Plan

Administration et scurit des rseaux Chapitre 5

Le service DNS (Domain name service)

Assurer la conversion entre les noms dhtes et les adresses IP. machine.domaine.xz hi d i rsolution l ti rsolution l ti inverse 192.127.10.2 Exemple: Le nom www.yahoo.fr correspond ladresse IP 192.95.93.20 de l 192 95 93 20 d la machine www sur l rseau hi le yahoo.fr M. E. ELHDHILI

1 M. E. ELHDHILI

DNS: fonctionnalits
Fonctionnalits du DNS
$ telnet
m1.centralweb.fr

DNS: rsolution de noms

DNS serveur DNS serveur DNS

Rsolutions de noms et rsolution inverse Types de serveurs de noms Entte DNS Analyse de datagrammes DNS Mise en uvre de DNS
M. E. ELHDHILI

client Telnet

Demande de rsolution m1.centralweb.fr ???? 1 t l bf Rponse 193.148.37.201

193.148.37.201

serveur Telnetd T l td

serveur DNS

M. E. ELHDHILI

DNS: Rsolution de noms inverse

Trouver le nom partir de ladresse Mme principe que pour les noms M i i l Chaque octet de ladresse IP est vue comme un sous d domaine. i Un domaine particulier : arpa Sous domaines
in-addr pour les adresses IPV4 ip6 pour l adresses IPV6 les d

Terminologies
noeud BD Zone

Domaine eisti = Sous domaine du domaine fr

Exemple: paros.imag.fr 229.38.88.129.in-addr.arpa

M.E. ELHDHILI

Domaine : sous arbre de lespace nom de domaine Zone : contient les donnes propres une partie de lespace nom de domaine sous lautorit dun serveur de noms ( (SOA: start of a zone of authority ou sphere of authority). y p y) Dlgation: Transfert de la responsabilit d une zone une M. E. ELHDHILI ou plusieurs de ses sous-zones.

Smantique des noms

Le nom qualifi ou complet (FQDN) d'une machine se lit en d une partant de la feuille et en remontant dans l'arbre. Chaque niveau est spar par un "." Le domaine racine n a pas de nom n'a et par convention est appel "." Chaque niveau de l arborescence l'arborescence garantie que les noms de ses fils soient uniques.
www

Les Serveurs de noms

Un serveur de noms
Enregistre les donnes propres une partie de lespace nom de domaine dans une zone. Possde l P d lautorit administrative sur cette zone. i d i i i Peut avoir autorit sur plusieurs zones. p

Un nom de domaine est constitu par une suite de noms spars par p des points.
M. E. ELHDHILI

www.inria.fr
7
M. E. ELHDHILI

Les Serveurs de noms

Serveurs de Noms (suite)

La redondance permet la dfaillance ventuelle du primaire et du (des) secondaire(s) secondaire(s). Il y a un serveur primaire et gnralement plusieurs secondaires Un serveur de nom peut tre primaire pour une (des) zone(s) et secondaire pour dautre(s). p ( ) Serveurs racine (dcrits dans /var/named/named.ca)
Environ 15 serveurs de nom rpartis dans le monde Connaissent tous les serveurs de premier niveau : .tn , .fr, .com, ... Serveur origine (ou primaire ou maitre) gr par IANA/ICANN (IANA primaire, Internet Assigned Numbers Authority, ICANN-Internet Corporation for Assigned Names and Numbers) Serveurs MIROIRS (ou secondaire, ou esclave) S O S( d l )
M. E. ELHDHILI

Types de serveurs de noms:

Serveur primaire (matre):
contient l'original des donnes sur la zone dont il a lautorit administrative d i i i

Serveur cache (forwarding) :

Relaye des requtes vers dautres serveurs Garde en cache les rsultats les plus rcents pour un temps de rponse meilleur

Serveur secondaire (esclave) : ( )

