VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
Servidor DNS en Linux
1. PRÁCTICA 2.2. LINUX SERVIDOR DNS
Apellidos,Nombre: Martin Rivero Javier
1.
Qué tipo de información encontramos en www.dnssec.net. Indica qué es.
Menciona qué es el pharming y dns spoofing en relación a ataques conocidos sobre
DNS.
Pharming: Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS
(Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante
redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que
introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de
internet a la página web que el atacante haya especificado para ese nombre de dominio.
Dns spoofing: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una
relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una
dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la
relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en
concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS
son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).
2.
Mira el fichero /etc/hosts, fichero para la resolución estática de nombres (normalmente
de la red local). Incluye una nueva línea para un equipo de tu esquema virtual y prueba su
funcionamiento con ping. Mira el /etc/resolv.conf, fichero que especifica los servidores DNS y los
dominios de búsqueda(search y domain). Mira el fichero nsswitch.conf. Para qué sirve.
2. 3.
SERVIDOR DNS SÓLO CACHE. Instala el servidor DNS (bind9). Por defecto es solo
cache (no es autorizado para ninguna zona).
a) Configuralo en named.conf.options para que tenga como reenviador un DNS público caché que eligas
3. b) Comprueba con ps –ef|grep named que el servidor se ha iniciado y con netstat –ltun que escucha los
puertos 53.
c) Muestra los ficheros e indica brevemente qué contienen:
–
/etc/bind/named.conf
Es el fichero principal, dentro de el hace una llamada a los otros ficheros de configuracion de nuestro
servicio dns.
4. –
/etc/bind/named.conf.options
Es un fichero que contiene las opciones del demonio named, en el se pueden definir los reenviadores.
–
/etc/bind/named.conf.local
Es el fichero donde se crean la zona directa y la zona inversa
Es el fichero donde se crean la zona directa y la zona inversa
–
/etc/bind/db.root
En esta archivo describe los servidores de nombre raiz que hay en el mundo.
c)
Configura el archivo resolv.conf de tu ubuntucliente e indícale a mano que su servidor será el
ubuntuserver y dominio de sri.com.
5. d)
Usa el comando dig para preguntar por el dominio google.es. Vuelve a hacer la operación para
comprobar que el tiempo de respuesta es mucho menor dado que ya lo tenía en la caché. Y ejecuta otra
vez dicho comando.
e) En el servidor DNS edita de nuevo named.conf.options para poner como reenviador o forwaders el
6. del instituto, utiliza previamente dig –t NS y dig –t A d nobtenido para saber cúales son.
forwarders{ ………. };
f) Reinicia el servicio DNS y comprueba el fichero de logs del sistema y verifica que no ha habido fallos
al arrancar: sudo tail /var/log/syslog
7. 4.
SERVIDOR DNS PRIMARIO. Configura tu servidor (UbuntuServer) de dominio como
primario(maestro) para una zona directa e inversa con las siguientes características:
• La red del aula tendrá las direcciones 10.33.1.0/24
• El dominio se llamará “sri.com”
• No se permiten actualizaciones dinámicas
• El servidor DNS maestro se llama sri-ubuntu-server.sri.com
• Añade como equipo de tu esquema de red a tu ubuntuserverNAT.
• Añade el alias userver para el servidor primario
• Añade también el alias www el servidor primario.
• El servidor de correo será él mismo y prioridad 10.
• El TTL absoluto es de 12 horas.
• Parámetros de SOA: Serial,1, refresco cada hora, reintentos cada media hora, los datos expiran en un
día y el TTL por defecto de los RR es de 12 horas.
• Sólo responda a consultas recursivas de los equipos pertenecientes a la red 10.33.1.0/24
Creamos la zona directa sri.com dentro de named.conf.local.
Creamos la zona inversa dentro de named.conf.local.
8. En el named.conf.options le decimos que solo permita consultas recursivas a la red 10.33.1.0
Creamos el db.sri.com donde recoge todos los parametros de la zona directa.
9. Luego creamos el dbrev.sri.com con todos sus parametros.
Comprobaciones del archivo named.conf.local para ver si esta correcto
Comprobacion de la zona directa e inversa de sri.com
Miramos el syslog para comprobar que todo funciona correctamente
10. Usamos el comando rndc reload para reiniciar el dominio sin reiniciar el servidor.
Informacion sobre rnd reload:
BIND incluye una utilidad llamada rndc la cual permite la administración de línea de comandos del
demonio named desde el host local o desde un host remoto.
Para prevenir el acceso no autorizado al demonio named, BIND utiliza un método de autenticación
de llave secreta compartida para otorgar privilegios a hosts. Esto significa que una llave idéntica
debe estar presente en los archivos de configuración /etc/named.conf y en el rndc,
/etc/rndc.conf.
Rndc reload — Recarga los archivos de zona pero mantiene todas las respuestas precedentes
situadas en caché. Esto le permite realizar cambios en los archivos de zona sin perder todas las
resoluciones de nombres almacenadas.
Configuracion del dhcpd.conf con sus respectivos ambitos
11. Comprobamos en el sri-ubuntucliente.sri.com dentro de resolv.conf que el dhcp le da la ip y el dominio
donde tiene que buscar.
h) Prueba con la herramienta dig que tu servidor DNS resuelve consultas directa e inversa desde tu
equipo Linux cliente.
Consultas directa
DIG SRI-UBUNTUCLIENTE.SRI.COM
DIG SRI-UBUNTUSERVERNAT.SRI.COM
14. 5.-SERVIDOR DNS PRIMARIO CON SUBDOMINIO. Crea en tu userver una nueva zona para el
subdominio llamado windows.sri.com. El tiempo en que los registros de la zona se mantendrán en
la cache de los clientes será de 2 días, y el tiempo de las respuestas negativas de la zona será
de 3 horas. A este subdominio, pertenecerá tu máquina xwp. Usa desde tu equipo ubuntucliente
para comprobar y practicar las herramientas de consulta DNS, a saber, host wxp, dig –x IP de
tu equipoXP, y nslookup ubuntucliente.
15.
16.
17. 6.-SERVIDOR DNS SECUNDARIO O ESCLAVO. Configura el equipo subuntuservernat para que
sea secundario o esclavo para la zona sri.com. Usa como alias ns2.sri.com para este servidor.
Usa rndc retransfer sri.com para provocar una transferencia de zona aunque no haya cambio en
el serial. Asimismo, prueba a hacer dig@ipubuntuserver sri.com axfr y ixfr. Edita el syslog para
ver lo ocurrido. Indica el directorio donde guarda el esclavo los registros de las actualizaciones
del maestro.
18.
19. 7.-SERVIDOR DNS DELEGADO. Configura tu equipo ubuntucliente para que sea servidor DNS
delegado del dominio nat.sri.com y para que se delegue en él la autoridad de este subdomino. A
este subdominio pertenece tu máquina wserverNAT. No te olvides de indicar el forwarder padre,
ni el glue record. Haz un dig wservernat.nat.sri.com para comprobar que la autoridad reside en el
servidor delegado, aunque el ubuntuserver es el servidor principal.
20.
21.
22.
23. 8.-MUESTRA GRÁFICAMENTE TU ESQUEMA DE RED COMO HA QUEDADO INDICANDO QUE
MÁQUINA ES SERVIDOR DE QUÉ O CLIENTE CON QUÉ DOMINIO.