ME-DNS.pdf

Domain Name System : DNS

Historique du nommage

ARPANET(1970) HOST.TXT

S.ALLAOUI

Rcupr partir d'une seule machine Problmes

o trafic et chargeo Collisions de nomso Cohrence

Le DNS a t cr en 1983 par Paul Mockapetris (RFCs 1034 et1035), modifi, mis jour, et amlior par une multitude de RFCs:2181, etc.


Un mcanisme de correspondance d'objet en d'autres objets; Une base de donnes dynamique, globalement distribue,cohrente, volutive et fiable;

S.ALLAOUI

cohrente, volutive et fiable; Compos de trois composantes :

Une Zone == espace de nommage Les serveurs rendant l'espace de nommage disponible Les resolvers (clients) qui questionnent les serveurs proposde l'espace de nommage


Lorsque les htes d'un rseau se connectent entre eux au moyend'un nom d'hte, auquel on fait rfrence galement sous le termenom de domaine pleinement qualifi ou FQDN (fully qualified domain

S.ALLAOUI

nom de domaine pleinement qualifi ou FQDN (fully qualified domainname), le DNS est utilis pour associer les noms des diffrentsordinateurs l'adresse IP de l'hte.

Le Systme de nom de domaine (DNS) fournit une correspondancede noms en des ressources de plusieurs types


L'utilisation du DNS et du FQDN offre aux administrateurs systme denombreux avantages et leur permet, en outre, de changer facilementl'adresse IP d'un hte sans avoir d'impact sur les requtes bases sur

S.ALLAOUI

l'adresse IP d'un hte sans avoir d'impact sur les requtes bases surle nom qui sont envoyes cet ordinateur.


Arborescence des noms de domaineChaque domaine appartient un domaine de niveau suprieur et peutcontenir des sousdomaines. Au sommet de l'arbre se trouve le domaine

S.ALLAOUI

racine (dsign par . ) et au premier niveau se trouve les domainesde haut niveau (TLD : Top Level Domains).Les TLD sont de deux types : Les domaines de haut niveau gnriques (gTLD : generic Top LevelDomains) tels que .com, .org, .net, etc. ; Les domaines de haut niveau relatifs aux codes des pays (ccTLD :country code Top Level Domains) tels que .tn, .fr, .ca, .uk, .us, etc.


Arborescence des noms de domaine

La gestion de tous les domaines est organise d'une manirehirarchique en appliquant le mcanisme de dlgation.

S.ALLAOUI


Arborescence des noms de domaineL'ICANN (Internet Corporation for Assigned Numbers and Names) estl'organisme autoritaire du domaine racine. L'ICANN dlgue la gestiondes domaines gTLD des organismes accrdits et les domaines

S.ALLAOUI

des domaines gTLD des organismes accrdits et les domainesccTLD aux pays correspondants.



Par exemple, le nom de domaine www.societe.com se compose dedeux parties www et societe.com . Le nom de domaine

S.ALLAOUI

deux parties www et societe.com . Le nom de domainesociete.com a t dlgu la societe par un organisme accrditde niveau gTLD grant .com . Ce dernier a t son tour dlgupar l'ICANN. La partie www correspond un nom d'hte attribupar la socit, l'organisme autoritaire du domaine societe.com .



Les serveurs DNS racines (root DNS) sont sous la responsabilit del'ICANN. Il existe plusieurs serveurs racines rpartis sur Internet. Cesserveurs doivent tre connus par tous les serveurs DNS publics car ils

S.ALLAOUI

serveurs doivent tre connus par tous les serveurs DNS publics car ilsreprsentent le point de dpart des oprations de recherche.

Les serveurs DNS TLD (gTLD ou ccTLD) sont grs par des agencesou des organismes tels que l'Agence franaise pour le nommageInternet en coopration (AFNIC) pour le domaine .fr et l'AgenceNationale de Rglementation des Tlcommunications (ANRT) pourle domaine .ma .



le domaine in-addr.arpa

Pour pouvoir rsoudre une adresse en nom, un pseudo-domaine a t

S.ALLAOUI

Pour pouvoir rsoudre une adresse en nom, un pseudo-domaine a t mis en place : le domaine in-addr.arpa.


Rsolution de nomsLe resolver

Pour interroger un serveur de noms, on passe par une bibliothque

S.ALLAOUI

Pour interroger un serveur de noms, on passe par une bibliothqueappele "resolver". Il s'agit d'un ensemble de fonctions crites en C(comme gethostbyname, par exemple). Cette bibliothque estindpendante du serveur DNS.

Il faut d'abord modifier deux fichiers pour indiquer quels services deconversion de noms sont disponibles et quels serveurs de nomsutiliser.


Rsolution de nomsLe resolver

Le fichier /etc/nsswitch.conf indique quels services de conversion de

S.ALLAOUI

Le fichier /etc/nsswitch.conf indique quels services de conversion denoms sont disponibles, et dans quel ordre il faut les appliquer :passwd: files nisplus

hosts: dns files

Le fichier de configuration du resolver s'appelle /etc/resolv.conf etdtermine les serveurs DNS qui sont utiliss.

nameserver Addresse_IP_Serveur_DNS


Rsolution de noms

Lorsqu'une application rseau veut communiquer en utilisant un nomde domaine, elle demande la rsolution de la correspondance IP l'application client DNS locale (resolver).

S.ALLAOUI

l'application client DNS locale (resolver).D'aprs la configuration (/etc/resolv.conf), le resolver consulte le DNSadquat pour assurer cette correspondance.


Rsolution de noms

Les tapes suivantes dcrivent le processus de rsolution du nom dedomaine www.exemple.com .

S.ALLAOUI

1. Le client DNS de l'hte envoie la requte de rsolution du nom de domaine www.exemple.com au serveur DNS local ;2. Le serveur DNS local cherche l'information dans sa table locale (cache). Si l'information existe, le serveur envoie la rponse vers le client DNS et le traitement de la requte est termin. Sinon, le processus de rsolution de nom se poursuit avec les tapes suivantes :


Rsolution de noms

Les tapes suivantes dcrivent le processus de rsolution du nom dedomaine www.exemple.com .

S.ALLAOUI

3. La requte est envoye vers un serveur racine qui renvoiel'adresse d'un serveur TLD grant le domaine .com ;4. La requte est envoye au serveur TLD .com qui renvoiel'adresse du serveur DNS grant le domaine exemple.com ;5. La requte est envoye au serveur DNS grant exemple.com qui envoie la rponse vers le client DNS.


Rsolution de noms

Le resolver permet de lancer la rsolution de nom en deux modes :

Mode rcursif : le client envoie une requte au serveur DNS; ce

S.ALLAOUI

Mode rcursif : le client envoie une requte au serveur DNS; cedernier renvoie une rponse complte au client qui soit lacorrespondance recherche soit un message derreur.

