iesvenancioblanco-DNS_EXAMEN.pdf

8/16/2019 iesvenancioblanco-DNS_EXAMEN.pdf

1/40

SERVICIOS DNS


2/40

INTRODUCCIÓN En una red TCP/IP las máquinas se identifican mediantesu dirección IP .Trabajar con direcciones IP es incómodo para las personas,ya que requeriría conocer en todo momento las direcciones

IP de los equipos a los que queremos conectarnos. En sulugar utilizamos nombres que son más fáciles de recordar yutilizar como por ejemplo:www.google.es, www.mec.es ,etc… Cada equipo y cada servidor conectado a Internet, dispone

de una dirección IP y de un nombre perteneciente a undominio. Internamente, la comunicación entre losordenadores se realiza utilizando direcciones IP por eso esnecesario algún sistema que permita, a partir de losnombres de las máquinas, averiguar las direcciones Ip´s. 2

I E S " V

en

an c i oBl an

c o"

http://www.mec.es/http://www.mec.es/


3/40

Ejemplo, cuando queremos acceder a la página web delMEC (Ministerio de Educación), en la barra de direccionesdel navegador escribimos:

http://www.mec.es

Nuestro ordenador tendrá que averiguar cual es la IPcorrespondiente a www.mec.es y una vez que haaveriguado que su IP es 193.147.0.29, se conecta conel servidor para adquirir la página web principaly mostrarla al usuario.

Si en el navegador escribimos:http://193.147.0.29 ahorraremos el paso de averiguar la IP y directamente nos

mostrará la página web del MEC.3

I E S " V

en

an c i oBl an

c o"

http://193.147.0.29/http://193.147.0.29/


4/40

SISTEMA DE NOMBRES PLANOS Cuando los servidores eran pocos, los hots tenian la

lista de nombre de domino completa y laactualizaban diariamente.

Todavía podemos usarlo a nivel local (LAN).Los ficheros son:

Linux: /etc/hostsWindows XP, 2003,2008 o 7:

C:\windows\system32\drivers\etc\hosts

4

I E S " V

en

an c i oBl an

c o"


5/40


6/40

LINUX ejemplo# cat /etc/hosts127.0.0.1 localhost201.24.31.87 pc1.sri.iesvb.com pc1

201.24.31.105 pc2.sri.iesvb.com pc2201.24.31.106 pc3. sri.iesvb.com pc3

Las aplicaciones que acceden al sistema DNSconsultan inicialmente el fichero /etc/host dondeestá la correspondencia nombre-@IP.

Si no puede resolver el nombre, entonces intentacontactar con un servidor DNS. 6

I E S " V

en

an c i oBl an

c o"


7/40

PROTOCOLO DNS Paul Mockapetris definió en1986 el protocolo DNS( Domain Name System o Sistema de Nombres de

Dominio ) que se encarga en definirdirecciones dedominio, formadas por cadenas de caracteres yconvertirlas en direcciones binarias de transporte.En su concepción original el protocolo DNS se pensócomo unabase de datos que asociara las direccionesIP en Internet con nombres textuales fáciles derecordar para las personas.Cuando un usuario quiere referirse a una máquina deInternet, usará su nombre, e internamente el sistemaDNS se encarga de averiguar la dirección IP asociada,que es el dato que utilizan los protocolos de red paraestablecer la comunicación con el extremo remoto 7

I E S " V

en

an c i oBl an

c o"


8/40

Sin embargo el DNS dispone demásinformación que las equivalencias entre cadanombre de máquina y su dirección IP en Internet.En ocasiones resulta necesario poderaveriguarel nombre de una máquina a partir de sudirección IP (por ejemplo, en loslog de muchosprogramas sólo aparecen direcciones IP, nonombres de máquina), y DNS también permiteaveriguar esta información.O cuando enviamos un correo electrónicodebemos averiguar cuál es ladirección delservidor de correo del destinatario a partir dela dirección de correo del destinatario: el DNStambién se encarga de almacenar y proporcionaresta información.

8

I E S " V

en

an c i oBl an

c o"


9/40

CONCEPTOS BÁSICOS.

