/!\ TODOs

?TableOfContents(3)

1 Présentation

La mise en place d'un serveur DNS sur un réseau permet de remplacer les adresses ip des machines par un nom. Ainsi, il est même possible d'associer plusieurs noms à la même machine pour mettre en évidence les différents services possibles. Du coup, www.example.com et pop.example.com, peuvent pointer sur le serveur principale où sont présents le serveur de mail et l'intranet de l'entreprise dont le domaine serait example.com. C'est tout de même plus facile que de se rappeler que ces deux services tournent sur la machine dont l'adresse ip est 192.168.0.1.

Imaginez maintenant, que l'administrateur de notre entreprise décide pour une raison ou une autre de déplacer le serveur de mail sur la machine 192.168.0.11. Il n'y a rien a faire du tout sauf modifier le fichier de configuration du serveur DNS. Il vous reste toujours la possibilité d'aller modifier le fichier hosts de tous les utilisateurs, mais cela risque de prendre du temps et d'embêter certaines personnes.

2 Définitions

3 Disposition réseau

Nous disposons d'un accès Internet via une xxxbox (192.168.1.1), de deux serveurs DNS fournis par notre FAI (80.10.249.2, 80.10.246.129). En fait, ces deux derniers ne seront jamais mentionnés dans la configuration car la xxxbox va se charger de faire la résolution de noms si elle ne connaît pas l'adresse de destination des paquets. Par conséquent, je considère la xxxbox comme le serveur primaire hors de notre domaine. Le serveur "sid" (192.168.1.10) est connectée à la xxxbox via sa première carte réseau. Il est aussi connecté au lan (192.168.0.0/24) via sa seconde interface réseau (192.168.0.1). C'est sur celui-ci que nous allons installer le serveur DNS primaire pour notre domaine example.com ([http://www.ietf.org/rfc/rfc2606.txt RFC 2606]) Tous les ordinateurs du lan se voient attribuer une adresse ip automatiquement via le service DHCP. Ce dernier fournira aussi l'adresse du serveur DNS primaire situé sur notre domaine, et mettra à jour les noms d'hôtes pour la zone example.com auxquels il aura attribué une adresse ip.

4 Gestion du serveur

4.1 Installation

On va utiliser le package bind9 pour faire tout ça.

# apt-get install bind9 

et puis si vous voulez installer en plus la documentation, (très utile):

# apt-get install bind9-doc

4.2 Configuration

Après l'installation, on va voir un peu du coté des fichiers de configuration. Ils sont placés dans le répertoire /etc/bind/

4.2.1 Signature TSIG

Cette signature à pour but d'authentifier les transactions avec BIND. Ainsi, le serveur DHCP ne pourra mettre à jour le domaine example.com que si il dispose de cette clef. On recopie une clef existante

# cd /etc/bind/
# cat rndc.key
key "rndc-key" {
        algorithm hmac-md5;
        secret "QJc08cnP1xkoF4a/eSZZbw==";
};
# cp rndc.key ns-example-com_rndc-key

On génère une nouvelle clef avec les options suivantes :

dnssec-keygen -a HMAC-MD5 -b 512 -n USER ns-example-com_rndc-key
Kns-example-com_rndc-key.+157+53334

Le footprint associé à la clef est 53334. On obtient alors deux fichiers, l'un avec une extension key et l'autre avec une extension private. On substitue la clef présente dans le fichier ns-example-com_rndc-key par celle présente dans un de ces derniers.

# cat Kns-example-com_rndc-key.+157+53334.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==
Bits: AAA=
# cat ns-example-com_rndc-key
key "ns-example-com_rndc-key" {
        algorithm hmac-md5;
        secret "LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==";
};

Le fichier ns-example-com_rndc-key ne doit pas être world-readable, afin de garantir la sécurité. Celui-ci sera inséré dans la configuration de bind via une directive include car la configuration de bind est quant à elle world-readable. On pensera aussi à supprimer les fichiers key et private précédemment générés.

4.2.2 Fichier named.conf

Ce fichier est le fichier de configuration principal du serveur DNS.

// Gérer les acls
acl internals { 127.0.0.0/8; 192.168.0.0/24; };
// Charger les options
include "/etc/bind/named.conf.options";
// Déclaration de la clef TSIG utilisé pour la mise à jour dynamique
include "/etc/bind/ns-example-com_rndc-key";
// Configurer le canal de communication pour adminsistrer BIND9 avec rndc
// Par défaut, la clef est située dans le fichier rndc.key et utiliser par
// rndc et bind9 sur localhost
controls {
        inet 127.0.0.1 port 953 allow { 127.0.0.1; };
};
// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};
include "/etc/bind/named.conf.local";

4.2.3 Fichier named.conf.options

Ce fichier contient l'ensemble des options de configuration du serveur DNS.