Mode itratif (non rcursif) : le client envoie une requte au serveurDNS; ce dernier renvoie soit la rponse complte (sil est autoritairepour la zone concerne) soit une rponse partielle (adresse dun autreserveur de noms). Le client va alors lancer une autre requte vers leserveur spcifi dans la rponse prcdente.


Rsolution de nomsRsolution rcursive

S.ALLAOUI

La rsolution est ditercursive si les requtesdes tapes 3, 4 et 5 sontenvoyes par le serveurlocal.


Rsolution de nomsRsolution itrative

S.ALLAOUI

La rsolution est diteitrative si ces requtessont envoyes par le clientDNS lui-mme.


Rsolution de noms

Le service DNS est une application TCP/IP fonctionnant sur le port 53et utilisant les deux protocoles UDP et TCP.

S.ALLAOUI

et utilisant les deux protocoles UDP et TCP. le service transport UDP est utilis pour les requtes et les rponses. le service transport TCP est utilise pour le transfert des zones entreun serveur primaire et un serveur secondaire.


Zones de serveurs de noms

Les zones sont des espaces administratifs Les administrateurs de zone sont responsables pour la portion de

S.ALLAOUI

Les administrateurs de zone sont responsables pour la portion de l'espace de nommage du domaine L' administrateur d'un domaine peut dlguer la responsabilit de la gestion d'un sous domaine quelqu'un d'autre



Les zones sont dfinies sur des serveurs de noms qui font autorit parl'intermdiaire de fichiers de zone. Les fichiers de zone sont stocks

S.ALLAOUI

l'intermdiaire de fichiers de zone. Les fichiers de zone sont stockssur des serveurs de noms primaires (aussi appels serveurs de nomsmatres), qui font vraiment autorit et constituent l'endroit o deschangements peuvent tre apports aux fichiers ; les serveurs de nomssecondaires (aussi appels serveurs de noms esclaves) quant euxreoivent leurs fichiers de zone des serveurs de noms primaires.


Tout serveur de noms peut tre simultanment matre ou esclave pourdiffrentes zones et peut aussi tre considr comme faisant autorit


S.ALLAOUI

diffrentes zones et peut aussi tre considr comme faisant autoritpour de multiples zones. Tout cela dpend de la configuration duserveur de noms.


Domain versus Zone

Zones et dlgation

S.ALLAOUI

Zones et dlgation


Zones et dlgation

S.ALLAOUI


DNS versus UNIX

Structure sous forme darbre

S.ALLAOUI

Structure sous forme darbre NOM DNS versus Nom de fichier DNS database versus UNIX filesystem Domain names versus UNIX directory


DNS versus UNIXDNS database versus UNIX filesystem

S.ALLAOUI


DNS versus UNIXNom DNS versus Nom de fichier

S.ALLAOUI


BIND: Berkeley Internet Name Domain

BIND en tant que serveur de noms

S.ALLAOUI

L'Universit de Berkeley est l'origine de BIND mais, actuellement,c'est lInternet System Consortium (ISC) qui assure sa maintenance.

Le dmon named est le serveur DNS fourni par le paquetage BIND

Une fois lanc, named enregistre son numro de processus (PID :Process IDentifier) dans le fichier /var/run/named.pid.


BIND stocke ses fichiers de configuration aux emplacements suivants :


S.ALLAOUI

/etc/named.conf : Le fichier de configuration du dmon named.

/var/named/ : Le rpertoire de travail de named qui stocke lesfichiers de zone, de statistiques et les fichiers de cache.



Syntaxe et options

La syntaxe de lancement du dmon named est :

S.ALLAOUI

La syntaxe de lancement du dmon named est :# named [option ]Les options les plus courantes de named sont : -c fichier : spcifie un fichier de configuration autre que named.conf ; -p port : indique le numro de port d'coute du serveur, par dfautc'est le port 53 ; -u utilisateur : spcifie le contexte de l'utilisateur dans lequel seraexcut le dmon. -v : affiche la version.



Signaux

Le dmon named ragit certains signaux (envoys par la commande

S.ALLAOUI

Le dmon named ragit certains signaux (envoys par la commandekill) d'une manire particulire : SIGHUP : le dmon relit le fichier de configuration ainsi que lesfichiers de zone ; SIGINT et SIGTERM : le dmon s'arrte normalement.

Dans un fonctionnement normal, l'utilisation de la commande rndc estprfre aux envois de signaux.



Dmarrage et arrt

Pour dmarrer ou arrter le dmon named, la majorit des

S.ALLAOUI

Pour dmarrer ou arrter le dmon named, la majorit desdistributions Linux utilisent les scripts RC ou des commandesquivalentes. Les lignes de commandes qui suivent sont utilises pourles distributions Debian et drives :

# /etc/init.d/bind9 {start|stop|reload|restart|status}# # ceci est quivalent :# invoke-rc.d bind9 {start|stop|reload|restart|status}



Les commandes quivalentes pour les distributions Red Hat etdrives sont :

S.ALLAOUI

drives sont :# /etc/init.d/named {start|stop|reload|restart|status}# # ceci est quivalent :# service named {start|stop|reload|restart|status}Pour installer loutil system-config-bind


Fichier de configuration named.confBIND: Berkeley Internet Name Domain

named.conf est le fichier de configuration principal du serveur DNS

S.ALLAOUI

named.conf est le fichier de configuration principal du serveur DNSBIND. Il est le premier fichier lu par named. La directive include permetde rpartir la configuration sur plusieurs fichiers pour des fins de clartou d'organisation.



named.conf est structur en clauses regroupant chacune un ensemble

S.ALLAOUI

named.conf est structur en clauses regroupant chacune un ensembled'instructions sous la forme d'un bloc. Il faut imprativement respecterla syntaxe du fichier qui peut tre rsume par les rgles suivantes : une instruction se termine par ; ; un bloc d'instruction dbute par { et se termine par }; ; un commentaire est crit sous l'une des formes suivantes :

/* commentaire au style C */// commentaire au style C++# commentaire au style PERL/SHELL



acl (access control list) dfinit des groupes d'htes qui peuvent tre

S.ALLAOUI

acl (access control list) dfinit des groupes d'htes qui peuvent treautoriss ou non accder au serveur de noms.;

acl {;[; ...]};

le nom de la liste du contrle d'accs une liste d'adresses IP spares entre elles par unpoint virgule. Une adresse IP individuelle ou la notation rseau de l'IP(telle que 10.0.1.0/24).


Les listes de contrle d'accs suivantes sont dj dfinies en tant que


S.ALLAOUI

Les listes de contrle d'accs suivantes sont dj dfinies en tant quemots-cls afin de simplifier la configuration : any : Correspond toutes les adresses IP. localhost : Correspond toute adresse IP utilise par le systme local.localnets : Correspond toute adresse IP sur tout rseau auquel lesystme local est connect. none : Ne correspond aucune adresse IP.