Espacio de nombres de dominioEl servicio DNS podría verse como una gigantesca

base de datos distribuida por todo Internet,estructurada de forma jerárquica (en forma deárbol), donde cada servidor almacena sólo unapequeña parte del total de los datos (piensa en eltamaño que puede tener el conjunto de todos losdatos a almacenar...). Este árbol sueledenominarse espacio de nombres de dominio .

9

I E S " V

en

an c i oBl an

c o"


10/40

Cada nombre de dominio es una rama delespacio de nombres de dominio.

El árbol comienza en elnodo raíz o de nivel 0 ,situado en el nivel superior, del que cuelga unnúmero indeterminado de nodos o dominios deprimer nivel (TLD). Gestionados, bien pororganizaciones específicas para ello, bien pororganizaciones gubernamentales.

De cada nodo de primer nivel colgarán a su vez

una serie de nodos desegundo nivel ,gestionados por entidades particulares, y asísucesivamente (normalmente se utilizan hastacinco niveles).

10

I E S " V

en

an c i oBl an

c o"


11/40

11

I E S " V

en

an c i oBl an

c o"


12/40

Los nodos se identifican mediante nombres quepueden contener hasta 63 caracteres, excepto elnodo raíz que se identifica por unnombre nulo“.” .El nombre completo de un nodo está formado porel conjunto de nombres que forman la trayectoriadesde ese nodo hasta el raíz.Como separador de nombres se emplea elcarácter punto. Así elnombre de cada nodo se identifica deforma única dentro de la jerarquía del espacio denombres de dominio. Este nombre de dominiocompleto se conoce comoNombre de DominioCompletamente Cualificado o FullyQualified Domain Name (FQDN) .p.e. www.rediris.es

12

I E S " V

en

an c i oBl an

c o"


13/40

Los dominios deprimer nivel (TLD, Top Level

Domain) son de dos tipos : genéricos y de paísDominios genéricos u organizativos (gTLD) :.edu: Instituciones educativas..com: Organizaciones comerciales..org: Organizaciones no comerciales..net: organizaciones dedicadas a Internet y a lastelecomunicaciones..gov: Organizaciones gubernamentales..int: Organizaciones internacionales..mil: Organizaciones militares.

13

I E S " V

en

an c i oBl an

c o"


14/40

Dominios propios a cada país (geográficos,ccTLD) , que corresponden a las siglas con las

que se denomina a cada uno de los países segúnla nomenclatura seguida por la ONU (.es, .uk, .ar,etc). Dichos dominios son gestionados según lapolítica que cada país crea conveniente.

Los dominios que cuelguen de algunos de estosdominios de primer nivel, deberán estardestinados a las actividades a las que se destinansu dominio padre. Esto no es cierto para los dominios .com, .org,.net, ya que hoy en día cualquiera puede adquirirun dominio que derive de algunos de éstos, sintener que demostrar que va a estar destinado aninguna tarea en especial. 14

I E S " V

en

an c i oBl an

c o"


15/40

El sistema de nombre de dominio tambiénpermite identificar usuarios.

Sólo hay que añadir su nombre en la parteizquierda seguido de @. [email protected]

ICANN es el organismo responsable de la gestióndel espacio de nombres de dominio.http://www.icann.org/tr/spanish.htmlESNIC departamento de Red.es, es la autoridadcompetente para la gestión del Registro denombres de dominio de Internet bajo el código depaís ’.es’, conforme a los procedimientos delICANN

http://www.nic.es/index.action15

I E S " V

en

a

n c i oBl an

c o"

mailto:[email protected]:[email protected]://www.inteco.es/Seguridad/Observatorio/area_juridica_seguridad/Enciclopedia/Articulos_1/Redesmailto:[email protected]://www.inteco.es/Seguridad/Observatorio/area_juridica_seguridad/Enciclopedia/Articulos_1/Redesmailto:[email protected]:[email protected]:[email protected]


