me-dns.pdf
TRANSCRIPT
-
Domain Name System : DNS
Historique du nommage
ARPANET(1970) HOST.TXT
S.ALLAOUI
Rcupr partir d'une seule machine Problmes
o trafic et chargeo Collisions de nomso Cohrence
Le DNS a t cr en 1983 par Paul Mockapetris (RFCs 1034 et1035), modifi, mis jour, et amlior par une multitude de RFCs:2181, etc.
-
Domain Name System : DNS
Un mcanisme de correspondance d'objet en d'autres objets; Une base de donnes dynamique, globalement distribue,cohrente, volutive et fiable;
S.ALLAOUI
cohrente, volutive et fiable; Compos de trois composantes :
Une Zone == espace de nommage Les serveurs rendant l'espace de nommage disponible Les resolvers (clients) qui questionnent les serveurs proposde l'espace de nommage
-
Domain Name System : DNS
Lorsque les htes d'un rseau se connectent entre eux au moyend'un nom d'hte, auquel on fait rfrence galement sous le termenom de domaine pleinement qualifi ou FQDN (fully qualified domain
S.ALLAOUI
nom de domaine pleinement qualifi ou FQDN (fully qualified domainname), le DNS est utilis pour associer les noms des diffrentsordinateurs l'adresse IP de l'hte.
Le Systme de nom de domaine (DNS) fournit une correspondancede noms en des ressources de plusieurs types
-
Domain Name System : DNS
L'utilisation du DNS et du FQDN offre aux administrateurs systme denombreux avantages et leur permet, en outre, de changer facilementl'adresse IP d'un hte sans avoir d'impact sur les requtes bases sur
S.ALLAOUI
l'adresse IP d'un hte sans avoir d'impact sur les requtes bases surle nom qui sont envoyes cet ordinateur.
-
Domain Name System : DNS
Arborescence des noms de domaineChaque domaine appartient un domaine de niveau suprieur et peutcontenir des sousdomaines. Au sommet de l'arbre se trouve le domaine
S.ALLAOUI
racine (dsign par . ) et au premier niveau se trouve les domainesde haut niveau (TLD : Top Level Domains).Les TLD sont de deux types : Les domaines de haut niveau gnriques (gTLD : generic Top LevelDomains) tels que .com, .org, .net, etc. ; Les domaines de haut niveau relatifs aux codes des pays (ccTLD :country code Top Level Domains) tels que .tn, .fr, .ca, .uk, .us, etc.
-
Domain Name System : DNS
Arborescence des noms de domaine
La gestion de tous les domaines est organise d'une manirehirarchique en appliquant le mcanisme de dlgation.
S.ALLAOUI
-
Domain Name System : DNS
Arborescence des noms de domaineL'ICANN (Internet Corporation for Assigned Numbers and Names) estl'organisme autoritaire du domaine racine. L'ICANN dlgue la gestiondes domaines gTLD des organismes accrdits et les domaines
S.ALLAOUI
des domaines gTLD des organismes accrdits et les domainesccTLD aux pays correspondants.
-
Domain Name System : DNS
Arborescence des noms de domaine
Par exemple, le nom de domaine www.societe.com se compose dedeux parties www et societe.com . Le nom de domaine
S.ALLAOUI
deux parties www et societe.com . Le nom de domainesociete.com a t dlgu la societe par un organisme accrditde niveau gTLD grant .com . Ce dernier a t son tour dlgupar l'ICANN. La partie www correspond un nom d'hte attribupar la socit, l'organisme autoritaire du domaine societe.com .
-
Domain Name System : DNS
Arborescence des noms de domaine
Les serveurs DNS racines (root DNS) sont sous la responsabilit del'ICANN. Il existe plusieurs serveurs racines rpartis sur Internet. Cesserveurs doivent tre connus par tous les serveurs DNS publics car ils
S.ALLAOUI
serveurs doivent tre connus par tous les serveurs DNS publics car ilsreprsentent le point de dpart des oprations de recherche.
Les serveurs DNS TLD (gTLD ou ccTLD) sont grs par des agencesou des organismes tels que l'Agence franaise pour le nommageInternet en coopration (AFNIC) pour le domaine .fr et l'AgenceNationale de Rglementation des Tlcommunications (ANRT) pourle domaine .ma .
-
Domain Name System : DNS
Arborescence des noms de domaine
le domaine in-addr.arpa
Pour pouvoir rsoudre une adresse en nom, un pseudo-domaine a t
S.ALLAOUI
Pour pouvoir rsoudre une adresse en nom, un pseudo-domaine a t mis en place : le domaine in-addr.arpa.
-
Domain Name System : DNS
Rsolution de nomsLe resolver
Pour interroger un serveur de noms, on passe par une bibliothque
S.ALLAOUI
Pour interroger un serveur de noms, on passe par une bibliothqueappele "resolver". Il s'agit d'un ensemble de fonctions crites en C(comme gethostbyname, par exemple). Cette bibliothque estindpendante du serveur DNS.
Il faut d'abord modifier deux fichiers pour indiquer quels services deconversion de noms sont disponibles et quels serveurs de nomsutiliser.
-
Domain Name System : DNS
Rsolution de nomsLe resolver
Le fichier /etc/nsswitch.conf indique quels services de conversion de
S.ALLAOUI
Le fichier /etc/nsswitch.conf indique quels services de conversion denoms sont disponibles, et dans quel ordre il faut les appliquer :passwd: files nisplus
hosts: dns files
Le fichier de configuration du resolver s'appelle /etc/resolv.conf etdtermine les serveurs DNS qui sont utiliss.
nameserver Addresse_IP_Serveur_DNS
-
Domain Name System : DNS
Rsolution de noms
Lorsqu'une application rseau veut communiquer en utilisant un nomde domaine, elle demande la rsolution de la correspondance IP l'application client DNS locale (resolver).
S.ALLAOUI
l'application client DNS locale (resolver).D'aprs la configuration (/etc/resolv.conf), le resolver consulte le DNSadquat pour assurer cette correspondance.
-
Domain Name System : DNS
Rsolution de noms
Les tapes suivantes dcrivent le processus de rsolution du nom dedomaine www.exemple.com .
S.ALLAOUI
1. Le client DNS de l'hte envoie la requte de rsolution du nom de domaine www.exemple.com au serveur DNS local ;2. Le serveur DNS local cherche l'information dans sa table locale (cache). Si l'information existe, le serveur envoie la rponse vers le client DNS et le traitement de la requte est termin. Sinon, le processus de rsolution de nom se poursuit avec les tapes suivantes :
-
Domain Name System : DNS
Rsolution de noms
Les tapes suivantes dcrivent le processus de rsolution du nom dedomaine www.exemple.com .
