Domain Name Server
Daniel Pecos Martnez
dani@[Link]
Castelln, 1 de Diciembre 2003
INTRODUCCIN
En este documento se realiza una breve explicacin sobre los conceptos bsicos del DNS, poniendo como ejemplo una configuracin sencilla del servidor de nombres GNU bind.
CONCEPTOS BSICOS
Qu es un DNS?
El Domain Name Server consiste en un sistema de traduccin de nombres o dominios a direcciones IP y viceversa. Podra verse como una gigantesca base de datos distribuida por todo Internet, estructurada de forma jerrquica por medio de un rbol, el cual suele ser denominado como espacio de nombres. Los dominios se clasifican en funcin de su nivel o profundidad dentro del rbol de la jerarqua DNS. De este modo existen dominios:
Primer nivel, gestionados, bien por organizaciones especficas para ello, bien por organizaciones gubernamentales. Segundo nivel, gestionados por entes particulares. Tercer nivel. Etctera.
Adems se puede considerar un dominio de nivel 0 o raz, del que cuelgan el resto de dominios de primer nivel (ver figura). Dicho dominio recibe el nombre de ..
�. .com .org
[Link]
[Link] [Link]
Jerarqua servidores de nombre.
[Link] [Link]
Los dominios de primer nivel que se crearon cuando se dise el DNS, y que siguen siendo los de mayor importancia en Internet son: Dominio edu com org net gov mil uucp Descripcin Instituciones educativas. Organizaciones comerciales. Organizaciones no comerciales. Pasarelas y otras redes administrativas. Gobierno norteamericano. Ejrcito norteamericano. Redes UUCP.
As, los dominios que cuelguen de algunos de estos dominios de primer nivel, debern estar destinados a las actividades a las que se destinan su dominio padre. sto no es cierto para los dominios .com, .org, .net, ya que hoy en da cualquiera puede adquirir un dominio que deriven de algunos de stos, sin tener que demostrar que va a estar destinado a ninguna tarea en especial. Adems de los dominios de primer nivel ya comentados, existen dominios propios a cada pas, que corresponden a las siglas con las que se denomina a cada uno de los pases segn la nomeclatura seguida por la ONU. Dichos dominios son gestionados segn la poltica que cada pas crea conveniente.
Delegacin
Hemos comentado que los dominios de primer nivel destinados a los pases son gestionados por estos a su voluntad. sto es posible porque stos dominios estn delegados en administradores propios al pas, de forma que son stos los que los gestionan. Dicha delegacin de autoridad sobre un dominio se puede realizar a cualquier nivel del espacio de nombres, de manera que si se dispone un dominio de segundo nivel para una empresa, se podran crear dominios de niveles inferiores segn la estructura organizativa de la empresa, por poner un ejemplo. Ms concretamente, la delegacin consiste en la cesin del control de una zona del espacio de nombre a
�otro servidor DNS. Una zona es una porcin del espacio de nombres, de forma que se posee autoridad desde el nodo raz de dicha zona dentro del rbol jerrquico, pudiendo crear o eliminar nuevos subdominios a partir del nivel en el que se encuentre dicho nodo raz. La diferencia entre dominio y zona suele ser confusa en un principio. Se trata de dos conceptos relacionados en diferentes capas: dominio es un concepto del espacio de nombres, mientras que zona es la forma en la que se distribuye la autoridad sobre un determinado dominio. As pues, un dominio contiene todas las mquinas que estn dentro de dicho dominio, incluidos subdominios, mientras que una zona incluye solo las mquinas del dominio que cuelgan del subdominio sobre el que se posee la autoridad. Podra decirse que las zonas es la forma en la que se distribuye el control sobre el espacio de nombres, y, por lo tanto, que son una causa directa de la delegacin de autoridad sobre el espacio de nombre.
Zona 1
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
Zona 2
Divisin en zonas del espacio de nombres
Resolucin directa y resolucin inversa
Existen dos tipos de preguntas a las que responde un DNS: la resolucin directa, que consiste en contestar la IP o IP's que corresponden a un determinado nombre de dominio, y la resolucin inversa, que consiste en, dada una IP de Internet, qu nombre se le asocia. En el apartado de Configuracin de Bind se vern algunos ejemplos y se explicar un poco ms sobre esto conceptos.
Propagacin entre servidores
El proceso de propagacin en el DNS consiste en la difusin de los cambios producidos en dominios de los que se tiene autoridad. Este proceso suele tardar entre 28 y 72 horas (tiempo de latencia), aunque en teora los cambios deberan ser visibles inmediatamente despus de haberlos realizado. Este retraso se debe en la mayor parte a las cach que suelen usar los DNS. Existen dos tipos de configuraciones para los servidores DNS: recursivos y no recursivos. Dependiendo de si el servidor intenta o no devolver el resultado exacto de la peticin recibida, ste ser recursivo o no recursivo, respectivamente. Cuando un servidor no es recursivo, lo que hace es devolvernos la direccin del servidor DNS que posee autoridad sobre el siguiente dominio de la peticin que le hemos realizado, de forma que cada vez estamos ms prximos al servidor autoritativo. Por tanto, el proceso de resolucin de nombres con servidores no recursivos es un proceso iterativo y en el que el cliente participa activamente. Por contra, en el
�caso de usar servidores recursivos el proceso, desde el punto de vista del cliente, es lineal y con una actuacin pasiva. Normalmente no suelen configurarse servidores exclusivamente no recursivos (a excepcin de los servidores raz y de muy alto nivel en el espacio de nombres), sino que suelen actuar como recursivos para un determinado conjunto de nodos y como no recursivos para el resto. Normalmente los servidores recursivos incorporan una tabla cach, de forma que si se les vuelve a preguntar por un dominio del cual han averiguado su IP y el TTL o Tiempo de Vida de la respuesta no ha vencido, no vuelven a realizar la bsqueda, sino que devuelven el resultado anterior. Cuando la resolucin se lleva a cabo de esta forma, el servidor DNS que la realiza indica en la respuesta que no es autoritativa. Una respuesta se considera que es autoritativa cuando proviene del servidor que posee autoridad sobre el dominio en cuestin, siendo no autoritativa para el resto de casos. As pues, el problema de que la propagacin entre servidores DNS tenga una latencia tan grande se debe a que debemos esperar a que el tiempo de vida de la entrada en cach del dominio venza en todos los servidores, de forma que llegar un momento en que ser necesario volver a realizar la consulta al servidor que posee autoridad, de forma que ste nos responder con la respuesta correcta, la cual, de nuevo ser introducida en la tabla cach de los distintos servidores. El tiempo de expiracin de la cach depende de las implementaciones del software DNS y de su configuracin, aunque por lo normal se suele respetar el tiempo de vida indicado por la respuesta DNS del servidor.
CONFIGURACIN BIND
A continuacin se comentar la configuracin bsica de un servidor de DNS. En concreto usaremos el software Berkeley Internet Name Domain o bind en su versin [Link], ya que es uno de los servidores de DNS que goza de mayor difusin en Internet. Para el ejemplo, supondremos la posesin del dominio [Link], para el cual se debern aadir diferentes zonas para las distintas secciones de la empresa, algunas de las cuales estarn administradas por computadores propios a dichas secciones. Se debern incluir nombres para los servidores de correo, web y ftp que posee la empresa. Se configurarn un servidor maestro y un esclavo. La diferencia bsica entre un servidor maestro y un servidor esclavo, es cul de los dos recibe las modificaciones introducidas en las configuraciones de los dominios. sto es as porque el servidor configurado como esclavo realiza un polling sobre el servidor maestro para mantener sincronizadas las configuraciones de ambos. Dicha diferenciacin no se realiza desde el punto de vista del DNS, puesto que ambos pueden realizar respuestas autoritativas a una peticin, sino que se realiza a nivel de configuracin del software. El propsito de esto es el balanceo de carga entre los diferentes servidores definidos para un dominio. A continuacin se da una configuracin bsica del servidor de nombres primario o maestro:
/etc/[Link]
options { directory /var/lib/named; allow recursion { // direcciones de redes y/o ordenadores para las // que se actuar como DNS recursivo [Link]/24; [Link]/32; }; allow transfer { }; // direccin del servidor esclavo [Link];
�forward first; forwarders { };
[Link]; [Link];
};
// zona en la que se incluyen los servidores raz (no debera ser modificado) zone . { type hint; file [Link]; }; // zona para nuestro dominio (configurado como maestro) zone [Link] { type master; // fichero de configuracin de subdominios file zone/[Link]; }; // zona de resolucin inversa zone [Link] { type master; file zone/183.165.75; };
De esta forma, el servidor acta como recursivo para una red y para una IP determinadas. Se permitir el actuar como esclavo de este servidor a la IP configurada en el campo allow transfer. Tambin podemos observar que las peticiones sobre las que no se tenga autoridad sern reenviadas (forward) a otros servidores DNS, que generalmente son los de t ISP. El fichero de configuracin del dominio es el siguiente. En l se especifican el nmero de serie, tiempo de refresco, de reintento, de vencimiento y el mnimo TTL, as como la serie de subdominios que se hayan configurado.
