Fonctions avancées des DNS - Université de Reims Champagne

Fonctions avancées des DNS F. Nolot
1
Réseaux 2
Université de Reims Champagne-Ardenne
Les access control list
Permet de controler les accès à la DNS
Directive acl dans le fichier named.conf
acl "nom_acl" { liste d'adresses; };
nom_acl revient alors à la liste explicite d'adresses
Exemples de listes d'adresses : 15/8; 192.168.1.192/26;
4 listes d'adresses sont prédéfinies :
any : Toutes les adresses IP
none : aucune adresses IP
localhost : chacune des adresses IP de la machine locale
localnets : obtenu en combinant les adresses IP des cartes réseaux de la machine courante et les masques réseaux correspondants
F. Nolot
2
Réseaux 2
Université de Reims Champagne-Ardenne
Mise à jour dynamique
DHCP peut attribuer des IP automatiquement
Quel nom utilisé pour communiquer avec ces machines ?
Les versions 8 et 9 de Bind permettent à des updater de faire des mises à jour dynamiques sur le serveur DNS
Possibilité d'ajouter ou de supprimer
Des enregistrements
Des enregistrements de ressources de même nom, classe ou type
Tous les enregistrements associés à un nom
Attention : avant la version 9.1.0, les mises à jour ne sont pas retransmises au serveur­maître, par les serveurs­esclaves
F. Nolot
3
Réseaux 2
Université de Reims Champagne-Ardenne
Mise à jour dynamique et numéros de série
Incrémentation automatique du numéro de série à chaque mise à jour
Permet de mettre à jour les serveurs­esclaves
Mais si un transfert de zone est trop long et les mises à jour trop fréquentes ?
Incrémentation a lieu au bout de 5 minutes ou de 100 mises à jour, en fonction de la première des deux limites atteinte
F. Nolot
4
Réseaux 2
Université de Reims Champagne-Ardenne
Mise à jour dynamique et fichier de zone
La mise à jour des fichiers de zone à chaque fois qu'une mise à jour est faite peut être une opération coûteuse
Le temps de modifier toutes les données peut être long
Utilisation d'un journal
Toutes les modifications sont faites dans un fichier de journalisation
Modification est immédiate dans la zone en mémoire
A intervalle de temps régulier (environ 1h), les modifications seront écrites sur le disque
F. Nolot
5
Réseaux 2
Université de Reims Champagne-Ardenne
Le fichier de journalisation
Avec Bind 8
Construit en ajoutant .log au nom du fichier de zone
Supprimer toutes les heures (si aucune mise à jour n'a lieu)
Avec Bind 9
C'est le fichier de zone terminé par .jnl
Ne disparaît jamais
Si le fichier journal exite au démarrage, ses données sont incorporés au fichier de zone
F. Nolot
6
Réseaux 2
Université de Reims Champagne-Ardenne
Contrôle d'accès pour les mises à jour dynamique
Par défaut, la mise à jour dynamique sur un serveur­maître est refusée
Gérer par la structure allow­update dans la zone concernée
allow-update { liste d'adresses IP; };
A partir de la version 9.1.0, les serveurs­esclaves font suivre les mises à jour au serveur­maître
Le serveur­maître doit donc accepter toutes les mises à jour venant des serveurs­esclaves
Les mises à jour qui proviennent de n'importe quelle source peut donc être valide
Existence de la directive allow-update-forwarding pour éviter ce problème
F. Nolot
7
Réseaux 2
Université de Reims Champagne-Ardenne
Mise à jour authentifiée par TSIG
Protection par IP n'est pas sûre
Utilisation de TSIG : Transaction SIGnature
Mise à jour signée par le demandeur initial
Avec BIND 8, dans la définition d'une zone allow-update { key dhcp-server.toto.fr.; };
Pas la possiblité de faire des restrictions sur les Ips
Avec BIND 9
Mécanisme plus fin
Utilisation de la sous­directive de zone : update-policy
F. Nolot
8
Réseaux 2
Université de Reims Champagne-Ardenne
Le Forwarding
Certains serveurs peuvent s'occuper de transmettre toutes les requêtes DNS vers l'extérieur
Ces machines s'appellent des forwarders
Transmettent toutes les requêtes DNS à d'autres serveurs
Peuvent posséder une importante mémoire­cache de requête DNS
Si un serveur utilise un forwarder, son fonctionnement diffère
Connaissance de la réponse à la requête : il répond
Sinon envoie de la requête au forwarder et attente avant de reprendre un fonctionnement normal
Requêtes récursives sont envoyées au forwarder, dans tous les autres cas, requêtes itératives
F. Nolot
9
Réseaux 2
Université de Reims Champagne-Ardenne
Les points de vue
Dans Bind 9, introduction des points de vue
view "internal" { };
Permet de ne faire voire que certaines informations, en fonction du client
Structure view, qu'après la structure options
La sous­structure match­clients définis les clients concernés par un point de vue
Définition d'une vue pour les machines 192.168.241/24
view "internal" {
match-clients 192.168.241/24;
zone "toto.com" { ... };
};
F. Nolot
10
Réseaux 2
Université de Reims Champagne-Ardenne
Pour aller plus loin
Les DNS avec IPv6
Sécurité des DNS
DNS et pare­feux
Sécurisation des serveurs
Nslookup et dig
Références : DNS et BIND, Paul Albitz et Cricket Liu, O'Reilly
F. Nolot
11