S.ALLAOUI
3. La requte est envoye vers un serveur racine qui renvoiel'adresse d'un serveur TLD grant le domaine .com ;4. La requte est envoye au serveur TLD .com qui renvoiel'adresse du serveur DNS grant le domaine exemple.com ;5. La requte est envoye au serveur DNS grant exemple.com qui envoie la rponse vers le client DNS.
-
Domain Name System : DNS
Rsolution de noms
Le resolver permet de lancer la rsolution de nom en deux modes :
Mode rcursif : le client envoie une requte au serveur DNS; ce
S.ALLAOUI
Mode rcursif : le client envoie une requte au serveur DNS; cedernier renvoie une rponse complte au client qui soit lacorrespondance recherche soit un message derreur.
Mode itratif (non rcursif) : le client envoie une requte au serveurDNS; ce dernier renvoie soit la rponse complte (sil est autoritairepour la zone concerne) soit une rponse partielle (adresse dun autreserveur de noms). Le client va alors lancer une autre requte vers leserveur spcifi dans la rponse prcdente.
-
Domain Name System : DNS
Rsolution de nomsRsolution rcursive
S.ALLAOUI
La rsolution est ditercursive si les requtesdes tapes 3, 4 et 5 sontenvoyes par le serveurlocal.
-
Domain Name System : DNS
Rsolution de nomsRsolution itrative
S.ALLAOUI
La rsolution est diteitrative si ces requtessont envoyes par le clientDNS lui-mme.
-
Domain Name System : DNS
Rsolution de noms
Le service DNS est une application TCP/IP fonctionnant sur le port 53et utilisant les deux protocoles UDP et TCP.
S.ALLAOUI
et utilisant les deux protocoles UDP et TCP. le service transport UDP est utilis pour les requtes et les rponses. le service transport TCP est utilise pour le transfert des zones entreun serveur primaire et un serveur secondaire.
-
Domain Name System : DNS
Zones de serveurs de noms
Les zones sont des espaces administratifs Les administrateurs de zone sont responsables pour la portion de
S.ALLAOUI
Les administrateurs de zone sont responsables pour la portion de l'espace de nommage du domaine L' administrateur d'un domaine peut dlguer la responsabilit de la gestion d'un sous domaine quelqu'un d'autre
-
Domain Name System : DNS
Zones de serveurs de noms
Les zones sont dfinies sur des serveurs de noms qui font autorit parl'intermdiaire de fichiers de zone. Les fichiers de zone sont stocks
S.ALLAOUI
l'intermdiaire de fichiers de zone. Les fichiers de zone sont stockssur des serveurs de noms primaires (aussi appels serveurs de nomsmatres), qui font vraiment autorit et constituent l'endroit o deschangements peuvent tre apports aux fichiers ; les serveurs de nomssecondaires (aussi appels serveurs de noms esclaves) quant euxreoivent leurs fichiers de zone des serveurs de noms primaires.
-
Domain Name System : DNS
Tout serveur de noms peut tre simultanment matre ou esclave pourdiffrentes zones et peut aussi tre considr comme faisant autorit
Zones de serveurs de noms
S.ALLAOUI
diffrentes zones et peut aussi tre considr comme faisant autoritpour de multiples zones. Tout cela dpend de la configuration duserveur de noms.
-
Domain Name System : DNS
Domain versus Zone
Zones et dlgation
S.ALLAOUI
Zones et dlgation
-
Domain Name System : DNS
Zones et dlgation
S.ALLAOUI
-
Domain Name System : DNS
DNS versus UNIX
Structure sous forme darbre
S.ALLAOUI
Structure sous forme darbre NOM DNS versus Nom de fichier DNS database versus UNIX filesystem Domain names versus UNIX directory
-
Domain Name System : DNS
DNS versus UNIXDNS database versus UNIX filesystem
S.ALLAOUI
-
Domain Name System : DNS
DNS versus UNIXNom DNS versus Nom de fichier
S.ALLAOUI
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
BIND en tant que serveur de noms
S.ALLAOUI
L'Universit de Berkeley est l'origine de BIND mais, actuellement,c'est lInternet System Consortium (ISC) qui assure sa maintenance.
Le dmon named est le serveur DNS fourni par le paquetage BIND
Une fois lanc, named enregistre son numro de processus (PID :Process IDentifier) dans le fichier /var/run/named.pid.
-
Domain Name System : DNS
BIND stocke ses fichiers de configuration aux emplacements suivants :
BIND: Berkeley Internet Name Domain
S.ALLAOUI
/etc/named.conf : Le fichier de configuration du dmon named.
/var/named/ : Le rpertoire de travail de named qui stocke lesfichiers de zone, de statistiques et les fichiers de cache.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Syntaxe et options
La syntaxe de lancement du dmon named est :
S.ALLAOUI
La syntaxe de lancement du dmon named est :# named [option ]Les options les plus courantes de named sont : -c fichier : spcifie un fichier de configuration autre que named.conf ; -p port : indique le numro de port d'coute du serveur, par dfautc'est le port 53 ; -u utilisateur : spcifie le contexte de l'utilisateur dans lequel seraexcut le dmon. -v : affiche la version.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Signaux
Le dmon named ragit certains signaux (envoys par la commande
S.ALLAOUI
Le dmon named ragit certains signaux (envoys par la commandekill) d'une manire particulire : SIGHUP : le dmon relit le fichier de configuration ainsi que lesfichiers de zone ; SIGINT et SIGTERM : le dmon s'arrte normalement.
Dans un fonctionnement normal, l'utilisation de la commande rndc estprfre aux envois de signaux.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Dmarrage et arrt
Pour dmarrer ou arrter le dmon named, la majorit des
S.ALLAOUI
Pour dmarrer ou arrter le dmon named, la majorit desdistributions Linux utilisent les scripts RC ou des commandesquivalentes. Les lignes de commandes qui suivent sont utilises pourles distributions Debian et drives :
# /etc/init.d/bind9 {start|stop|reload|restart|status}# # ceci est quivalent :# invoke-rc.d bind9 {start|stop|reload|restart|status}
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Les commandes quivalentes pour les distributions Red Hat etdrives sont :
S.ALLAOUI
drives sont :# /etc/init.d/named {start|stop|reload|restart|status}# # ceci est quivalent :# service named {start|stop|reload|restart|status}Pour installer loutil system-config-bind
-
Domain Name System : DNS
Fichier de configuration named.confBIND: Berkeley Internet Name Domain
named.conf est le fichier de configuration principal du serveur DNS
S.ALLAOUI
named.conf est le fichier de configuration principal du serveur DNSBIND. Il est le premier fichier lu par named. La directive include permetde rpartir la configuration sur plusieurs fichiers pour des fins de clartou d'organisation.
