DNS
Ivana Tomaničková, 143152mail.muni.cz
Obsah
DNS
Účel - zabezpečiť preklad IP adries na ľudsky zapamatateľné doménové adresy a naopak.
Struktúra - hierarchická, stromová. Doména nultého rádu (značí sa bodkou, pri vyhľadávaní sa nepíše, pri konfiguracii sa na ňu nesmie zabudnúť), doména prvej úrovne (cz), doména druhej úrovne (muni.cz).
Označenie - doménový názov može obsahovať iba písmena anglickej abecedy, čísla a pomlčku (nesmie byt nazačiatku alebo konci). BIND v. 9 na nespravny vstup neupozorní.
Princíp - dotaz smerujeme na koreňovú doménu ((a-m).root-servers.net), doménu nemusí poznať ale vráti nazvy autoritativných serverov, ktorých sa možeme ďalej opýtať na subdoménu...(Pozn. pre každú subdoménu existujú minimálne 2 autoritatívne DNS servery, ktoré poznajú odpoveď => rozloženie záťaže(cyklické dotazovanie), záloha.
Typy DNS serverov - primárny, sekundárny (musí byť synchronizovaný s primárnym), cachovací - uchováva si výsledky aj medzivýsledky dotazov, sprostredkuje odpoveď klientovi (koncovej stanici), TTL - kompromis medzi rychlou reakciou na zmenu a nezaťažovaním autoritatívnych serverov.
Typy záznamov
- SOA (Start Of Authority record) - musí obsahovať každý zónový súbor. Obsahuje názov primárneho DNS serveru pre danú zónu MNAME, kontakt na správcu (zavinac nahradeny bodkou) RNAME, sériové číslo zóny, ktoré udáva verziu zónového súboru, pri zmene sa navýši o 1, sekundárny server kontroluje túto hodnotu, pokial sa líši od toho, ktoré ma uložene, aktualizuje data SERIAL
- A - IP adresa v IPv4
- AAAAA - IP adresa v IPv6
- NS - obsahuje zoznam doménových názvov autoritatvných serverov pre danú doménu
- MX - doménové názvy mail serverov pre danú doménu, číslo pred záznamom uvádza prioritu, najnižšie číslo = najvyššia priorita
- CNAME - daná doména je ALIASOM inej domény, význam - pri zmene stačí prepisať záznam na jednom mieste
- Reverzní záznamy (PTR) - DNS - preklad IP adres na doménové názvy - k číslu pridáme in-addr.arpa. - to je regulérne doménové meno, má stromovú štruktúru, možeme poslať dotaz na autoritatívne DNS servery domény in-addr.arpa
DNS servery (BIND, djbdns)
BIND - najpoužívanejšia implementácia doménového serveru - obsahuje zónové súbory:
- Názov domény (s . - absolútny, bez bodky relatívny)
- TTL záznam (Time To Live)- dĺžka platnosti záznamu v cache
- Trieda - rodina protokolov, ku ktorej sa záznam vztahuje. IN znamená Internet. (Iné typy existujú ale nepoužívajú sa.)
- Typ záznamu (A, MX, SOA, NS, CNAME, ...)
- Hodnota
Príklad zónového súboru:
$ORIGIN domena.cz.
@ IN SOA @ root.domena.cz. (2002101000 3H 15M 2W 1D)
IN NS ns ; autoritativni name servery
IN NS ns.provider.cz.
IN MX 0 mailserver.domena.cz.
www IN A 12.34.56.78 ; info. o pocitacich
ftp IN A 12.34.56.79 ; v teto domene
news IN CNAME odyseus.domena.cz.
...
Reverzný záznam pre podsieť 12.34.56.0:
$ORIGIN 56.34.12.in-addr.arpa.
@ IN SOA @ root.domena.cz. (2002101000 3H 15M 2W 1D)
IN NS ns.domena.cz.
IN NS ns.provider.cz.
78 IN PTR www.domena.cz.
79 IN PTR ftp.domena.cz.
...
Pekný príklad named.conf pre BIND je na named.conf example
DJBDNS - alternativa k BINDU, v zrovnávacej štúdii mal dokonca lepšie výsledky ako BIND. Viď
Literatura
Bezpečnosť
BIND v chroot prostredí - BIND by nemal byť spúšťaný pod root užívateľom. Je dobré tiež umiestniť ho do samostatného koreňového adresára /chroot/named. Inštalácia zahŕňa aj vytvorenie užívateľa named. Pre kompiláciu v chrootovskom prostredí je vhodnejší BIND 9. (./configure && make)
DNSSEC - zabezpečuje integritu dát, založený na asymetrickej kryptografii. Držiteľ domény vygeneruje súkromný a verejný klúč. Informácie o svojej doméne podpisuje súkromným kľúčom. Verejný kĺúč je publikovaný u nadradenej autority. Do options BINDu stačí pridať dva riadky: dnssec-enable yes; dnssec-validation yes; Klúč može byť uvedený staticky v konfiguračnom súbore. BIND od verzie 9.5 má DNSSEC zapnutý implicitne.
Overenie funkčnosti
- Na ladenie:
- dig: dig @server name type
- host: host jmeno|ip server
- nslookup
Literatura