configuración de servidor de nombres de dominio01

7/24/2019 Configuracin de Servidor de Nombres de Dominio01

1/26

Configuracin de servidor de nombres de dominio(DNS), parte I.

Autor:Joel Barrios Dueas

Correo electrnico:darkshram en gmail punto com

Sitio de Red:http://www.alcancelibre.org/

Jabber ID:[email protected]

Creative Commons Reconocimiento-NoComercial-CompartirIgual .!

1999-2013 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y !acer obras deri"adas ba#o las condicionessi$uientes% a& Debe reconocer y citar al autor ori$inal. b) No puede utili"ar esta obra parafinescomerciales (inclu#endo su publicacin, a trav$s decual%uier medio, por entidades con fines de lucro). c& 'i altera o trans(orma esta obra o $enera una obra deri"ada, s)lo puede distribuir la obra $eneradaba#o una licencia id*ntica a *sta. +l reutiliar o distribuir la obra, tiene ue de#ar bien claro los t*rminos de la licencia de esta obra. +l$una de estascondiciones puede no aplicarse si se obtiene el permiso del titular de los derec!os de autor. os derec!os deri"ados de usos le$/timos u otras limitaciones nose "en a(ectados por lo anterior. icencia completa en castellano.a in(ormaci)n contenida en este documento y los deri"ados de *ste se proporcionan talcual son y los autores no asumirn responsabilidad al$una si elusuarioo lector, !ace mal uso de *stos.

Introduccin.

s imprescindible primero estudiar y comprender, los conceptos descritos en el documentotitulado Introduccin al protocolo DNS.

&cerca de 'ind ('erele# Internet Name Domain).

'IND4acr)nimo de 'er5eley Internet Name Domain& es una implementaci)n del protocoloD6' y pro"ee una implementaci)n libre de los principales componentes del 'istema de6ombres de Dominio, los cuales incluyen%

Un ser"idor de sistema de nombres de dominio 4named&. Una biblioteca resolutoria de sistema de nombres de dominio. 7erramientas para "eri(icar la operaci)n adecuada del ser"idor D6' 4bind-utils&.

l 'er"idor D6' B86D es utiliado de manera amplia en 8nterneten aproimadamente el99: de los ser"idores D6' del mundo, proporcionando una robusta y estable soluci)n.

%uipamiento lgico necesario.

*a%uete. Descripcin.

bind 8ncluye el Servidor DNS4named& y !erramientas para "eri(icar su(uncionamiento.

bind-libs Bibliotecas compartidas, ue consisten en rutinas para aplicaciones
http://www.alcancelibre.org/forum/http://www.alcancelibre.org/forum/http://www.alcancelibre.org/http://www.alcancelibre.org/http://creativecommons.org/licenses/by-nc-sa/2.1/es/http://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/introduccion-protocolo-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/http://creativecommons.org/licenses/by-nc-sa/2.1/es/http://www.alcancelibre.org/staticpages/index.php/como-dnshttp://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/introduccion-protocolo-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/forum/


2/26

*a%uete. Descripcin.

para utiliarse cuando se interacte con Servidores DNS.

bind-c+root ;ontiene un rbol de arc!i"os ue puede ser utiliado como una #aulachrootpara namedaadiendo se$uridad adicional al ser"icio.

bind-utils ;olecci)n de !erramientas para consultar Servidores DNS.

cac+ing-nameserver

+rc!i"os de con(i$uraci)n ue !arn ue el Servidor DNSacte comoun cac!* para el ser"idor de nombres. ste pauete desaparece enCentS y Red at/ nterprise 0inu1 , pues su contenido seincorpor) en el pauete principal de bind.

Instalacin a trav$s de #um.

'i se utilia CentS o Red at/ nterprise 0inu1 , se puede instalar 'ind 2.3utiliando lo si$uiente%

yum -y install bind bind-chroot bind-utils

'i se utilia CentS 4o Red at/ nterprise 0inu1 4se puede instalar 'ind 2.5.utiliando lo si$uiente%

yum -y install bind bind-chroot bind-utils caching-nameserver

'i se utilia CentS 4o Red at/ nterprise 0inu1 4, tambi*n puede instalar, aunuede manera opcional, 'ind 2.6, el cual incluye soporte para DNSSC, utiliando losi$uiente%

yum remove bind-libs bind-utils bind bind-chroot caching-nameserver

yum -y install bind97 bind97-chroot bind97-utils

7irma digital del servidor.

;on la (inalidad de me#orar la se$uridad, $enere una (irma di$ital de


3/26

;ambie las pertenencias para ue este arc!i"o sea propiedad del usuario rooty $ruponamed%

chown root:named /etc/rndc.key

+se$ure ue los permisos de acceso sean lectura y escritura para usuario, s)lo lectura para$rupo y nada para otros, es decir un permiso >?0 4r@-r-----&%

chmod !" /etc/rndc.key

&ctualice el arc+ivo de cac+e con los servidores DNS ra8".

l arc!i"o 9var9named9named.cacontiene la in(ormaci)n de los ser"idores D6' ra/necesaria para poder iniciar el cac!e de todo ser"idor D6' de 8nternet. +ctualice estearc!i"o para e"itar problemas para la resoluci)n de al$unas onas e#ecutando lo si$uiente%

wget -# htt$://www.internic.net/domain/named.root % -& /var/named/named.ca

+si$ne permiso de lectura y escritura para usuario, s)lo lectura para $rupo y nada paraotros 4r@-r-----&.

chmod !" /var/named/named.ca

;on"iene "eri(icar peri)dicamente si !ay al$una actualiaci)n de este arc!i"o. a "ersi)nms reciente al momento de redactar este documento corresponde al 3 de enero de 2013.

l arc!i"o debe pertenecer a rooty el $rupo named.

chown root:named /var/named/named.ca

Aambi*n puede e#ecutar lo si$uiente para lo$rar el mismo (in.

dig 'bufsi(e)12"" 'norec #* . +a.root-servers.net , /var/named/named.ca

*rocedimientos.