-
Domain Name System : DNS
Fichier de configuration named.confBIND: Berkeley Internet Name Domain
named.conf est structur en clauses regroupant chacune un ensemble
S.ALLAOUI
named.conf est structur en clauses regroupant chacune un ensembled'instructions sous la forme d'un bloc. Il faut imprativement respecterla syntaxe du fichier qui peut tre rsume par les rgles suivantes : une instruction se termine par ; ; un bloc d'instruction dbute par { et se termine par }; ; un commentaire est crit sous l'une des formes suivantes :
/* commentaire au style C */// commentaire au style C++# commentaire au style PERL/SHELL
-
Domain Name System : DNS
Fichier de configuration named.confBIND: Berkeley Internet Name Domain
acl (access control list) dfinit des groupes d'htes qui peuvent tre
S.ALLAOUI
acl (access control list) dfinit des groupes d'htes qui peuvent treautoriss ou non accder au serveur de noms.;
acl {;[; ...]};
le nom de la liste du contrle d'accs une liste d'adresses IP spares entre elles par unpoint virgule. Une adresse IP individuelle ou la notation rseau de l'IP(telle que 10.0.1.0/24).
-
Domain Name System : DNS
Les listes de contrle d'accs suivantes sont dj dfinies en tant que
Fichier de configuration named.confBIND: Berkeley Internet Name Domain
S.ALLAOUI
Les listes de contrle d'accs suivantes sont dj dfinies en tant quemots-cls afin de simplifier la configuration : any : Correspond toutes les adresses IP. localhost : Correspond toute adresse IP utilise par le systme local.localnets : Correspond toute adresse IP sur tout rseau auquel lesystme local est connect. none : Ne correspond aucune adresse IP.
-
Domain Name System : DNS
Lorsqu'elles sont utilises avec d'autres dclarations (telles que laFichier de configuration named.confBIND: Berkeley Internet Name Domain
S.ALLAOUI
Lorsqu'elles sont utilises avec d'autres dclarations (telles que ladclaration options), les dclarations acl peuvent tre trs utiles pourviter la mauvaise utilisation d'un serveur de noms BIND.
L'exemple ci-dessous tablit deux listes de contrle d'accs et utiliseune dclaration options pour dfinir la manire dont elles seronttraites par le serveur de noms :
-
Domain Name System : DNS
acl Denied_Network {
Fichier de configuration named.conf
Dclaration acl
S.ALLAOUI
acl Denied_Network {10.0.2.0/24;192.168.0.0/24;};acl Allowed_Network {10.0.1.0/24;};options {allow-query { Allowed_Network; };allow-recursion { Allowed_Network; };}
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration options
La dclaration options dfinit les options globales de configuration
S.ALLAOUI
La dclaration options dfinit les options globales de configurationserveur et tablit des valeurs par dfaut pour les autres dclarations.Cette dclaration peut tre utilise entre autres pour spcifierl'emplacement du rpertoire de travail named ou pour dterminer lestypes de requtes autoriss.
Syntaxe:options {
;[; ...]
};
-
Domain Name System : DNS
Ci-dessous figure une liste des options couramment utilises :
Fichier de configuration named.conf
Dclaration options
S.ALLAOUI
Ci-dessous figure une liste des options couramment utilises :
allow-query : Spcifie les htes autoriss interroger ce serveur denoms. Par dfaut, tous les htes sont autoriss interroger le serveurde noms. Il est possible d'utiliser ici une liste de contrle d'accs ou unensemble d'adresses IP ou de rseaux afin de n'autoriser que deshtes particuliers interroger le serveur de noms.
allow-query-cache : de mme que Allow-query mais pour le cache de serveur DNS.Cette option vitra les attaques sur le serveur Bind.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration options
S.ALLAOUI
directory : Change le rpertoire de travail named pour une valeurautre que la valeur par dfaut, /var/named/.
forwarders : Spcifie une liste d'adresses IP valides correspondantaux serveurs de noms vers lesquels les requtes devraient treenvoyes pour la rsolution.
allow-recursion : Semblable allow-query, cette option s'applique des demandes rcursives. Par dfaut, tous les htes sont autoriss effectuer des demandes rcursives sur le serveur de noms.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration options
forward : Contrle le comportement de retransmission d'une directive
S.ALLAOUI
forward : Contrle le comportement de retransmission d'une directiveforwarders.
Les options suivantes sont acceptes :o first : tablit que les serveurs de noms spcifis dans la directiveforwarders soient interrogs avant que named ne tente de rsoudre lenom lui-mme.o only : Spcifie que named ne doit pas tenter d'effectuer lui-mmeune rsolution de nom dans le cas o des demandes vers les serveursde noms spcifis dans la directive forwarders chouent.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration loggingLa clause logging permet de paramtrer les oprations de
S.ALLAOUI
La clause logging permet de paramtrer les oprations dejournalisation. Elle comporte plusieurs instructions, dont channel etcategory sont les plus importantes. L'instruction channel dfinit ladestination des messages de journalisation et l'instruction categorydtermine l'information journaliser.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration loggingEXEMPLELe paramtrage de la clause logging suivante configure named de
S.ALLAOUI
Le paramtrage de la clause logging suivante configure named defaon ce quil envoie les messages de dbogage relatifs auxrequtes DNS vers le fichier /var/log/query.log.
logging {channel query.log {
file "/var/log/query.log";severity debug 3; // les valeurs de debug sont 1(par dfaut),2 et 3
};category queries { query.log; };};
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zoneUne dclaration zone dfinit les caractristiques d'une zone telle que
S.ALLAOUI
Une dclaration zone dfinit les caractristiques d'une zone telle quel'emplacement de ses fichiers de configuration et les optionsspcifiques la zone. Cette dclaration peut tre utilise pourremplacer les dclarations globales d'options.
Une dclaration zone se prsente sous le format suivant :zone {
;[; ...]
};
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zoneParmi les options les plus courantes de la dclaration de zone figurent :
S.ALLAOUI
Parmi les options les plus courantes de la dclaration de zone figurent :
allow-query : Spcifie les clients qui sont autoriss demander desinformations propos de cette zone. Par dfaut toutes les requtesd'informations sont autorises.
allow-transfer : Spcifie les serveurs esclaves qui sont autoriss demander un transfert des informations relatvies la zone. Par dfauttoutes les requtes de transfert sont autorises.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zone
file : Spcifie le nom du fichier qui figure dans le rpertoire de travail
S.ALLAOUI
file : Spcifie le nom du fichier qui figure dans le rpertoire de travailnamed et qui contient les donnes de configuration de la zone.
masters : Spcifie les adresses IP partir desquelles demander desinformations sur la zone faisant autorit. Cette option ne doit treutilise que si la zone est dfinie en tant que type slave.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zone type : Dfinit le type de zone. Les types numrs ci-dessous
S.ALLAOUI
type : Dfinit le type de zone. Les types numrs ci-dessouspeuvent tre utiliss.Ci-aprs figure une liste des options valides :forward : Retransmet toutes les requtes d'informations concerantcette zone vers d'autres serveurs de nomshint :Reprsente un type spcial de zone utilis pour diriger destransactions vers les serveurs de noms racines qui rsolvent desrequtes lorsqu'une zone n'est pas connue autrement. Aucuneconfiguration autre que la valeur par dfaut n'est ncessaire avec unezone hint.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zone
S.ALLAOUI
master :Dsigne le serveur de noms faisant autorit pour cette zone.Une zone devrait tre configure comme matre (master) si les fichiersde configuration de la zone se trouvent sur le systme.
slave : Dsigne le serveur de noms comme serveur esclave (slave)pour cette zone. Cette option spcifie galement l'adresse IP duserveur de noms matre pour cette zone.
