of 88/88
1 F. Castiglione Servizi Internet di base Domain Name System Filippo Castiglione, IAC – CNR, Roma

F. Castiglione 1 Servizi Internet di base Domain Name System Filippo Castiglione, IAC – CNR, Roma

  • View
    219

  • Download
    0

Embed Size (px)

Text of F. Castiglione 1 Servizi Internet di base Domain Name System Filippo Castiglione, IAC – CNR, Roma

  • Slide 1
  • F. Castiglione 1 Servizi Internet di base Domain Name System Filippo Castiglione, IAC CNR, Roma
  • Slide 2
  • F. Castiglione 2 Argomenti
  • Slide 3
  • F. Castiglione 3 Argomenti
  • Slide 4
  • F. Castiglione 4 Breve storia Gli indirizzi IP sono difficili da ricordare: vanno bene per la comunicazione tra le macchine modello centralizzato: agli albori di Internet lassociazione tra indirizzo IP e nomi delle macchine era registrata nel file HOSTS.TXT mantenuto presso SRI-NIC (Arpanet) (che veniva scaricato con FTP da tutti gli host [RFC-952, RFC- 953]) traffico e sovraccarico del server centrale collisioni dei nomi consistenza dei dati gestiti centralmente modello distribuito: allinizio degli anni 80, laumento del numero degli host ha reso indispensabile ladozione di un modello di gestione distribuita denominato Domain Name System (il sistema dei nomi di dominio)
  • Slide 5
  • F. Castiglione 5
  • Slide 6
  • 6 Breve storia RFC di riferimento Il Domain Name System Creato nel 1983 da Paul Mockapetris (RFCs 1034 e 1035), modificato, aggiornato e migliorato da una miriade di successive RFCs Domain Name System (DNS) definito presso ISI - USC 1984 RFC 882, RFC 883, RFC 973 (obsolete) RFC 1034, RFC 1035, RFC 1123, RFC 1537, RFC 1912
  • Slide 7
  • F. Castiglione 7 Le funzioni ad ogni risorsa TCP/IP pu essere assegnato un nome simbolico Sono necessari: un metodo per associare al nome simbolico di una macchina lindirizzo (o gli indirizzi) IP: risoluzione diretta un metodo per associare ad un indirizzo IP il nome simbolico della macchina: risoluzione inversa www.iac.cnr.it150.146.2.21 diretta inversa
  • Slide 8
  • F. Castiglione 8 Caratteristiche principali Il DNS permette ad ogni organizzazione che ha accesso ad Internet di: amministrare la relazione tra nomi ed indirizzi del proprio dominio in maniera autonoma ed indipendente risolvere i nomi fuori del proprio dominio accedendo alle informazioni gestite da altre organizzazioni
  • Slide 9
  • F. Castiglione 9 Caratteristiche principali database distribuito basato sul modello client/server tre componenti principali: spazio dei nomi e informazioni associate (Resource Record - RR) nameserver (application server che mantiene i dati) resolver (client per linterrogazione del nameserver) accesso veloce ai dati (database in memoria centrale e meccanismo di caching)
  • Slide 10
  • F. Castiglione 10 Lo spazio dei nomi Lo spazio dei nomi organizzato secondo un modello gerarchico: il database del DNS ha una struttura logica ad albero rovesciato ciascun nodo dellalbero rappresenta un dominio ogni dominio pu essere suddiviso in altri domini: sottodomini ogni nodo ha una etichetta che lo identifica rispetto al padre La radice dell'albero unica, e la sua etichetta vuota. In certi casi si indica anche come. La struttura dello spazio dei nomi: domini generali (gTLD, general Top Level Domain) domini nazionali (ccTLD) domini per la risoluzione inversa (arpa)
  • Slide 11
  • F. Castiglione 11 Linternet Domain Name Space lo spazio dei nomi di Internet, per tradizione (RFC1591), strutturato secondo un modello misto organizzazionale/geografico i Top-Level-Domain sono domini generali storici di tipo organizzazionale (gTLD): com: organizzazioni commerciali edu: universit e ricerca USA gov: organizzazioni governative USA mil: organizzazioni militari USA net: provider, centri di interesse per lInternet,.. org: organizzazioni non governative int: organizzazioni internazionali, trattati,... domini nazionali, rappresentati dai codici ISO3166 di 2 lettere (ccTLD) il dominio arpa nuovi domini in corso di attivazione:.info,.museum,
  • Slide 12
