a los cuales podrn consultar:

editor /etc/bind/named.conf.options forwarders { 200.44.32.12; };

Nota: En este caso se coloco en forwarders la direccin IP del servidor DNS de CANTV, lgicamente esto puede variar segn su proveedor de servicios de Internet.

Luego de haber editado los archivos correspondientes en el cliente y en el servidor, reiniciaremos los servicios:

En el cliente:
invoke-rc.d networking restart

En el servidor:
invoke-rc.d bind9 restart

Pruebas de funcionamiento
Para realizar las pruebas de funcionamiento utilizaremos el comando dig 14:
13 Forwarders: (castellano: reenviadores), para denotar los servidores DNS que el servidor DNS local consultar para obtener la informacin de nombres y direcciones IP de dominios que no tiene configurados localmente. 14 Hernndez, Andrs (consultado abril 2009), DIG. Disponible en: http://www.scribd.com/doc/7549379/IMSIPgina 28 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

dig www.yahoo.com

Buscaremos una lnea casi al final de la respuesta de la consulta realizada: ;; Query time: 97 msec ;;SERVER: 190.75.126.72#53(190.75.126.72) ;; WHEN: Sat May 19 17:06:08 2007 ;; MSG SIZE rcvd: 403

Vemos que la consulta anterior ha tardado 97 milisegundos. Ahora, si realizamos la consulta nuevamente tendremos un cambio: ;; Query time: 9 msec ;;SERVER: 190.75.126.72#53(190.75.126.72) ;; WHEN: Sat May 19 17:09:26 2007 ;; MSG SIZE rcvd: 403

La consulta ahora ha tardado tan solo 9 milisegundos. Por qu?, la respuesta es sencilla: anteriormente hemos consultado www.yahoo.com; ya que nuestro servidor DNS no posea la informacin, debi consultar a alguno de sus DNS reenviadores, que a su vez, debieron consultar a otros servidores DNS, sin embargo, al realizar la segunda vez esta consulta, no se realizo una consulta a un servidor DNS externo, ya que la informacin de la direccin para www.yahoo.com entr en el cache de nuestro servidor DNS local, lo que optimiza las consultas a nombres de maquinas externas a nuestra red local. Tambin puede hacerse una
U02-Anexo-Dig Pgina 29 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

prueba ad-hoc al intentar abrir una pgina web ms de una vez y comparar los tiempos de respuesta para la resolucin de nombres. Nota: No olvidemos revisar constantemente los registros

/var/log/messages y /var/log/daemon.log, si deseamos obtener mayor informacin de las actividades de los servicios asociados con BIND.

Despliegue de un servidor DNS maestro autoritario


Declaracin de la zona DNS directa y la zona DNS reversa
Ahora configuraremos un dominio simple. Para ello solo debemos crear dos archivos nuevos. Una zona directa y una zona reversa para la resolucin de nombres a IP y viceversa. Agregaremos esta informacin sobre nuestro dominio al archivo /etc/bind/named.conf.local: editor named.conf.local //resolucin directa. zone "dominio.com" { type master; notify no; file "/etc/bind/db.dominio"; }; // resolucin reversa. zone "168.192.in-addr.arpa" { type master; file "/etc/bind/db.168.192";

Pgina 30 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

};

La orden zone especifica la zona que estamos configurando, si es reversa, es comn que el nombre posea el rango de direcciones IP escritas de derecha a izquierda en el nombre del archivo, de manera de ubicar la zona con facilidad al explorar el directorio.

El parmetro notify, indica si debemos notificar cambios en la zona a algn otro servidor, en este ejemplo, no se est notificando a ningn otro servidor.

El parmetro file, indica el nombre de archivo de donde se leer la zona, o archivo de zona.

El parmetro type, indica si el servidor DNS configurado es maestro o esclavo, si es maestro la orden type es precedida por master, en caso contrario, es precedida por la palabra slave.

