PV090: DNS

Náměty k referátu

• Údaje v DNS: základní typy záznamů.
• Klientský resolver a jeho konfigurace (i např. systemd-resolved).
• DNS servery (BIND, případně další).
• Reverzní DNS v IPv4 a IPv6. Zóna versus subdoména, delegování subdomén na jiné servery.
• Základní vlastnosti DNS serverů, instalace, konfigurace.
• Zabezpečení přenášených dat a DNSSEC.

Úkol

Cílem je vyzkoušet si správu primárního i sekundárního nameserveru pro dopřednou i reverzní zónu včetně delegace subdomény někam jinam.

Nainstalujte na oba své stroje DNS servery s těmito vlastnostmi:

Počítač alpha

• primární server pro doménu pv090.fi.muni.cz (přidělení jmen a adres je popsáno v topologii sítě u tématu virtualizace).
• primární server pro reverzní DNS pro všechny prefixy adres IPv4 i IPv6 v laboratoři kromě vaší jedné dvoubodové sítě mezi vašimi počítači alpha a beta.
• reverzní DNS pro dvoubodovou síť mezi počítači alpha a beta (viz výše) delegovat na DNS server počítače beta
• neznámé dotazy přeposílat na server erigona

Počítač beta

• sekundární DNS pro doménu pv090.fi.muni.cz (primární je alpha)
• sekundární DNS pro reverzní zóny (viz počítač alpha)
• primární DNS pro reverzní zóny dvoubodové sítě mezi vlastními počítači alpha a beta
• neznámé dotazy přeposílat na počítač alpha

Další

• Pro kontrolu je třeba povolit u všech autoritativních zón přenos zóny (zone transfer) z erigony.
• Validovat DNS odpovědi přes DNSSEC (viz www.rhybar.cz).
• Při změně dat na primárním nameserveru korektně notifikovat sekundární.
• Umožnit reload a další ovládání nameserveru na obou strojích vzdáleně alpha a erigona nástrojem rndc. Pro erigonu použijte rndc klíč mZcBKIMoEc1Z9TxDMbSc+oyf/Aj0La0BdAyQ8jNzkFo= s hashovacím algoritmem hmac-sha256. Pro alphu použijte jakýkoli klíč a algoritmus, který bude fungovat. Klíč uložte tak, aby jej příkaz rndc na stroji alpha použil automaticky, bez nutnosti předávat jako parametr.
• Názvy zón pro které mají být některé vaše nameservery autoritativní (viz výše) jsou tyto:
  • pv090.fi.muni.cz
  • 0.10.in-addr.arpa
  • x.0.10.in-addr.arpa (pro váš prefix sítě x)
  • f.e.e.b.d.a.e.d.0.0.d.f.ip6.arpa
  • 0.y.x.0.f.e.e.b.d.a.e.d.0.0.d.f.ip6.arpa (kde fd00:dead:beef:xy0::/64 je prefix vaší dvoubodové sítě)
• Příkaz host je váš přítel. Vyzkoušejte například:
  • host -t any dns.jme.no. 127.0.0.1
  • host -l pv090.fi.muni.cz. protoXY.pv090.fi.muni.cz.

Hodnocení

Základní část

• běží dva DNS servery, komunikují na IPv4 i IPv6
• smysluplně odpovídají na dotazy na jména z pv090.fi.muni.cz (A i AAAA) a na reverzní záznamy (PTR), například při dotazu z erigony nebo z vašich vlastních strojů
• smysluplně překládají jména na adresy a naopak pro adresy mimo laboratoř
• funguje zone transfer při přístupu z erigony (IPv4 i IPv6 pro všechny autoritativní zóny daného nameserveru)

Hodnocená část

• 3 body: korektní obsah zónových souborů
• 1 bod: přeposílání neznámých dotazů podle zadání
• 1 bod: delegace reverzních subdomén
• 2 body: notifikace a zone transfer na sekundární DNS při změně dat
• 1 bod: korektní nastavení firewallu (odchozí provoz, 53/tcp, 53/udp, port pro rndc)
• 1 bod: konfigurace DNS v Ansible (nebo jiném systému pro správu konfigurace)

Bonusová část

• 1 bod: rndc
• 2 body: DNSSEC validace (pro ověření je třeba mít nainstalovaný program drill na obou strojích)