options {
        directory "/var/cache/bind";
        // Port d'échange entre les serveurs DNS
        query-source address * port *;
        // Transmettre les requêtes à 192.168.1.1 si
        // ce serveur ne sait pas résoudre ces adresses
        forward only;
        forwarders { 192.168.1.1; };
        auth-nxdomain no;    # conform to RFC1035
        // Ecouter sur les interfaces locales uniquement (IPV4)
        listen-on-v6 { none; };
        listen-on { 127.0.0.1; 192.168.0.1; };
        // Ne pas transférer les informations de zones aux DNS secondaires
        allow-transfer { none; };
        // Accepter les requêtes pour le réseau interne uniquement
        allow-query { internals; };
        // Autoriser les requêtes récursives pour les hôtes locaux
        allow-recursion { internals; };
        // Ne pas rendre publique la version de BIND
        version none;
};

Le port associé à l'option query-source ne doit en aucun cas être figé car il fragilise les transactions DNS dans le cas d'un résolveur.

M. Rash a écrit un article intéressant à propos de cela et comment forcer le port source de manière aléatoire par le biais d'iptables :[http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html Mitigating DNS Cache Poisoning Attacks with iptables]

Afin de diminuer la temporisation de timeout pour les connexions udp, et ainsi mettre en évidence la randomization qui par défaut est de 30s par tuple, il suffit de mettre à jour le paramètre net.netfilter.nf_conntrack_udp_timeout

# sysctl -w net.netfilter.nf_conntrack_udp_timeout=10

pour obtenir un timeout à 10s.

4.2.4 Fichier named.conf.local

Ce fichier contient la configuration local du serveur DNS, on y déclare les zones associées au domaine.

// Gérer les fichiers de logs
include "/etc/bind/named.conf.log";
// Gestion du domaine example.com
// ------------------------------
//  - Le serveur est défini comme maître sur ce domaine
//  - Il n'y a aucun forwaders pour ce domaine
//  - Les entrees sur le domaine peuvent être ajoutées
//    dynamiquement avec le clef ns-example-com_rndc-key
zone "example.com" {
        type master;
        file "/var/cache/bind/db.example.com";
        forwarders {};
        allow-update { key ns-example-com_rndc-key; };
};
zone "0.168.192.in-addr.arpa" {
        type master;
        file "/var/cache/bind/db.example.com.inv";
        forwarders {};
        allow-update { key ns-example-com_rndc-key; };
};
// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";

4.2.5 Fichier named.conf.log

logging {
        channel update_debug {
                file "/var/log/update_debug.log" versions 3 size 100k;
                severity debug;
                print-severity  yes;
                print-time      yes;
        };
        channel security_info {
                file "/var/log/security_info.log" versions 1 size 100k;
                severity info;
                print-severity  yes;
                print-time      yes;
        };
        channel bind_log {
                file "/var/log/bind.log" versions 3 size 1m;
                severity info;
                print-category  yes;
                print-severity  yes;
                print-time      yes;
        };
        category default { bind_log; };
        category lame-servers { null; };
        category update { update_debug; };
        category update-security { update_debug; };
        category security { security_info; };
};

On définit ici les différentes méthodes de log pour les différentes catégories. La première catégorie est comme son nom l'indique la catégorie par défaut qui est habituellement affectée au syslog. Toutes catégories non mentionnées, sont assimilées à la catégorie default. Pour obtenir une liste des différentes catégories, consulter[http://www.bind9.net/manual/bind/9.3.2/Bv9ARM le manuel de référence de l'administrateur pour bind9]. Pour ce qui est des lame-servers, on ignore tous les logs qui leur sont associés.

4.3 Les Ressources Records (RR)

Un DNS est constitue de plusieurs enregistrements, les RR ou Ressources Records, définissant les diverses informations relatives au domaine. Le premier enregistrement est consacré à la résolution de noms, dans notre cas, il s'agit du fichier db.example.com. Le second sera quant à lui en rapport avec la résolution de noms inverses ; il s'agit du fichier db.example.com.inv.

4.3.1 Les fichiers

* RR pour la résolution de noms (fichier db.example.com)

$TTL    3600
@       IN      SOA     sid.example.com. root.example.com. (
                   2007010401           ; Serial
                         3600           ; Refresh [1h]
                          600           ; Retry   [10m]
                        86400           ; Expire  [1d]
                          600 )         ; Negative Cache TTL [1h]
;
@       IN      NS      sid.example.com.
@       IN      MX      10 sid.example.com.
sid     IN      A       192.168.0.1
etch    IN      A       192.168.0.2
pop     IN      CNAME   sid
www     IN      CNAME   sid
mail    IN      CNAME   sid

* RR pour la résolution inverse (fichier db.example.com.inv)

@ IN SOA        sid.example.com. root.example.com. (
                   2007010401           ; Serial
                         3600           ; Refresh [1h]
                          600           ; Retry   [10m]
                        86400           ; Expire  [1d]
                          600 )         ; Negative Cache TTL [1h]
;
@       IN      NS      sid.example.com.
1       IN      PTR     sid.example.com.
2       IN      PTR     etch.example.com.