Archivos de zona DNS

La informacin de cada zona de autoridad es almacenada de forma local en un archivo en el servidor DNS. Este archivo puede contener varios tipos de registros, como se especific anteriormente, aunque, obligatoriamente deben poseer el registro de tipo SOA, que normalmente tambin es conocida como cabecera SOA. Estos archivos de zona tienen dos partes importantes, la cabecera SOA, que contiene informacin acerca de la zona especificada presente en el archivo y el contenido en s, que puede estar compuesto por registros de diferentes tipos para el dominio o subdominio. El archivo de zona es entonces creado segn el nombre declarado en named.conf.local a travs de la palabra reservada file. Siguiendo nuestro ejemplo, el archivo en este caso es db.dominio

Pgina 31 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Ejemplo de un registro o cabecera SOA en un archivo de zona

$TTL 86400 @ IN SOA

;Tiempo de vida ns.dominio.com. root.dominio.com. ( 1 6048000 86400 2419200 86400 ); ;Serial ;Tiempo de refrescamiento ;Tiempo de reintento ;Expiracin ;Tiempo de vida para el cache negativo

Nota: Los archivos de zona, en todo su contenido (cabecera SOA y registros) estn constituidos por informacin en texto plano separada por tabulaciones, que deben ser respetadas ya que es la forma correcta en que BIND las interpreta al leerlas.

El registro de recursos SOA o cabecera SOA, contiene la siguiente informacin:

Tiempo de vida mnimo, o TTL15. El valor del tiempo de vida mnimo se aplica a todos los registros de diferentes tipos presentes en el contenido del archivo de zona. Este valor se proporciona en respuestas de consulta para informar a otros servidores cunto deben mantener los datos en cache.

El nombre del computador en el que se cre el archivo zona de origen. Serial: el nmero de revisin de este archivo de zona. Se debe incrementar este nmero cada vez que cambie el archivo de zona. Es importante incrementar este

15 Tiempo de vida mnimo, por sus siglas en ingls: time to live Pgina 32 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

valor cada vez que se realiza un cambio, para que los cambios se distribuyan a los servidores DNS esclavos o a los clientes (que podran ser otros servidores DNS) y estos puedan saber que la informacin fue cambiada.

Tiempo de refrescamiento: usando caduca el tiempo de refrescamiento, un servidor de DNS esclavo solicitar una copia del registro SOA actual desde el maestro. El servidor maestro DNS cumple con esta solicitud, entonces el servidor de DNS esclavo compara el nmero de serie del registro SOA actual del servidor DNS maestro y el nmero de serie en su propio registro SOA. Si estos difieren, el servidor de DNS esclavo solicitar una transferencia de zona desde el servidor DNS maestro.

Tiempo

de reintento: tiempo de espera de un servidor DNS esclavo

antes de

intentar una transferencia de zona con errores. Normalmente, el tiempo de reintento es menor que el tiempo de refrescamiento.

Tiempo de expiracin: tiempo durante el cual un servidor esclavo seguir intentando completar una transferencia de zona. Si se agota este tiempo antes de una transferencia de zona correcta, el servidor esclavo expirar automticamente su archivo de zona. Lo que significa que detendr la respuesta de las consultas, ya que considera sus datos muy poco confiables, por su antigedad, como para ser vlidos.

Tiempo de vida para el cache negativo: el cache negativo es aquel cache en que se almacenan entradas de DNS que se saben no resolvibles, es decir, no existen respuestas vlidas, para el servidor que consulta acerca de una entrada en particular, como de igual manera, el servidor podra estar resolviendo una diferente cantidad de dominios, que muy probalmente sean ajenos a sus zonas, tambin se les aplica un tiempo de vida mximo, ya que, de existir la informacin actualizada y vlida, querremos proveerla a los clientes en un futuro cercano, que naturalmente ser refrescada cuando el tiempo de vida mximo para el cache negativo cese.

