Servicios básicos de la red

Transcripción

1 Servicios básicos de la red Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos Servicios básicos de la red! Ya hemos visto:! DHCP! Acceso remoto: SSH! Administración de DNS! Domain Name System: sistema de nombres de dominio! Sincronización de tiempo: NTP! Network Time Protocol! Cortafuegos! iptables

2 ADMINISTRACIÓN DE DNS Índice! Definición del servicio! Configuración de un cliente! Configuración de un servidor! Arquitecturas de servicios de nombres! Administración de dominios! Herramientas! Aspectos de seguridad

3 /etc/hosts! Establecía una correspondencia entre nombres y direcciones IP localhost localhost.localdomain servidor servidor.adminlibre.dit.upm.es iquitos iquitos.adminlibre.dit.upm.es nauta nauta.servicios.aminlibre.dit.upm.es requena requena.servicios.adminlibre.dit.upm.es yurimaguas yurimaguas.servicios.adminlibre.dit.upm.es lima lima.adminlibre.dit.upm.es cuzco cuzco.imasd.adminlibre.dit.upm.es ica ica.imasd.adminlibre.dit.upm.es huaraz huaraz.imasd.adminlibre.dit.upm.es sanson dns sanson.dit.upm.es dns2 dns2.dit.upm.es! Contenía información de cada equipo! Demasiadas direcciones IP en uso hoy en día (>400M)! Cómo sincronizar los nombres con las direcciones IP? Servicio de nombres! DNS (Domain Name Server) (RFC1034, RFC1035)! Ampliado posteriormente para incluir muchas extensiones: Internacionalización acentos, ñ, caracteres chinos. Seguridad: DNSSEC! Establece una correspondencia dinámica entre nombres y direcciones IP.! Consiste en una base de datos distribuida por toda la Internet.! Se gestiona de forma descentralizada y redundante Sin ningún punto único de fallo! El esquema de distribución es jerárquico! Fácil de usar en las aplicaciones (gethostbyname())! Espacio de nombres es global! Escalable No hay tamaño máximo de la base de datos (.com 60Millones) No hay límite de preguntas ( en HW normal)

4 Servicio de nombres! Almacena! Direcciones IPv4! Direcciones IPv6! Nombres búsquedas inversas! Almacena información adicional! Se puede utilizar para otros fines! Almacenamiento de características de máquinas! Configuración de servicios Servidor de nombres Servidor de voip! Claves públicas! Información de contacto Enum: mapeo de números de telefono! Modelo de información! Jerárquico en árbol invertido! Base de datos de información de dominios (DIB). mil edu gov int com net org us es jp uk nsf cisco sun isoc ole upm ac www ftp dit etsit sanson.dit.upm.es -> sanson jungla

5 Desde la raíz! Raíz:.! TLDs: Top Level Domains! gtld: generic TLD Originalmente:.com,.net,.org,.edu,.gov y.mil Ahora:.aero,.museum,.cat,.info,.biz,.! cctld: country code TLD.es,.uk,.de,.us,.cn,.! Segundo nivel: empresas, personas,! Tercer nivel:! Nombres de equipos! Nombres de servicios: www, ftp,! Más subdominios Definición de dominio! FQDN está subdividido en dominios mediante el.! Control administrativo de cada subdominio puede delegarse! sanson.dit.upm.es.! Dominio raíz o. -> ICANN! Dominio.es -> Red.es! Dominio upm.es ->! Dominio dit.upm.es -> depto DIT! Tras la internacionalización cada nombre de dominio puede estar compuesto de! 0-9, a-z y! Unicode: bücher.ch se escribe como xn--bcher-kva.ch! OJO: paypal.com puede confundirse con paypal.com! En /etc/resolv.conf! Completa el nombre dado en /etc/hostname

6 Modelo de información DNS inverso! Jerárquico en árbol invertido! Base de datos de información de direcciones IP in-addr.arpa in-addr.arpa. ->sanson.dit.upm.es Resolución de nombres Aplicación cliente Máquina cliente Máquina servidor Resolver Servidor de nombres TCP/IP TCP/IP

7 Configuración y administración! Configuración de los clientes! Resolver! En las aplicaciones! En el sistema gethostbyname() gethostbyaddr() como un gancho en el núcleo como un proceso en el sistema! Configuración de un dominio! Delegado en otro dominio! Dominio en un solo servidor! Dominio en varios servidores arquitectura de la base de datos distribuida Administración de un cliente Resolver de DNS