4.3.2 Quelques explications :

$TTL : (Time To Live) exprime la duree (en secondes) de validité, par défaut, des informations que contiennent les RRs. Une fois ce délais expire, il est nécessaire de revérifier les données. Les différents types :

Les classes : IN determine l'association a la classe Internet. D'autres classe sont disponibles (CH et HS). Pour de plus amples informations vous pouvez consulter la[http://www.ietf.org/rfc/rfc1035.txt RFC 1035]

4.4 - Fichier /etc/resolv.conf

search example.com

Il est pas des plus compliqué celui-la !

5 Chroot de bind

Par défaut, la configuration de bind emploi l'utilisateur bind pour exécuter le démon named. Ainsi, on retrouve cette option dans /etc/default/bind9:

OPTIONS="-u bind"

qui est pris en compte lors du lancement du service bind9. Voici un extrait du fichier /etc/init.d/bind9 :

test -f /etc/default/bind9 && . /etc/default/bind9
...
if start-stop-daemon --start --quiet --exec /usr/sbin/named \
                 --pidfile /var/run/bind/run/named.pid -- $OPTIONS;

C'est déja une bonne chose mais à celà, il faut ajouter l'utilisation d'une racine autre que / pour emprisonner le démon named dans sa prison. Il s'agit tout simplement d'employer l'option-ten précisant le répertoire de chroot. La variable OPTIONS dans le fichier /etc/default/bind9 devient :

OPTIONS="-u bind -t /var/lib/named"

Maintenant il faut créer l'arborescence dans le chroot.

/var/lib/named/
 |
 |__ /etc
 |__ /dev
 |__ /var
      |__ /cache
      |    |__ /bind
      |
      |__ /log
# mkdir -p /var/lib/named/etc
# mkdir /var/lib/named/dev
# mkdir -p /var/lib/named/var/cache/bind
# mkdir /var/lib/named/var/log

On déplace l'ancien répertoire de travail de bind dans le prison, et l'on met en place un lien symbolique /etc/bind vers ce même répertoire pour permettre au processus rndc de retrouver ces petits puisqu'il va utiliser le fichier rndc.key par défaut pour s'authentifier sur le channel d'administration port 953.

# mv /etc/bind /var/lib/named/etc
# ln -s /var/lib/named/etc/bind /etc/bind

On ajoute les périphériques null et random :

# mknod /var/lib/named/dev/null c 1 3
# mknod /var/lib/named/dev/random c 1 8
# chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random

Pour autoriser le démon syslog à prendre en compte les logs de bind, il nous faut lui préciser d'écouter le socket /var/lib/named/dev/log. Pour ce faire, modifier le fichier /etc/default/syslogd pour utiliser l'option suivante.

SYSLOGD="-a /var/lib/named/dev/log"

Une dernière chose, consiste à créer le répertoire pour stocker le pid du processus. J'ai opté pour une amélioration du fichier de démarrage du service. J'ai modifié le fichier /etc/init.d/bind9:

CHROOT_DIR=`echo $OPTIONS | cut -d ' ' -f 4`
# dirs under /var/run can go away on reboots.
mkdir -p $CHROOT_DIR/var/run/bind/run
chmod 775 $CHROOT_DIR/var/run/bind/run
chown root:bind $CHROOT_DIR/var/run/bind/run >/dev/null 2>&1 || true

Il faut déplacer les fichiers RR précédemment stockés dans /var/cache/bind/, dans /var/lib/named/var/cache/bind

# mv /var/cache/bind/* /var/lib/named/var/cache/bind/

L'arborescence est complète et tous les fichiers sont présents, mais les droits ne sont pas encore aux points, donc :

# chown -R root:bind /var/lib/named/etc/bind
# chmod 640 /var/lib/named/etc/bind/*
# chown bind:bind /var/lib/named/var/*

6 Gestion des clients

Comme je l'ai mentionne au début, l'attribution des adresses ip sur le réseau local est effectuée par le serveur DHCP. Ainsi, pour définir notre serveur DNS aux différents clients, il est nécessaire d'ajouter au fichier de configuration DHCP les deux lignes suivantes :

option domain-name "example.com"

option domain-name-server sid.example.com

Pour de plus amples informations sur la mise en place de l'update dynamique des enregistrements DNS via Dhcp c'est[http://www.dthconnex.com/dhcp_server.html ici]

7 Les outils de tests

8 Liens et Ressources