S0inu1 # el servicio named.

+ mediados de 200=, ;ommon ulnerabilities and posures istyU'-;CA, reportaronue el in"esti$ador Dan :amins#descubri) una "ulnerabilidad ue a(ectaba a "ariasimplementaciones de DNS4B86D = y 9 antes de 9.


4/26

sta "ulnerabilidad permite a cualuier atacante remoto el poder (alsi(icar tr(ico D6' atra"*s de ciertas t*cnicas de contaminaci)n de cac!e en ser"idores ue realian resoluci)nrecursi"a 4es decir cuando se usa la opci)n allow-recursionabierta a todo el mundo, comoocurre en los ser"idores D6' pblicos& y se relaciona a insu(iciente aleatoriedad de lasidentidades de transacci)n y de los puertos de ori$en. s decir, una "ulnerabilidad de

entrop/a de insu(iciencia de )calos 4sockets& de D6' 4conocido como DNS InsufficientSocet ntrop# ;ulnerabilit#&. + tra"*s de esta "ulnerabilidad un atacante puedecontaminar el cac!e de un ser"idor D6' y !acer ue los clientes se conecten !aciadirecciones (alsas. s importante aclarar ue en realidad se trata de una "ulnerabilidad en eldiseo del protocolo D6'.

'inu prote$e casi por completo al ser"icio namedcontra la "ulnerabilidadanteriormente descrita. s por tal moti"o ue es importante utiliar 'inu.

+ (in de ue 'inu permita al ser"icio namedtraba#ar con permisos de escritura paraonas maestras, es decir un esuema de ser"idor maestro con ser"idores escla"os o bien

como ser"idor D6' dinmico, utilice el si$uiente mandato%setsebool - namedwritemaster(ones 1

o anterior aplica para CentS 4y y Red at nterprise 0inu1 4y .

Nota.

')lo para CentS 4y Red at nterprise 0inu1 4% ara de(inir ue se desacti"e la protecci)n de 'inupara el ser"icio named, !aciendo ue todo lo anteriormente descrito en esta secci)n pierda sentido y ue el

ser"idor sea parcialmente susceptible a la vulnerabilidad descubierta por :aminsi, utilice el si$uientemandato%

setsebool - nameddisabletrans 1

'/ realia el procedimiento anterior, es importante con(i$urar la (unci)n de consultas recursi"as eclusi"amentepara redes en la ue se con(/e plenamente.

sta pol/tica, al i$ual ue otras similares, (ue eliminada en CentS y Red at nterprise 0inu1 .

;ualuier arc!i"o de ona ue se "aya a utiliar a tra"*s del ser"icio named, debe contar

con los contetos de 'inu de usuario de sistema 4s#stem


5/26

chcon -u systemu -r obectr -t named(onet mi-dominio.(one

o anterior solamente es necesario si el arc!i"o mi-dominio."one(ue creado (uera deldirectorio 9var9named9data9y (ue mo"ido !acia este ltimo.

Nota.

'/ se utilia CentS 4o Red at/ nterprise 0inu1 4y se "a a con(i$urar un D6' dinmico, 'inuimpedir crear los arc!i"os >.=nl4journal, arc!i"os de re$istro por diario& correspondientes. as onas de D6'dinmicas deben ser almacenadas en directorios espec/(icos ue solamente conten$an onas dinmicas. 'e debecrear el directorio 9var9named9d#namic para tal (in ,y con(i$urar *ste para u* perteneca al usuario y $rupo,namedy ten$a permisos de lectura, escritura y e#ecuci)n para el usuario y $rupo named4II0& y ten$a loscontetos de 'inu de usuario de sistema 4s#stem


6/26

8.8.8.8;8.8.4.4;

};forward first;

// *4lo habilite lo siguiente si va a utili(ar #**6 y silos servidores de

// la secci4n de forwarders tienen so$orte $ara #**6.dnssec-enable no;dnssec-validation no;

// dnssec-lookaside auto3// bindkeys-file /etc/named.iscdlv.key383

logging {channel default_debug {

file "data/named.run";severity dynamic;

};category lame-servers { null; };

};

controls inet 127.".".1 allow 127.".".13 8 keys rndc-

ey3 8383

include /etc/rndc.key3

view local match-clients

127."."."/31"."."."/3172.1."."/123

192.1."."/1383recursion yes3include /etc/named.rfc1912.(ones3!one "." # {

ty$e hint;file "named.ca";

};83

o anterior de(ine como opciones ue el directorio predeterminado ser 9var9named, sede(ine un arc!i"o donde se almacena la in(ormaci)n del cac!* en9var9named9data9cac+e


7/26

(irma di$ital nica ue se $ener) automticamente tras instalar el pauete bindE 'e de(ineue los controles se realian solamente desde 12I.0.0.1, !acia 12I.0.0.1, utiliando la (irmadi$ital nica.