16/40

DELEGACIÓN DE DOMINIOS

DNS es una base de datos distribuida y, portanto, permite su administracióndescentralizada. La delegación de dominios es el mecanismoque permite llevar a cabo dicha administracióndescentralizada, de modo que, un dominio puedeser dividido ensubdominios por eladministrador del dominio yel control de cadasubdominio puede ser delegado .La condición es que la autoridad que asume ladelegación, asume con ello la responsabilidad demantener actualizados los datos (registros derecursos) de dicho subdominio. 16

I E S " V

en

a

n c i oBl an

c o"


17/40

Esto no significa que el dominio 'padre' sedesentienda de los subdominios: si al dominiopadre se le plantean consultas acerca de nombresincluidos en alguno de sus subdominiosdelegados, deberá ser capaz de responder a ellas.Por otra parte, hay que tener claro que la divisiónde un dominio en subdominios no siempreimplica la cesión de la autoridad sobre ellos (eldominio puede mantener la autoridad sobreellos).

17

I E S " V

en

a

n c i oBl an

c o"


18/40

EjemploDe esta manera el gestor del dominio.com puededelegar la gestión del subdominio“srivb", demanera que el receptor de esta delegación podrágestionar a su antojo los nombres de dominio apartir de “srivb.com" .

Lo cual no impide que la autoridad que gestiona.es haga lo propio y delegue la gestión delsubdominio“srivb” , de manera que el receptorpodrá gestionar sin impedimentos los nombres apartir de “srivb.es".

18

I E S " V

en

a

n c i oBl an

c o"


19/40

A todos los efectos los dominios“srivb.com " y“srivb.es " son distintos, no tienen porqué estar

delegados a la misma autoridad, y sus contenidosno tienen porqué guardar relación alguna.Por ejemplo, para obtener la gestión del dominio“srivb.com " hay que solicitarlo a la autoridad

que gestiona el TLD.com (con la mediación deun registrador de Internet).Pero una vez concedido el dominio, puedogestionarlo a mi antojo. Por ejemplo, puedo crearun nombre de máquina "www" dentro de midominio (es decir, www.srivb.com ) y asociarlocon la dirección IP del servidorweb que hospedalas páginas.

19

I E S " V

en

a

n c i oBl an

c o"


20/40

O puedo crear una máquina llamada "smtp",cuyo nombre completo o FQDN (Fully Qualified

Domain Name ) será "smtp.srivb.com" que seencargue de recoger el correo electrónicodestinado a las direcciones de correo del dominio“srivb.com".Incluso puedo definir no un nombre de máquinasino un subdominio completo , por ejemplo“pruebas.srivb.com " que delego a otra entidad

para que lo gestione, proporcionándome lasdirecciones IP de los servidores DNS quealbergarán la información de dicha zona.

20

I E S " V

en

a

n c i oBl an

c o"


21/40

DOMINIOS Y ZONAS

El servidor de nombres almacena información acerca dealgunas partes del espacio de nombres de dominio. Cada una de esas partes se denomina zona . Unservidor DNS puede almacenar información sobrevarias zonas. Diremos, entonces, que el servidortieneautoridad sobre dichas zonas .Cada zona se define en la práctica como un archivoque contiene determinadosregistros de la base dedatos del espacio de nombres de dominio , quepueden incluir a uno o más dominios . Dichainformación es la que permite responder a laspeticiones de los clientes.

21

I E S " V

en

a

n c i oBl an

c o"


22/40

Pero, ¿cuál es la diferencia entre un dominio y unazona?

El dominio es una rama del espacio denombres de dominio , es decir, un nodo con

todos los nodos por debajo de él. El dominiocontiene nombres de máquinas y otrossubdominios.

El concepto dezona se refiere más bien a la formaen la que se distribuye el control sobre elespacio de nombres. Como dijimos, una zona esuna porción del espacio de nombres que controlaun determinado servidor DNS. Por tanto, cuandose delega la autoridad de un subdominio, se estádefiniendo una nueva zona.