  • F. Castiglione 12 Top Level Domains domini nazionali, rappresentati dai codici ISO 3166 di 2 lettere (ccTLD) (http://www.iana.org/cctld/cctld-whois.htm)http://www.iana.org/cctld/cctld-whois.htm Il dominio.arpa (Address and Routing Parameter Area) viene usato solo per scopi di gestione dellInternet-infrastructure. I nuovi gTLD operativi sono:.biz:businesses(e.g. http://www.nic.biz).info:generale(e.g. http://www.nic.info).museum: musei(e.g. http://www.nic.museum/).name:persone(e.g. http://www.nic.name/) I nuovi gTLD in corso di attivazione:.aero:compagnie aeree.coop:cooperative.pro:professioni Esercizio: visitare il sito di IANA (Internet Assigned Number Authority) www.iana.org/cctld/cctld-whois.htm
  • Slide 13
  • F. Castiglione 13 Visione dinsieme: esempio
  • Slide 14
  • F. Castiglione 14 Lalbero dei nomi il domain name di ogni nodo composto dalla sequenza delle etichette dal nodo a (root), separate da. (punto). Es: e.c.a, oppure h.g.f.d.b un nome a dominio assoluto detto anche fully-qualified domain name o FQDN il Distributed Information Tree (albero dei nomi) definisce una gerarchia dei nomi che rende ogni nome a dominio completamente qualificato univoco in tutto lalbero
  • Slide 15
  • F. Castiglione 15 Esempio root
  • Slide 16
  • F. Castiglione 16 uk infocom Esempio root Top Level Domains
  • Slide 17
  • F. Castiglione 17 uk acco btibm infocom ceuhotels Esempio root Top Level Domains First Level Domains
  • Slide 18
  • F. Castiglione 18 uk mpglaw acco btibm infocom rf.mpglaw.co.uk ceuhotels sysasysb Esempio root Top Level Domains First Level Domains
  • Slide 19
  • F. Castiglione 19 I domini per dominio si intende il sottoalbero che inizia dal nodo con il domain name in questione di solito, le foglie rappresentano il domain name di un host ai nodi sono associate le informazioni relative a quel nome a dominio (RR=resource record) entry di host entry strutturali
  • Slide 20
  • F. Castiglione 20 La delega di autorita` (le zone) Il DNS permette a organizzazioni dotate di un proprio dominio di: amministrare la relazione nomi-indirizzi del proprio dominio in maniera autonoma ed indipendente definire le regole di naming allinterno del proprio dominio delegare ad altri la gestione degli eventuali domini figli (sotto-domini) risolvere i nomi fuori del proprio dominio accedendo alle informazioni gestite da altre organizzazioni la decentralizzazione della responsabilit amministrativa ottenuta attraverso il meccanismo della delega il gestore del dominio. InterNIC (per conto dello IANA/ICANN), che delega lautorit per la gestione dei TLD Esercizio: leggere http://www.internic.net/faqs/domain-names.html
  • Slide 21
  • F. Castiglione 21
  • Slide 22
  • F. Castiglione 22. uk mpglaw acco btibm infocom rf.mpglaw.co.uk ceuhotels sysasysb gestito da IANA/ICANN Esempio: distribuzione dellautorita` (le zone)
  • Slide 23
  • F. Castiglione 23 uk mpglaw acco btibm infocom rf.mpglaw.co.uk ceuhotels sysasysb gestito da Nominet gestito da NSI Esempio: distribuzione dellautorita` (le zone) gestito da IANA/ICANN
  • Slide 24
  • F. Castiglione 24 uk mpglaw acco btibm infocom rf.mpglaw.co.uk ceuhotels sysasysb gestito da Nominet gestito da NSI gestito da Manches Esempio: distribuzione dellautorita` (le zone) gestito da IANA/ICANN
  • Slide 25
  • F. Castiglione 25 Domini e zone: differenze le informazioni sono mantenute nei nameserver un nameserver mantiene i dati di un sottoinsieme dello spazio dei nomi: la zona ogni zona pu essere un sottodominio completo, cio comprendere vari domini su una porzione del DIT (Directory Information Tree) non disgiunta un nameserver pu gestire pi zone disgiunte il dominio padre contiene solo puntatori alla sorgente dei dati dei suoi sottodomini ciascuna zona contiene i nomi a dominio e i dati appartenenti ad certo dominio, esclusi i nomi e i dati dei sottodomini delegati ad altri
  • Slide 26
  • F. Castiglione 26 Divisione in zone: esempio
  • Slide 27