Pgina 33 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Un ejemplo de la cabecera SOA puede extraerse del archivo /etc/bind/db.empty , tambin puede, opcionalmente, iniciar la configuracin de este ejemplo copiando db.empty con el nombre de archivo de zona especificado con anterioridad en: /etc/bind/named.conf.local

cp /etc/bind/db.empty /etc/bind/db.dominio

Ejemplo del contenido de un archivo de zona

IN

NS

dns1

;Registro NS

dns1 siga licitaciones

IN IN IN

A A CNAME

192.168.8.7 192.168.8.9 ;Registro A (direccin IP) siga ;Registro CNAME (alias)

Los registros de tipo NS usualmente estn de primero luego de la cabecera SOA del archivo de zona, ya que apuntan al nombre del servidor de nombres principal del dominio para la zona que se est describiendo. Por otro lado, el registro NS debe estar acompaado de un registro tipo A que mencione la direccin IP del servidor de nombres. A esta combinacin se le llama: registro GLUE16, ya que pega, si se quiere, ambos registros para su correcto funcionamiento, este registro glue, es una prctica bien aceptada en el estndar de operacin de DNS. Como se mencion anteriormente, el archivo de zona en este ejemplo se llama: /etc/bind/db.dominio
16 Pegamento, en ingls Pgina 34 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Los registros siguientes a la combinacin antes descrita, suelen ser registros tipo A, con direcciones IP especficas de los equipos o hosts presentes en la red. No es inusual conseguir registros con definiciones de alias (registros CNAME) para un mismo host, ya que usualmente se desea conseguir al mismo equipo an con nombres diferentes. Esto es especialmente comn en los subdominios.

En el caso de la resolucin reversa, se repite el proceso anterior, as, creando el archivo maestro de la zona para la resolucin reversa.

Ejemplo del contenido de un archivo de zona reversa

$ORIGIN . 168.192.in-addr.arpa 1 62 3600 70 38400 ); $ORIGIN 168.192.in-addr.arpa. IN 9.8 7.8 IN IN NS PTR PTR dns1 dns1.dominio.com. siga.dominio.com. IN SOA dominio.com. root.dominio.com. (

Pgina 35 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Podr observarse como se coloca el fragmento de octetos faltantes en el archivo, de manera que al completar con la zona reversa 168.192 se completen los cuatro octetos de la direccin IP en forma consistente para que la resolucin de IP a nombre sea exitosa. Esta misma informacin, podramos volcarla en el archivo de nuestro ejemplo /etc/bind/db.168.192, adicionalmente, la palabra clave $ORIGIN junto con la especificacin de la parte de la zona, es necesaria, para especificar de forma correcta en que parte de la zona se debe comenzar la bsqueda inversa de la IP que deseamos resolver. Cuando la palabra clave $ORIGIN le precede un . significa que estamos especificando que estamos en la parte ms superior de la zona.

Pruebas de funcionalidad

Antes de realizar las pruebas, debemos configurar nuestro sistema de ejemplo para que busque prioritariamente a nuestro servidor de nombres, esto se hace, editando el archivo /etc/resolv.conf y colocando en l, la siguiente informacin: editor /etc/resolv.conf search dominio.com (dominio de ejemplo) nameserver configurado) nameserver (Direccin IP DNS Adicional, si aplica) 127.0.0.1 (DNS Local

Para realizar entonces las pruebas de funcionamiento, arrancaremos bind e inmediatamente, chequearemos los registros utilizando el comando tail 17:
17 Monkey (consultado abril 2009), tail display the last part of a file. Disponible en:

Pgina 36 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

invoke-rc.d bind9 restart tail -f /var/log/syslog

Tambin, podemos probar haciendo ping a los equipos,pero utilizando nombres, lo cual nos mostrar o resolver, la direccin IP del mismo:

ping siga PING siga.dominio.com (192.168.8.9) 56(84)

bytes of data. 64 ms 64 ms ......... bytes from siga.dominio.com bytes from siga.dominio.com