8 Configuración del cliente! Configurando el resolver se configuran todas las aplicaciones! gethostbyname(), gethostbyaddr()! FQDN! Full Qualified Domain Name: nombre completo hasta la raiz.! servidor.adminlibre.dit.upm.es.! Orden de traducción de nombres! host.conf order order hosts,bind hosts, bind multi multi on on! nsswitch.conf hosts files mdns4_minimal dns mdns4 hosts files mdns4_minimal dns mdns4! hosts/files Entradas locales con el formato: <IP nombre alias FQDN> Configuración del resolver local! En UNIX está en /etc/resolv.conf! domain! search! nameserver! sortlist! options! Todas las aplicaciones se comportan igual domain adminlibre.dit.upm.es search adminlibre.dit.upm.es dit.upm.es nameserver nameserver ! Cuál es nuestro dominio?! hostname! hostname -f

9 /etc/resolv.conf - search! Sirve para facilitar la búsqueda de un nombre.! Simplifica la identificación de una máquina:! lince! lince.dit.upm.es.! El dominio por defecto determina la lista de búsqueda por defecto.! Sin punto se añade el dominio por defecto! Con punto: primero se busca sin dominio si falla se añade el dominio por defecto! La lista de búsqueda permite buscar en más de un dominio! search dit.upm.es lab.dit.upm.es /etc/resolv.conf - nameserver! El resolver inicia las búsquedas según lo definido en /etc/nsswitch.conf! Mirando el fichero local /etc/hosts! Conectando con el servidor de nombres local.! Como no es necesario tener un servidor de nombres en todas las máquinas se debe seleccionar al menos uno.! nameserver ! Cuando falla el acceso al servidor no se vuelve a buscar en /etc/hosts! El resolver siempre busca en el mismo orden

10 /etc/resolv.conf - sortlist! Si la respuesta a una petición contiene varios alternativas se puede indicar cual es la preferida! sortlist / ! sortlist ! sortlist / / Administración de un servidor DNS

11 Tipos de acceso a Internet! Sin ningún tipo de acceso! Se pueden utilizar dominios inventados! Acceso completo! Hay que estar registrado en un dominio público! Enganchado al árbol invertido del DNS! Conectado con el resto de la BD mundial desde.! Acceso limitado por un corta-fuegos! Se puede operar con una parte pública y otra privada Servidores! Autoritario de una zona o dominio! Master: servidor primario! Slave: servidores secundarios! Servidor recursivo! Pregunta a servidores primarios hasta hallar la respuesta que devuelven al cliente! Disponen de una caché para responder más rápidamente en sucesivas preguntas sobre el mismo dominio Entradas en la caché sólo es temporal (TTL)! Forwarders! Servidor que re-envía preguntas de DNS a otro servidor recursivo! Puede tener caché! Situado dentro detrás del cortafuegos

12 Operativa del servicio! A?! A? ! lo sabe cctld.es!! Servidor recursivo! Servidor raíz!! Servidor dominio upm.es Servidor cctld.es Servidor con caché A? Servidor recursivo con caché A?

13 Servidor DNS: BIND! UNIX! BIND 9! BIND 10 en desarrollo actualmente! Instalar $ apt-get install bind9! También para otros sistemas operativos! FreeBSD, Windows XP, 2003, 2008! Solaris, Mandrake, Debian, Mac OS X,! Ficheros de configuración: /etc/bind/! Ficheros de configuración del servidor! Ficheros de zonas y sus recursos Configuración! Servidor lee la configuración de named.conf! Qué zonas sirvo como primario o secundario conversión de nombres a direcciones conversión de direcciones a nombres (reverse mapping)! Qué información de traza dejo! Opciones! Fichero de hints: db.root! Como contactar con un servidor de la raíz.! Master tiene un fichero de datos por cada zona que sirve como primario: db.zona! Con el nombre de la zona, directo o inverso! Contiene la información de cada recurso de la zona

14 Registros de recursos! DNS mapea nombres a Registro de Recursos (RR)! información asociada a cada nodo! RR: es una tupla <Owner TTL Class Type Value>! Owner nombre de dominio, propietario del RR! TTL time to live, cuánto tiempo puede estar un RR en la copia caché antes de ser descartado! Class identifica a una familia de protocolos (IN en Internet) Registros de recursos <Owner TTL Class Type! Type tipo de recurso A IPv4 Address MX Mail exchanger NS Name Server CNAME Canonical Name HINFO Host information PTR Pointer SOA Start Of a zone of Authority! Value datos, depende del tipo de RR Value> A Dirección IP de 32 bits MX Preferencia + nombre de dominio NS Equipo con autoridad sobre el dominio CNAME Nombre de la máquina (no un alias) HINFO Máquina, S.O. PTR DNS inverso: para un IP su nombre de dominio SOA Campos que identifican características de la zona