Seconde automatiquement le serveur de noms matre Interroge priodiquement le serveur de nom primaire et met j I t i di tl d i i t t jour les donnes
M. E. ELHDHILI

10

Entte DNS
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 identificateur de la requte (recopi dans la rponse) qr opcode aa tc rd ra Z rcode 0 1 2 3 4

Entte DNS (suite)

5 6 7 8 9 10 11 12 13 14 15

identificateur de la requte (recopi dans la rponse) qr opcode aa tc rd ra Z rcode

QDCOUNT ANCOUNT NCOUNT ARCOUNT

nombre dentres dans la section question d entres nombre dentres (RR) dans la section rponse nombre dentres (NS) dans la section rponse nombre dentres (RR) dans la section additionnel aa : rponse dune autorit tc : message tronqu rd : rcursion dsir ra : rcursion accepte p Z: utilisation futur 11 rcode: type de rponse

QDCOUNT ANCOUNT NCOUNT ARCOUNT

nombre dentres dans la section question nombre dentres (RR) dans la section rponse nombre dentres (NS) dans la section rponse nombre d entres (RR) dans la section additionnel dentres

qr: question (0) ou rponse (1)

Opcode: 0 - Requte standard (Query) 1 - Requte inverse ( q y) q (Iquery) 2 - Status d'une requte serveur (Status) M.E. ELHDHILI 3-15 - Rserv pour des utilisations futurs

rcode: indique le type de rponse. q yp p

0 - Pas d'erreur 1 - Erreur de format dans la requte 2 - Problme sur serveur
M.E. ELHDHILI

3 - Le nom n'existe pas 4 - Non implment 5 - Refus 6-15 - Rservs

12

Les RR (Resource Records)

La base de donnes des serveurs de noms = ensemble de RR rpartis en classes La seule classe implment: Internet (IN)

Les RR (champs type)

10

11

12

13

14

15

Nom: Nom du domaine o se trouve le RR Type (2octets): type de donne utilises dans le RR Classe ((2octets): famille de protocoles ou un protocole (IN: Internet) TTL(4octets): dure de vie des RRs (utilis lorsque les RR sont en cache) longueur: longueur des donnes suivantes Donnes: Donnes identifiant la ressource
13 14

M. E. ELHDHILI

M. E. ELHDHILI

Le DNS Ct Client
Le client demande une adresse IP ou la rsolution d'un nom p par une requte UDP ( TCP) sur le p q (ou ) port 53 ( (domain) ) Liste des serveurs de noms contacter : /etc/resolv.conf : search <nom_domaine> nameserver <@_IP du serveur>

Le Serveur DNS
Le serveur reoit la requte Mode rcursif: Si le serveur n'a pas de rponse, il demande p p , au serveur racine ou fait suivre la requte (pour le cas dun serveur cache) Mode itratif: Le serveur sollicit prend le rle de rsolveur

Peut tre mis jour lors de la configuration dynamique de l interface l'interface (DHCP)
Indiquer PEERDNS=no dans le fichier de configuration de l'interface pour empcher les modifications automatiques de /etc/resolv.conf
M. E. ELHDHILI

Mode itratif
M. E. ELHDHILI

Mode Rcursif
source des figures: www.frameip.com

15

16

Analyse de datagrammes DNS

DNS: mise en ouevre

M. E. ELHDHILI

17

M. E. ELHDHILI

18

Profil du Service DNS

Implmentation la plus courante : Bind Paquetages : bind, bind-utils, caching-nameserver g Dmons : /etc/ini.d/named / / / Ports : 53 udp, 53 tcp p, p Configurations : /etc/named conf et /var/named/* /etc/named.conf

Configuration de BIND

Le fichier d L fi hi de configuration par dfaut est fi ti df t t /etc/named.conf

Lu par named (le dmon de BIND) au dmarrage Directives de configuration :
dclaration de zones, options, listes de contrle d'accs, etc.

Les commentaires peuvent tre de type C, C++ ou shell On O peut spcifier d rseaux avec l notation ifi des la i rseau/masque Les di ti L directives de configuration de BIND se t d fi ti d terminent i t toujours par un point-virgule
19 20

M. E. ELHDHILI

M. E. ELHDHILI

/etc/named.conf : Options Globales

Se dclarent avec la directive options :
options { directory "/var/named"; //base de donnes forwarders {203.50.0.137;}; //serveur racine contacter allow-query {192 100 100/24;}; allow query {192.100.100/24;}; // machines autorises allow-transfer {192.100.100/24;}; //serveurs caches autoriss };

Dclaration des zones

Se dclarent avec la directive zone Les fichiers de zones sont placs par dfaut dans /var/named/. Les noms de fichiers sont arbitraires. Chaque zone di Ch directe d i avoir une zone d rsolution doit i de l i inverse sauf la zone racine. Zone racine : "."
zone "." { type hint; //relative a internet file "named.ca"; }; //fichier zone
21 22

M. E. ELHDHILI

M. E. ELHDHILI

Dclaration des zones

Zones Matres (primaires)
zone " infcom.rnu.tn" { type master; // serveur matre (primaire) file infcom.rnu.tn.zone"; } // fi hi d zone fil i f " }; fichier de

Dclaration des zones Zones de Rsolution Inverse

Le nom de zones se termine par un domaine spcial : .inaddr.arpa
zone "10 100 172 i dd "10.100.172.in-addr.arpa" { " type slave; masters { 172 100 10 1; }; 172.100.10.1; file "172.100.10.zone"; };

Zones Esclaves (secondaires)

zone " infcom.rnu.tn " { type slave; masters { 192.100.100.1; }; file " infcom rnu tn zone"; }; infcom.rnu.tn.zone";

Zones Spciales
Zone racine : pas de rsolution inverse Zone de loopback : "0.0.127.in-addr.arpa
23 zone "0.0.127.in-addr.arpa" { type t pe master; file "0.0.127"; }; //fichier zone
M. E. ELHDHILI

M. E. ELHDHILI

24

Fichiers de Zones
fichiers de zones = Base de donnes du services DNS
contiennent la dclaration des machines appartenant la zone zone. se trouvent gnralement dans /var/named/ Commencent par $TTL (time to live ou dure de vie) La premire dfinition de ressource est le dbut d'autorit (SOA) de la zone Dfinitions de Ressource (Resource Record ou RR) ( )

SOA (Start Of Authority)

Tout fichier de zone doit avoir un SOA
@ IN SOA ns.redhat.com. root.redhat.com. ( // 2001042501 ; //numro de srie 300 ; //rafrachissement 60 ; //nouvelle tentative 1209600 ; //expiration 43200 ; //dure de vie minimale pour les rponses ngatives )

Syntaxe : [domain] [ttl] [class] <type> <rdata>

[domain] spcifier le domaine ou utiliser le domaine courant p [ttl] temps de conservation en cache [class] classification de dfinition (gnralement IN) <type> type de dfinition (SOA, MX, A, etc) <rdata> donnes spcifiques la dfinition

Les valeurs ne s'expriment pas obligatoirement en secondes d

25 26

M. E. ELHDHILI

M. E. ELHDHILI

Autres ressources
NS (name server ou serveur de noms) Il doit y avoir une dfinition NS pour chaque serveur de noms matre ou esclave dune zone Les dfinitions NS pointent sur tout serveur esclave qui doit tre consult par le serveur de noms du client si le serveur p matre est indisponible
@ IN NS ns.redhat.com. redhat.com. IN NS ns1.redhat.com. dh t 1 dh t

Autres ressources
Les dfinitions A associent un nom de machine une adresse IP
mail IN A 192.100.100.3 login.redhat.com. IN A 192.100.100.4 l i dh t 192 100 100 4

Les dfinitions CNAME fournissent des alias d'adresses

pop IN CNAME mail il ssh IN CNAME login.redhat.com.