  • F. Castiglione 27 Domini e zone: I nameservers la struttura gerarchica dello spazio dei nomi si riflette nella relazione tra i nameserver il meccanismo della delega di autorit si basa sui seguenti principi: ogni nameserver di un dominio, per essere conosciuto nel DNS, deve essere stato registrato dal nameserver del dominio di livello superiore. Questo crea la delega una volta delegata l'autorit su una zona il nameserver padre perde ogni possibilit di modificare le informazioni dei domini contenuti nella zona delegata i nameserver delegati possono essere pi d'uno ( consigliato averne almeno due, in alcuni casi addirittura obbligatorio), ma uno solo quello che possiede la vera autorit perch gestisce i files contenenti le informazioni
  • Slide 28
  • F. Castiglione 28 Il parenting ovvero la creazione di sottodomini Quando conviene? Dipende da varie considerazioni: necessit di definire sottodomini per partizionare uno spazio dei nomi piatto e molto esteso necessit di distinguere laffiliazione delle macchine di un dominio necessit di distribuire la gestione quanti sottodomini definire? quando delegarne la gestione? che nome assegnare ai sottodomini? Attenzione alla corretta gestione del meccanismo della delega per garantire la risoluzione dei nomi per tutto il dominio!!
  • Slide 29
  • F. Castiglione 29 I root-servers i root-server sono i nameserver della. (radice). sono essenziali al funzionamento del DNS perch: contengono le informazioni sui Top-Level-Domain e sui relativi nameserver ai quali ne delegano la gestione contengono le informazioni per la risoluzione inversa (risoluzione indirizzo- nome) ogni nameserver deve conoscere nomi ed indirizzi dei root-server la lista aggiornata dei root-server mantenuta da InterNIC ftp://ftp.rs.internic.net/domain/named.root ftp://ftp.nic.it/pub/DNS/named.root Esercizio: ftp://ftp.rs.internic.net/domain/named.root
  • Slide 30
  • F. Castiglione 30 Root Name Server Operators NameserverOperated by: AVerisign (US East Coast) BUniversity of S. California Information Sciences Institute (US West Coast) CPSI (US East Coast) DUniversity of Maryland (US East Coast) ENASA (Ames) (US West Coast) FInternet Software Consortium (US West Coast) GU. S. Dept. of Defense (ARL) (US East Coast) HU. S. Dept. of Defense (DISA) (US East Coast) IKTH (SE) JVerisign (US East Coast) KRIPE-NCC (UK) LICANN (US West Coast) MWIDE (JP)
  • Slide 31
  • F. Castiglione 31 Il processo di risoluzione Il processo di risoluzione dei nomi a dominio basato sul modello clientserver: il nameserver (server) un processo che ha il compito di fornire risposte autoritative ad interrogazioni sui nomi definiti nellambito dei domini per cui autoritativo; il resolver (client) invece utilizzato dalle applicazioni che hanno necessit di effettuare una risoluzione di nomi a dominio. Esso costituito da un insieme di routine di libreria (es. gethostbyname ) che sono in grado di colloquiare con i nameserver, interpretarne le risposte e restituire linformazione al programma richiedente. E possibile configurare il default domain di appartenenza, la lista dei nameserver da interrogare e la search list in un apposito file di configurazione (es. file /etc/resolv.conf su Unix)
  • Slide 32
  • F. Castiglione 32 Il processo di risoluzione dei nomi Se il nome desiderato non nella zona (o nella cache) del NS interrogato, si innesca il processo di risoluzione dei nomi La richiesta di risoluzione risale il DIT (Directory Information Tree) fino alla radice e lo ridiscende fino ad arrivare ad un NS autoritativo la cui zona contiene il nome in questione e quindi anche i RR (resource record) La risposta, opportunamente salvata in tutte le cache intermedie, viene infine passata dal resolver allutente che aveva effettuato la richiesta 2 modalit di risoluzione dei nomi: ricorsiva (il resolver chiede al nameserver; il nameserver pensa a tutto) iterativa (il resolver si rivolge direttamente ai vari nameservers della catena)
  • Slide 33
  • F. Castiglione 33 Il processo di risoluzione dei nomi
  • Slide 34
  • F. Castiglione 34 Nameserver autoritativi un nameserver si definisce autoritativo quando in possesso dei dati per una determinata zona dellalbero dei nomi per un dominio vi possono essere pi nameserver autoritativi per avere una maggiore affidabilit fortemente consigliato averne pi di uno, localizzati in modo da ridurre il rischio di interruzione del servizio DNS i nameserver autoritativi si dividono in: primari secondari