Aome en consideraci)n ue los cambios en CentS y Red at/ nterprise 0inu1

respecto de CentS 4y Red at/ nterprise 0inu1 4, consisten en ue se utilia rndc-e#en lu$ar de rndce#en la con(i$uraci)n de la (irma di$ital, se aaden las l/neascorrespondientes a la con(i$uraci)n de DNSSC, se aade con(i$uraci)n para el re$istro enbitcora y la ona de los ser"idores ra/ "a separada del arc!i"o named.rfc!2!."ones.CentS 4y Red at/ nterprise 0inu1 4puede utiliar eactamente la mismacon(i$uraci)n instalando los pauetes bind26, bind26-c+root, bind26-libsy bind26-utils4desaparece el pauete cac+ing-nameserver, cuyo contenido se inte$r) al pauete bind26&.

;on"iene ase$urarse ue el arc!i"o 9etc9named.conften$a los contetos correspondientespara 'inu a (in de e"itar potenciales problemas de se$uridad.

chcon -u systemu -r obectr -t namedconft /etc/named.conf

*reparativos para a@adir dominios.

8dealmente se deben de(inir primero los si$uiente datos%

1. Dominio a resol"er.2. 'er"idor de nombres principal 4'L+&. Aste debe ser un nombre %ue #a est$

plenamente resuelto,y debe ser un 7BDN47ully Buali(ied Domain Name&.3. ista de todos los ser"idores de nombres 46'& ue se utiliarn para e(ectos de

redundancia. Astos deben ser nombres %ue #a est$n plenamente resueltosy

deben ser adems 7BDN47ully Buali(ied Domain Name&.?. ;uenta de correo del administrador responsable de esta ona. Dic+a cuentadebe e1istir # debe ser independiente de la misma "ona %ue se est tratandode resolver.


8/26

(in de resol"er dic!o dominio. or cada red con direcciones 8 pri"adas, sobre la cual seten$a control y absoluta autoridad, se deber $enerar un arc!i"o de ona de resoluci)nin"ersa a (in de resol"er in"ersamente las direcciones 8 de dic!a ona.

Ce$ularmente la resoluci)n in"ersa de las direcciones 8 pblicas es responsabilidad de los

pro"eedores de ser"icio ya ue son *stos uienes tienen la autoridad plena y absoluta sobredic!as direcciones 8.

Aodos los arc!i"os de ona deben pertenecer al usuario named a (in de ue el ser"icionamedpueda acceder a *stos o bien modi(icar *stos en el caso de tratarse de onasescla"as.

Creacin de los arc+ivos de "ona.

os si$uientes corresponder/an a los contenidos para los arc!i"os de ona reueridos parala red local y por el 68; con el ue se !aya re$istrado el dominio. ;abe sealar ue en las

onas de reen"/o siempre se especi(ica al menos un re$istro S&y un re$istro NS. Demanera opcional y en caso de ue eista un ser"icio de correo electr)nico, aada al menosun re$istro E4Fail c!an$er o intercambiador de correo&. 'olamente necesitarsustituir nombres y direcciones 8 y ui aadir nue"os re$istros para complementar sured local.

Configuracin m8nima para 9etc9named.conf en CentS 4 # Red at/ nterprise0inu1 4.

a con(i$uraci)n m/nima del arc!i"o 9c+root9etc9named.confy ue permitir utiliar elser"icio para todo tipo de uso, es la si$uiente%

o$tions directory /var/named3dum$-file /var/named/data/cachedum$.db3statistics-file /var/named/data/namedstats.t0t3memstatistics-file

/var/named/data/namedmemstats.t0t3forwarders {

8.8.8.8;8.8.4.4;

};forward first;

// *4lo habilite lo siguiente si va a utili(ar #**6 y silos servidores de// la secci4n de forwarders tienen so$orte $ara #**6.

dnssec-enable no3dnssec-validation no3




9/26

logging channel defaultdebug file data/named.run3 severity dynamic3 83 category lame-servers null3 83

83

controls inet 127.".".1 allow 127.".".13 8 keys rndcey3

8383


127."."."/31"."."."/3172.1."."/123192.1."."/13

83

recursion yes3include /etc/named.rfc1912.(ones3

83

o anterior de(ine como opciones ue el directorio predeterminado ser 9var9named, sede(ine un arc!i"o donde se almacena la in(ormaci)n del cac!* en9var9named9data9cac+e


10/26

72"" 3 tiem$o entre reintentos de consulta"!"" 3 tiem$o tras el cual e0$ira la (ona!"" 3 tiem$o total de vidaA

+ =# #* dns.red-local.net.+ =# BC 1" mail

+ =# ;C; v)s$f1 a m0 -all+ =# > 192.1.1.1intranet =# > 192.1.1.1maDuina2 =# > 192.1.1.2maDuinaE =# > 192.1.1.EmaDuina! =# > 192.1.1.!www =# > 192.1.1.1mail =# > 192.1.1.1ft$ =# #>B6 intranetdns =# #>B6 intranet

Fona de resolucin inversa red local 9var9named9data9!.!3.!2.in-addr.arpa."one

;;< !""+ =# *&> dns.red-local.

alguien.gmail.com. ?2""9"91""1 3 n@mero de serie2"" 3 tiem$o de refresco72"" 3 tiem$o entre reintentos de consulta"!"" 3 tiem$o tras el cual e0$ira la (ona!"" 3 tiem$o total de vidaA

+ =# #* dns.red-local.1 =# ;F intranet.red-local.2 =# ;F maDuina2.red-local.E =# ;F maDuinaE.red-local.