Lorsqu'elles sont utilises avec d'autres dclarations (telles que laFichier de configuration named.confBIND: Berkeley Internet Name Domain

S.ALLAOUI

Lorsqu'elles sont utilises avec d'autres dclarations (telles que ladclaration options), les dclarations acl peuvent tre trs utiles pourviter la mauvaise utilisation d'un serveur de noms BIND.

L'exemple ci-dessous tablit deux listes de contrle d'accs et utiliseune dclaration options pour dfinir la manire dont elles seronttraites par le serveur de noms :


acl Denied_Network {

Fichier de configuration named.conf

Dclaration acl

S.ALLAOUI

acl Denied_Network {10.0.2.0/24;192.168.0.0/24;};acl Allowed_Network {10.0.1.0/24;};options {allow-query { Allowed_Network; };allow-recursion { Allowed_Network; };}



Dclaration options

La dclaration options dfinit les options globales de configuration

S.ALLAOUI

La dclaration options dfinit les options globales de configurationserveur et tablit des valeurs par dfaut pour les autres dclarations.Cette dclaration peut tre utilise entre autres pour spcifierl'emplacement du rpertoire de travail named ou pour dterminer lestypes de requtes autoriss.

Syntaxe:options {

;[; ...]

};


Ci-dessous figure une liste des options couramment utilises :


Dclaration options

S.ALLAOUI

Ci-dessous figure une liste des options couramment utilises :

allow-query : Spcifie les htes autoriss interroger ce serveur denoms. Par dfaut, tous les htes sont autoriss interroger le serveurde noms. Il est possible d'utiliser ici une liste de contrle d'accs ou unensemble d'adresses IP ou de rseaux afin de n'autoriser que deshtes particuliers interroger le serveur de noms.

allow-query-cache : de mme que Allow-query mais pour le cache de serveur DNS.Cette option vitra les attaques sur le serveur Bind.



Dclaration options

S.ALLAOUI

directory : Change le rpertoire de travail named pour une valeurautre que la valeur par dfaut, /var/named/.

forwarders : Spcifie une liste d'adresses IP valides correspondantaux serveurs de noms vers lesquels les requtes devraient treenvoyes pour la rsolution.

allow-recursion : Semblable allow-query, cette option s'applique des demandes rcursives. Par dfaut, tous les htes sont autoriss effectuer des demandes rcursives sur le serveur de noms.



Dclaration options

forward : Contrle le comportement de retransmission d'une directive

S.ALLAOUI

forward : Contrle le comportement de retransmission d'une directiveforwarders.

Les options suivantes sont acceptes :o first : tablit que les serveurs de noms spcifis dans la directiveforwarders soient interrogs avant que named ne tente de rsoudre lenom lui-mme.o only : Spcifie que named ne doit pas tenter d'effectuer lui-mmeune rsolution de nom dans le cas o des demandes vers les serveursde noms spcifis dans la directive forwarders chouent.



Dclaration loggingLa clause logging permet de paramtrer les oprations de

S.ALLAOUI

La clause logging permet de paramtrer les oprations dejournalisation. Elle comporte plusieurs instructions, dont channel etcategory sont les plus importantes. L'instruction channel dfinit ladestination des messages de journalisation et l'instruction categorydtermine l'information journaliser.



Dclaration loggingEXEMPLELe paramtrage de la clause logging suivante configure named de

S.ALLAOUI

Le paramtrage de la clause logging suivante configure named defaon ce quil envoie les messages de dbogage relatifs auxrequtes DNS vers le fichier /var/log/query.log.

logging {channel query.log {

file "/var/log/query.log";severity debug 3; // les valeurs de debug sont 1(par dfaut),2 et 3

};category queries { query.log; };};



Dclaration zoneUne dclaration zone dfinit les caractristiques d'une zone telle que

S.ALLAOUI

Une dclaration zone dfinit les caractristiques d'une zone telle quel'emplacement de ses fichiers de configuration et les optionsspcifiques la zone. Cette dclaration peut tre utilise pourremplacer les dclarations globales d'options.

Une dclaration zone se prsente sous le format suivant :zone {

;[; ...]

};



Dclaration zoneParmi les options les plus courantes de la dclaration de zone figurent :

S.ALLAOUI

Parmi les options les plus courantes de la dclaration de zone figurent :

allow-query : Spcifie les clients qui sont autoriss demander desinformations propos de cette zone. Par dfaut toutes les requtesd'informations sont autorises.

allow-transfer : Spcifie les serveurs esclaves qui sont autoriss demander un transfert des informations relatvies la zone. Par dfauttoutes les requtes de transfert sont autorises.



Dclaration zone

file : Spcifie le nom du fichier qui figure dans le rpertoire de travail

S.ALLAOUI

file : Spcifie le nom du fichier qui figure dans le rpertoire de travailnamed et qui contient les donnes de configuration de la zone.

masters : Spcifie les adresses IP partir desquelles demander desinformations sur la zone faisant autorit. Cette option ne doit treutilise que si la zone est dfinie en tant que type slave.



Dclaration zone type : Dfinit le type de zone. Les types numrs ci-dessous

S.ALLAOUI

type : Dfinit le type de zone. Les types numrs ci-dessouspeuvent tre utiliss.Ci-aprs figure une liste des options valides :forward : Retransmet toutes les requtes d'informations concerantcette zone vers d'autres serveurs de nomshint :Reprsente un type spcial de zone utilis pour diriger destransactions vers les serveurs de noms racines qui rsolvent desrequtes lorsqu'une zone n'est pas connue autrement. Aucuneconfiguration autre que la valeur par dfaut n'est ncessaire avec unezone hint.



Dclaration zone

S.ALLAOUI

master :Dsigne le serveur de noms faisant autorit pour cette zone.Une zone devrait tre configure comme matre (master) si les fichiersde configuration de la zone se trouvent sur le systme.

slave : Dsigne le serveur de noms comme serveur esclave (slave)pour cette zone. Cette option spcifie galement l'adresse IP duserveur de noms matre pour cette zone.



Dclaration zone

Exemples de dclarations zone

S.ALLAOUI


Ci-dessous se trouve un exemple de dclaration zone pour le serveurde noms primaire hbergeant example.com (192.168.0.1) :

zone "example.com" IN {type master;file "example.com.zone";allow-update { none; };};



Dclaration zoneExemples de dclarations zone

S.ALLAOUI


Ci-dessous se trouve un exemple de dclaration zone de serveur denoms pour la zone example.com :

zone "example.com" {type slave;file "example.com.zone";masters { 192.168.0.1; };};



Dclaration Zones particuliresLe fichier named.conf inclut par dfaut la dclaration des zones

S.ALLAOUI

Le fichier named.conf inclut par dfaut la dclaration des zonesparticulires racine, localhost et 127.in-addr.arpa :

le fichier de la zone racine, dsign par . et de type hint, contientla liste des serveurs interroger lorsqu'un serveur de nom n'arrivepas rsoudre une requte ; la zone localhost permet la rsolution du nom localhost l'adresse de boucle locale 127.0.0.1 lors de l'utilisation du serveurDNS ; la zone 127.in-addr.arpa assure la rsolution inverse del'adresse de boucle locale 127.0.0.1 .



Dclaration Zones particulires

EXEMPLE zone "." {

S.ALLAOUI

EXEMPLELa portion du fichiernamed.conf qui suit illustrela dclaration de ceszones particulires.

zone "." {type hint;file "/etc/bind/db.root";};zone "localhost" {type master;file "/etc/bind/db.local";};zone "127.in-addr.arpa" {type master;file "/etc/bind/db.127";};



Autres types de dclarations

include permet des fichiers d'tre inclus dans un fichier named.conf.

S.ALLAOUI

include permet des fichiers d'tre inclus dans un fichier named.conf.

La dclaration include permet des fichiers d'tre inclus dans unfichier named.conf. Ce faisant, des donnes de configurationscritiques (telles que les cls, keys) peuvent tre places dans unfichier spar dot de permissions restrictives.

Une dclaration include se prsente sous le format suivant :include ""



Autres types de dclarations controls : Configure diverses contraintes de scurit ncessaires

S.ALLAOUI

controls : Configure diverses contraintes de scurit ncessaires l'utilisation de la commande rndc pour administrer le service named.

key "" Dfinit une cl spcifique par nom. Les clsservent valider diverses actions, comme les mises jourscurises ou l'utilisation de la commande rndc. Deux options sontutilises avec key :

o algorithm : Reprsente le type d'algorithmeutilis, tel que dsa ou hmac-md5.o secret "" Reprsente la cl crypte.



Le fichier named.conf est gnralement sous la forme :

S.ALLAOUI

// dfinition des ACLacl "nomACL" {...};// configuration de la journalisationlogging {...};// dfinition des options globalesoptions {...};// dclaration des zones prdfinieszone {...};// dclaration des zones rsoudrezone {...} ;



Fichiers de zone

Les fichiers de zone contiennent des informations sur un espace de

S.ALLAOUI

Les fichiers de zone contiennent des informations sur un espace denom particulier.

Ces informations sont stocks dans le rpertoire de travail named quiest par dfaut /var/named/.

Le fichier de zone contient deux types de dclaration:o Directives

o Enregistrements RR (Ressource Record)



Fichiers de zone

Directives des fichiers de zone

S.ALLAOUI


Les directives sont identifies par le symbole dollar ($) $INCLUDE : Configure named de faon ce qu'il inclue un autrefichier de zone dans ce fichier de zone l'endroit o la directiveapparat. Ce faisant, il est possible de stocker des configurations dezone supplmentaires l'cart du fichier de zone principal.



Fichiers de zone


S.ALLAOUI


$ORIGIN : Attache le nom de domaine des enregistrements non-qualifis, comme ceux qui spcifient seulement l'hte et rien de plus.Par exemple, un fichier de zone peut contenir la ligne suivante :

Tous les noms utiliss dans les enregistrement de ressources qui nese terminent pas par un point (.) se verront ajouter example.com .

$ORIGIN example.com.



Fichiers de zone


S.ALLAOUI


$TTL : Rgle la valeur par dfaut de Time to Live (TTL) (ou temps devie) pour la zone. Cette valeur exprime en secondes, correspond ladure pendant laquelle un enregistrement de ressources de zone estvalide.Chaque enregistrement de ressources peut contenir sa propre valeurTTL, qui remplace alors cette directive.



Fichiers de zone

Enregistrements de ressources

S.ALLAOUI


Toutes les informations des divers fichiers de base de donnes namedsont stockes sous un format appel resource record(enregistrement de ressources). Chaque enregistrement est associ un type qui indique la fonction de lenregistrement.

Un enregistrement de ressources est le plus petit lmentdinformation utilis par named.



Fichiers de zone


S.ALLAOUI

Enregistrements de ressourcesIl existe de nombreux types d'enregistrements de ressources desfichiers de zone. Ceux numrs ci-dessous sont nanmoins les plusfrquemment utiliss : A : Enregistrement d'adresse qui spcifie une adresse IP assigner un nom, comme dans l'exemple ci-dessous :

IN A



Fichiers de zone


S.ALLAOUI


Dans l'exemple qui suit, l'adresse 192.168.1.10 est associe au nom serveur1.exemple.com

$ORIGIN exemple.com.;nom ttl classe type ipserveur1 IN. A 192.168.1.10



Fichiers de zone


S.ALLAOUI


CNAME : Enregistrement de nom canonique mappant un nom unautre. Ce type d'enregistrement est plus connu sous le nomd'enregistrement d'alias.

IN CNAME



Fichiers de zone


S.ALLAOUI

Enregistrements de ressourcesL'exemple qui suit attribue les alias www.exemple.com etirc.exemple.com l'hte serveur1.exemple.com

$ORIGIN exemple.com.;nom ttl classe type nomRellewww IN CNAME serveur1.exemple.comirc IN CNAME serveur1.exemple.com



Fichiers de zone


S.ALLAOUI


NS : Enregistrement de serveur de noms (NameServer) annonantles serveurs de noms faisant autorit pour une zone particulire.

IN NS

En gnral, Il est situ juste aprs l'enregistrement SOA et il estutilis aussi pour dfinir les dlgations des sous domaines.



Fichiers de zone


S.ALLAOUI

Enregistrements de ressourcesLa configuration qui suit dclare les htes dns.exemple.com etdns2.exemple.com comme les serveurs DNS de la zoneexemple.com et dlgue la gestion du sous domainesd.exemple.com au serveur DNS dns.sd.exemple.com.



Fichiers de zone


$ORIGIN exemple.com.;SOA RR;nom ttl classe type nom

IN NS dns.exemple.com.IN NS dns2.exemple.com.

S.ALLAOUI

Enregistrements de ressourcesIN NS dns2.exemple.com.dns IN A 192.168.1.1dns2 IN A 192.168.1.2

;sd.exemple.com est un sous domaine exemple.com$ORIGIN sd.exemple.com.

IN NS dns.sd.exemple.com....

dns IN A 192.168.2.1;ou sans utiliser la directive $ORIGIN;sd.exemple.com. IN NS dns.sd.exemple.com.;dns.sd.exemple.com. IN A 192.168.2.1



Fichiers de zone


S.ALLAOUI


IN MX

MX : l'enregistrement de type MX spcifie les noms et les prfrencesdes serveurs de messagerie de la zone. Il est utilis par lesapplications agents de messagerie (mail agents) pour router lescourriers lectroniques du domaine.



Fichiers de zone


S.ALLAOUI

Enregistrements de ressourcesD'aprs l'exemple qui suit, les courriers lectroniques du domaineexemple.com sont routs vers lhte mail.exemple.com . Si cedernier n'est pas disponible (arrt, drang ou en panne) alors lescourriers seront routs vers mail2.exemple.com .$ORIGIN exemple.com.;nom ttl classe type prf. nom

IN MX 10 mail ;forme courte; ceci est quivalent ; exemple.com. IN MX 10 mail.exemple.com.

IN MX 20 mail2.exemple.com.



Fichiers de zone


S.ALLAOUI


PTR : Enregistrement PoinTeR, conu pour pointer vers une autrepartie de l'espace de nom.

Les enregistrements PTR servent essentiellement la rsolutioninverse des noms, puisqu'ils renvoient les adresses IP vers un nomparticulier.



Fichiers de zone


S.ALLAOUI


D'aprs l'exemple qui suit, l'adresse ip 192.168.1.10 sera retournepour une recherche inverse pour lhte serveur1.exemple.com .

$ORIGIN 1.168.192.IN-ADDR.ARPA....

;nomARPA ttl classe type nom10 IN PTR serveur1.exemple.com.



Fichiers de zone


S.ALLAOUI

Enregistrements de ressources SOA : Enregistrement de ressources Start Of Authority, proclamedes informations importantes faisant autorit sur un espace de nompour le serveur de noms.

Situ aprs les directives, un enregistrement de ressources SOA estle premier enregistrement de ressources dans un fichier de zone.

le premier enregistrement de ressource doit tre SOA (Start OfAuthority) ;



Fichiers de zone


S.ALLAOUI


L'exemple qui suit montre la structure de base d'un enregistrement deressources SOA :

@ IN SOA (

)



Fichiers de zone


S.ALLAOUI


Le symbole @ place la directive $ORIGIN (ou le nom de zone, si ladirective $ORIGIN n'est pas dtermine) en tant qu'espace de nomdfini par le prsent enregistrement de ressources SOA.

hostmaster-email : Adresse mail du responsable qui gre cedomaine. Comme le caractre @ a un sens particulier dans lesenregistrements de ressources, il est remplac par un point.



Fichiers de zone


S.ALLAOUI


serial : Numro de version du fichier dinformations de zones. Cenumro est utilis par les serveurs de noms secondaires pourdterminer le moment o le fichier dinformations de zone a chang.Il doit tre augment de 1 chaque modification du fichier.

refresh : Priode (en secondes) durant laquelle le serveursecondaire attend avant de vrifier lenregistrement SOA duserveur DNS primaire.



Fichiers de zone


S.ALLAOUI

Enregistrements de ressources retry : Priode (en secondes) durant laquelle le serveur secondaireattend avant dessayer nouveau une requte vers le serveur primairesi celui-ci nest pas accessible.

expire : Priode (en secondes) durant laquelle le serveur secondaireattend avant de rejeter les informations de zones sil na pas pucontacter le serveur primaire.

minimum : Valeur ttl par dfaut pour les enregistrements deressources ne spcifiant pas de valeur ttl.



Fichiers de zoneLa configuration qui suit dfinit les paramtres globaux de la zone exemple.com.

S.ALLAOUI

$ORIGIN exemple.com.;name ttl classe type serveur e-mail (nSerie raf ret exp ttl)

IN SOA dns.exemple.com. root.exemple.com. (2011092800 ; nSerie172800 ; ou 2d ? raf = 2 jours900 ; ou 15m ? ret = 15 minutes1209600 ; ou 2w ? exp = 2 semaines3600 ; ou 1h ? ttl = 1 heure

); Les lignes qui suivent sont aussi quivalentes:;@ IN SOA dns.exemple.com. root.exemple.com. ( ...);exemple.com. IN SOA dns.exemple.com. root.exemple.com. ( ...)


S.ALLAOUI


Configurations typesBIND: Berkeley Internet Name Domain

Il existe plusieurs manires de configurer un serveur DNS. Les

S.ALLAOUI

Il existe plusieurs manires de configurer un serveur DNS. Lesconfigurations types les plus frquentes sont : un serveur matre(master), un serveur esclave (slave), un serveur de cache (cachingonly) et un serveur de retransmission (forwarding).En effet un serveur de noms peut tre configur pour fonctionnercomme matre pour certaines zones, esclave pour d'autres et fournirle service de cache ou de retransmission pour tout le reste.



Serveur matreUn serveur de nom matre dfinit le fichier de la zone sur laquelle il fait

S.ALLAOUI

Un serveur de nom matre dfinit le fichier de la zone sur laquelle il faitautorit. Cette autorit a t dlgue ce dernier, traversl'enregistrement NS, par le serveur de niveau suprieur.

La portion suivante du fichier named.conf configure BIND commeserveur matre (type master) pour la zone exemple.com dont lesenregistrements seront stocks dans le fichier/etc/bind/db.exemple.com.



Serveur matreL'instruction notify no indique que BIND ne doit pas notifier les serveurs

S.ALLAOUI

L'instruction notify no indique que BIND ne doit pas notifier les serveursesclaves lors du changement du fichier de zone. Par dfaut, BINDnotifie les serveurs esclaves prciss dans les enregistrements NS.

zone "exemple.com" {type master;notify no;file "/etc/bind/db.exemple.com";};



Serveur esclaveUn serveur de nom esclave rcupre ses donnes de zone moyennant

S.ALLAOUI

Un serveur de nom esclave rcupre ses donnes de zone moyennantl'opration de transfert de zone partir du serveur matre et rpond entant que serveur autoritaire aux requtes concernant cette zone. Il estimpossible de dterminer si la rponse d'une requte provient duserveur matre de la zone ou de l'un de ses esclaves.

Pour une zone donne, il y a obligatoirement un serveur matre etventuellement un ou plusieurs serveur esclaves.



Serveur esclaveLa portion suivante du fichier named.conf configure BIND comme

S.ALLAOUI

La portion suivante du fichier named.conf configure BIND commeserveur esclave (type slave) pour la zone exemple.com dont lesdonnes seront rcupres partir du serveur prcis par l'instructionmasters {}. L'instruction file est optionnelle, elle permet au serveuresclave de sauvegarder les donnes de la zone sur le disque afin deles utiliser en cas de redmarrage.

zone "exemple.com" {type slave;file "/var/cache/bind/db.exemple.com";masters { 192.168.1.1; }; // adresse IP du serveur matre};



Serveur esclaveLe fichier de configuration du serveur matre doit tre rectifi pour

S.ALLAOUI

Le fichier de configuration du serveur matre doit tre rectifi pourautoriser le transfert de zone vers le(s) serveur(s) esclave(s) enajoutant l'instruction allow-transfer {...}:

zone "exemple.com" {type master;file "/etc/bind/db.exemple.com";allow-transfer { 192.168.1.2; }; // liste des adresses IP des// serveurs esclaves};



Serveur de cacheUn serveur de cache rcupre les informations partir du serveur

S.ALLAOUI

Un serveur de cache rcupre les informations partir du serveurmatre de la zone contenant l'information et sauvegarde (cache) lesdonnes localement. la prochaine requte pour la mmeinformation, le serveur de cache rpondra en utilisant les donnesdj sauvegardes. Si la dur de vie (TTL : Time To Live) del'information expire, le serveur de cache refait l'opration dercupration de l'information.