  • Slide 35
  • F. Castiglione 35 Nameserver autoritativi primari e secondari Un nameserver si definisce primario quando possiede i file delle informazioni (file di zona) e pertanto in ogni zona vi sar un solo nameserver primario Un nameserver si definisce secondario quando acquisisce, dal nameserver primario, i dati relativi alla zona mediante una procedura automatica denominata zone-transfer i parametri che regolano il funzionamento della procedura di zone-transfer sono contenuti in uno specifico record del nameserver primario (record SOA) procedura: /usr/dns/etc/named-xfer -z domname -f outputfile authNS necessario valutare attentamente il numero e la dislocazione dei nameserver secondari in modo da ridurre il pi possibile il rischio che problemi di connessione possano impedire la risoluzione dei nomi di un dominio
  • Slide 36
  • F. Castiglione 36 Perch avere pi server DNS? Ci sono tre ragioni per avere dei server secondari: Ridondanza Locazioni differenti Riduzione del carico sul primario Ridondanza Sono necessari almeno due nameservers per ogni zona, un primario ed almeno un secondario per ridondanza. Come ogni fault tolerant system, le macchine devono essere il pi indipendenti possibile (e.g su reti differenti). Locazioni differenti I secondary servers devono risiedere in locazioni differenti per poter gestire un alto numero di utenti (i.e. per evitare che gli utenti debbano comunicare su linee a bassa velocit). Riduzione del carico sul primario I name server secondary servono (ovviamente) anche per ridurre il carico di lavoro sul primary server.
  • Slide 37
  • F. Castiglione 37 Caching ogni nameserver mantiene copia di tutte le informazioni di cui venuto a conoscenza tali informazioni sono utilizzate durante il processo di risoluzione dei nomi le risposte date dal nameserver sulla base della cache sono not authoritative le informazioni nella cache di un nameserver rimangono valide per un tempo limitato (Time-To-Live, TTL) Luso della cache pu dare luogo a temporanee inconsistenze ma aumenta le performance del sistema
  • Slide 38
  • F. Castiglione 38 Come funziona il meccanismo di DNS caching? 1.La cache risiede su disco o in memoria centrale? I record della cache sono memorizzati nel segmento dati del processo name-server in memoria centrale. Quindi la cache viene persa se il processo viene terminato. 2.Per quanto tempo viene mantenuta linformazione nella cache? Ogni DNS resource record in risposta ad una query, contiene un valore time to live (TTL) che determina per quanto tempo il server pu tenere quel record in cache. Un valore tipico 86400 secondi (24 hours). 3.C un limite massimo per la cache? La cache cresce senza limitazioni, specialmente su servers molto importanti, dove nuovi records vengono messi in cache ad una velocit superiore rispetto a quelli a cui scade il TTL. Sui sistemi UNIX, il processo name server finir per raggiungere la sua massima dimensione in memoria e verr terminato dal kernel di sistema. E quindi una buona idea schedulare un cron job che lo termina e lo fa ripartire settimanalmente.
  • Slide 39
  • F. Castiglione 39 Lalbero per la risoluzione inversa (in-addr.arpa) 48.146.in-addr.arpa dominio 65.48.146.in-addr.arpa sotto-dominio 69.65.48.146.in-addr.arpa macchina nome indirizzo Resource record = www.pippo.com
  • Slide 40
  • F. Castiglione 40 ping www.nominum.com. Esempio: risoluzione dei nomi (ricorsiva) Il processo di risoluzione dei nomi step-by-step: annie.west.sprockets.com
  • Slide 41
  • F. Castiglione 41 Whats the IP address of www.nominum.com? The Resolution Process La workstation annie chiede al suo name-server (quello configurato), dakota, lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com dakota.west.com
  • Slide 42
  • F. Castiglione 42 The Resolution Process Il name-server dakota chiede al root-name-server, m, lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com m.root-servers.net dakota.west.com Whats the IP address of www.nominum.com?