! =# ;F maDuina!.red-local.

Fona de reenv8o del dominio 9var9named9data9dominio.com."one

'uponiendo ue !ipot*ticamente se es la autoridad para el dominio Gdominio.comH, sepuede crear una Fona de Reenv8ocon un contenido similar al si$uiente%

;;< !""+ =# *&> f%dn.dominio.tld.

alguien.gmail.com. ?2""9"91""13 n@mero de serie2"" 3 tiem$o de refresco

72"" 3 tiem$o entre reintentos de consulta"!"" 3 tiem$o tras el cual e0$ira la (ona!"" 3 tiem$o total de vidaA

+ =# #* f%dn.dominio.tld.+ =# BC 1" mail+ =# ;C; v)s$f1 a m0 -all+ =# > 2"1.11.1.22servidor =# > 2"1.11.1.22


11/26

www =# > 2"1.11.1.22mail =# > 2"1.11.1.22ft$ =# #>B6 servidordns =# #>B6 servidor

Fona de resolucin inversa del dominio 9var9named9data9!.!!.!.in-addr.arpa."one

'uponiendo ue !ipot*ticamente se es la autoridad para el se$mento de red !.!!.!.9?4re$ularmente lo debe de !acer el pro"eedor de ser"icio de acceso !acia 8nternet&, se puedecrear una Fona de Resolucin Inversacon un contenido similar al si$uiente%

;;< !""+ =# *&> f%dn.dominio.tld.

alguien.gmail.com. ?2""9"91""1 3 n@mero de serie2"" 3 tiem$o de refresco72"" 3 tiem$o entre reintentos de consulta"!"" 3 tiem$o tras el cual e0$ira la (ona

!"" 3 tiem$o total de vidaA

+ =# #* f%dn.dominio.tld.1 =# ;F servidor.dominio.com.2 =# ;F maDuina2.dominio.com.E =# ;F maDuinaE.dominio.com.! =# ;F maDuina!.dominio.com.

;ada "e ue !a$a al$n cambio en al$n arc!i"o de ona, deber cambiar el nmero deserie a (in de ue tomen e(ecto los cambios de inmediato cuando se reinicie el ser"icionamed, ya ue de otro modo tendr/a ue reiniciar el euipo, al$o poco con"eniente.

as onas de resoluci)n in"ersa ue in"olucran direcciones 8 pblicas son responsabilidadde los 8' 4pro"eedores de ser"icio de acceso !acia 8nternet&. ;rear una ona de resoluci)nin"ersa sin ser la autoridad de dic!a ona tiene e(ecto s)lo para uien use el ser"idor D6'reci*n con(i$urado como nico D6'.

Configuracin de parmetros en el arc+ivo 9etc9named.conf

o$tions directory /var/named3dum$-file /var/named/data/cachedum$.db3statistics-file /var/named/data/namedstats.t0t3memstatistics-file

/var/named/data/namedmemstats.t0t3forwarders {

8.8.8.8;8.8.4.4;

};forward first;

// *4lo habilite lo siguiente si va a utili(ar #**6 y silos servidores de// la secci4n de forwarders tienen so$orte $ara #**6.


12/26

dnssec-enable no3dnssec-validation no3


logging channel defaultdebug file data/named.run3severity dynamic3

83category lame-servers null3 83

83


key3 8383



127."."."/31"."."."/3172.1."."/123192.1."."/13

83recursion yes3include /etc/named.rfc1912.(ones3(one . =#

ty$e hint3file named.ca3

83!one "red-local" {ty$e master;file "data/red-local.!one";allow-u$date { none; };

83!one "&.&'8.&().in-addr.ar$a" {

ty$e master;file "data/&.&'8.&().in-addr.ar$a.!one";allow-u$date { none; };

8383

Configuracin de servidor de nombres de dominio(DNS), parte II.

Autor:Joel Barrios Dueas

Correo electrnico:darkshram en gmail punto com

Sitio de Red:http://www.alcancelibre.org/

Jabber ID:[email protected]
http://www.alcancelibre.org/forum/http://www.alcancelibre.org/forum/http://www.alcancelibre.org/http://www.alcancelibre.org/http://www.alcancelibre.org/forum/http://www.alcancelibre.org/


13/26

Creative Commons Reconocimiento-NoComercial-CompartirIgual .!

1999-2013 Joel Barrios Dueas. Usted es libre de copiar, distribuir y comunicar pblicamente la obra y !acer obras deri"adas ba#o las condicionessi$uientes% a& Debe reconocer y citar al autor ori$inal. b) No puede utili"ar esta obra parafinescomerciales (inclu#endo su publicacin, a trav$s decual%uier medio, por entidades con fines de lucro). c& 'i altera o trans(orma esta obra o $enera una obra deri"ada, s)lo puede distribuir la obra $eneradaba#o una licencia id*ntica a *sta. +l reutiliar o distribuir la obra, tiene ue de#ar bien claro los t*rminos de la licencia de esta obra. +l$una de estascondiciones puede no aplicarse si se obtiene el permiso del titular de los derec!os de autor. os derec!os deri"ados de usos le$/timos u otras limitaciones nose "en a(ectados por lo anterior. icencia completa en castellano.a in(ormaci)n contenida en este documento y los deri"ados de *ste se proporcionan talcual son y los autores no asumirn responsabilidad al$una si elusuarioo lector, !ace mal uso de *stos.

;ontinuaci)n de ;on(i$uraci)n de ser"idor de nombres de dominio 4D6'&, parte 88 .

Seguridad adicional en DNS para uso pJblico.

Muienes !ayan utiliado en recientes (ec!as losser"iciosdeD6' Ceport,!abrn notadoue el dia$n)stico en l/nea de"uel"e a!ora un error ue, en resumen, indica ue el ser"idorpuede ser susceptible de su(rirparticipar en un ataue DDoS4Distributed Denail o( Ser"iceo dene$aci)n de ser"icio distribuido&.

Un DDoS4Distributed Denial o( Ser"ice& es una ampliaci)n del ataue DoS, se e(ecta conla instalaci)n de "arios a$entes remotos en muc!as computadoras ue pueden estarlocaliadas en di(erentes puntos del mundo. l atacante consi$ue coordinar esos a$entespara as/, de (orma masi"a, ampli(icar el "olumen del saturaci)n de in(ormaci)n 4"lood&,pudiendo darse casos de un ataue de cientos o millares de computadoras diri$ido a unamuina o red ob#eti"o. sta t*cnica se !a re"elado como una de las ms e(icaces ysencillas a la !ora de colapsar ser"idores, la tecnolo$/adistribuida !a ido !aciendo msso(isticada !asta el punto de otor$ar poder de causar daos serios a personas con escasoconocimiento t*cnico.

a (alla reportada por la !erramienta en l/nea de D6' Ceport, para un ser"idor D6' uepermite consultas recursi"as, indicar al$o como lo si$uiente%

#$$%$: %ne or more o" &our nameser'ers reports that it is an open D() ser'er. *his

usuall& means that an&one in the world can uer& it "or domains it is not authoritati'e "or

+it is possible that the D() ser'er ad'ertises that it does recursi'e lookups when it doesnot, but that shouldnt happen. *his can cause an ecessi'e load on &our D() ser'er. 0los,

it is strongl& discouraged to ha'e a D() ser'er be both authoritati'e "or &our domain and

be recursi'e +e'en i" it is not open, due to the potential "or cache poisoning +with no

recursion, there is no cache, and it is impossible to poison it. 0los, the bad gu&s could use&our D() ser'er as part o" an attack, b& "orging their 12 address!

'i$ni(ica ue el ser"idor D6' puede permitir a cualuiera realiar consultas recursi"as. 'ise trata de un D6' ue se desea pueda ser consultado por cualuiera, como puede ser elcaso del D6' de un 8', esto es normal y esperado. 'i se trata de un ser"idor ue s)lo debeconsultar la red local o bien ue se utilia para propa$ar dominios alo#ados de manera local,si es con"eniente tomar medidas al respecto.

'oluci)n al problema es modi(icar el arc!i"o named.conf, donde se aade en la secci)n de"ista local 4"ie@ NlocalN& la opci)n recursion #esKy una o ms l/neas ue de(inan a la red olas redes ue tendrn permitido realiar todo tipo de consultas.
http://creativecommons.org/licenses/by-nc-sa/2.1/es/http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.dnsreport.com/http://www.dnsreport.com/http://www.dnsreport.com/http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.dnsreport.com/http://creativecommons.org/licenses/by-nc-sa/2.1/es/http://www.alcancelibre.org/staticpages/index.php/como-dns2http://creativecommons.org/licenses/by-nc-sa/2.1/es/legalcode.eshttp://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.alcancelibre.org/staticpages/index.php/como-dnshttp://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.dnsreport.com/http://www.alcancelibre.org/staticpages/index.php/como-dns2http://www.dnsreport.com/


14/26

o$tions directory /var/named3

dum$-file /var/named/data/cachedum$.db3statistics-file /var/named/data/namedstats.t0t3memstatistics-file

/var/named/data/namedmemstats.t0t3

forwarders 192.1.".13 83 forward first3dnssec-enable yes3dnssec-validation yes3dnssec-lookaside auto3bindkeys-file /etc/named.iscdlv.key3

83

logging channel defaultdebug

file data/named.run3severity dynamic3

8383


key3 8383



127."."."/31"."."."/3172.1."."/123

192.1."."/1383recursion yes3include /etc/named.rfc1912.(ones3(one . =#


8383

o anterior !ace ue s)lo se puedan realiar consultas recursi"as en el D6' desde12I.0.0.0=, 10.0.0.0=, 1I2.1>.0.012 y 192.1>=.0.01>, ya sea para un nombre de dominioalo#ado de manera local y otros dominios resueltos en otros ser"idores 4e#emplo%@@@.ya!oo.com, @@@.$oo$le.com, @@@.alcancelibre.or$, etc&. l resto del mundo s)lopodr realiar consultas sobre los dominios alo#ados de manera local y ue est*ncon(i$urado para permitirlo.

n la si$uiente con(i$uraci)n de e#emplo, se pretende lo$rar lo si$uiente%

O Ced ocal% cualuier tipo de consulta !acia dominios eternos y locales


15/26

4es decir, @@@.ya!oo.com, @@@.$oo$le.com, alcancelibre.or$, adems demidominio.com&.

O Cesto del mundo% s)lo puede !acer consultas para la ona demidominio.com

De este modo se impide ue !aya consultas recursi"as y con esto impedir la posibilidad desu(rirparticipar de un ataue DDo'.



