Indice Configuracin Archivos Ubuntu Server Maestro ....................................................................................... 2 Configuracin Archivos Ubuntu Server Esclavo ........................................................................................ 5 Proceso de transferencias de zona seguras con TSIG ............................................................................. 6 Configuracin definitiva named.conf.local en servidor maestro y servidor esclavo .................................. 8 Comprobacin de las transferencias de zona seguras ............................................................................. 9
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Configuracin Archivos Ubuntu Server Maestro
Primero antes que nada tenemos que instalar el servicio bind9 que va a ser el servicio de resolucin de nombres e IPs en Ubuntu. Lo hacemos mediante la orden: apt-get install bind9. Ahora tenemos que ir al archivo named.conf.options situado en el servidor primario y deberemos de configurarlo de la siguiente forma:
Despus el archivo named.conf.local en el cual vamos a declarar las zonas que vamos a declarar para las futuras de transferencias de zona al servidor esclavo.
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Aqu como bien refleja la imagen quedan las zonas directas e inversas del servidor maestro que van a ser transferidas posteriormente con seguridad al servidor secundario. La opcin del key primario.midominio.local la veremos ms adelante.
Tendremos tambin que configurar los archivos de zona tanto directa como inversa del servidor maestro. Son archivos que ya he usado anteriormente en la prctica 2 de DNS pero solamente lo que he hecho es adaptarlos a los requisitos de esta prctica, he puesto un host, un alias y su respectivo puntero en estos dos archivos porque el objetivo fundamental de esta prctica en realidad es que se produzcan las transferencias de zona de forma segura.
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Para conocer si nuestro servidor est respondiendo correctamente tenemos que hacer lo siguiente:
Si queremos saber si est funcionando el recursivo ejecutamos lo siguiente:
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Configuracin Archivos Ubuntu Server Esclavo
Ahora vamos a proceder a configurar el servidor secundario, comenzamos por el archivo named.conf.options:
Ponemos prcticamente los mismos parmetros que en el servidor maestro para que la comunicacin entre ambos sea perfecta para las futuras transferencias de zona seguras.
Acto seguido continuamos con la configuracin del named.conf.local
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Aqu es donde vamos a configurar el nombre de nuestras zonas directa e inversa, as como el tipo (en este caso va a ser esclavo) y tambin donde queremos que aloje nuestras zonas y el nombre que llevaran dichos archivos y por supuesto no puede faltar la lnea masters, la cual es necesaria incluir para que el sistema sepa la IP de donde vienen las transferencias de zona. De momento lo del key primario.midominio.local lo dejaremos para un poco ms adelante. Con la configuracin actual que tenemos hasta el momento ya podramos transferir zonas con normalidad de un servidor a otro, pero nuestro objetivo es hacer que dichas transferencias se produzcan de forma segura y para que los crackers no nos hagan aicos nuestras transferencias de zona deberemos de hacerlo de forma segura.
Proceso de transferencias de zona seguras con TSIG
Con la versin de bind 9 se puede utilizar TSIG para que de forma criptogrfica se pueda autentificar y verificar los datos de una zona. TSIG usa una llave secreta compartida para autentificar los datos de la transferencia de zona. Para el uso de TSIG se requiere que el maestro y el esclavo estn configurados para usar la llave para firmar la comunicacin entre ellos. Para que la trasferencia de zona con TSIG se pueda llevar a cabo es necesario que el maestro y los esclavos estn sincronizados en tiempo para ello instalamos el paquete ntpdate y sincronizamos los relojes de los servidores (maestro y esclavo)
En el servidor maestro ejecutar los siguientes comandos para generar el BASH para la transferencia segura de zona Nos vamos con un cd a /etc/bind y aqu ahora deberemos de introducir la siguiente cadena de caracteres:
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Se nos va a generar un par de archivos en el interior llamados kmidominio.local.+157+11519.key y otro exactamente igual pero con la extensin private. (El nmero se genera de forma aleatoria) Como podemos ver en la siguiente imagen lo que se genera dentro del .key, una clave la cual despus tendremos que introducir en el interior de los archivos named.conf.local tanto del servidor maestro como del esclavo
Despus hacemos la misma operacin pero con el .private, el cual alberga el algoritmo y la llave necesarios para realizar la transferencia de forma segura.
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Configuracin definitiva named.conf.local en servidor maestro y servidor esclavo
Ahora se debe colocar la el hash generado anteriormente en el maestro y en el esclavo en el archivo /etc/bind/named.conf.local. En el esclavo se debe colocar la IP del servidor maestro en el archivo /etc/bind/named.conf.local. En el servidor maestro se debe editar cada una de las zonas y colocarles la lnea que permite la transferencia allow-transfer { key primario.midominio.local. ; }; en el archivo /etc/bind/named.conf.local Los archivos en el archivo /etc/bind/named.conf.local deben quedar de una forma similar a la que se muestra a continuacin: MAESTRO
ESCLAVO
Prctica 3 DNS
Francisco Javier Gaviln Escriche
Comprobacin de las transferencias de zona seguras
Una vez realizado los pasos anteriores procedemos a reiniciar el servicio en el servidor maestro y en esclavo mediante el siguiente comando: rndc reload Posteriormente reiniciamos el servicio bind9 tanto en el servidor maestro como en el esclavo con la siguiente orden: /etc/init.d/bind9 restart Una vez concluidos estos pasos la transferencia de zona se ha debido de realizar con xito. Para ello nos vamos a ir al archivo de log tanto del servidor maestro como al del servidor secundario:
SERVIDOR MAESTRO:
Podemos ver el momento en el que empieza la transferencia de zona directa e inversa con TSIG y en el momento que concluye.
Prctica 3 DNS
Francisco Javier Gaviln Escriche
SERVIDOR SECUNDARIO:
Definitivamente mediante esta captura en el esclavo podemos corroborar que las transferencias de zona directa e inversa de forma segura ha sido todo un xito. Para mejor comprobacin que podemos realizar es accediendo a la ruta donde se han creado los archivos:
Y ahora procedo a mostrar el contenido de los archivos de zona que se acaban de generar en el servidor esclavo:
