PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych stref, Witold Kręcicki

1. DNS Catalog Zones
łatwe tworzenie i synchronizacja serwowanych stref
Witold Kręcicki
Internet Systems Consortium
1 marca 2016
Witold Kręcicki DNS Catalog Zones

2. Internet Systems Consortium
Internet Systems
Consortium
Software
Engineering
BIND9
ISC-DHCP
Kea
Operations
F-rootSNS-PB
Hosted@ISC Support Subscription
version
ASN
24/7
support
Witold Kręcicki DNS Catalog Zones

3. Gryplan
W czym problem?
Co mamy teraz
Co chcielibyśmy mieć
Rozwiązanie
Pytania/Dyskusja
Witold Kręcicki DNS Catalog Zones

4. Problem?
Witold Kręcicki DNS Catalog Zones

5. Problem?
Witold Kręcicki DNS Catalog Zones

6. Problem?
Witold Kręcicki DNS Catalog Zones

7. Problem?
Witold Kręcicki DNS Catalog Zones

8. Problem?
Witold Kręcicki DNS Catalog Zones

9. Problem?
Witold Kręcicki DNS Catalog Zones

10. Problem?
Witold Kręcicki DNS Catalog Zones

11. Historia
1983 - RFC882, RFC883 - pierwsze podejście, już z XFR!
1986 - RFC1034, RFC1035 - DNS jaki mamy dziś
2010 - RFC5963 - oczyszczenie AXFR
w 1986 roku domen było kilkaset, dodanie nowej było ’wydarzeniem’, nikt nie potrzebował
automatyzacji
zone catalog - dziura...
Witold Kręcicki DNS Catalog Zones

12. Co mamy teraz
Baza danych bezpośrednio + replikacja
Generowanie konfiguracji na podstawie bazy danych
scp, rsync (jak XFR u DJB)
git, svn, cvs
’supermaster’ w PowerDNS - notify tworzy domenę, nie można usunąć
skrypty, hacki, śrubokręty
brak rozwiązania systemowego
brak interoperability
out-of-band
Witold Kręcicki DNS Catalog Zones

13. Czego potrzebują użytkownicy?
90% definicji stref to:
zone ” foo . com” { masters ” 1 . 2 . 3 . 4 ” ; };
zone ” bar . com” { masters ” 1 . 2 . 3 . 4 ” ; };
zone ”baz . com” { masters ” 1 . 2 . 3 . 4 ” ; };
Z pozostałych 10% - 90% to:
zone ” l o r . com” { masters ” 5 . 6 . 7 . 8 ” ; };
zone ”emi . com” { masters ” 9 . 1 0 . 1 1 . 1 2 ” ; };
zone ”psu . com” { masters ” 1 3 . 1 4 . 1 5 . 1 6 ” ; };
Czasami zdarza się allow-query, allow-transfer
Witold Kręcicki DNS Catalog Zones

14. Zone catalog zone
Pierwsze podejście - Paul Vixie - Metazones - Perl (2005)
draft-muks-dnsop-dns-catalog-zones-00 - Morris, Sivaraman - IETF94
Ustandaryzowane w ramach IETF - draft w DNSOP WG
Wbudowane w serwer - wymagane tylko ustawienie named.conf
Docelowo - obsługiwane przez różne implementacje
Witold Kręcicki DNS Catalog Zones

15. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

16. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

17. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

18. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

19. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

20. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

21. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

22. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

23. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

24. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

25. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

26. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

27. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

28. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

29. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

30. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

31. Rozwiązanie!
Witold Kręcicki DNS Catalog Zones

32. Najprostsza strefa
catz . i s c . org . IN SOA . . 2016022901 900 600 86400 1
catz . i s c . org . IN NS master . i s c . org .
catz . i s c . org . IN NS s l a v e . i s c . org .
v e r s i o n . catz . i s c . org . IN TXT ”1”
masters . catz . i s c . org . IN A 1 4 9 . 2 0 . 6 4 . 3
masters . catz . i s c . org . IN AAAA 2001:500:2 c : : 2 5 4
5 ce8b9 . . . c9 . zones . catz . i s c . org . IN PTR mojadome . na
f47be8 . . . 1 6 . zones . catz . i s c . org . IN PTR drugadome . na
masters . f47be8 . . . 1 6 . catz . i s c . org . IN A 199.254.63.254
4 f1be1 . . . 6 7 . catz . i s c . org . IN PTR trzeciadome . na
allow−query .4 f1be1 . . . 6 7 . catz . i s c . org . IN APL 1 : 1 0 . 0 . 0 . 0 / 8 ! 1 : 1 0 . 1 0 . 0 . 0 / 1 6
masters . 4 f1be1 . . . 6 7 . catz . i s c . org . IN MX 0 mojmaster . s e r v e r s . catz . i s c . org .
mojmaster . s e r v e r s . catz . i s c . org . IN A 1 9 9 . 6 . 0 . 3 0
mojmaster . s e r v e r s . catz . i s c . org . IN TXT ” t s i g k e y ”
Witold Kręcicki DNS Catalog Zones

33. Konfiguracja
master.conf
o p t i o n s {
l i s t e n −on {
1 0 . 5 3 . 0 . 1 ;
};
allow−new−zones yes ;
};
zone ” catz . i s c . org ” {
type master ;
f i l e ” catz . i s c . org . db ”;
allow−t r a n s f e r {
1 0 . 5 3 . 0 . 2 ;
};
};
slave.conf
o p t i o n s {
l i s t e n −on {
1 0 . 5 3 . 0 . 2 ;
};
allow−new−zones yes ;
catalog −zones {
zone ” catz . i s c . org ”;
};
};
zone ” catz . i s c . org ” {
type s l a v e ;
masters {
1 0 . 5 3 . 0 . 1 ;
};
};
Witold Kręcicki DNS Catalog Zones

34. Sposób użycia
rndc addzone:
$ rndc addzone dome.na { type master; file ”domena.db”; allow-transfer { 10.53.0.2; }; }
nsupdate:
$ cat << EOF |nsupdate
server 10.53.0.1
update add 345f0ef372cb4f8fa1df416e5edc4b6be7c162b7.catz.isc.org. 3600 IN PTR dome.na
send
EOF
Oczywiście to wszystko da się prosto zautomatyzować! Perl, Python, ...
Witold Kręcicki DNS Catalog Zones

35. Dlaczego Catalog Zones?
Wykorzystujemy istniejącą infrastrukturę
Wszystko jest przesyłane po DNS
Brak haków, zewnętrznych skryptów
Proste dodawanie nowego serwera - tylko konfiguracja
Bezpieczeństwo? IPSEC/VPN!
Działa prosto nawet w zaawansowanych konfiguracjach:
Hidden master
Multi-layer
Docelowo - RFC, wspierane przez różne implementacje
Witold Kręcicki DNS Catalog Zones

36. Pytania?
Witold Kręcicki DNS Catalog Zones

37. Koniec Dziękuje wpk@isc.org
Witold Kręcicki DNS Catalog Zones