  • Slide 43
  • F. Castiglione 43 The Resolution Process Il root-server m riferisce a dakota il nome dei name-server com Questo tipo di risposta si chiama un referral ping www.nominum.com. annie.west.com m.root-servers.net dakota.west.com Heres a list of the com name servers. Ask one of them.
  • Slide 44
  • F. Castiglione 44 The Resolution Process Il name-server dakota chiede al name-server com, f, lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com m.root-servers.net dakota.west.com Whats the IP address of www.nominum.com? f.gtld-servers.net
  • Slide 45
  • F. Castiglione 45 The Resolution Process Il name-server com, f, riferisce a dakota il nome del name-server di nominum.com ping www.nominum.com. annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com Heres a list of the nominum.com name servers. Ask one of them.
  • Slide 46
  • F. Castiglione 46 The Resolution Process Il name-server dakota chiede ad uno dei server nominum.com, ns1.sanjose, lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net Whats the IP address of www.nominum.com?
  • Slide 47
  • F. Castiglione 47 The Resolution Process Il name-server nominum.com, ns1.sanjose, risponde con lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net Heres the IP address for www.nominum.com
  • Slide 48
  • F. Castiglione 48 Heres the IP address for www.nominum.com The Resolution Process Il name-server dakota risponde ad annie con lindirizzo di www.nominum.com ping www.nominum.com. annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net
  • Slide 49
  • F. Castiglione 49 ping ftp.nominum.com. Resolution Process (Caching) Dopo la query precedente, il name-server dakota conosce: I nomi e gli indirizzi IP dei name-servers com I nomi e gli indirizzi IP dei name-servers nominum.com Lindirizzo IP di www.nominum.com Rivediamo il processo di risoluzione annie.west.com
  • Slide 50
  • F. Castiglione 50 ping ftp.nominum.com. Whats the IP address of ftp.nominum.com? Resolution Process (Caching) La workstation annie chiede al suo name-server, dakota, dellindirizzo ftp.nominum.com annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net
  • Slide 51
  • F. Castiglione 51 ping ftp.nominum.com. Whats the IP address of ftp.nominum.com? Resolution Process (Caching) dakota ha memorizzato nella cache un record NS che indica che ns1.sanjose e` un name-server nominum.com, quindi gli chiede lindirizzo di ftp.nominum.com annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net
  • Slide 52
  • F. Castiglione 52 ping ftp.nominum.com. Heres the IP address for ftp.nominum.com Resolution Process (Caching) Il name-server di nominum.com, ns1.sanjose, risponde con lindirizzo di ftp.nominum.com annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net
  • Slide 53
  • F. Castiglione 53 ping ftp.nominum.com. Heres the IP address for ftp.nominum.com Resolution Process (Caching) Il name-server dakota risponde alla workstation annie con lindirizzo di ftp.nominum.com annie.west.com f.gtld-servers.net m.root-servers.net dakota.west.com ns1.sanjose.nominum.net
  • Slide 54
  • F. Castiglione 54 Servizi Internet di base Domain Name System BIND = Berkeley Internet Name Domain
  • Slide 55
  • F. Castiglione 55 Piattaforme HW/SW hardware disponibile su quasi tutte le attuali piattaforme (PC, Macintosh, workstation, mainframe) software prodotti di pubblico dominio (BIND per Unix e WinNT/Win95, MIND/NonSequitur per MacOS) prodotti commerciali (MacDNS, QuickDNS Pro, distribuzione di WinNT server 4.0)
  • Slide 56
  • F. Castiglione 56 BIND BIND (Berkeley Internet Name Domain) limplementazione di nameserver pi diffusa su Internet sviluppata per Unix BSD, ne esistono porting per molti altri ambienti spesso ne inclusa una implementazione nel software di corredo di piattaforme Unix vi sono attualmente tre versioni: la versione storica 4.x.y (lultima rilasciata la 4.9.7) la versione 8.x.y (lultima rilasciata la 8.2.2-P7) la versione 9.x.y, ancora in fase di evoluzione (http://www.isc.org/bind.html)
  • Slide 57