15 Ficheros de registros - SOA! Información sobre autoridad de la zona! Información de contacto del dueño de la zona Un equipo y un humano!! Número de serie Incrementado al realizar un cambio en la zona, indica la versión más reciente Puede ser una fecha: AAAAMMDDXX! Intervalo de refresco Cada cuanto tiempo comprueba un esclavo si el número de serie ha cambiado! Intervalo de reintento Si el intento de comprobación del número de serie ha fallado, cuanto tiempo debe esperar antes de volver a intentarlo! Intervalo de expiración Si en este intervalo no se ha podido contactar con el master, dejar de ser autoritario para esta zona! Caché negativo Cuanto tiempo se guarda en la caché un resultado negativo Ficheros de registros - SOA! Ejemplo de SOA Servidor master Contacto humano correo@exmpl.org exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( ; número de serie ; refresh 3h 3600 ; retry 1h ; expire 1w ) ; ncache 3h! O también con un formato más humano exmpl.com. IN SOA ns.exmpl.com. correo.exmpl.org. ( h 1h 1w 3h );

16 Ficheros de registros - NS! NS indica un servidor de nombres de la zona! Se usa para delegar una zona a otro servidor! Es conveniente tener más de uno! RR de esa zona están en otro servidor Atención al punto final subdom.exmpl.com. IN NS subdom.exmpl.com. IN NS Último punto es imprescindible servidor.otrodom.com. servidor2.otrodom.com Ficheros de registros - A! A conversión nombre a dirección IPv4! Proporciona el mapeo entre el owner y el número IP! Puede haber más de un número IP Se va rotando entre los disponibles en cada respuesta equipo.exmpl.com. IN A A equipo2 IN A Si no acaba con. se le añade el dominio de la zona

17 Ficheros de registros - CNAME! CNAME nombres canónicos! Indican a un resolver que el RR pedido es de un alias y que la información se halla bajo otro nombre! Es el único RR que debe existir de un nombre alias.exmpl.com. IN CNAME real.exmpl.com.! Pregunta:! Respuesta:! Nueva Pregunta:! Nueva respuesta: alias.exmpl.com A? alias.exmpl.com CNAME real.exmpl.com real.exmpl.com A? real.exmpl.com A Ficheros de registros - MX! MX servidor de correo de un dominio! Permite encaminar el correo electrónico a un servidor de correo del dominio! Permite indicar más de un servidor de correo para balanceo de carga Pero hay que indicar su coste ; menor coste más prioridad upm.es. IN MX 5 rly.upm.es. IN MX 10 relay.upm.es. IN MX 30 relay4.upm.es. IN MX 50 correo.upm.es

18 Ficheros de registros - PTR! PTR conversión dirección a nombre! Mapeo inverso de nombre a dirección IP! Están en la zona in-addr.arpa.! Para un registro directo equipo2 IN A ! Debe haber un registro inverso in-addr.arpa. IN PTR equipo2.exmpl.com Abreviaturas! El nombre del servidor primario se añade a todos los nombres no completos (que no terminan en.) lince.dit.upm.es. IN A lince IN A in-addr.arpa. IN PTR lince.dit.upm.es. 171 IN PTR lince.dit.upm.es.! No olvidar el. en los nombres completos! lince.dit.upm.es IN A ! equivale a lince dit.upm.es.dit.upm.es

19 Abreviaturas de nombres! El nombre de dominio se puede reducir! Se puede asumir el nombre y TTL anterior! selva IN A ! IN A ! Los nombres no pueden incluir el _! Solo se puede utilizar en las direcciones de correo Servidor de nombres secundario! Es necesario tener al menos un servidor de nombres esclavo del primario! Muchas veces hay más de dos! La raíz tiene 13: A, B, C, M! Sirve para repartir carga! Sirve para obtener distribución geográfica! Diferencias! el primario tiene la información local en ficheros db.zona! El secundario (esclavo) obtiene la información replicando la base de datos del master Transferencia de zona completa: AXFR Transferencia de zona incremental: IXFR

20 named.conf! Consta de varias secciones! options {};! logging {};! zone {};! Opciones! Hay muchas options { directory /etc/named ; // donde están las BBDD recursion yes; // soy servidor recursivo }; named.conf! Logging! Dejar trazas de la operación del servicio! Trazas de distintas categorías pueden ir a distintos canales de logging! Categorías predefinidas config problemas de configuración notify problemas con notificación a secundarios update problemas de modificación de la BBDD security problemas de seguridad Default! Canales predefinidos default_syslog trazas van a syslog default_debug sólo deja trazas si se arranca en modo debug default_stderr deja trazas a STDERR null no registra