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zone
Exemples de dclarations zone
S.ALLAOUI
Exemples de dclarations zone
Ci-dessous se trouve un exemple de dclaration zone pour le serveurde noms primaire hbergeant example.com (192.168.0.1) :
zone "example.com" IN {type master;file "example.com.zone";allow-update { none; };};
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration zoneExemples de dclarations zone
S.ALLAOUI
Exemples de dclarations zone
Ci-dessous se trouve un exemple de dclaration zone de serveur denoms pour la zone example.com :
zone "example.com" {type slave;file "example.com.zone";masters { 192.168.0.1; };};
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration Zones particuliresLe fichier named.conf inclut par dfaut la dclaration des zones
S.ALLAOUI
Le fichier named.conf inclut par dfaut la dclaration des zonesparticulires racine, localhost et 127.in-addr.arpa :
le fichier de la zone racine, dsign par . et de type hint, contientla liste des serveurs interroger lorsqu'un serveur de nom n'arrivepas rsoudre une requte ; la zone localhost permet la rsolution du nom localhost l'adresse de boucle locale 127.0.0.1 lors de l'utilisation du serveurDNS ; la zone 127.in-addr.arpa assure la rsolution inverse del'adresse de boucle locale 127.0.0.1 .
-
Domain Name System : DNS
Fichier de configuration named.conf
Dclaration Zones particulires
EXEMPLE zone "." {
S.ALLAOUI
EXEMPLELa portion du fichiernamed.conf qui suit illustrela dclaration de ceszones particulires.
zone "." {type hint;file "/etc/bind/db.root";};zone "localhost" {type master;file "/etc/bind/db.local";};zone "127.in-addr.arpa" {type master;file "/etc/bind/db.127";};
-
Domain Name System : DNS
Fichier de configuration named.conf
Autres types de dclarations
include permet des fichiers d'tre inclus dans un fichier named.conf.
S.ALLAOUI
include permet des fichiers d'tre inclus dans un fichier named.conf.
La dclaration include permet des fichiers d'tre inclus dans unfichier named.conf. Ce faisant, des donnes de configurationscritiques (telles que les cls, keys) peuvent tre places dans unfichier spar dot de permissions restrictives.
Une dclaration include se prsente sous le format suivant :include ""
-
Domain Name System : DNS
Fichier de configuration named.conf
Autres types de dclarations controls : Configure diverses contraintes de scurit ncessaires
S.ALLAOUI
controls : Configure diverses contraintes de scurit ncessaires l'utilisation de la commande rndc pour administrer le service named.
key "" Dfinit une cl spcifique par nom. Les clsservent valider diverses actions, comme les mises jourscurises ou l'utilisation de la commande rndc. Deux options sontutilises avec key :
o algorithm : Reprsente le type d'algorithmeutilis, tel que dsa ou hmac-md5.o secret "" Reprsente la cl crypte.
-
Domain Name System : DNS
Fichier de configuration named.confBIND: Berkeley Internet Name Domain
Le fichier named.conf est gnralement sous la forme :
S.ALLAOUI
// dfinition des ACLacl "nomACL" {...};// configuration de la journalisationlogging {...};// dfinition des options globalesoptions {...};// dclaration des zones prdfinieszone {...};// dclaration des zones rsoudrezone {...} ;
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Les fichiers de zone contiennent des informations sur un espace de
S.ALLAOUI
Les fichiers de zone contiennent des informations sur un espace denom particulier.
Ces informations sont stocks dans le rpertoire de travail named quiest par dfaut /var/named/.
Le fichier de zone contient deux types de dclaration:o Directives
o Enregistrements RR (Ressource Record)
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Directives des fichiers de zone
S.ALLAOUI
Directives des fichiers de zone
Les directives sont identifies par le symbole dollar ($) $INCLUDE : Configure named de faon ce qu'il inclue un autrefichier de zone dans ce fichier de zone l'endroit o la directiveapparat. Ce faisant, il est possible de stocker des configurations dezone supplmentaires l'cart du fichier de zone principal.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Directives des fichiers de zone
S.ALLAOUI
Directives des fichiers de zone
$ORIGIN : Attache le nom de domaine des enregistrements non-qualifis, comme ceux qui spcifient seulement l'hte et rien de plus.Par exemple, un fichier de zone peut contenir la ligne suivante :
Tous les noms utiliss dans les enregistrement de ressources qui nese terminent pas par un point (.) se verront ajouter example.com .
$ORIGIN example.com.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Directives des fichiers de zone
S.ALLAOUI
Directives des fichiers de zone
$TTL : Rgle la valeur par dfaut de Time to Live (TTL) (ou temps devie) pour la zone. Cette valeur exprime en secondes, correspond ladure pendant laquelle un enregistrement de ressources de zone estvalide.Chaque enregistrement de ressources peut contenir sa propre valeurTTL, qui remplace alors cette directive.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
Toutes les informations des divers fichiers de base de donnes namedsont stockes sous un format appel resource record(enregistrement de ressources). Chaque enregistrement est associ un type qui indique la fonction de lenregistrement.
Un enregistrement de ressources est le plus petit lmentdinformation utilis par named.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressourcesIl existe de nombreux types d'enregistrements de ressources desfichiers de zone. Ceux numrs ci-dessous sont nanmoins les plusfrquemment utiliss : A : Enregistrement d'adresse qui spcifie une adresse IP assigner un nom, comme dans l'exemple ci-dessous :
IN A
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
Dans l'exemple qui suit, l'adresse 192.168.1.10 est associe au nom serveur1.exemple.com
$ORIGIN exemple.com.;nom ttl classe type ipserveur1 IN. A 192.168.1.10
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
CNAME : Enregistrement de nom canonique mappant un nom unautre. Ce type d'enregistrement est plus connu sous le nomd'enregistrement d'alias.
IN CNAME
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressourcesL'exemple qui suit attribue les alias www.exemple.com etirc.exemple.com l'hte serveur1.exemple.com
$ORIGIN exemple.com.;nom ttl classe type nomRellewww IN CNAME serveur1.exemple.comirc IN CNAME serveur1.exemple.com
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
NS : Enregistrement de serveur de noms (NameServer) annonantles serveurs de noms faisant autorit pour une zone particulire.