22

I E S " V

en

a

n c i oBl an

c o"


23/40

23

I E S " V

en

an

c i oBl an

c o"


24/40

TIPOS DE SERVIDORES DNS

Los servidores de nombres pueden clasificarse en trestipos:Servidor primario : almacena los registrosoriginales de las zonas. Cualquier modificación sobrela información de una zona se lleva a cabo sobre elservidor primario.Servidor secundario : obtiene información de suszonas de otro servidor (generalmente primario). Sepuede decir que almacenan una copia de 'sólo lectura'de los archivos de zona. El servidor secundarioactualizará periódicamente dicha informaciónsolicitando una transferencia de zona alcorrespondiente servidor primario.

Tanto los servidores primarios como secundarios seencargan de responder a peticiones procedentes tantode clientes DNS como de otrosservidores DNS. 24

I E S " V

en

an

c i oBl an

c o"


25/40

25

I E S " V

en

an

c i oBl an

c o"


26/40

Servidor caché : se utilizan para acelerar las

consultas, respondiendo exclusivamenteconsultas de losclientes DNS . No tienenautoridad sobre ninguna zona (únicamentealmacenan información sobre peticiones querecibieron previamente).Cuando reciben una consulta, si tienenalmacenada en caché la respuesta, se laproporcionan al cliente y, de lo contrario, labuscan consultando a otros servidores DNS,almacenándola en caché para posteriorespeticiones.

26

I E S " V

en

an

c i oBl an

c o"


27/40

RESOLUCIÓN DIRECTA Y RESOLUCIÓN INVERSA

La resolución de nombres puede ser:Resolución directa , que consiste en consultarla IP o IP's que corresponden a un determinadonombre de dominio.Resolución inversa , que consiste en, dada unaIP , consultar su nombre de dominio. Es usadapor los protocolos RARP (Reverse AddressResolution Protocol)

27

I E S " V

en

an

c i oBl an

c o"


28/40

FUNCIONAMIENTO DEL DNS

DNS sigue el modelocliente/servidor en el cuallos servidores DNS contienen información acercade la base de datos DNS y la ponen a disposiciónde los clientes.

El servicio DNS tiene asociado elpuerto 53/UDPpara acceder a las consultas de nombres y el53/TCP para transferencia de zona entreservidores.

Cuando un servidor de DNS recibe una peticióncuya respuesta desconoce, lo que hará esconsultar a otro servidor DNS.

Estas consultas pueden ser de dos tipos:iterativas o recursivas . 28

I E S " V

en

an

c i oBl an

c o"


29/40

C ONSULTAS RECURSIVAS Imagina que tenemos un cliente DNS el cual hace

la petición a su servidor DNS local(DNS-1) sobreel dominio “xx.domi.com”.

Nuestro servidor DNS-1 no sabe quién es“xx.domi.com” , pero él sabe queDNS-2 puedetener ese dominio registrado por lo que letraspasa la petición; DNS-2 no sabe quién es“xx.domi.com” pero él sabe que DNS-3 puedetener ese dominio registrado, por lo que ahoraDNS-2 le hace la petición a DNS-3; DNS-3 síconoce quién es “xx.domi.com” por lo que envía ladirección IP asociada a “xx.domi.com” a DNS -2,DNS-2 le responde la petición a DNS-1 yDNS-1 a su vez le responde a el cliente DNS. 29

I E S " V

en

an

c i oBl an

c o"

http://www.ejemplo.com/http://www.ejemplo.com/


30/40

Es decir, la consulta se propaga a través deuna 'cadena' de servidores DNS hasta que seencuentra el servidor que conoce la respuesta,enviando de vuelta la respuesta a través dedicha 'cadena' de servidores .