21 named.conf - logging! Canales propios! Se pueden definir canales propios logging { channel mi_canal_de_trazas { file fichero.log }; // donde escribo trazas versions 3 // cuantas versiones del fichero size 20m; // tamaño máximo de fichero print-time yes; // traza de tiempo print-category yes; // indica la categoría }; category config { mi_canal_de_trazas, default_syslog }; named.conf - zone! zone! Configuración de la zona que va a servir! Type tipo de servicios! master Hay que indicar el fichero donde está la zona! slave Indicar las direcciones de los primarios Fichero donde guardar la información en caso de fallo del primario! hint Fichero donde se guarda las direcciones de los servidores de la raíz Sólo se usa al arrancar! forward Cualquier pregunta será re-enviada a otros resolvers Indicar las direcciones de estos resolvers

22 named.conf - zone! Zonas zone zona_primario IN { type master; file zona_primario ; }; zone zona_secundario IN { type slave; file zona_secundario ; master { ; ; }; }; zone zona_forward IN { type forward; forwarders { ; ; }; }; zone. IN { type hint; file db.hints ; }; Herramientas de diagnóstico

23 dig! Herramienta de diagnóstico de DNS! Similar a nslookup o host! La respuesta de dig es muy similar al contenido de un fichero de zona de configuración de un dominio.! Uso: dig <host> RR <host> RR $ dig tuenty.com. A $ dig gmail.com. MX $ lima A $ PTR dig $ dig tuenty.com a ; <<>> DiG APPLE-P2 <<>> tuenty.com a ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;tuenty.com. IN A ;; ANSWER SECTION: tuenty.com IN A ;; AUTHORITY SECTION: tuenty.com IN NS dns4.servidoresdns.net. tuenty.com IN NS dns3.servidoresdns.net. ;; ADDITIONAL SECTION: dns3.servidoresdns.net IN A dns4.servidoresdns.net IN A ;; Query time: 59 msec ;; SERVER: #53( ) ;; WHEN: Mon Mar 22 16:13: ;; MSG SIZE rcvd:

24 named-checkconf! Chequea la sintaxis del fichero named.conf! No chequea la semántica!! Sin arrancar el servidor $ named-checkconf fichero_configuración named-checkzone! Chequea la sintaxis del fichero de la zona! No chequea la semántica!! Sin arrancar el servidor $ named-checkzone zona fichero_zona

25 rndc! Permite conectar con un servidor activo! Autentica mediante una clave para verificar la autorización: /etc/named/rndc.key! Órdenes! rndc stop kill server! rndc status show information! rndc stats generate stat file! rndc reconfig re-read configuration! rndc reload reload a zone (or more)! rndc trace increase debug level! rndc flush clear cache data $ rndc k <fichero_clave> -s <servidor> <orden> Mantenimiento de un servidor DNS

26 Añadir y quitar máquinas! Actualizar siempre el primario! si se actualiza el secundario se pierde el cambio con la siguiente actualización! Fichero /etc/bind/db.zona! Actualizar el número de serie!!! Añadir los registros nuevos! Usar las utilidades para chequear sintaxis! Relanzar el servidor de nombres! kill -HUP `cat /var/run/named/named.pid`! O con rndc! El primario (master) se encarga de notificar a los servidores secundarios (slaves)! Con mensajes NOTIFY Cuando añadir un subdominio! Cuando es necesario delegar o distribuir la gestión entre varios grupos (organizaciones)! Cuando el tamaño del dominio es muy grande! al dividirlo se simplifica la gestión! se reduce la carga en el servidor! Cuando es necesario distinguir las máquinas dentro de una organización por grupos

27 Forwarders! Cuando un sitio tiene una conexión de baja capacidad con Internet! Interesa minimizar al máximo las peticiones fuera y mantener una cache local Servidor buscado Forwarder Clientes Servidor local Seguridad del servicio DNS DNSSEC! Evitar un envenenamiento de la caché! Asegurarse de que la respuesta viene del servidor autoritario! Se requieren nuevos RR: para las claves,! La zona de la raíz va firmada por una clave privada! La clave pública de la raíz es conocida! En fase de despliegue! Cada zona delegada debe pedir que su clave pública sea firmada por la zona padre! La raíz firma las claves públicas de los cctlds y gtlds! Cada zona delegada debe firmar los registros de su zona y las claves de subdominios delegados! Los Resolver deben conocer los nuevos RR y saber verificar las firmas del sistema de confianza