Serveur de cache

S.ALLAOUI

La rponse d'une requte est dite autoritaire si la rponse est reue : d'un serveur matre de la zone ; d'un serveur esclave de la zone avec des informations non encoreexpires (non timeexpired); par l'intermdiaire d'un serveur de cache qui vient de la rcuprer partir d'un serveur matre ou d'un serveur esclave. Si la rponse est lue partir du cache, elle n'est pas autoritaire.



Serveur de cache

En gnral la configuration d'un serveur de cache est utilise dans les

S.ALLAOUI

En gnral la configuration d'un serveur de cache est utilise dans les cas suivants :

un serveur agissant comme matre ou esclave d'une ou plusieurszones et comme serveur de cache pour le reste des requtes ; un serveur local de cache seulement : typiquement utilis pourminimiser le trafic extrieur ou compenser les liens externes de faibledbit. Dans ce cas, il est dsign par serveur proxy DNS .



Serveur de cacheEXEMPLE

S.ALLAOUI

EXEMPLE

La portion suivante du fichier named.conf configure BIND commeserveur de cache :

forwarders {10.1.1.1; // par exemple : premier serveur DNS du FAI10.1.1.2; // deuxime serveur DNS du FAI};



Serveur de retransmissionUn serveur de retransmission est un serveur qui transfert toutes les

S.ALLAOUI

Un serveur de retransmission est un serveur qui transfert toutes lesrequtes un autre serveur DNS supportant les rsolutionsrcursives.

BIND peut tre configur comme serveur de retransmission enutilisant les instructions forward et forwards dans la section options(niveau global) ou dans la section zone (niveau domaine).



EXEMPLES

Serveur de retransmission

S.ALLAOUI

EXEMPLESLa portion du fichier de configuration named.conf suivante illustre une retransmission globale :

options {...

forwarders {10.0.0.1; 10.0.0.2;};forward only;};



EXEMPLES

Serveur de retransmission

S.ALLAOUI

La portion du fichier de configuration named.conf suivante illustre une retransmission de niveau domaine pour la zone exemple.com :

EXEMPLES

zone "exemple.com" IN {type forward;forwarders {192.168.1.1; 192.168.1.2;};};



Utilitaire rndc

rndc permet d'utiliser des lignes de commande pour administrer le

S.ALLAOUI

rndc permet d'utiliser des lignes de commande pour administrer ledmon named partir de l'hte local ou d'un hte distant.

Fichier de configuration de rndc est /etc/rndc.conf

Il communique avec named d'une manire scurise travers uneconnexion TCP, par dfaut sur le port 953.



Utilitaire rndc

Par dfaut, l'administration de dmon named par rndc est autorise

S.ALLAOUI

Par dfaut, l'administration de dmon named par rndc est autorisepour les connexions locales. Pour les connexions distantes, il fautrajouter la clause controls au fichier de configuration named.conf.

Afin d'empcher l'accs non-autoris au dmon named, BIND utiliseune mthode d'authentification cl secrte partage pour accorderdes privilges aux htes.Ainsi, une cl identique doit tre prsente aussi bien dans named.confque dans le fichier de configuration de rndc, savoir /etc/rndc.conf



Utilitaire rndc

Pour que rndc puisse se connecter un service named, une dclaration

S.ALLAOUI

Pour que rndc puisse se connecter un service named, une dclarationcontrols doit tre prsente dans le fichier /etc/named.conf du serveurBIND.

La dclaration controls, dcrite dans l'exemple qui suit, permet rndcde se connecter partir d'un hte local.

controls {inet 127.0.0.1 allow { localhost; } keys { ; };};



Utilitaire rndcEXEMPLES

S.ALLAOUI

La clause controls dcrite dans l'exemple qui suit demande named (s'excutant sur le hte 192.168.1.1) d'autoriser les commandes rndc provenant de l'hte 192.168.1.20, si la cl adquate est donne.controls {inet 192.168.1.1 allow { 192.168.1.20; } keys {;};};

fait rfrence la clause key du fichier de configuration de named



Utilitaire rndc

L'exemple suivant illustre une clause key utilisant l'algorithme HMAC-

S.ALLAOUI

L'exemple suivant illustre une clause key utilisant l'algorithme HMAC-MD5.key "" {algorithm hmac-md5;secret "";};



Utilitaire rndc

la dclaration utilise l'algorithme HMAC-MD5. Afin de

S.ALLAOUI

la dclaration utilise l'algorithme HMAC-MD5. Afin decrer des cls l'aide de l'algorithme HMAC-MD5, utilisez lacommande suivante :

#dnssec-keygen -a hmac-md5 -b -n HOST

La cl qui doit tre place dans la zone se trouve dans lefichier gnr par cette commande.



Utilitaire rndc

Paramtrage de rndc.conf

S.ALLAOUI

Paramtrage de rndc.confle fichier de configuration rndc peut galement spcifier diffrentes cls pour diffrents serveurs, comme le montre l'exemple suivant :

server localhost {key "";};



Utilitaire rndcEXEMPLE

S.ALLAOUI

EXEMPLELe fichier de configuration rndc.conf suivant permet l'utilitaire rndc de contrler le dmon named distant d'adresse 192.168.1.1 en utilisant la cl .

key "" {algorithm hmac-md5;secret "";

};server 192.168.1.1{

key "";};



Utilitaire rndc

Une commande rndc se prsente sous le format suivant :

S.ALLAOUI

Une commande rndc se prsente sous le format suivant :

rndc

Les options les plus utilises sont : -c fichier : spcifie un fichier de configuration autre que rndc.conf; -p port : spcifie un autre numro de port ; -s serveur : spcifie un serveur autre que le serveur par dfaut; -y cl : spcifie une cl autre que celle par dfaut (default-key).



Utilitaire rndcLes sous commandes de rndc sont :

S.ALLAOUI

Les sous commandes de rndc sont : halt : arrte immdiatement le service named ; querylog : Journalise toutes les requtes effectues auprs de ceserveur de noms.; stop : Arrte correctement le serveur stats : vide les statistiques courantes de named vers le fichier/var/named/named.stats.



Utilitaire rndc

reload : Recharge les fichiers de zone mais conserve toutes les

S.ALLAOUI

reload : Recharge les fichiers de zone mais conserve toutes lesrponses prcdemment mises en cache. Cette commande permetgalement d'apporter des changements aux fichiers de zone sansperdre toutes les rsolutions de nom stockes.Si les changements n'affectent qu'une zone particulire, rechargezseulement cette zone en ajoutant le nom de la zone aprs lacommande reload.



Utilitaire rndc

S.ALLAOUI


BIND: Berkeley Internet Name DomainCommandes de diagnostic et de configuration

La distribution BIND fournit avec le dmon named, des commandes

S.ALLAOUI

La distribution BIND fournit avec le dmon named, des commandesde diagnostic (host, nslookup, dig, etc), de vrification (named-checkconf, named-checkzone, etc) et de scurit (dnssec-keygen,dnssec-signzone, etc).



Utilitaire de consultation DNS

S.ALLAOUI

Commande hosts Utilitaire nslookupUtilitaire dig


BIND: Berkeley Internet Name DomainCommande host

Host est une commande simple pour effectuer des recherches DNS.

S.ALLAOUI

Host est une commande simple pour effectuer des recherches DNS.

host [option ] nom [serveur] nom : le nom d'hte ou de domaine rsoudre. Il peut tre aussiune adresse IP dans le cas d'une rsolution inverse ; Serveur : nom ou adresse IP du serveur DNS interroger. Pardfaut, la commande host utilise le serveur DNS recens dans lefichier /etc/resolv.conf.



EXEMPLES

S.ALLAOUI

Les lignes de commandes suivantes assurent la rsolution du nomd'hte www.exemple.com partir du serveur DNS par dfaut.

# host www.exemple.com# host -t a www.exemple.com

Mme exemple mais en interrogeant le serveur dns.exemple.com.# host www.exemple.com dns.exemple.com



EXEMPLES

S.ALLAOUI

EXEMPLESLes lignes de commande suivantes sont quivalentes et assurent la rsolution inverse de l'hte d'adresse IP 192.168.1.10 .

# host 192.168.1.10# host -t ptr 10.1.168.192.in-addr.arpa


BIND: Berkeley Internet Name DomainCommande nslookup

La commande nslookup est officiellement abandonne et remplacepar la commande dig.

S.ALLAOUI

par la commande dig.

nslookup [option ] nom [serveur]Les paramtres nom et Serveur ont les mmes significations queceux de la commande host.


BIND: Berkeley Internet Name DomainCommande dig

La commande dig est l'outil prfr de diagnostic d'un serveur DNS.

S.ALLAOUI

La commande dig est l'outil prfr de diagnostic d'un serveur DNS.Elle est plus puissante et plus riche que la commande nslookup.

serveur : nom ou adresse IP du serveur DNS interroger. Il doit tre prcd par @ . Par dfaut c'est le serveur dfini dans resolv.conf ; Nom : nom d'hte ou de domaine ou adresse IP rsoudre ; Type-req : type d'enregistrement retourner : a (par dfaut), mx, ns,soa, etc. La valeur particulre any indique n'importe quel type et lavaleur particulire axfr demande la liste complte de tous RR.

dig [@serveur] nom [type-req] [+option-req ...] [-option-dig ...]



option-req : prcise une option de la requte ou un style d'affichage

S.ALLAOUI

option-req : prcise une option de la requte ou un style d'affichage des rsultats. Elle doit tre prcd par + ; option-dig : option de la commande dig.

Quelques options de la commande dig :o -P : lance un ping sur le serveur utiliser ;o -p port : change le port vers lequel seront envoyes les requtes ;



S.ALLAOUI


BIND: Berkeley Internet Name DomainCommande named-checkconf

La commande named-checkconf vrifie la syntaxe d'un fichier de

S.ALLAOUI

La commande named-checkconf vrifie la syntaxe d'un fichier deconfiguration de named ainsi que les fichiers inclus traversl'instruction include.

named-checkconf [option ] [fichier]

avec fichier : chemin du fichier de configuration vrifier. Si aucunfichier n'est spcifi, named.conf sera trait.


BIND: Berkeley Internet Name DomainCommande named-checkconf

Les fichiers lus par named et qui ne sont pas spcifis par l'instruction

S.ALLAOUI

Les fichiers lus par named et qui ne sont pas spcifis par l'instructioninclude tel que rndc.key ne sont pas traits automatiquement parnamed-checkconf. Il faut vrifier ces fichiers explicitement.

# named-checkconf# named-checkconf /etc/bind/rndc.key


BIND: Berkeley Internet Name DomainCommande named-checkzone

La commande named-checkzone vrifie la syntaxe et l'intgrit d'un

S.ALLAOUI

La commande named-checkzone vrifie la syntaxe et l'intgrit d'unfichier de zone. Elle effectue les mmes vrifications que named, d'ol'intrt de l'utiliser avant d'ajouter les fichiers de zone laconfiguration d'un serveur de noms.

named-checkzone [option ] zone fichier-zone

Avec zone : nom de domaine de la zone vrifier ; fichier-zone : fichier contenant les donnes de la zone.


BIND: Berkeley Internet Name DomainScurit

Dans un systme informatique ouvert sur Internet, le service DNS est un

S.ALLAOUI

Dans un systme informatique ouvert sur Internet, le service DNS est unservice critique.En effet : la non disponibilit du serveur DNS entranera la non disponibilit desserveurs web et de messagerie ; une intrusion dans le serveur DNS, entrane la collecte d'informationsprives telles que les adresses IP d'autre serveurs, des postes clients, descommutateurs, etc ; si les informations du DNS sont empoisonnes (modifies), un pirate peutrediriger les internautes vers ses serveurs au lieu des serveurs rels.


BIND: Berkeley Internet Name DomainScurit

Pour renforcer la scurit de ce service, les oprations suivantes

S.ALLAOUI

Pour renforcer la scurit de ce service, les oprations suivantespeuvent tre appliques : l'excution du dmon dans un environnement enferm ; l'utilisation des listes de contrle d'accs (ACL : Access control List) ; la signature des transactions (TSIG : Transaction SIGnature) et la signature des informations des zones (DNSSec : DNS Security).


BIND: Berkeley Internet Name DomainEnvironnement enferm

L'une des fonctionnalits utiles de BIND est la possibilit d'excuter le

S.ALLAOUI

L'une des fonctionnalits utiles de BIND est la possibilit d'excuter ledmon named dans le contexte d'un utilisateur non privilgi (option -ude named).Une autre fonctionnalit intressante de BIND est la possibilitd'excuter le dmon named dans un environnement enferm(chrooted environnement). Cette fonctionnalit permet de limiter lesdommages dans le cas o le serveur est compromis.

L'option -t rpertoire informe named qu'il sera excut dans unenvironnement enferm.


BIND: Berkeley Internet Name DomainListes de contrle d'accs

L'utilisation des listes de contrle d'accs (ACL Access Control List)

S.ALLAOUI

L'utilisation des listes de contrle d'accs (ACL Access Control List)permet de simplifier et d'affiner le contrle d'accs un serveur DNS.Elles sont utilises avec les instructions allow-query, allow-recursion,allow-transfer, blackhole, etc.


BIND: Berkeley Internet Name DomainListes de contrle d'accs

Le fichier named.conf suivante utilise les ACL n'autoriser les rsolutionsrcursives que pour les postes du rseau local.

S.ALLAOUI

rcursives que pour les postes du rseau local.acl "lan" { 192.168.1.0/24; };options {...

allow-query { "lan"; };allow-recursion { "lan"; };};zone "exemple.com" {type master;file "/etc/named/db.exemple.com";allow-query { any; };};


BIND: Berkeley Internet Name DomainScurisation des transactions avec TSIG

La fonctionnalit TSIG (Transaction SIGnature) permet de crypter les

S.ALLAOUI

La fonctionnalit TSIG (Transaction SIGnature) permet de crypter lesdonnes changes lors d'un transfert de zone entre le serveur DNSmatre d'une zone et ses esclaves. Elle est aussi utilise pour les mises jour dynamiques (dynamic updates) des enregistrements d'une zone.

Les transactions utilisant TSIG sont horodates. Il est donc ncessaireque les horloges des entits communicantes soient synchronises. Deprfrence, elles doivent tre synchronises auprs d'un serveur detemps commun.



La procdure qui suit numre les tapes de mise en place destransactions scurises pour le transfert de la zone exemple.com

S.ALLAOUI

transactions scurises pour le transfert de la zone exemple.com entre le serveur DNS matre dns1 et un serveur esclave dns2 .

1. Gnration d'un secret : la commande qui suit gnre une clsymtrique de nom tsig-dns1-dns2, de type HOST en utilisantl'algorithme HMAC-MD5 de taille 512 bits.

# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST tsig-dns1-dns2

les deux fichiers Ktsig-dns1-dns2.+157+06761.[key,private] sont creset contenant le mme secret.



2. Prise en charge de la cl : sur les deux serveurs, le fichier tsig-

S.ALLAOUI

2. Prise en charge de la cl : sur les deux serveurs, le fichier tsig-ns1-ns2 contenant la cl symtrique doit tre cr. Le contenu dufichier est le suivant :

# vi tsig-dns1-dns2key tsig-dns1-dns2. {

algorithm hmac-md5;secret "Dey4YV...yzREUQ==";

};Copier le fichier dans les deux serveurs master et slave



3. Re-configuration du matre : le fichier de configuration named.conf

S.ALLAOUI

3. Re-configuration du matre : le fichier de configuration named.conf du dns1 doit tre modifi pour y inclure le chemin d'accs la cl symtrique.include "/chemin/tsig-dns1-dns2";zone "exemple.com" {

type master;file "/etc/named/db.exemple.com";allow-transfer {key tsig-dns1-dns2.;};

};



4. Re-configuration de l'esclave : le fichier de configuration

S.ALLAOUI

4. Re-configuration de l'esclave : le fichier de configurationnamed.conf du dns2 doit tre modifi pour y inclure le chemind'accs la cl symtrique.include "/chemin/tsig-dns1-dns2";server 192.168.1.1 {keys { tsig-dns1-dns2.; };};zone "exemple.com" {

type slave;file "/etc/bind/db.exemple.com";masters { 192.168.1.1; };

};



Test du transfert : la commande dig suivante interroge dns1 pour

S.ALLAOUI

Test du transfert : la commande dig suivante interroge dns1 pour un transfert de zone.

$ dig @dns1.exemple.com -k Ktsig-dns1-dns2.+157+06761.private exemple.com AXFR

Le message NOERROR est retourn s'il n'y a pas d'erreur. En casd'erreur, le message Transfer failed. BADSIG est retourn pourune erreur de signature et le message Transfer failed. BADKEY pour une erreur de nom de la cl.


BIND: Berkeley Internet Name DomainScurisation des donnes avec DNSSEC

La fonctionnalit DNSSEC (DNS SECurity) permet de signer des

S.ALLAOUI

La fonctionnalit DNSSEC (DNS SECurity) permet de signer deszones. Ceci permet de vrifier que les informations relatives unezone spcifique proviennent du serveur DNS qui les a signes avecune cl de zone (ZSK : Zone Signing Key).



La procdure qui suit dcrit les tapes de signature de la zoneexemple.com :

S.ALLAOUI

exemple.com :1.Gnration des cls : les commandes qui suivent gnrent deux

paires de cls asymtriques l'une pour la signature de la zone (ZSK)exemple.com et l'autre pour la signature de la cl (KSK) de lazone. Le contenu des fichiers .key (cls publiques) gnrs estajout la fin du fichier zone exemple.com .# dnssec-keygen -q -a RSASHA1 -b 512 -n ZONE exemple.comKexemple.com.+005+5823# cat Kexemple.com.+005+5823.key >> /etc/named/db.exemple.com# dnssec-keygen -q -a RSASHA1 -b 512 -f KSK -n ZONE exemple.com Kexemple.com.+005+5281# cat Kexemple.com.+005+5281.key >> /etc/named/exemple.com



2. Signature de la zone : la commande dnssec-signzone qui suit signe

S.ALLAOUI

2. Signature de la zone : la commande dnssec-signzone qui suit signela zone exemple.com avec la cl ZSKKexemple.com.+005+5823 et la cl KSKKexemple.com.+005+5281. Les rsultats (zone signe) serontenregistrs dans le fichier db.exemple.com.signed.

# dnssec-signzone -o exemple.com \-f /etc/named/db.exemple.com.signed \-k Kexemple.com.+005+5281.private \/etc/named/db.exemple.com\Kexemple.com.+005+5823.private



3. Chargement de la zone : le fichier named.conf doit tre modifi pour

S.ALLAOUI

3. Chargement de la zone : le fichier named.conf doit tre modifi pourremplacer le fichier /etc/named/db.exemple.com par/etc/named/db.exemple.com.signed.

zone "exemple.com" {type master;file "/etc/named/db.exemple.com.signed";...

};Le dmon named doit recharger le fichier de configuration named.conf puisqu'il vient d'tre modifi.



4. Test de la zone signe : la commande dig suivante interroge

S.ALLAOUI

4. Test de la zone signe : la commande dig suivante interrogedns1 en activant le bit DO (Dnssec OK) travers l'option+dnssec.

$ dig @dns1.exemple.com www.exemple.com a +dnssec

Documents

ME-DNS.pdf