B1-4 Administration de réseaux - Domain Name System (DNS) · B1-4 Administration de réseaux -...

École nationale supérieurede techniques avancées

B1-4Administration de réseauxDomain Name System (DNS)

B1-4 — Administration de réseaux 1 / 29

Principe

Chaque machine d’un réseau IP est repérée par une adresse, qui estun nombre sur 32 bits pour IPv4 et sur 128 bits pour IPv6

Les ordinateurs sont plutôt doués pour gérer des nombres mais nousautres humains le sommes bien moins et il est plus facile pour nousde mémoriser des noms.

Le DNS est un moyen d’associer un nom à chaque adresse IP et viceversa.


Un peu d’histoire

Dans les temps anciens, on disposait déjà d’un système permettantd’associer des noms aux adresses IP.

Il était basé sur un fichier, très semblable à l’/etc/hosts dessystèmes UNIX d’aujourd’hui, qui devait être présent à l’identiquesur toutes les machines de l’Internet :

147.250.14.1 guinness147.250.14.2 blanche

L’ajout d’une nouvelle machine impliquait la recopie du nouveaufichier sur toutes les autres.


DNSPrincipes

Le DNS est une base de données répartie.

On ne dispose plus d’un fichier unique de correspondances entreadresses IP et noms mais de plusieurs et chaque site maintient lesinformations correspondant à ses machines et les met à ladisposition du reste de l’Internet par un protocole approprié.


DNSHiérarchie

Pour savoir quel serveur interroger, le système de nommage a étéhiérarchisé.

À cet effet, l’Internet a été découpé en domaines. Un domainecorrespond à un ensemble de machines dépendantadministrativement de la même entité.


DNSSystème de nommage - 1

La racine du DNS s’appelle « . ».Sous cette racine ont été créés des top-level domains (TLD)permettant d’effectuer un premier rangement des niveau inférieurs :

I comI eduI govI intI milI netI org



Des domaines nationaux ont été créés par la suite, selon la normeISO 3166-1 :

I auI deI esI frI ukI usI ...



Ces TLD ont des sous-domaines, comme par exemple ensta.fr(qu’on devrait d’ailleurs écrire ensta.fr. si l’on voulait être exact).

Le point sert donc à la fois à désigner le domaine racine et à séparerles différents composants des noms de domaine (qui se lisent dedroite à gauche).


DNSDélégation

L’entité qui a obtenu la délégation (c’est-à-dire la gestion) d’undomaine peut alors créer à loisir des noms de machines dans cedomaine et leur associer des adresses IP.

Lorsqu’on a beaucoup de machines, il peut s’avérer utile de créerdes sous-domaines afin de permettre un nommage plus propre enintroduisant un ou plusieurs niveaux de hiérarchie supplémentaires.Par exemple, nous travaillerons par la suite avec le domaineb1-4.ensta.fr.


DNSFQDN

Le nom qualifié d’une machine (en anglais, fully qualified domainname ou FQDN), c’est-à-dire son nom complet comprenant ledomaine, par exemple guinness.b1-4.ensta.fr, ne peux excéder 255caractères.

Chacun des composants (les parties entre deux points successifs) nepeut excéder 63 caractères.


DNSRègles de nommage

Un nom de machine ou un nom de domaine ne peut contenir que :I des lettres (majuscules ou minuscules, aucune différence n’est

faite à ce niveau)I des chiffresI des tirets

Tout autre caractère est interdit.


DNSDomaine et zone

On distingue la zone ensta.fr du domaine ensta.fr :I La zone ensta.fr ne contient que les informations concernant les

machines situées directement sous ensta.fr (doncguinness.b1-4.ensta.fr n’en fait pas partie puisqu’elle appartientà un sous-domaine d’ensta.fr)

I Le domaine ensta.fr contient la zone ensta.fr, les zonescorrespondants aux sous-domaines d’ensta.fr et ainsi de suite.


DNSServeurs

Chaque zone dispose d’un ou de plusieurs serveurs DNS.

S’il y en a plusieurs, l’un d’eux est dit maître et les autres sont sesesclaves (on parlait de primaire et de secondaires dans l’ancienneterminologie du DNS).

Le serveur maître est le vrai détenteur des informations de la zone,les esclaves se contentent de les recopier.


DNSTransfert de zone

À chaque modification des informations d’une zone, le serveurmaître avertit ses esclaves pour qu’ils puissent se mettre à jour.

Toute modification sur le maître se répercute donc très rapidementsur ses esclaves.

L’opération de mise à jour s’appelle un transfert de zone.


DNSAutorité

Le serveur maître et ses esclaves font autorité sur les zones qu’ilsgèrent (c’est-à-dire qu’eux seuls détiennent les tables decorrespondance officielles pour ces zones).