28 Seguridad del servidor! Protegerse contra ataques maliciosos! utilizar versiones modernas protegidas! Evitar la transferencia de zonas por terceros no autorizados en los primarios! Usando una clave TSIG en los servidores secundarios! Evitar la transferencia de zonas completamente en los servidores secundarios! No ejecutar el servidor como root! Evitar las peticiones recursivas en los servidores de nombres delegados! para evitar el spoofing! No se puede evitar la recursión en los forwarders! limitar las peticiones a un grupo! allow-query { 138.4/16; }; ADMINISTRACIÓN DE NTP

29 Sincronización de tiempo! Necesaria para el buen funcionamiento de muchos servicios! Correo electrónico! Sistemas de ficheros distribuidos! Protocolos de seguridad con marcas de tiempo! NTP! Protocolo para sincronizar el tiempo entre múltiples máquinas! Sincroniza con una diferencia de un máximo de 10 milisegundos! Utiliza un GPS o la sincronización con varios servidores remotos que se ajustan! Hay muchos servidores públicos Arquitectura del servicio NTP! Basado en un sistema de jerarquía de estratos de reloj! Stratum 0: maestro de tiempo conectados a un ordenador! Reloj atómico! GPS! Stratum 1: equipos conectados a un ST0! Stratum 2: sincronizan con uno o más ST1! Stratum 3: conectado con uno o más ST2! Hasta ST

30 Configuración NTP! /etc/ntp.conf server servidor [key clave] [prefer] peer servidor [key clave] restrict servidor mask mascara nomodify notrap! Server: IP o FQDN Sólo uno puede tener la etiqueta prefer Puede haber múltiples servidores con los cuales se comporta como cliente! Peer: IP o FQDN Multimples líneas de peer posibles Activa una asociación simétrica con el peer; intentará minimizar la diferencia de tiempo entre todos los peer! Opción key: para autenticar la conexión! Restrict: control sobre quíen usa el servidor Utilidades NTP! Programas de monitorización! ntpq! xntpdc ntpq> peers remote refid st t when poll reach delay offset jitter ========================================================= *time.euro.apple u ! Sincronización puntual de un cliente! ntpdate! Para descubrir fuentes de sincronización! ntptrace

31 ADMINISTRACIÓN DE CORTAFUEGOS iptables iptables! Cortafuegos controlable en cada equipo! Permite a los administradores definir TABLAS que contienen cadenas de reglas! Cada TABLA está asociada con un tipo de procesado de paquetes diferente! Los paquetes se procesan analizando secuencialmente todas las reglas de una tabla! El origen de cada paquete determina que cadena de reglas se procesa primero! Hay 5 cadenas predefinidas con una política por defecto aplicada al final de las reglas (ej. DROP)

32 Iptables cadenas predefinidas! PREROUTING! Paquetes analizan esta cadena antes de tomar una decisión de encaminamiento! INPUT! Paquetes recibidos por una interfaz y con entrega directa! FORWARD! Todo paquete que debe ser encaminado analizará esta cadena! OUTPUT! Paquetes que son enviados por el equipo analizarán esta cadena! POSTROUTING! La decisión de encaminamiento se ha tomado. Los paquetes analizarán esta cadena antes de ser pasados al hardware Reglas! Ejecución en vivo iptables [-t tabla] comando [comparación (match)] [objetivo/salto (target/jump)]! Incluirá una regla en la tabla indicada! Comandos! -A cadena: añade una regla a la cadena predefinida! -D cadena: elimina una regla de la cadena predefinida! -R cadena: reemplaza una regla de la cadena predefinida! -I cadena: inserta una regla en la posición indicada! Comparación (match)! -s IP: la dirección de la fuente del paquete es IP! -d IP: la dirección de destino del paquete es IP! -i interfaz: la interfaz de origen es interfaz! -o interfaz: la interfaz de salida es interfaz! -p tcp: el protocolo de transporte es tcp

33 Reglas iptables [-t tabla] comando [comparación (match)] [objetivo/salto (target/jump)]! Objetivo/salto! Si una regla encuentra un paquete que cumpla con la comparación se ejecuta el objetivo! ACCEPT! DROP! LOG! Ejemplo iptables -A INPUT -p udp --sport 53 -j ACCEPT # acepta queries DNS iptables -A INPUT -p tcp --dport 80 -j ACCEPT # acepta peticiones HTTP iptables -A INPUT -j DROP # tira todos los demás paquetes Cargar cortafuegos! Una vez las reglas funcionan guardarlas en un fichero iptables-save > /etc/iptables.test.rules! Verificar las reglas! Cargar las reglas iptables-restore < /etc/iptables.up.rules