(192.168.8.9): icmp_seq=1 ttl=64 time=0.084

(192.168.8.9): icmp_seq=2 ttl=64 time=0.060

O tambin, inclusive, mediante el uso de herramientas como los comandos dig, que ya mencionamos previamente y adicionalmente, el comando host18:

dig -x (ip-del-servidor) host (nombre de mquina)


http://www.monkey.org/cgi-bin/man2html?tail 18 Swoolley (consultado abril 2009), host(1,5) DNS lookup utility. Disponible en: http://swoolley.org/man.cgi/host Pgina 37 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Despliegue del servidor DNS esclavo autoritario


Ya con las configuraciones correctas en nuestras zonas, en el servidor maestro, puede que necesitemos al menos un servidor esclavo en la red local. Al hacerlo, se instala BIND en otro computador y se le agrega lo siguiente en el archivo: /etc/bind/named.conf.local zone dominio.com { type slave; file /etc/bind/db.dominio; masters { 192.168.8.7; }; allow-notify { 192.168.8.7; }; }; zone "168.168.192.in-addr.arpa" { type slave; file "/etc/bind/db.8.168.192"; masters { 192.168.8.7; }; allow-notify { 192.168.8.7; }; };

No es necesaria la creacin o copia de los archivos de zona db.dominio y db.8.168.192, ya que el servidor esclavo se encargar exclusivamente de crearlos, borrarlos y actualizarlos dependiendo de los cambios generados en el servidor DNS maestro. Si el servidor DNS maestro llegase a fallar, el servidor esclavo podr hacer la resolucin de nombres para todos los hosts del dominio mientras que se mantenga por debajo del parmetro SOA de refrescamiento, si el tiempo de refrescamiento llega y se
Pgina 38 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

superan tambin los tiempos de expiracin, se deber intervenir en el servidor DNS maestro para devolverlo a funcionamiento, de manera que otorgue datos actualizados al servidor DNS esclavo.

Despliegue de subdominios DNS


Aunque las zonas regulares de cada servidor DNS maestro pueden tener tantos subdominios como se desee, es posible hacer que un DNS esclavo realice la resolucin de nombres de un subdominio cualquiera del servidor DNS maestro, para esto, es necesario defiinir en el archivo /etc/bind/named.conf.local, una zona adicional que contendr los registros SOA y dems para ese subdominio, p.ej: zone redes.dominio.com { type master; file /etc/bind/db.redes.dominio; masters { 192.168.8.7; }; allow-notify { 192.168.8.7; }; };

Cabe aclarar, que los registros aqu configurados, no expirarn despus de un tiempo si, por ejemplo, el servidor de dominio maestro llegase a fallar, ya que es el servidor DNS esclavo y slo l, quien posee la zona.

Pgina 39 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Ejercicio prctico del curso


Su unidad productiva es seleccionada para realizar la instalacin de un servidor DNS cache para una red pequea en la villa olmpica del estado Carabobo, ya que su enlace hacia la internet es deficiente y desean reducir los tiempos de espera para la resolucin de nombres. Asimismo, poseen un servidor web donde alojan tres (3) diferentes aplicaciones web: una de administracin de los recursos de la villa, otra para el seguimiento y registro del hospedaje de atletas y finalmente, la que utilizan para llevar el control de el rendimiento de los atletas en sus prcticas en las instalaciones de la villa olmpica; se desea acceder por nombre ya que tienen diferentes hosts virtuales configurados en el servidor web para la separacin de cada aplicacin.