/var/lib/named/zone/[Link]
$TTL 1m @ IN SOA [Link]. [Link]. ( 2003120101; serial 8H; refresh 2H; retry 4W; expire 1D; minimum ); ns ; Direccin IP del servidor 10 mail ; Servidor de mail principal 20 [Link]. ; Servidor de mail de respaldo [Link] [Link] [Link] // web es un alias para www [Link] A A NS A A [Link] [Link] [Link] [Link] [Link]
IN IN IN ns mail www web ftp IN IN IN CNAME IN
NS MX MX A A A www A IN IN IN IN IN
cs [Link] val [Link] ali
�Hemos definido cuatro subdominios para este dominio (ns, mail, www, ftp), y se han configurado dos servidores de correo, uno principal y otro de respaldo, de forma que el de respaldo no est bajo las mismas instalaciones que el primario, reduciendo drsticamente las posibilidades de que los dos servidores caigan durante un mismo espacio de tiempo. En esta configuracin tambin se han incluido los parmetros necesarios para representar una jerarqua semejante a la indicada en el grfico del apartado anterior. Se puede observar que el dominio [Link] ha sido delegado completamente excepto [Link], ya que es necesario conocerlo para poder realizar la delegacin. De esta forma cedemos la gestin total del dominio [Link] a otro servidor DNS, de manera que dicho servidor tendr un fichero [Link] que podra ser semejante al siguiente:
$TTL 1m @ IN SOA [Link]. [Link]. ( 2003120101; serial 8H; refresh 2H; retry 4W; expire 1D; minimum ); dns ; Direccin IP del servidor 10 mail ; Servidor de mail principal 20 [Link]. ; Servidor de mail de respaldo [Link] [Link] [Link]
IN IN IN dns mail www IN IN IN
NS MX MX A A A
El fichero de configuracin para la zona de resolucin inversa es el que sigue. En l se definen los mismos parmetros que en el fichero anterior, salvo que en este caso no se configuran subdominios, sino que se asignan nombres a las IP de las que se tiene autoridad (ya que de no tenerla, la configuracin no tendr efecto alguno en Internet).
/var/lib/named/zone/183.165.75
$TTL 1m @ IN SOA [Link]. [Link]. ( 2003120101; serial 8H; refresh 2H; retry 4W; expire 1D; minimum ); ns ; Direccin IP del servidor 10 mail ; Servidor de mail principal 20 [Link]. ; Servidor de mail de respaldo
IN IN IN 6 7 8 9 PTR PTR PTR PTR
NS MX MX
[Link]. [Link]. [Link]. [Link].
Una vez configurado el servidor maestro, solo queda configurar el servidor esclavo. Dicha configuracin ser semejante a la del maestro, salvo por el detalle de que este servidor no poseer ms informacin sobre
�dominios configurados como esclavo que la que el servidor maestro le comunique.
/etc/[Link]
options { directory /var/lib/named; allow recursion { // direcciones de redes y/o ordenadores para las // que se actuar como DNS recursivo [Link]/24; [Link]/32; }; allow transfer { }; forward first; forwarders { }; // direccin del servidor esclavo [Link];
[Link]; [Link];
};
// zona en la que se incluyen los servidores raz (no debera ser modificado) zone . { type hint; file [Link]; }; // zona para nuestro dominio (configurado como esclavo) zone [Link] { type slave; // fichero de configuracin de subdominios (ser copiado del maestro) file zone/[Link]; masters { [Link]; }; }; // zona de resolucin inversa zone [Link] { type master; file zone/183.165.75; };
Como se puede observar, esta configuracin es muy semejante a la del servidos maestro, con las nicas diferencias de que la zona [Link] se ha declarado como servidor esclavo (definiendo, por tanto, cul es el servidor maestro). La zona de resolucin inversa la hemos mantenido como servidor maestro, debido a lo sencillo y bastante esttico de su configuracin. De esta forma, el servidor consultar al servidor maestro por si ha habido modificaciones segn los parmetros establecidos en el campo SOA. En caso de que haya habido, el servidor copiar el fichero de configuracin del dominio, repitiendo el proceso descrito indefinidamente.
�BIBLIOGRAFA
DNS and Bind Autores: Paul Albitz & Cricket Liu Editorial: O'Reilly Gua de Administracin de Redes con Linux Autores: Olaf Kirch & Terry Dawson WEB: [Link] DNS-HOWTO Autor: Nicolai Langfeldt WEB: [Link]