IN NS
En gnral, Il est situ juste aprs l'enregistrement SOA et il estutilis aussi pour dfinir les dlgations des sous domaines.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressourcesLa configuration qui suit dclare les htes dns.exemple.com etdns2.exemple.com comme les serveurs DNS de la zoneexemple.com et dlgue la gestion du sous domainesd.exemple.com au serveur DNS dns.sd.exemple.com.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
$ORIGIN exemple.com.;SOA RR;nom ttl classe type nom
IN NS dns.exemple.com.IN NS dns2.exemple.com.
S.ALLAOUI
Enregistrements de ressourcesIN NS dns2.exemple.com.dns IN A 192.168.1.1dns2 IN A 192.168.1.2
;sd.exemple.com est un sous domaine exemple.com$ORIGIN sd.exemple.com.
IN NS dns.sd.exemple.com....
dns IN A 192.168.2.1;ou sans utiliser la directive $ORIGIN;sd.exemple.com. IN NS dns.sd.exemple.com.;dns.sd.exemple.com. IN A 192.168.2.1
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
IN MX
MX : l'enregistrement de type MX spcifie les noms et les prfrencesdes serveurs de messagerie de la zone. Il est utilis par lesapplications agents de messagerie (mail agents) pour router lescourriers lectroniques du domaine.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressourcesD'aprs l'exemple qui suit, les courriers lectroniques du domaineexemple.com sont routs vers lhte mail.exemple.com . Si cedernier n'est pas disponible (arrt, drang ou en panne) alors lescourriers seront routs vers mail2.exemple.com .$ORIGIN exemple.com.;nom ttl classe type prf. nom
IN MX 10 mail ;forme courte; ceci est quivalent ; exemple.com. IN MX 10 mail.exemple.com.
IN MX 20 mail2.exemple.com.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
PTR : Enregistrement PoinTeR, conu pour pointer vers une autrepartie de l'espace de nom.
Les enregistrements PTR servent essentiellement la rsolutioninverse des noms, puisqu'ils renvoient les adresses IP vers un nomparticulier.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
D'aprs l'exemple qui suit, l'adresse ip 192.168.1.10 sera retournepour une recherche inverse pour lhte serveur1.exemple.com .
$ORIGIN 1.168.192.IN-ADDR.ARPA....
;nomARPA ttl classe type nom10 IN PTR serveur1.exemple.com.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources SOA : Enregistrement de ressources Start Of Authority, proclamedes informations importantes faisant autorit sur un espace de nompour le serveur de noms.
Situ aprs les directives, un enregistrement de ressources SOA estle premier enregistrement de ressources dans un fichier de zone.
le premier enregistrement de ressource doit tre SOA (Start OfAuthority) ;
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
L'exemple qui suit montre la structure de base d'un enregistrement deressources SOA :
@ IN SOA (
)
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
Le symbole @ place la directive $ORIGIN (ou le nom de zone, si ladirective $ORIGIN n'est pas dtermine) en tant qu'espace de nomdfini par le prsent enregistrement de ressources SOA.
hostmaster-email : Adresse mail du responsable qui gre cedomaine. Comme le caractre @ a un sens particulier dans lesenregistrements de ressources, il est remplac par un point.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources
serial : Numro de version du fichier dinformations de zones. Cenumro est utilis par les serveurs de noms secondaires pourdterminer le moment o le fichier dinformations de zone a chang.Il doit tre augment de 1 chaque modification du fichier.
refresh : Priode (en secondes) durant laquelle le serveursecondaire attend avant de vrifier lenregistrement SOA duserveur DNS primaire.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zone
Enregistrements de ressources
S.ALLAOUI
Enregistrements de ressources retry : Priode (en secondes) durant laquelle le serveur secondaireattend avant dessayer nouveau une requte vers le serveur primairesi celui-ci nest pas accessible.
expire : Priode (en secondes) durant laquelle le serveur secondaireattend avant de rejeter les informations de zones sil na pas pucontacter le serveur primaire.
minimum : Valeur ttl par dfaut pour les enregistrements deressources ne spcifiant pas de valeur ttl.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Fichiers de zoneLa configuration qui suit dfinit les paramtres globaux de la zone exemple.com.
S.ALLAOUI
$ORIGIN exemple.com.;name ttl classe type serveur e-mail (nSerie raf ret exp ttl)
IN SOA dns.exemple.com. root.exemple.com. (2011092800 ; nSerie172800 ; ou 2d ? raf = 2 jours900 ; ou 15m ? ret = 15 minutes1209600 ; ou 2w ? exp = 2 semaines3600 ; ou 1h ? ttl = 1 heure
); Les lignes qui suivent sont aussi quivalentes:;@ IN SOA dns.exemple.com. root.exemple.com. ( ...);exemple.com. IN SOA dns.exemple.com. root.exemple.com. ( ...)
-
Domain Name System : DNS
S.ALLAOUI
-
Domain Name System : DNS
Configurations typesBIND: Berkeley Internet Name Domain
Il existe plusieurs manires de configurer un serveur DNS. Les
S.ALLAOUI
Il existe plusieurs manires de configurer un serveur DNS. Lesconfigurations types les plus frquentes sont : un serveur matre(master), un serveur esclave (slave), un serveur de cache (cachingonly) et un serveur de retransmission (forwarding).En effet un serveur de noms peut tre configur pour fonctionnercomme matre pour certaines zones, esclave pour d'autres et fournirle service de cache ou de retransmission pour tout le reste.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur matreUn serveur de nom matre dfinit le fichier de la zone sur laquelle il fait
S.ALLAOUI
Un serveur de nom matre dfinit le fichier de la zone sur laquelle il faitautorit. Cette autorit a t dlgue ce dernier, traversl'enregistrement NS, par le serveur de niveau suprieur.
La portion suivante du fichier named.conf configure BIND commeserveur matre (type master) pour la zone exemple.com dont lesenregistrements seront stocks dans le fichier/etc/bind/db.exemple.com.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur matreL'instruction notify no indique que BIND ne doit pas notifier les serveurs
S.ALLAOUI
L'instruction notify no indique que BIND ne doit pas notifier les serveursesclaves lors du changement du fichier de zone. Par dfaut, BINDnotifie les serveurs esclaves prciss dans les enregistrements NS.
zone "exemple.com" {type master;notify no;file "/etc/bind/db.exemple.com";};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur esclaveUn serveur de nom esclave rcupre ses donnes de zone moyennant
S.ALLAOUI
Un serveur de nom esclave rcupre ses donnes de zone moyennantl'opration de transfert de zone partir du serveur matre et rpond entant que serveur autoritaire aux requtes concernant cette zone. Il estimpossible de dterminer si la rponse d'une requte provient duserveur matre de la zone ou de l'un de ses esclaves.