Premisas del ejercicio: 1.La direccin IP del servidor DNS es 172.31.1.1 y su nombre es dnsolimpica 2.La direccin IP del servidor web es 172.31.1.120 y su nombre es olimpicaweb 3.El dominio calificado de la red es villaolimpicacarabobo.org.ve 4.Los servidores DNS externos entregados por el proveedor de servicios de internet son: 200.84.115.20 y 200.84.115.22 5.Los nombres por los que se debe todas acceder ellas a las aplicaciones en web son: y bajo

administracion.villaolimpicacarabobo.org.ve,registro.villaolimpicacarabobo.org.ve atletas.villaolimpicacarabobo.org.ve., en el mismo. residen olimpicaweb

diferentes hosts virtuales que ya han sido pre-configurados en el servicio web instalado

Pgina 40 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Solucin del ejercicio

Se instala el servicio de DNS y las utilidades

aptitude install bind9 bind9utils #

Editaremos

el

archivo

/etc/bind/named.conf.local

para

definir la zona local, all agregaremos una definicin para la zona villaolimpicacarabobo.org.ve:
zone "villaolimpicacarabobo.org.ve" { type master; file "/etc/bind/villaolimpica.hosts"; }; #

Creamos

el

archivo esto,

/etc/bind/villaolimpica.hosts,

agregndole una cabecera comn de registro SOA que luego modificaremos, para podemos utilizar el archivo
db.empty que est ubicado en el directorio /etc/bind cp /etc/bind/db.empty /etc/bind/villaolimpica.hosts editor /etc/bind/villaolimpica.hosts

Cambiaremos el registro SOA por defecto que hemos creado

al copiar el ejemplo para ajustarse a los parmetros que deseamos,a continuacin un ejemplo de una configuracin
Pgina 41 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

ideal modificada para ajustarse a este ejercicio:


villaolimpicacarabobo.org.ve. root.localhost. ( 1190304042 60 3600 70 38400 ) IN IN NS A dnsolimpica 172.31.1.1 IN SOA dnsolimpica.

# Aqu puede observarse como se crea el registro GLUE

para la zona, al especificar que el DNS es dnsolimpica seguido de un registro tipo A con su direccin IP, a continuacin luego del ltimo registro tipo A agregaremos los registros necesarios para el servidor web y los dems nombres por los cuales tambin ser conocido:
olimpicaweb administracion registro atletas IN IN IN IN A 172.31.1.120

CNAME olimpicaweb CNAME olimpicaweb CNAME olimpicaweb

# Ya hemos configurado la IP principal de olimpicaweb y definido sus aliases (CNAME), ahora debemos configurar las opciones del servidor de nombres para la resolucin de nombres que no pertenecen a la red de la villa olmpica,
Pgina 42 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

para

esto,

es

necesaria

la

edicin

del

archivo

/etc/bind/named.conf.options editor /etc/bind/named.conf.options

La

parte de

relevante los para este

de

esta servidor cuenta DNS de

configuracin, que resolvern que las nos

es

la

definicin desconocidos

forwarders en

nombres IP de

encontramos proveedor

configurando, entregadas

tomando

direcciones

como

servidores

nuestro

servicio de internet, las configuramos en este archivo:


forwarders { 200.84.115.20; 200.84.115.22; }; #

Al

tener

estos

configurados,

efectivamente

estaremos

definiendo un cache DNS para cualquier equipo que no se encuentre en las zonas locales de nuestro servidor DNS # Por ltimo, para tanto que los clientes como puedan sus resolver es

apropiadamente

olimpicaweb

aliases,

necesario editar su configuracin DNS para que apunte al nuevo servidor DNS, a travs del archivo /etc/resolv.conf
(en el equipo cliente) editor /etc/resolv.conf
Pgina 43 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

search villaolimpicacarabobo.org.ve nameserver 172.31.1.1 # Ahora, podr accederse a olimpicaweb tanto por su nombre

original

como

por

administracion,

registro

atletas,

adems, el cliente aprovechar la cache de consultas a cualquier otro dominio que ha sido delegada al servidor DNS que acabamos de configurar.

Pgina 44 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

GLOSARIO DE TRMINOS
BIND (Berkeley Internet Name Domain, anteriormente: Berkeley Internet Name Daemon): es la implementacin del estndar DNS de uso ms habitual en la Internet, especialmente en los sistemas tipo Unix, en los cuales es un estndar de facto.

