Nástroj serveru pro správu DNS záznamů autoritativní nebo reverzní odpovědi DNS
Nastavování domén
Príklad záznamu zóny – /etc/bind/named.conf
- jeden záznam na jednu doménu
- okdazuje na súbor:
zone "blucina.net" {type master; file "/etc/bind/primary/blucina.net";};
Príklad konfigurácie subdomén – /etc/bind/primary/blucina.net
$TTL 1d @ IN SOA ns.blucina.net. root.blucina.net. ( 2005091601 ;SeriaL 3H ;Refresh 1H ;Retry 1W ;Expire 1D) ;Minimum IN NS ns.blucina.net. IN NS sns.nethost.sk. IN MX 10 ns.blucina.net. @ IN A 82.113.57.2 ns IN A 82.113.57.2 www IN A 82.113.57.2 cacti IN CNAME angel2.blucina.net. www.cacti IN CNAME angel2.blucina.net.
Vysvětlivky hodnot:
TTL= (Time To Live) – délka platnosti záznamu v cache (sekundy)
@= uvádí směrování domény není li uveden jiný záznam
IN= třída – rodina protokolů, k níž se záznam vztahuje, IN znamená Internet; jiné typy existují, ale nepoužívají se
NS= kdo je správcem primárním a sekundárním, sdělení seznamu autoritativních DNS serverů pro danou doménu. Uváděny jsou názvy serverů (tedy jejich doménová jména), nikoliv IP adresy
A= autoritativní záznam, tedy pevné směrování, záznam tohoto typu obsahuje IP adresu protokolu IPv4, IP adresu protokolu IPv6 se udava jako AAAA
CNAME= přezdívka, záznam oznamuje, že daná doména je aliasem domény jiné. Pokud pro nějakou doménu existuje tento záznam, nesmí pro ni existovat žádný další. Smysl záznamu typu CNAME je zřejmý – mít skutečnou IP adresu a případně další záznamy pouze na jednom místě a při jejich změně je nemuset přepisovat u všech domén zvlášť.
MX= kdo je správcem emailu. Záznam uvádí doménový název mailserveru, na který se má doručovat pošta pro tuto doménu. Před názvem serveru se uvádí priorita, která má význam v případě, že MX záznamů pro jeden název je více. V takovém případě se zkouší servery podle vzrůstajícího čísla priority (tj. největší prioritu má server s nejnižším číslem). Pokud nám server neodpoví, zkoušíme další. Druhý a další servery, pokud jsou přítomny, tak slouží jako záložní mailservery. Jsou li priority stejné, je jedno,kterému serveru se zprávy doručí.
SERIAL= určuje časovou posloupnost provedené změny dle data změny+dvouuznaké počítadlo, tedy zde 2005 09.16. 01
SOA= (Start Of Authority record) je speciální záznam, který se musí v každém zónovém souboru vyskytovat právě jednou. Jedná se o jakousi hlavičku, která obsahuje následující informace:
MNAME = název primárního DNS serveru pro danou zónu
RNAME = kontakt na správce zónového souboru – uvádí se e-mailová adresa, ve které je zavináč nahrazen za tečku (protože znak zavináče má v DNS speciální význam)
SERIAL = sériové číslo zóny – jedná se o číselný údaj, který udává verzi zónového souboru; při změně v záznamech se číslo navýší a sekundární DNS servery si při porovnání s číslem, které mají uložené u sebe, zjistí, že došlo ke změně a že je třeba data aktualizovat
REFRESH = počet sekund, po jejichž uplynutí od poslední kontroly či načtení zóny z primárního DNS provede sekundární server kontrolu sériového čísla
RETRY = po zahájení zjišťování sériového čísla z předchozího bodu opakuje požadavek na primární DNS server po uplynutí RETRY sekund, pokud se předchozí požadavek nezdařil (pokud server neodpověděl)
EXPIRE = pokud se nedaří stáhnout sériové číslo z primárního DNS a od posledního úspěšného pokusu uplynulo EXPIRE vteřin, je zóna považována za neplatnou a sekundární DNS server by ji měl vyřadit ze svých záznamů (zapomenout ji)
MINIMUM = položka s historicky mnoha různými významy:
- minimální TTL hodnota pro všechny záznamy v zóně (původní význam)
- výchozí TTL pro záznamy, u kterých není tato hodnota specifikována (druhý význam)
- TTL pro negativní cachování – tj. doba, po kterou si cachovací DNS servery pamatují, že nějaký záznam neexistuje (současný význam)
Další parametry
- TXT – textový řetězec, který může sloužit k libovolnému popisu či k uložení informací ve formátu klíč=hodnota s nejrůznějším významem (viz. RFC 1464)
- SRV – specifikace umístění konkrétní služby (podle čísla portu) na dané doméně (viz. RFC 2782)
- SPF (Sender Policy Framework) – uvedení oprávněných hostitelů v síti Internet, kteří mohou odesílat elektronickou poštu s uvedením odesílatele v této doméně (slouží k boji se SPAMem s podvrženou adresou odesílatele), zatím experimentální RFC 4408
Duplicitní nastaveni DNS údajů
Podobně jako by doména měla mít více záznamů NS (tedy více autoritativních DNS serverů), mohou se i další záznamy vyskytovat vícekrát, tedy více položek stejného typu pro stejnou doménu, avšak s jinou hodnotou. Pokud se na takový záznam dotazujeme, vybereme si jednu ze získaných hodnot a při příštím dotazu se použije hodnota další (a cyklicky pokračujeme, tzv. round-robin). U příkladu MX záznamů pro doménu mff.cuni.cz jsme viděli 2 záznamy se stejnou prioritou. Záleží v podstatě na náhodě, který záznam bude skutečně použit. Stejně tak to lze použít např. u A záznamů, kdy můžeme pomocí DNS systému rozložit webové stránky pro jednu doménu na více IP adres (více serverů).Pokud mají záznamy stejný název domény a typ, musí mít také stejné hodnoty TTL
——————————————————————————————————————————
VZOR postupu nastaveni domény na server
- 1. /etc/bind/primary/ – pridat zaznam pridavane domeny
- 2. /etc/bind/named.conf – pridat zaznam do souboru named.conf
- 3. reloadnuti bindu
tímto by jsme standartně skončili, nicméně pokud je doména i správou pošty pokračujeme dále.