/var/named/data/namedmemstats.t0t3 forwarders 192.1.".13 83 forward first3

dnssec-enable yes3

dnssec-validation yes3dnssec-lookaside auto3bindkeys-file /etc/named.iscdlv.key3

83



8383


key3 8383


view $ublico match-clients any3 83recursion no3(one . =#


83(one midominio.com

ty$e master3file data/midominio.com.(one3allow-u$date none3 83allow-transfer 2"".7.15.2523

2"".7.15.2513 8383

83

view local


16/26

match-clients 127."."."/31"."."."/3172.1."."/123192.1."."/13

83

recursion yes3include /etc/named.rfc1912.(ones3(one . =#


83(one miredlocal

ty$e master3file data/miredlocal.(one3allow-u$date none3 83allow-transfer 192.1.".23 83

8383

Un DDoS4Distributed Denial o( Ser"ice& es una ampliaci)n del ataue DoS, se e(ecta conla instalaci)n de "arios a$entes remotos en muc!as computadoras ue pueden estarlocaliadas en di(erentes puntos del mundo. l atacante consi$ue coordinar esos a$entespara as/, de (orma masi"a, ampli(icar el "olumen del saturaci)n de in(ormaci)n 4(lood&,pudiendo darse casos de un ataue de cientos o millares de computadoras diri$ido a unamuina o red ob#eti"o. sta t*cnica se !a re"elado como una de las ms e(icaces ysencillas a la !ora de colapsar ser"idores, la tecnolo$/a distribuida !a ido !aciendo msso(isticada !asta el punto de otor$ar poder de causar daos serios a personas con escasoconocimiento t*cnico.

a (alla reportada por la !erramienta en l/nea de D6' Ceport, para un ser"idor D6' uepermite consultas recursi"as, indicar al$o como lo si$uiente%

#$$%$: %ne or more o" &our nameser'ers reports that it is an open D() ser'er. *his

usuall& means that an&one in the world can uer& it "or domains it is not authoritati'e "or

+it is possible that the D() ser'er ad'ertises that it does recursi'e lookups when it doesnot, but that shouldnt happen. *his can cause an ecessi'e load on &our D() ser'er. 0los,

it is strongl& discouraged to ha'e a D() ser'er be both authoritati'e "or &our domain and

be recursi'e +e'en i" it is not open, due to the potential "or cache poisoning +with norecursion, there is no cache, and it is impossible to poison it. 0los, the bad gu&s could use

&our D() ser'er as part o" an attack, b& "orging their 12 address!

'i$ni(ica ue el ser"idor D6' puede permitir a cualuiera realiar consultas recursi"as. 'ise trata de un D6' ue se desea pueda ser consultado por cualuiera, como puede ser elcaso del D6' de un 8', esto es normal y esperado. 'i se trata de un ser"idor ue s)lo debeconsultar la red local o bien ue se utilia para propa$ar dominios alo#ados de manera local,si es con"eniente tomar medidas al respecto.
http://www.dnsreport.com/http://www.dnsreport.com/


17/26

'oluci)n al problema es modi(icar el arc!i"o named.conf, donde se aade en la secci)n de"ista local 4"ie@ NlocalN& la opci)n recursion #esKy una o ms l/neas ue de(inan la red olas redes ue tendrn permitido realiar todo tipo de consultas.



/var/named/data/namedmemstats.t0t3 forwarders 192.1.7".13 83 forward first3

dnssec-enable yes3dnssec-validation yes3dnssec-lookaside auto3bindkeys-file /etc/named.iscdlv.key3

83

logging

channel defaultdebug file data/named.run3severity dynamic3

8383


key3 8383



127."."."/31"."."."/3172.1."."/123192.1."."/13



8383

o anterior !ace ue s)lo se puedan realiar todo tipo de consultas en el D6' desde12I.0.0.0=, 10.0.0.0=, 1I2.1>.0.012 y 192.1>=.0.01>, ya sea para un nombre de dominioalo#ado de manera local y otros dominios resueltos en otros ser"idores 4e#emplo%www.&ahoo.com, www.google.com, www.alcancelibre.org, etc&. l resto del mundo s)lopodr realiar consultas sobre los dominios alo#ados de mane#a local y ue est*ncon(i$urado para permitirlo.


18/26

n la si$uiente con(i$uraci)n de e#emplo, se pretende lo$rar lo si$uiente%

Ced ocal% cualuier tipo de consulta !acia dominios eternos y locales 4es decir,@@@.ya!oo.com, @@@.$oo$le.com, alcancelibre.or$, adems de midominio.com&.

Cesto del mundo% s)lo puede !acer consultas para la ona de midominio.com

De este modo se impide ue !aya consultas recursi"as y con esto impedir la posibilidad desu(rirparticipar de un ataue DDo'.



/var/named/data/namedmemstats.t0t3 forwarders 192.1.".13 83

forward first3dnssec-enable yes3dnssec-validation yes3dnssec-lookaside auto3bindkeys-file /etc/named.iscdlv.key3

83



8383


key3 8383



ty$e hint3

file named.ca383(one midominio.com

ty$e master3 file data/midominio.com.(one3 allow-u$date none3 83 allow-transfer 2"!.1E.2!9.753 2".7.9.75391.19.22.753 83

8383


19/26


127."."."/31"."."."/3172.1."."/123

192.1."."/1383recursion yes3include /etc/named.rfc1912.(ones3(one . =#


83(one miredlocal ty$e master3 file data/miredlocal.(one3

allow-u$date none3 83 allow-transfer 192.1.".23 83

83

83

Seguridad adicional en DNS para uso e1clusivo en red local.