BIND9: es una nueva versin de BIND. Fue escrita desde cero en parte para superar las dificultades arquitectnicas presentes anteriormente para auditar el cdigo en las primeras versiones de BIND, y tambin para incorporar DNSSEC. BIND 9 incluye entre otras caractersticas importantes: TSIG, notificacin DNS, nsupdate, IPv6, rndc flush, vistas, procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad. Es comnmente usado en sistemas GNU/Linux.

Cache: es todo duplicado del una informacin original que se almacena en un lugar de acceso ms rpido que el original.

Canaima: es una distribucin GNU/Linux Venezolana basada en Debian que surge como una solucin para cubrir las necesidades ofimticas de los usuarios finales de la Administracin Pblica Nacional (APN) y para dar cumplimiento al decreto presidencial Nro. 3.390 sobre el uso de Tecnologas Libres.

Cliente DNS: son programas que se ejecutan en la computadora del usuario y que generan peticiones DNS de resolucin de nombres a un servidor DNS.

Datagramas: es un fragmento de paquete que es enviado con la suficiente informacin como para que la red pueda simplemente encaminar el fragmento hacia el equipo terminal de datos receptor, de manera independiente a los fragmentos restantes.

DHCP (Dynamic Host Configuration Protocol / Protocolo de Configuracin Dinmica de Servidores): permite asignar IPs de forma dinmica, e indica servidores de nombre de dominios y gateways desde un servidor a todos los clientes que se la pidan.

Pgina 45 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

Direcciones IP: es un nmero que identifica de manera lgica y jerrquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), que corresponde al nivel de red o nivel 3 del modelo de referencia OSI.

Distribucin:

es

una

recopilacin

de

programas

ficheros

(paquetes),

organizados y preparados para su instalacin en las diferentes arquitecturas de hardware disponibles en el mercado, las cuales se pueden obtener a travs de Internet, o adquiriendo los CD de las mismas.

DNS (Domain Name System): es un sistema de nombres que permite traducir de nombres de dominio a direcciones IP y viceversa.

DNSO (Domain Name Supporting Organization): es un cuerpo asesor que aconseja el ICANN el Consejo de Administracin en la poltica referente al Sistema de Nombre de dominio.

DNSSEC (DNS Security Extensions): es una suite de datos especficos IETF para asegurar ciertas clases de informacin proporcionada por el Sistema de Nombre de Dominio (DNS), como cuando es usado sobre el Protocolo de Internet (IP). Es un juego de extensiones a DNS que proveen a clientes DNS.

Dominio: nombre bsico de un conjunto de dispositivos y computadores dentro de una red, los equipos o dispositivos que lo componen cada uno posee un nombre perteneciente a ese dominio, que lo hace ms fcil de recordar en vez de utilizar direcciones numricas para acceder a los mismos.

FQDN (Fully Qualified Domain Name): es un nombre que incluye el nombre de la computadora y el nombre del dominio asociado a ese equipo. La longitud mxima permitida para un FQDN es 255 caracteres (bytes), con una restriccin adicional a 63 bytes por etiqueta dentro de un nombre de dominio. Las etiquetas FQDN se restringen a un juego de caracteres limitado: letras A-Z de ASCII, los dgitos, y el carcter -, y no distinguen maysculas de minsculas.

GPL (General Public License / Licencia Pblica General): la Licencia Pblica


Pgina 46 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

General de GNU o ms conocida por su nombre en ingls GNU General Public License o simplemente su acrnimo del ingls GNU GPL, es una licencia creada por la Free Software Foundation a mediados de los 80, y est orientada principalmente a proteger la libre distribucin, modificacin y uso de software.

HTML (HyperText Markup Language / Lenguaje de Marcas de Hipertexto): es el lenguaje de marcado predominante para la construccin de pginas web. Es usado para describir la estructura y el contenido en forma de texto, as como para complementar el texto con objetos tales como imgenes.