Pour une zone donne, il y a obligatoirement un serveur matre etventuellement un ou plusieurs serveur esclaves.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur esclaveLa portion suivante du fichier named.conf configure BIND comme
S.ALLAOUI
La portion suivante du fichier named.conf configure BIND commeserveur esclave (type slave) pour la zone exemple.com dont lesdonnes seront rcupres partir du serveur prcis par l'instructionmasters {}. L'instruction file est optionnelle, elle permet au serveuresclave de sauvegarder les donnes de la zone sur le disque afin deles utiliser en cas de redmarrage.
zone "exemple.com" {type slave;file "/var/cache/bind/db.exemple.com";masters { 192.168.1.1; }; // adresse IP du serveur matre};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur esclaveLe fichier de configuration du serveur matre doit tre rectifi pour
S.ALLAOUI
Le fichier de configuration du serveur matre doit tre rectifi pourautoriser le transfert de zone vers le(s) serveur(s) esclave(s) enajoutant l'instruction allow-transfer {...}:
zone "exemple.com" {type master;file "/etc/bind/db.exemple.com";allow-transfer { 192.168.1.2; }; // liste des adresses IP des// serveurs esclaves};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur de cacheUn serveur de cache rcupre les informations partir du serveur
S.ALLAOUI
Un serveur de cache rcupre les informations partir du serveurmatre de la zone contenant l'information et sauvegarde (cache) lesdonnes localement. la prochaine requte pour la mmeinformation, le serveur de cache rpondra en utilisant les donnesdj sauvegardes. Si la dur de vie (TTL : Time To Live) del'information expire, le serveur de cache refait l'opration dercupration de l'information.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur de cache
S.ALLAOUI
La rponse d'une requte est dite autoritaire si la rponse est reue : d'un serveur matre de la zone ; d'un serveur esclave de la zone avec des informations non encoreexpires (non timeexpired); par l'intermdiaire d'un serveur de cache qui vient de la rcuprer partir d'un serveur matre ou d'un serveur esclave. Si la rponse est lue partir du cache, elle n'est pas autoritaire.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur de cache
En gnral la configuration d'un serveur de cache est utilise dans les
S.ALLAOUI
En gnral la configuration d'un serveur de cache est utilise dans les cas suivants :
un serveur agissant comme matre ou esclave d'une ou plusieurszones et comme serveur de cache pour le reste des requtes ; un serveur local de cache seulement : typiquement utilis pourminimiser le trafic extrieur ou compenser les liens externes de faibledbit. Dans ce cas, il est dsign par serveur proxy DNS .
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur de cacheEXEMPLE
S.ALLAOUI
EXEMPLE
La portion suivante du fichier named.conf configure BIND commeserveur de cache :
forwarders {10.1.1.1; // par exemple : premier serveur DNS du FAI10.1.1.2; // deuxime serveur DNS du FAI};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Serveur de retransmissionUn serveur de retransmission est un serveur qui transfert toutes les
S.ALLAOUI
Un serveur de retransmission est un serveur qui transfert toutes lesrequtes un autre serveur DNS supportant les rsolutionsrcursives.
BIND peut tre configur comme serveur de retransmission enutilisant les instructions forward et forwards dans la section options(niveau global) ou dans la section zone (niveau domaine).
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
EXEMPLES
Serveur de retransmission
S.ALLAOUI
EXEMPLESLa portion du fichier de configuration named.conf suivante illustre une retransmission globale :
options {...
forwarders {10.0.0.1; 10.0.0.2;};forward only;};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
EXEMPLES
Serveur de retransmission
S.ALLAOUI
La portion du fichier de configuration named.conf suivante illustre une retransmission de niveau domaine pour la zone exemple.com :
EXEMPLES
zone "exemple.com" IN {type forward;forwarders {192.168.1.1; 192.168.1.2;};};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
rndc permet d'utiliser des lignes de commande pour administrer le
S.ALLAOUI
rndc permet d'utiliser des lignes de commande pour administrer ledmon named partir de l'hte local ou d'un hte distant.
Fichier de configuration de rndc est /etc/rndc.conf
Il communique avec named d'une manire scurise travers uneconnexion TCP, par dfaut sur le port 953.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
Par dfaut, l'administration de dmon named par rndc est autorise
S.ALLAOUI
Par dfaut, l'administration de dmon named par rndc est autorisepour les connexions locales. Pour les connexions distantes, il fautrajouter la clause controls au fichier de configuration named.conf.
Afin d'empcher l'accs non-autoris au dmon named, BIND utiliseune mthode d'authentification cl secrte partage pour accorderdes privilges aux htes.Ainsi, une cl identique doit tre prsente aussi bien dans named.confque dans le fichier de configuration de rndc, savoir /etc/rndc.conf
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
Pour que rndc puisse se connecter un service named, une dclaration
S.ALLAOUI
Pour que rndc puisse se connecter un service named, une dclarationcontrols doit tre prsente dans le fichier /etc/named.conf du serveurBIND.
La dclaration controls, dcrite dans l'exemple qui suit, permet rndcde se connecter partir d'un hte local.
controls {inet 127.0.0.1 allow { localhost; } keys { ; };};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndcEXEMPLES
S.ALLAOUI
La clause controls dcrite dans l'exemple qui suit demande named (s'excutant sur le hte 192.168.1.1) d'autoriser les commandes rndc provenant de l'hte 192.168.1.20, si la cl adquate est donne.controls {inet 192.168.1.1 allow { 192.168.1.20; } keys {;};};
fait rfrence la clause key du fichier de configuration de named
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
L'exemple suivant illustre une clause key utilisant l'algorithme HMAC-
S.ALLAOUI
L'exemple suivant illustre une clause key utilisant l'algorithme HMAC-MD5.key "" {algorithm hmac-md5;secret "";};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
la dclaration utilise l'algorithme HMAC-MD5. Afin de
S.ALLAOUI
la dclaration utilise l'algorithme HMAC-MD5. Afin decrer des cls l'aide de l'algorithme HMAC-MD5, utilisez lacommande suivante :
#dnssec-keygen -a hmac-md5 -b -n HOST
La cl qui doit tre place dans la zone se trouve dans lefichier gnr par cette commande.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
Paramtrage de rndc.conf
S.ALLAOUI
Paramtrage de rndc.confle fichier de configuration rndc peut galement spcifier diffrentes cls pour diffrents serveurs, comme le montre l'exemple suivant :
server localhost {key "";};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndcEXEMPLE
S.ALLAOUI
EXEMPLELe fichier de configuration rndc.conf suivant permet l'utilitaire rndc de contrler le dmon named distant d'adresse 192.168.1.1 en utilisant la cl .
key "" {algorithm hmac-md5;secret "";
};server 192.168.1.1{
key "";};
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
Une commande rndc se prsente sous le format suivant :
S.ALLAOUI
Une commande rndc se prsente sous le format suivant :
rndc
Les options les plus utilises sont : -c fichier : spcifie un fichier de configuration autre que rndc.conf; -p port : spcifie un autre numro de port ; -s serveur : spcifie un serveur autre que le serveur par dfaut; -y cl : spcifie une cl autre que celle par dfaut (default-key).