'i se "a a tratar de un ser"idor de nombres de dominio para uso eclusi"o en red local y seuieren e"itar problemas de se$uridad de di(erente /ndole, puede utiliarse el parmetroalloL-%uer#, el cual ser"ir para especi(icar ue s)lo ciertas direcciones podrn realiarconsultas al ser"idor de nombres de dominio. 'e pueden especi(icar directamentedirecciones 8, redes completas o listas de control de acceso ue debern de(inirse antes decualuier otra cosa en el arc!i"o 9etc9named.conf.

&rc+ivo 9etc9named.conf

o$tions directory /var/named/3dum$-file /var/named/data/cachedum$.db3statistics-file /var/named/data/namedstats.t0t3memstatistics-file

/var/named/data/namedmemstats.t0t3forwarders

...3..!.!3

83forward first3dnssec-enable yes3dnssec-validation yes3dnssec-lookaside auto3bindkeys-file /etc/named.iscdlv.key3

83


file data/named.run3


20/26

severity dynamic383

83


key3 8383



127."."."/31"."."."/3172.1."."/123192.1."."/13

83recursion yes3include /etc/named.rfc1912.(ones3

(one . =# ty$e hint3file named.ca3

83(one red-local

ty$e master3file data/red-local.(one3allow-u$date none3 83

83(one 1.1.192.in-addr.ar$a

ty$e master3file data/1.1.192.in-addr.ar$a.(one3allow-u$date none3 83

8383

0as "onas esclavas.

as onas escla"as se re(ieren a auellas !ospedadas en ser"idores de nombres de dominiosecundarios y ue !acen las (unciones de redundar las onas maestras en los ser"idores denombres de dominio primarios. l contenido del arc!i"o de ona es el mismo ue enser"idor primario. a di(erencia est en la secci)n de teto utiliada en named.conf, dondelas onas se de(inen como escla"as y de(inen los ser"idores donde est !ospedada la onamaestra.

&rc+ivo named.conf Servidor DNS secundario.




21/26

83(one dominio.com

ty$e slave;file dominio.com.(one3

masters { &().&'8.&.)*4; };83

83


127."."."/31"."."."/3172.1."."/123192.1."."/13



83(one red-local

ty$e slave;file data/red-local.(one3

masters { &().&'8.&.)*4; };83(one 1.1.192.in-addr.ar$a

ty$e slave;file data/1.1.192.in-addr.ar$a.(one3

masters { &().&'8.&.)*4; };83

83

+dicionalmente, si desea incrementar se$uridad y desea especi(icar en el Servidor DNS*rimarioue ser"idores tendrn permitido ser ser"idores de nombres de dominiosecundario, es decir, !acer trans(erencias, puede utiliar el parmetro alloL-transferdelsi$uiente modo%

&rc+ivo named.conf Servidor DNS *rimario.



83(one dominio.com

ty$e master3file dominio.com.(one3allow-u$date none3 83allow-transfer {

)++.,,.&4'.)&;)++.,,.&4'.)+(;


22/26

};83

83


127."."."/31"."."."/3172.1."."/123192.1."."/13



83(one red-local

ty$e master3file data/red-local.(one3

allow-u$date none3 83allow-transfer {

&().&'8.&.&*;&().&'8.&.&';

};83(one 1.1.192.in-addr.ar$a

ty$e master3file data/1.1.192.in-addr.ar$a.(one3allow-u$date none3 83allow-transfer {

&().&'8.&.&*;&().&'8.&.&';

};8383

Seguridad adicional para transferencias de "ona.

;uando se $estionan dominios a tra"*s de redes pblicas, es importante considerar ue si setienen esuemas de ser"idores maestrosy esclavos, siempre ser ms con"eniente utiliaruna clave cifradaen lu$ar de una direcci)n 8, debido a ue esta ltima puede ser(alsi(icada ba#o ciertas circunstancias.

;omnmente se de(inen las direcciones 8 desde las cuales se permitir trans(erencias deonas, utiliando una con(i$uraci)n en el arc!i"o 9etc9named.confcomo la e#empli(icada acontinuaci)n, donde los ser"idores escla"os corresponden a los ser"idores con direcciones8 192.1>=.1.11 y 192.1>=.1.12%

(one mi-dominio.org ty$e master3file data/mi-dominio.org.(one3allow-u$date none3 8:


23/26

allow-transfer 192.1.1.113 192.1.1.123 8383

o anterior permite la trans(erencia de ona para los ser"idores con direcciones 8192.1>=.1.11 y 192.1>=.1.12, los cuales utilian la si$uiente con(i$uraci)n en el arc!i"o

9etc9named.conf, e#empli(icada a continuaci)n, donde el ser"idor primario 4onasmaestras& corresponde al ser"idor con direcci)n 8 192.1>=.1.1%

(one mi-dominio.org ty$e slave3file data/mi-dominio.org.(one3masters 192.1.1.13 83