IP (Internet Protocol): el protocolo de comunicaciones IP permite que redes grandes y geogrficamente diversas de computadoras, se comuniquen con otras rpida y econmicamente a partir de una variedad de eslabones fsicos.

IPv4: es la versin 4 del Protocolo IP (Internet Protocol). Esta fue la primera versin del protocolo que se implement extensamente, y forma la base de Internet. IPv4 usa direcciones de 32 bits, limitndola a 2 32 = 4.294.967.296 direcciones nicas, muchas de las cuales estn dedicadas a redes locales (LANs).

IPv6: es una nueva versin de IP (Internet Protocol) y est destinado a sustituir a IPv4, cuyo lmite en el nmero de direcciones de red admisibles est empezando a restringir el crecimiento de Internet y su uso; pero el nuevo estndar mejorar el servicio globalmente; por ejemplo, proporcionar a futuras celdas telefnicas y dispositivos mviles con sus direcciones propias y permanentes.

ISC BIND: el nombre completo original del servidor BIND9 desarrollado por la Internet Systems Consortium.

LAN (Local rea Network): es la interconexin de varias computadoras y perifricos. Su extensin est limitada fsicamente a un edificio o a un entorno de hasta 200 metros; su aplicacin ms extendida es la interconexin de computadoras personales y estaciones de trabajo en oficinas, fbricas, etc., para compartir recursos e intercambiar datos y aplicaciones.

Nombres de dominio: son direcciones nemotcnicas o alias que identifican un


Pgina 47 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

sitio de Internet.

Nsupdate: es una red de mantenimiento multiuso usada por administradores de redes para pedir el nombre del servidor de una zona DNS y actualizar su data. El nombre del servidor puede ser local o a un dominio o con una autenticacin apropiada, y un permiso dado por dnssec un servidor de Internet.

OSI (Open Source Initiative): es una organizacin dedicada a la promocin del cdigo abierto. Fue fundada en febrero de 1998 por Bruce Perens y Eric S. Raymond.

Servidor DNS: sistema que, al recibir una peticin para resolver un nombre o una direccin, consulta su base de datos interna de equipos conocidos u otro sistema DNS para entregar bien sea la direccin IP de un dominio, o, si se le provee la direccin IP conocida, este devuelve el nombre de equipo y dominio al que pertenece.

Servidores DNS autoritarios: hacen visibles y accesibles los servicios de red para los usuarios.

SGML (Standard Generalized Markup Language / Estndar de Lenguaje de Marcado Generalizado): consiste en un sistema para la organizacin y etiquetado de documentos. El lenguaje SGML sirve para especificar las reglas de etiquetado de documentos y no impone en s ningn conjunto de etiquetas en especial.

Sistema Operativo: es un software que administra y controla las actividades, y recursos de la computadora. Comprende todos aquellos paquetes que le permiten al computador funcionar como un conjunto de herramientas e intrpretes de comandos.

Subdominio: es un subgrupo o subclasificacin del nombre de dominio, el cual es definido con fines administrativos u organizativos, que podra considerarse como un dominio de segundo nivel. Normalmente es una serie de caracteres o palabra

Pgina 48 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

que se escriben antes del dominio. En Internet se podra decir que el subdominio se utiliza para referirse a una direccin web, que trabaja como un anexo (o sitio relacionado) de un dominio principal.

SOA (Start of Authority / Inicio de la Autoridad): Este registro designa el inicio o autoridad de la zona, contiene la informacin bsica de la zona como: nombre del servidor de nombres principal, nmero de serial, intervalo de refrescamiento, intervalo de reintento, tiempo de expiracin y el tiempo mnimo de vida (TTL).

SOAP (Simple Object Access Protocol): es un protocolo estndar que define cmo dos objetos en diferentes procesos pueden comunicarse por medio de intercambio de datos XML.

SOAPHeader (Cabeceras SOAP): es una clase especial de bajo nivel para pasar o devolver cabeceras SOAP. Es simplemente un contenedor de datos y no tiene mtodos especiales aparte de su constructor.

