Configuración de un DNS Server Autoritativo con BIND9 en
Debian 10 (Buster).
Por: JMurga
En el siguiente diagrama muestro como funcionaria un DNS interno como Autoritativo.
1) EL computador con IP 192.168.6.100 le pregunta al DNS 192.168.5.19 si sabe la IP de www.itsecurity-hn.com ?
2) Nuestro DNS interno tiene configurado
el fichero “named.conf.local” donde lo
declaramos autoritario para el dominio “itsecurity-hn.com”, asi que siguiendo
el proceso de búsqueda de la IP que consulto el Host 192.168.6.100, nuestro DNS se va al fichero de zona “db.itsecurity-hn” conulta el registro “A”
para “WWW” y obtiene que la IP es “192.168.5.20”
la cual es enviada al computador 192.168.6.100
3) Ya que el computador 192.168.6.100
conoce la dirección de www,itsecurity-hn.com, este hace la comunicación directa
al web server via IP para obtener la pagina web de www.itsecurity-hn.com
4) El server web que tenemos en nuestra
Intranet envía la página web al host 192.168.6.100
para que esta sea visualizada en el navegador.
Nota: Importante recalcar que estas consultas de DNS no se generan a Internet todo este trafico de consultas a el dominio itsecurity-hn.com es interno.
RECOMENDACIÓN IMPORTANTE:
RECOMENDACIÓN IMPORTANTE:
Anteriormente enseñe como configurar
un Servidor DNS recursivo en la
Intranet, este DNS que les estoy enseñando a configurar ahora es un DNS Autoritativo, pero quiero recalcar que en este laboratorio
estoy configurando tanto el recursivo
como autoritativo en un mismo servidor, aquí es muy importante que si ustedes
pueden separar el Server DNS Autoritativo del Recursivo lo hagan, ya que como explique anteriormente por motivos
de seguridad, el sistema de DNS es muy apetecido por los hacker para realizar ataques de envenenamiento de cache y ataques de DoS.
Si ustedes piensan implementar un DNS para un proveedor de
servicios de Internet, lógicamente van
a resolver dominios de clientes, bajo
este ecenario les recomiendo que no
instalen el DNS recursivo y autoritativo en el mismo servidor.
Imagínense que les hackean el DNS que resuelve el dominio de un Banco, aquí el
hacker hace envenenamiento de cache y redirección todo ese trafico web del banco
para hacer Phishing y robar toda la información de los clientes del banco, esto
seria catastrófico para el proveedor de servicios ISP, por que el Banco puede
demandarlos por esa falla de seguridad que tuvieron.
Por eso es muy importante que todo aquel que quiere o es Sysadmin aprenda a diseñar topologías de Red,
ya que los ecenarios donde hagamos implementaciones nunca serán los mismos, y
como expertos debemos recomendar implementación manejando altos niveles de seguridad.
Bien ahora paso a enseñarles cómo se configura un DNS Interno como Autoritativo.
Para acceder
a los ficheros de configuración de BIND9
vamos a la siguiente ruta.
root@ns1:~# cd /etc/bind/
Listamos estando
en el directorio /etc/bind/
Ahora editamos con nuestro editor de texto preferido el
fichero named.conf.local
root@ns1:/etc/bind#
vi named.conf.local
En la siguiente imagen definimos la zona la cual tendremos
autoridad.
zona “Itsecurity-hn.com”
{
DNS lo podemos implementar con redundancia donde habría un
Master y Slave, en mi caso solo estoy implementando un DNS Server.
type master;
También agregamos el path de donde estar los ficheros de zona
que contendrán los registros “A”, “NS”, “CNAME”, etc
file “/etc/bind/zonas/db.itsecurity-hn.com”;
};
Nota: con “//” puede agregar comentarios, también les recomiendo que no se olvide de los “;” o cerrar con “};”,
ya que si por algún motivo le falta un valor de estos, cuando reinicie el servidor de
BIND9 este no levantara y le generara un error, yo en el video tutorial que
subi a mi canal de YouTube genero errores para aprendan a corregirlos en caso
que les pase.