30

I E S " V

en

an

c i oBl an

c o"


31/40

C ONSULTAS RECURSIVAS

31

I E S " V

en

an

c i oBl an

c o"

1 2

3


32/40

C ONSULTAS ITERATIVAS :Imagina que tenemos un cliente DNS el cual hace

la petición a a su servidor DNS local (dns-1) sobre el dominio “ xx.domi.com” ; nuestro servidordns-1 no sabe quién es “xx.domi.com” pero sabe

que dns-2 puede tener ese dominio, por lo quedns-1 le responde al Cliente DNS que lepregunte a dns-2 ; dns-2 no sabe quién es“xx.domi.com” pero sabe que dns-3 puede tenerese dominio por lo quedns-2 le responde alCliente DNS que le pregunte a dns-3 ; dns-3sabe quién es “xx.domi.com” por lo que respondea la petición hecha por el Cliente DNSdevolviendo la IP que le corresponde a“xx.domi.com”. 32

I E S " V

en

an

c i oBl an

c o"

http://www.ejemplo.com/http://www.ejemplo.com/http://www.ejemplo.com/http://www.ejemplo.com/http://www.ejemplo.com/http://www.ejemplo.com/


33/40

33

I E S " V

en

an

c i oBl an

c o"


34/40

Y todo esto, sea por elmétodo iterativo orecursivo , se hará de forma transparente parael usuario quien, simplemente apreciará unpequeño retardo en sus respuestas que serámínimo en el caso de que su servidor DNS localtenga la respuesta almacenada en caché.

34

I E S " V

en

an

c i oBl an

c o"


35/40

ARCHIVOS DE ZONA Para resolver nombres los servidores DNS consultanlas

zonas. La información de zona esta estructurada enforma de registros de recursos (RR).

El formato de los registros es:

Propietario TTL clase Tipo RDATAPropietario: nombre de maquina o dominio DNS alque pertenece el recurso. @ representa el nombre deeste servidor.TTL (Time To Live): tiempo de vida en segundos que

puede estar el registro en la caché. OpcionalClase: familia de protocolos en uso, indicado por IN(Internet)Tipo de registro.RDATA: información especifica del tipo de recurso.

35

I E S " V

en

an

c i oBl an

c o"


36/40

TIPOS REGISTROS DNSNombre delrecurso

Tipo deregistro

Función

Inicio de autoridad

SOA Identifica al servidor autoritario deuna zona y susparámetros de configuración.

Servidor de nombres

NS Identifica servidores de nombresautorizados para unazona.

Dirección A Asocia un nombre de dominioFQDN con una dirección IP.

Puntero PTR Asocia una dirección IP a unnombre de dominio FQDN.Para las búsquedas inversas.

Registro de correo

MX Indica máquinas encargadas de laentrega de correo en eldominio.

36

I E S " V

en

an

c i oBl an

c o"


37/40

TIPOS REGISTROS DNSNombre delrecurso

Tipo deregistro

Función

Nombre canónico CNAME Permite asignar uno o másnombres a una máquina. Alias.

Text TXT Almacena cualquierinformación.

Servicio SRV Ubicación de los servidorespara un servicio.

37

I E S " V

en

an

c i oBl an

c o"


38/40

38

I E S " V

en

an

c i oBl an

c o"


39/40

EXPLICACIÓN DE PARÁMETROS En este ejemplo vemos primero el dominio a resolver,

“servidor.ejemplo,domino.com.” y después la cuentade correo del administrador,“postmaster.ejemplo,domino.com.” (sustituyendo elprimer punto por arroba, lo que dejaría“postmaster@ejemplo,domino.com”).

Debemos notar que al final de cada dominio viene unpunto, que identifica la raíz de este.El resto de los parámetros son: Serial: es un identificador del archivo, se recomiendaque tenga la fecha con una estructura AAAA-MM-DDy un número consecutivo. Se incrementa cada vez quese modifica para que los servidores secundarios ycaché lo sepan. Refresco: Nº de segundos que un servidor denombres secundario debe esperar para comprobar denuevo los valores de un registro. 39

I E S " V

en

an

c i oBl an

c o"


40/40

Reintentos : Nº de segundos que un servidor denombres secundario debe esperar después de unintento fallido de recuperación de datos delservidor primario. Expiración : número de segundos máximo quelos servidores de nombre secundarios retendránlos valores antes de expirarlos. TTL mínimo : Significa Time To Live y es elnúmero de segundos que los registros semantienen activos en los servidores DNS cachéantes de volver a preguntar su valor real.

40

I E S " V

en

an

c i oBl an

c o"

iesvenancioblanco-DNS_EXAMEN.pdf

Documents