TCP/IP (Transfer Control Protocol / Internet Protocol): conjunto de protocolos definidos por catedrticos en el proyecto ARPANet del Departamento de Defensa de Estados Unidos, para la red universitaria Internet en los aos setenta. Esta familia de protocolos es un estndar para el intercambio de comunicaciones entre computadores.

TLD (Top Level Domain): son los nombres en lo alto de la jerarqua de los DNS. Aparecen en los nombres de dominio, como "net" en "www.example.net". Los administradores del "dominio de la raz" o "zona de la raz" ("root domain" or "root zone") controlan lo que los TLDs sean reconocidos por los DNS. Los TLDs comnmente usados incluyen a .com, .net, .edu, .jp, .de, etc.

TSIG (Transaction SIGnature): usa llaves o claves secretas compartidas y germinador de una sola va para proveer un significado seguro criptograficado para identificar cada punto final de una conexin as como el estar permitido a hacer o responder a la actualizacin DNS .

Pgina 49 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

TTL (Time To Live): es el tiempo que un paquete permanece activo en una red. Hay un numero TTL en cada header de paquete IP, y a medida que un paquete pasa por cada router o enrutador, lo reduce por 1 este nmero. Si el paquete llega a 0, los routers o enrutadores no seguirn reenviando el paquete.

UDP (User Datagram Protocol): es un protocolo del nivel de transporte basado en el intercambio de datagramas. Permite el envo de datagramas a travs de la red, sin que se haya establecido previamente una conexin; ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.

UNIX: es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969 por un grupo de empleados de los laboratorios Bell de AT&T.

XML (Extensible Markup Language / Lenguaje de Marcas Ampliable): es un metalenguaje extensible de etiquetas desarrollado por el Word Wide Web Consortium (W3C). Consiste en una simplificacin y adaptacin del SGML y permite definir la gramtica de lenguajes especficos (de la misma manera que HTML es a su vez un lenguaje definido por SGML). Por lo tanto, XML no es realmente un lenguaje en particular, sino una manera de definir lenguajes para diferentes necesidades.

Zonas DNS: permiten al servidor maestro o primario cargar la informacin de una zona.

Pgina 50 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

REFERENCIAS
Fbrega,

Pedro Pablo (consultado mayo 2009), DHCP Gua bsica. Disponible en:

http://dns.bdat.net/dhcp/
Hernndez,

Andrs

(consultado

abril

2009),

DIG.

Disponible

en:

http://www.scribd.com/doc/7549379/IMSI-U02-Anexo-Dig
Internet

Systems Consortium (consultado abril 2009), ISC BIND. Disponible en:

https://www.isc.org/software/bindWikipedia (modificada por ltima vez el 09:16, 4 mar


2009), Sender Policy Framework. Disponible en: http://es.wikipedia.org/wiki/SPF
Internet

Systems Consortium (consultado abril 2009), Internet Systems Consortium.

Disponible en: http://www.isc.org


Monkey

(consultado abril 2009), tail - display the last part of a file. Disponible en:

http://www.monkey.org/cgi-bin/man2html?tail
Resolv.conf(5)

- Linux man page (consultado mayo 2009), resolv.conf - resolver

configuration file. Disponible en: http://linux.die.net/man/5/resolv.conf


Rekhter,

Y ., Moskowitz B.(Febrero 1996), Asignacin de direcciones para Internet

privadas, Network Working Group. Disponible en: http://www.rfc-es.org/rfc/rfc1918-es.txt


Swoolley

(consultado abril 2009), host(1,5) - DNS lookup utility. Disponible en:

http://swoolley.org/man.cgi/host

Pgina 51 de 52
Av. Andrs Bello, Torre BFC, Piso 16, Municipio Libertador, Caracas Venezuela Master: (+58 212) 597.45.90 www.cnti.gob.ve

También podría gustarte