También agregaremos la zona
inversa como lo muestra la imagen, definiendo también los paramentros antes
mencionados, para este laboratorio utilizo la red 192.168.5.0/24.
Ahora para llevar un mejor orden yo le recomiendo que cree un
directorio para guardar los ficheros donde estarán todos los registros de la
zona que nuestro server DNS tendrá autoridad para resolver, y que estos estén separados
de los ficheros de configuracion.
root@ns1:/etc/bind# mkdir
zonas
En la siguiente imagen al ejecutar ls –l nos muestra todos los ficheros de configuracion y también tenemos
un directorio.
Como siguiente paso nos accedemos al directorio zonas para
crear el fichero de la zona itsecuriti-hn.com
y el fichero de zona inversa
root@ns1:/etc/bind# cd
zonas
Ahora creamos el fichero “db.itsecurity-hn.com” donde crearemos los registros “A”, “MX”, “NS”, “SOA”.
Nota: en la imagen ya esta agregado un
registro “MX” y el “A” para el servidor de correo electrónico
que les enseñare mas adelante como instalarlo, en el curso que que estoy
impartiendo les muestro la implementación de una infraestructura con servicios
de red y estos son: DNS, MAIL, WEB, hasta este punto ya tenemos configurado el server WEB, y estamos terminando como hacer la
configuracion de server DNS.
Ahora creamos el fichero de la zona inversa, yo en este laboratorio uso la red 192.168.5.0/24, en su caso
deben definir la red con el prefijo que
utilizan en su intranet.
root@ns1:/etc/bind#
vi db.security-hn.com
Nota: en la siguiente imagen yo solo creo 3
registros “PTR” si ustedes crean un red con prefijo /24 deben crear los 254 PTR con el nombre que tenga cada host.
Ahora reinicie el servicio de DNS.
TIPS: Recuerde que hay 3 comandos con los que podemos reiniciar los servicios, esto ya
queda a decisión de usted que comando usan.
#systemctl start|stop|restart bind9
#service
bind9 start|stop|restart
Ahora Configure las propiedades del adaptador de red en un
computador con Microsoft Windows y
defina la IP del DNS Interno que
configuro en su red LAN.
Y por último abra una ventana de MS-DOS y vacié el cache de
los DNS de su Microsoft Windows con el comando.
ipconfig/flushdns
Ahora en su browser ya sea Google Chrome, Firefox, Opera, podrá escribir http://www.itsecurity-hn.com
usando el DNS interno Autoritativo y
este les enviara la dirección IP de este dominio para que puedan comunicarse
con el server web donde esta alojada la pagina web y luego que la reciban la
puedan visualizar.
Solo reforzando los 4 pasos que se sigue desde que damos enter en el web browser para obtener la direccion IP de un dominio en nuestro DNS interno Autoritativo, aqui les dejo este diagrama, donde explico visualizando todo el proceso desde la topologia de red comunmente utilizada en la red de una empresa.
Solo reforzando los 4 pasos que se sigue desde que damos enter en el web browser para obtener la direccion IP de un dominio en nuestro DNS interno Autoritativo, aqui les dejo este diagrama, donde explico visualizando todo el proceso desde la topologia de red comunmente utilizada en la red de una empresa.
En otros Post que voy a crear mas adelante explicare como implementar seguridad
mediante “acl’s”, como hacer “chroot” del servicio BIND9, y como aplicar algunas
sentencias en el fichero “named. conf.options”
para eviar ser victimas de ataques de envenenamiento
de cache o ataques de DoS.
Espero que
este artículo les sea de su utilidad, pueden colaborar con el simple gesto de
compartirlo ya sea en sus páginas Web, Foros o Redes Sociales.
Si tiene
dudas o consultas no duden en hacérmelas saber, que para mí será un placer responderlas.