83

l incon"eniente del esuema anterior es ue es (cil (alsi(icar las direcciones 8. + (in dee"itar ue esto ocurra, el m*todo recomendado ser utiliar una cla"e ci(rada ue ser"alidada en lu$ar de la direcci)n 8. a lla"e se crea con el mandato dnssec-e#gen,

especi(icando un al$oritmo, ue puede ser RS&D4o RS&, DS&, D4Di((ie ellman& o&C-D4, el tamao de la lla"e en octetos 4bits&, el tipo de la lla"e, ue puede serPL6, 7L'A, 6A8AQ o U'C y el nombre espec/(ico para la cla"e ci(rada. D'+ y C'+se utilian para DNS Seguro4DNSSC&, en tanto ue &C-D4se utilia para MSI4Mrans(er SInature o trans(erencia de (irma&. o ms comn es utiliar MSI. n elsi$uiente e#emplo, se $enerar en el directorio de traba#o actual la cla"e mi-dominio.org,utiliando 9dev9randomcomo (uente de datos aleatorios, un al$oritmo &C-D4tipoSMde 12= octetos 4bits&%

dnssec-keygen -r /dev/random -a GB>-B5 -b 12 -n G&*; mi-dominio.org

o anterior de"uel"e una salida similar a la si$uiente%

Hmi-dominio.org.'157'E2E22

+l mismo tiempo se $eneraran dos arc!i"os en el directorio 9var9named9, uecorresponder/an a :mi-dominio.org.O!46O55.e#y :mi-dominio.org.O!46O55.private. :mi-dominio.org.O!46O55.e#deber tener un contenido comoel si$uiente, el cual corresponde al re$istro ue se aade dentro del arc!i"o de ona%

mi-dominio.org. =# H6I 512 E 157 #u#u0vJ>tdEmriuyg;K))

:mi-dominio.org.O!46O55.privatedeber tener un contenido como el si$uiente%rivate-key-format: v1.2>lgorithm: 157 ?GB>B5AHey: #u#u0vJ>tdEmriuyg;K))

n ambos casos, N*uNu1vF&=td5mriu#gM3BPPcorresponde a la cla"e ci(rada. +mbosdeben tener la misma cla"e.


24/26

os dos arc!i"os s)lo deben tener atributos de lectura para el usuario named.

chmod !"" Hmi-dominio.org.'157'E2E22.Lchown named.named Hmi-dominio.org.'157'E2E22.L

+ (in de poder ser utiliados, ambos arc!i"os deben ser mo"idos !acia el directorio9var9named9data9.

mv Hmi-dominio.org.'157'E2E22.L/var/named/data/

+ continuaci)n, restaure los atributos predeterminados para estos arc!i"os utiliando elmandato restorecon, del si$uiente modo%

restorecon -F /var/named/data/

n el ser"idor primario 4onas maestras&, se aade la si$uiente con(i$uraci)n en el arc!i"o

9etc9named.conf%

key mi-dominio.org algorithm GB>-B53 secret #u#u0vJ>tdEmriuyg;K))383

(one mi-dominio.org ty$e master3file data/mi-dominio.org.(one3allow-u$date none3 83allow-transfer key mi-dominio.org3 83

83

os ser"idores escla"os utiliar/an la si$uiente con(i$uraci)n en el arc!i"o9etc9named.conf, en donde se de(ine la cla"e y ue *sta ser utiliada para realiarconeiones !acia el ser"idor primario 4onas maestras& 4192.1>=.1.1, en el e#emplo&%

ey mi-dominio.org {algorithm 01-2*;secret "#3u#uv506td,mriuyg7899";

};

server &().&'8.&.& {

eys { mi-dominio.org; };};

(one mi-dominio.org ty$e slave3masters 192.1.1.13 83

83

Comprobaciones.


25/26


26/26

chkconfig named on

Cealice prueba de depuraci)n y "eri(iue ue la ona !aya car$ado con nmero de serie%

tail -" /var/log/messages Mgre$ named

o anterior, si est (uncionando correctamente, deber/a de"ol"er al$o parecido a lomostrado a continuaci)n%

*e$ 1" "2:15:15 servidor namedNE"1O: starting R=# 9.2.2 -u named*e$ 1" "2:15:15 servidor namedNE"1O: using 1 S*e$ 1" "2:15:15 servidor named: =niciaci4n de named succeeded*e$ 1" "2:15:15 servidor namedNE"22O: loading configuration from T/etc/named.confT*e$ 1" "2:15:15 servidor namedNE"22O: no =v interfaces found*e$ 1" "2:15:15 servidor namedNE"22O: listening on =v! interface loP 127.".".1Q5E*e$ 1" "2:15:15 servidor namedNE"22O: listening on =v! interface eth"P 192.1.1.1Q5E*e$ 1" "2:15:15 servidor namedNE"22O: command channel listening on 127.".".1Q95E*e$ 1" "2:15:1 servidor namedNE"22O: (one ".".127.in-addr.ar$a/=#:loaded serial ,*e$ 1" "2:15:1 servidor namedNE"22O: (one 1.1.192.in-addr.ar$a/=#:loaded serial)++(+(&++&*e$ 1" "2:15:1 servidor namedNE"22O: (one localhost/=#:loaded serial &

*e$ 1" "2:15:1 servidor namedNE"22O: (one mi-dominio.com.m0/=#:loaded serial)++(+(&++&*e$ 1" "2:15:1 servidor namedNE"22O: running*e$ 1" "2:15:1 servidor namedNE"22O: (one 1.1.192.in-addr.ar$a/=#: sending notifies?serial 2""9"91""1A*e$ 1" "2:15:1 servidor namedNE"22O: (one mi-dominio.com.m0/=#: sending notifies?serial 2""9"91""1A

Rltima dici)n 2>0I= +ccesos

configuración de servidor de nombres de dominio01

Documents