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndcLes sous commandes de rndc sont :
S.ALLAOUI
Les sous commandes de rndc sont : halt : arrte immdiatement le service named ; querylog : Journalise toutes les requtes effectues auprs de ceserveur de noms.; stop : Arrte correctement le serveur stats : vide les statistiques courantes de named vers le fichier/var/named/named.stats.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
reload : Recharge les fichiers de zone mais conserve toutes les
S.ALLAOUI
reload : Recharge les fichiers de zone mais conserve toutes lesrponses prcdemment mises en cache. Cette commande permetgalement d'apporter des changements aux fichiers de zone sansperdre toutes les rsolutions de nom stockes.Si les changements n'affectent qu'une zone particulire, rechargezseulement cette zone en ajoutant le nom de la zone aprs lacommande reload.
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
S.ALLAOUI
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
S.ALLAOUI
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire rndc
S.ALLAOUI
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommandes de diagnostic et de configuration
La distribution BIND fournit avec le dmon named, des commandes
S.ALLAOUI
La distribution BIND fournit avec le dmon named, des commandesde diagnostic (host, nslookup, dig, etc), de vrification (named-checkconf, named-checkzone, etc) et de scurit (dnssec-keygen,dnssec-signzone, etc).
-
Domain Name System : DNS
BIND: Berkeley Internet Name Domain
Utilitaire de consultation DNS
S.ALLAOUI
Commande hosts Utilitaire nslookupUtilitaire dig
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande host
Host est une commande simple pour effectuer des recherches DNS.
S.ALLAOUI
Host est une commande simple pour effectuer des recherches DNS.
host [option ] nom [serveur] nom : le nom d'hte ou de domaine rsoudre. Il peut tre aussiune adresse IP dans le cas d'une rsolution inverse ; Serveur : nom ou adresse IP du serveur DNS interroger. Pardfaut, la commande host utilise le serveur DNS recens dans lefichier /etc/resolv.conf.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande host
EXEMPLES
S.ALLAOUI
Les lignes de commandes suivantes assurent la rsolution du nomd'hte www.exemple.com partir du serveur DNS par dfaut.
# host www.exemple.com# host -t a www.exemple.com
Mme exemple mais en interrogeant le serveur dns.exemple.com.# host www.exemple.com dns.exemple.com
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande host
EXEMPLES
S.ALLAOUI
EXEMPLESLes lignes de commande suivantes sont quivalentes et assurent la rsolution inverse de l'hte d'adresse IP 192.168.1.10 .
# host 192.168.1.10# host -t ptr 10.1.168.192.in-addr.arpa
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande nslookup
La commande nslookup est officiellement abandonne et remplacepar la commande dig.
S.ALLAOUI
par la commande dig.
nslookup [option ] nom [serveur]Les paramtres nom et Serveur ont les mmes significations queceux de la commande host.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande dig
La commande dig est l'outil prfr de diagnostic d'un serveur DNS.
S.ALLAOUI
La commande dig est l'outil prfr de diagnostic d'un serveur DNS.Elle est plus puissante et plus riche que la commande nslookup.
serveur : nom ou adresse IP du serveur DNS interroger. Il doit tre prcd par @ . Par dfaut c'est le serveur dfini dans resolv.conf ; Nom : nom d'hte ou de domaine ou adresse IP rsoudre ; Type-req : type d'enregistrement retourner : a (par dfaut), mx, ns,soa, etc. La valeur particulre any indique n'importe quel type et lavaleur particulire axfr demande la liste complte de tous RR.
dig [@serveur] nom [type-req] [+option-req ...] [-option-dig ...]
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande dig
option-req : prcise une option de la requte ou un style d'affichage
S.ALLAOUI
option-req : prcise une option de la requte ou un style d'affichage des rsultats. Elle doit tre prcd par + ; option-dig : option de la commande dig.
Quelques options de la commande dig :o -P : lance un ping sur le serveur utiliser ;o -p port : change le port vers lequel seront envoyes les requtes ;
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande dig
S.ALLAOUI
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande named-checkconf
La commande named-checkconf vrifie la syntaxe d'un fichier de
S.ALLAOUI
La commande named-checkconf vrifie la syntaxe d'un fichier deconfiguration de named ainsi que les fichiers inclus traversl'instruction include.
named-checkconf [option ] [fichier]
avec fichier : chemin du fichier de configuration vrifier. Si aucunfichier n'est spcifi, named.conf sera trait.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande named-checkconf
Les fichiers lus par named et qui ne sont pas spcifis par l'instruction
S.ALLAOUI
Les fichiers lus par named et qui ne sont pas spcifis par l'instructioninclude tel que rndc.key ne sont pas traits automatiquement parnamed-checkconf. Il faut vrifier ces fichiers explicitement.
# named-checkconf# named-checkconf /etc/bind/rndc.key
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainCommande named-checkzone
La commande named-checkzone vrifie la syntaxe et l'intgrit d'un
S.ALLAOUI
La commande named-checkzone vrifie la syntaxe et l'intgrit d'unfichier de zone. Elle effectue les mmes vrifications que named, d'ol'intrt de l'utiliser avant d'ajouter les fichiers de zone laconfiguration d'un serveur de noms.
named-checkzone [option ] zone fichier-zone
Avec zone : nom de domaine de la zone vrifier ; fichier-zone : fichier contenant les donnes de la zone.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurit
Dans un systme informatique ouvert sur Internet, le service DNS est un
S.ALLAOUI
Dans un systme informatique ouvert sur Internet, le service DNS est unservice critique.En effet : la non disponibilit du serveur DNS entranera la non disponibilit desserveurs web et de messagerie ; une intrusion dans le serveur DNS, entrane la collecte d'informationsprives telles que les adresses IP d'autre serveurs, des postes clients, descommutateurs, etc ; si les informations du DNS sont empoisonnes (modifies), un pirate peutrediriger les internautes vers ses serveurs au lieu des serveurs rels.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurit
Pour renforcer la scurit de ce service, les oprations suivantes
S.ALLAOUI
Pour renforcer la scurit de ce service, les oprations suivantespeuvent tre appliques : l'excution du dmon dans un environnement enferm ; l'utilisation des listes de contrle d'accs (ACL : Access control List) ; la signature des transactions (TSIG : Transaction SIGnature) et la signature des informations des zones (DNSSec : DNS Security).
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainEnvironnement enferm
L'une des fonctionnalits utiles de BIND est la possibilit d'excuter le
S.ALLAOUI
L'une des fonctionnalits utiles de BIND est la possibilit d'excuter ledmon named dans le contexte d'un utilisateur non privilgi (option -ude named).Une autre fonctionnalit intressante de BIND est la possibilitd'excuter le dmon named dans un environnement enferm(chrooted environnement). Cette fonctionnalit permet de limiter lesdommages dans le cas o le serveur est compromis.