DNSRésolution de nom - 1

Si j’ai besoin de savoir l’adresse IP associée à une machine de lazone ensta.fr, je vais m’adresser à l’un des serveurs qui font autoritépour cette zone.

Mais quels sont ces serveurs ?

Il suffit de le demander à l’un des serveurs de la zone fr.



Si je ne les connais pas non plus, je vais demander leurs adresses àl’un des serveurs de la racine.

Puisqu’il faut bien qu’une arborescence commence quelque part, cesderniers sont connus (il y en a actuellement treize, répartis sur laplanète) et permettent donc de toujours pouvoir descendre l’arbredu DNS.

L’ensemble de ce processus s’appelle la résolution de nom.



Un processus qui a besoin de convertir un nom de machine enadresse IP n’effectue jamais la résolution de nom lui-même.

Pour cela, il s’adresse au serveur DNS de son site, dont l’adresse IPfigure dans le fichier /etc/resolv.conf.

C’est le serveur DNS qui va effectuer la résolution de nom et enrenvoyer le résultat au processus demandeur.

En prime, le serveur DNS va conserver la réponse dans un cache,afin d’éviter de refaire cette gymnastique s’il reçoit la même requêtedans le futur.


BIND

Le logiciel utilisé sur quasiment tous les serveurs de noms du mondeest Berkeley Internet Name Domain (BIND), développé parl’Internet Software Consortium.

BIND est livré en standard avec tous les systèmes UNIX mais ils’agit rarement de la dernière version. Or il est important detoujours utiliser la dernière version de BIND pour éviterl’exploitation de failles de sécurité connues et pour profiter desdernières fonctionnalités (BIND ayant énormément évolué cesdernières années).


BIND 9.6.1-P2

La dernière version de BIND est la 9.6.1-P2, sortie le 24 novembre2009.

BIND 8 et BIND 4 sont encore entretenus mais uniquement pourcorriger des problèmes de sécurité.


BINDConfiguration - 1

BIND se configure au moyen d’un fichier principal et de plusieursfichiers auxiliaires.

Le fichier principal s’appelle par convention named.conf et setrouve par défaut dans le répertoire /etc (on peut utiliser un autrerépertoire et nous allons d’ailleurs le faire par la suite).


BINDConfiguration - 2

Par défaut, BIND est conçu pour fonctionner sous l’identité dusuper-utilisateur. Comme BIND peut tout aussi bien fonctionnersous l’identité d’un utilisateur non privilégié (bien que trop peud’administrateurs prennent la peine de le faire), nous allons doncutiliser cette possibilité.

De même, BIND peut fonctionner dans un système de fichiersrestreint par l’appel système chroot(). Nous utiliserons égalementcette option de sécurité.


BINDnamed.conf - 1

options{

directory "/" ;} ;

# serveurs racine

zone "."{

type hint ;file "named.root" ;

} ;


BINDnamed.conf - 2

# zones maîtres

zone "b1-4.ensta.fr"{

type master ;file "master/b1-4.ensta.fr" ;

} ;

zone "14.250.147.in-addr.arpa"{

type master ;file "master/147.250.14" ;

} ;


BINDnamed.conf - 3

# zones esclaves

zone "ensta.fr"{

type slave ;file "slave/ensta.fr" ;masters{

147.250.1.1 ;} ;

} ;


BINDZone maître directe

$TTL 1d

@ IN SOA ns.b1-4.ensta.fr. hostmaster.ensta.fr. (2001012800 ; serial; RFC 15378h ; refresh2h ; retry1w ; expiry1h ) ; negative caching

IN NS ns.b1-4.ensta.fr.

localhost IN A 127.0.0.1

ns IN A 147.250.14.1

guinness IN A 147.250.14.1blanche IN A 147.250.14.2


BINDZone maître inverse

$TTL 1d

@ IN SOA ns.b1-4.ensta.fr. hostmaster.ensta.fr. (2001012800 ; serial; RFC 15378h ; refresh2h ; retry1w ; expiry1h ) ; negative caching

IN NS ns.b1-4.ensta.fr.

1 IN PTR guinness.b1-4.ensta.fr.2 IN PTR blanche.b1-4.ensta.fr.


BINDDélégation

b1-4 IN NS ns.b1-4ns.b1-4 IN A 147.250.14.51


BINDLancement

named -t /opt/dns -c /named.conf -u dns


B1-4 Administration de réseaux - Domain Name System (DNS) · B1-4 Administration de réseaux -...

Documents

Transcript of B1-4 Administration de réseaux - Domain Name System (DNS) · B1-4 Administration de réseaux -...