NYNI NASTAVENI POSTOVNIHO PROGRAMU (COURIER)
- 4. nasleduje pridani domeny do mailem hostujicich domen v /etc/courier/hosteddomeins/domain-list – pridat zaznam domeny
- 5. nasleduje pridani domeny do pro akceptovani emailu pridavane domeny v /etc/courier/esmtpacceptmail.dir/mydestination – pridat zaznam domeny
- 6. pridani emailu do /etc/courier/aliases/jmenodomeny
- 7. prikaz: makehostedomain
- 8. prikaz: makeacceptmailfor
- 9. prikaz: makealiases
NYNÍ NASTAVENÍ APACHE
- 10. prejdeme k nastaveni APACHE > V samostatné sekci
Kontrolu nastavení DNS provádíme takto:
whois domena
zjístíme kde jsou k aktuálnímu času záznamy DNS
a potom :
dig domena @ns.server,ktoryBolVratenyZWho
dig nacoseptam @kohoseptam
v nasom pripade napr:
dig @ns.blucina.net turhandl.eu
Tímto zjistíme od správce domény, jak je aktálně nastaven (směrován) záznam DNS zjišťované domény
Reverzní záznamy
Systém DNS neposkytuje pouze mechanismus překladu doménových názvů na IP adresy, ale také naopak překlad IP adres na doménová jména. Toho se dnes využívá zejména při doručování elektronické pošty, kdy si mailserver, který přijímá od klienta zprávu, nejprve přeloží IP adresu klienta na název (čímž se může přibližně dozvědět, o koho se jedná) a poté si získaný název zpětně přeloží na IP adresu. Pokud mu skutečná a získaná IP adresa nesouhlasí, může považovat zdroj zprávy za nedůvěryhodný a odmítnout ho.
Reverzní záznamy mohou sloužit pro kohokoliv jako vodítko při pátrání po původu IP adresy. Mějme situaci, kdy jsme zjistili, že se na náš počítač pokoušel připojit nějaký útočník z IP adresy 88.100.88.36. Zeptáme-li se na reverzní záznam k této IP adrese, dozvíme se název „36.88.broadband5.iol.cz“ a z toho si ihned vyvodíme, že je útočník připojen nejspíše přes ADSL od poskytovatele IOL.cz. Reverzní záznamy je však třeba brát s rezervou, nemusí odpovídat skutečnosti.
Jak se však převede IP adresa na reverzní záznam? IP adresy jsou organizovány od nejobecnějšího ke konkrétnějšímu zleva doprava, tedy naopak než u doménových názvů. Řešení je snadné – IP adresu napíšeme obráceně a na konec přidáme speciální doménu in-addr.arpa. Vznikne nám platné doménové jméno, které lze opět rozložit na jednotlivé úrovně ve stromové struktuře: 36.88.100.88.in-addr.arpa. Autoritativními DNS servery domény „in-addr.arpa“ jsou stejné jako kořenové DNS servery.
U delegace názvů v doméně „in-addr.arpa“ je podstatný rozdíl, protože je třeba respektovat způsob přidělování IP adres. Celý rozsah IP je rozdělován několika mezinárodním organizacím (podle kontinentů), ty je přidělují ISP a ti je přidělí svým zákazníkům. Ukažme si to např. na IP adrese 195.113.20.9. Následují výpis postupného dotazování DNS serverů (pro zjednodušení byly vypuštěny některé nezajímavé řádky a sloupce výpisů):
195.in-addr.arpa. NS ns3.nic.fr. 195.in-addr.arpa. NS sec1.apnic.net. 195.in-addr.arpa. NS sec3.apnic.net. 195.in-addr.arpa. NS sunic.sunet.se. 195.in-addr.arpa. NS ns-ext.isc.org. 195.in-addr.arpa. NS ns-pri.ripe.net. 195.in-addr.arpa. NS tinnie.arin.net. ;; Received from 128.63.2.53#53(H.ROOT-SERVERS.NET) 113.195.in-addr.arpa. NS ns.ces.net. 113.195.in-addr.arpa. NS ns.ripe.net. 113.195.in-addr.arpa. NS ns.cesnet.cz. ;; Received from 192.134.0.49#53(ns3.nic.fr) 20.113.195.in-addr.arpa. NS ns.ms.mff.cuni.cz. 20.113.195.in-addr.arpa. NS sns.ms.mff.cuni.cz. ;; Received from 195.113.144.233#53(ns.ces.net) 9.20.113.195.in-addr.arpa. PTR barbora.ms.mff.cuni.cz. ;; Received 1from 195.113.20.71#53(ns.ms.mff.cuni.cz)
Zde vidíme, že rozsah IP adres 195.113 je celý delegován CESNETu, rozsah IP adres 195.113.20 je celý delegován MFF UK na Malé Straně a nakonec nám DNS server ns.ms.mff.cuni.cz sdělí, že reverzní záznam pro tuto IP adresu je barbora.ms.mff.cuni.cz. Z uvedeného výpisu lze zjistit spoustu užitečných informací o zkoumané IP adrese.