L'option -t rpertoire informe named qu'il sera excut dans unenvironnement enferm.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainListes de contrle d'accs
L'utilisation des listes de contrle d'accs (ACL Access Control List)
S.ALLAOUI
L'utilisation des listes de contrle d'accs (ACL Access Control List)permet de simplifier et d'affiner le contrle d'accs un serveur DNS.Elles sont utilises avec les instructions allow-query, allow-recursion,allow-transfer, blackhole, etc.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainListes de contrle d'accs
Le fichier named.conf suivante utilise les ACL n'autoriser les rsolutionsrcursives que pour les postes du rseau local.
S.ALLAOUI
rcursives que pour les postes du rseau local.acl "lan" { 192.168.1.0/24; };options {...
allow-query { "lan"; };allow-recursion { "lan"; };};zone "exemple.com" {type master;file "/etc/named/db.exemple.com";allow-query { any; };};
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
La fonctionnalit TSIG (Transaction SIGnature) permet de crypter les
S.ALLAOUI
La fonctionnalit TSIG (Transaction SIGnature) permet de crypter lesdonnes changes lors d'un transfert de zone entre le serveur DNSmatre d'une zone et ses esclaves. Elle est aussi utilise pour les mises jour dynamiques (dynamic updates) des enregistrements d'une zone.
Les transactions utilisant TSIG sont horodates. Il est donc ncessaireque les horloges des entits communicantes soient synchronises. Deprfrence, elles doivent tre synchronises auprs d'un serveur detemps commun.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
La procdure qui suit numre les tapes de mise en place destransactions scurises pour le transfert de la zone exemple.com
S.ALLAOUI
transactions scurises pour le transfert de la zone exemple.com entre le serveur DNS matre dns1 et un serveur esclave dns2 .
1. Gnration d'un secret : la commande qui suit gnre une clsymtrique de nom tsig-dns1-dns2, de type HOST en utilisantl'algorithme HMAC-MD5 de taille 512 bits.
# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST tsig-dns1-dns2
les deux fichiers Ktsig-dns1-dns2.+157+06761.[key,private] sont creset contenant le mme secret.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
2. Prise en charge de la cl : sur les deux serveurs, le fichier tsig-
S.ALLAOUI
2. Prise en charge de la cl : sur les deux serveurs, le fichier tsig-ns1-ns2 contenant la cl symtrique doit tre cr. Le contenu dufichier est le suivant :
# vi tsig-dns1-dns2key tsig-dns1-dns2. {
algorithm hmac-md5;secret "Dey4YV...yzREUQ==";
};Copier le fichier dans les deux serveurs master et slave
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
3. Re-configuration du matre : le fichier de configuration named.conf
S.ALLAOUI
3. Re-configuration du matre : le fichier de configuration named.conf du dns1 doit tre modifi pour y inclure le chemin d'accs la cl symtrique.include "/chemin/tsig-dns1-dns2";zone "exemple.com" {
type master;file "/etc/named/db.exemple.com";allow-transfer {key tsig-dns1-dns2.;};
};
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
4. Re-configuration de l'esclave : le fichier de configuration
S.ALLAOUI
4. Re-configuration de l'esclave : le fichier de configurationnamed.conf du dns2 doit tre modifi pour y inclure le chemind'accs la cl symtrique.include "/chemin/tsig-dns1-dns2";server 192.168.1.1 {keys { tsig-dns1-dns2.; };};zone "exemple.com" {
type slave;file "/etc/bind/db.exemple.com";masters { 192.168.1.1; };
};
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG
Test du transfert : la commande dig suivante interroge dns1 pour
S.ALLAOUI
Test du transfert : la commande dig suivante interroge dns1 pour un transfert de zone.
$ dig @dns1.exemple.com -k Ktsig-dns1-dns2.+157+06761.private exemple.com AXFR
Le message NOERROR est retourn s'il n'y a pas d'erreur. En casd'erreur, le message Transfer failed. BADSIG est retourn pourune erreur de signature et le message Transfer failed. BADKEY pour une erreur de nom de la cl.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC
La fonctionnalit DNSSEC (DNS SECurity) permet de signer des
S.ALLAOUI
La fonctionnalit DNSSEC (DNS SECurity) permet de signer deszones. Ceci permet de vrifier que les informations relatives unezone spcifique proviennent du serveur DNS qui les a signes avecune cl de zone (ZSK : Zone Signing Key).
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC
La procdure qui suit dcrit les tapes de signature de la zoneexemple.com :
S.ALLAOUI
exemple.com :1.Gnration des cls : les commandes qui suivent gnrent deux
paires de cls asymtriques l'une pour la signature de la zone (ZSK)exemple.com et l'autre pour la signature de la cl (KSK) de lazone. Le contenu des fichiers .key (cls publiques) gnrs estajout la fin du fichier zone exemple.com .# dnssec-keygen -q -a RSASHA1 -b 512 -n ZONE exemple.comKexemple.com.+005+5823# cat Kexemple.com.+005+5823.key >> /etc/named/db.exemple.com# dnssec-keygen -q -a RSASHA1 -b 512 -f KSK -n ZONE exemple.com Kexemple.com.+005+5281# cat Kexemple.com.+005+5281.key >> /etc/named/exemple.com
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC
2. Signature de la zone : la commande dnssec-signzone qui suit signe
S.ALLAOUI
2. Signature de la zone : la commande dnssec-signzone qui suit signela zone exemple.com avec la cl ZSKKexemple.com.+005+5823 et la cl KSKKexemple.com.+005+5281. Les rsultats (zone signe) serontenregistrs dans le fichier db.exemple.com.signed.
# dnssec-signzone -o exemple.com \-f /etc/named/db.exemple.com.signed \-k Kexemple.com.+005+5281.private \/etc/named/db.exemple.com\Kexemple.com.+005+5823.private
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC
3. Chargement de la zone : le fichier named.conf doit tre modifi pour
S.ALLAOUI
3. Chargement de la zone : le fichier named.conf doit tre modifi pourremplacer le fichier /etc/named/db.exemple.com par/etc/named/db.exemple.com.signed.
zone "exemple.com" {type master;file "/etc/named/db.exemple.com.signed";...
};Le dmon named doit recharger le fichier de configuration named.conf puisqu'il vient d'tre modifi.
-
Domain Name System : DNS
BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC
4. Test de la zone signe : la commande dig suivante interroge
S.ALLAOUI
4. Test de la zone signe : la commande dig suivante interrogedns1 en activant le bit DO (Dnssec OK) travers l'option+dnssec.
$ dig @dns1.exemple.com www.exemple.com a +dnssec