Les dfi i i L dfinitions PTR associent une adresse IP un nom de machine i d d hi

3.100.100.192.in-addr.arpa IN PTR mail.redhat.com.

MX associe un domaine une machine charge de grer le courrier de ce domaine

redhat.com. IN MX 5 mail.redhat.com.

HINFO fournit des informations supplmentaires sur les machines

mail IN HINFO i686 Linux-2 0 36 Linux-2.0.36
M. E. ELHDHILI

27

M. E. ELHDHILI

28

Exemple complet : dclaration dun serveur maitre pour une zone p

/etc/named.conf :

Scnario :
Poste3 est une machine du rseau qui veut se dclarer p g p poste5 et maitre pour une zone regroupant les machines p poste6.

Seront cres :
Dclaration de la zone directe et inverse pour la nouvelle zone (exemple : zone3) Fichier de l ti directe / / Fi hi d rsolution di t : /var/named/poste3.zone d/ t 3 Fichier de rsolution inverse : /var/named/0.0.10.5.inaddr.arpa addr arpa
M. E. ELHDHILI

29

}; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "named.local"; named.local ; }; /* les 2 zones suivantes servent dclarer poste3 maitre pour zone3 */ // zone directe : zone " "zone3" in { 3" i type master; file "poste3.zone"; }; // zone inverse : zone "0.0.10.in-addr.arpa" in { type master; file "0.0.10.5.in-addr.arpa"; fil "0 0 10 5 i dd " };
M. E. ELHDHILI

/*les options globales par dfauts sont conserves*/ /* les 3 zones suivantes sont existantes et ne pas modifier */ zone " " i { "." in type hint; file "named.ca";

30

/var/named/poste3.zone : fichier de zone directe p

/var/named/0.0.10.5.in-addr.arpa : fichier de zone inverse $TTL 1W @ IN SOA

$TTL 1W @ IN SOA

poste3.zone3. root.poste3.zone3. ( 42 ; serial 2D ; refresh 4H ; retry 6W ; expiry 1W ) ; minimum IN IN IN IN NS A A A poste3.zone3. 10.0.0.5 10 0 0 5 10.7.7.8 10.10.10.15

poste3.zone3. root.poste3.zone3. ( 42 ; serial 2D ; refresh 4H ; retry t 6W ; expiry 1W ) ; minimum IN IN IN IN NS PTR PTR PTR poste3.zone3. poste3.zone3. poste3 zone3 poste5.zone3. poste6.zone3. 32

zone3. poste3.zone3. poste3 zone3 poste5.zone3. poste6.zone3.

0.0.10.in-addr.arpa. 5.0.0.10.in-addr.arpa. 5 0 0 10 in addr arpa 8.7.7.10.in-addr.arpa. 15.10.10.10.in-addr.arpa. 31

M. E. ELHDHILI

M. E. ELHDHILI

Utilitaires BIND
On trouve dans le paquetage bind-utils plusieurs utilitaires pratiques, dont : ti d t
host : pour recueillir des informations sur une machine ou un domaine host -a ns.redhat.com host -al redhat.com dig : pour envoyer des requtes directement au serveur de noms dig @ns dh @ redhat.com any

Outils de rsolution de noms Dig: remplace la commande nslookup g p p

Syntaxe: dig os a e d g hosname dig i @IP Requiert un nom de domaine q q qualifi ( Q (FQDN) )

host
Non-interactif seulement N i t tif l t L'IP de serveur n'a pas besoin d'tre rsolvable

BIND chouera au lancement dans le cas d'erreurs de syntaxe named-checkconf : vrifie la syntaxe de /etc/named.conf named-checkzone : vrifie un fichier de zone spcifique

nslookup (dconseill) l (d ll )
M. E. ELHDHILI

M. E. ELHDHILI

33

34