  • F. Castiglione 57 Le versioni (4.x.y) e (8.x.y): differenze e similitudine File di configurazione named.boot (4.x.y) formato ormai in uso da anni consente solo alcune personalizzazioni generali named.conf (8.x.y) nuovo formato (stile linguaggio c) funziona con IPv6 (http://www.6bone.net) consente una personalizzazione completa sia generale che zona per zona Esiste una procedura in perl ( named-bootconf.pl ) per la conversione dal formato 4.x.y al formato 8.x.y rimangono inalterati i file delle singole zone
  • Slide 58
  • F. Castiglione 58 Nuove funzionalita` della versione 8.x.y meccanismo del notify permette laggiornamento quasi in tempo reale tra nameserver primario e secondari meccanismo di logging flessibile e personalizzabile, senza uso obbligato del logging del sistema (syslog) controllo degli accessi personalizzabile per zona migliore ottimizzazione della memoria centrale migliora notevolmente le prestazioni del servizio, specialmente per implementazioni con molte zone attive sulla stessa macchina numero max di zone incrementato a 4.294.967.295 (2 32 ) supporto iniziale di DNSSEC supporto di WindowsNT update dinamico (NSUPDATE) e incrementale (IXFR)
  • Slide 59
  • F. Castiglione 59 Caratteristiche salienti di BIND 9 Versione corrente 9.2.0 (rilasciata il 26 novembre 2001!!!) Miglioramento delle funzionalit di update dinamico Supporto per zone di elevate dimensioni (.com) Miglioramento funzionalit DNSSec/TSIG Miglioramento funzionalit IXFR Views RNDC - Remote Named Daemon Control
  • Slide 60
  • F. Castiglione 60 I file necessari il file named.boot/named.conf il file named.local il file named.root i file per la risoluzione diretta i file per la risoluzione inversa
  • Slide 61
  • F. Castiglione 61 Il file named.boot Il file named.boot il file di configurazione principale per il funzionamento del processo nameserver nella versione 4.x.y definisce la directory in cui si trovano gli altri file necessari al funzionamento del nameserver (directory) definisce lordine con cui verranno restituiti gli indirizzi delle singole macchine (sortlist) definisce quali sono i nameserver che possono prelevare le zone per cui il nameserver autoritativo (xfernets) definisce linterfaccia locale della macchina su cui il processo nameserver attivo definisce i domini per i quali il nameserver autoritativo (primary e secondary) definisce i riferimenti ai root nameserver (cache)
  • Slide 62
  • F. Castiglione 62 Il file named.conf il file named.conf il file di configurazione principale per il funzionamento del processo nameserver dalla versione 8.x.y definisce la directory in cui si trovano gli altri file necessari al funzionamento del nameserver (directory) definisce la raccolta dei dati statistici relativi al processo nameserver (statistics- interval) definisce lordine con cui verranno restituiti gli indirizzi delle singole macchine (topology) definisce quali sono i nameserver che possono prelevare le zone per cui il nameserver autoritativo (allow-transfer) definisce il livello e la distribuzione dei log prodotti dal processo nameserver senza dover necessariamente il syslog del sistema (logging/channel/category) definisce linterfaccia locale della macchina su cui il processo nameserver attivo definisce i domini per i quali il nameserver autoritativo (master e slave) definisce i riferimenti ai root nameserver (hint)
  • Slide 63
  • F. Castiglione 63 Esempio di file named.local Il nameserver ha bisogno di questo file per utilizzare il loopback. Per convenzione questa rete la 127.0.0.0 e l'indirizzo della macchina il 127.0.0.1 Un esempio di file named.local: @ IN SOA nameserver.cnr.it. dns-adm.nameserver.cnr.it ( 19941227 ;file Version # 86400 ;Refresh = 1 day 1800 ;Retry = 30 minutes 604800 ;Expire = 6 days 86400 ;Default TTL = 1 day ) @ IN NS nameserver.cnr.it. 1.0.0.127.in-addr.arpa. IN PTR localhost.
  • Slide 64
  • F. Castiglione 64 Utility di supporto nella gestione di un nameserver nslookup host dig dnswalk ndc nsupdate LRFC 1713 descrive un insieme di tools che possono essere utili per il debugging della configurazione di un nameserver
  • Slide 65
  • F. Castiglione 65 nslookup normalmente distribuito insieme al S.O. o alla distribuzione di BIND si pu utilizzare sia in modalit interattiva che tramite riga di comando dispone di aiuto in linea filippo[132]->nslookup set query=any www.iac.cnr.it Server: 150.146.2.25 Address: 150.146.2.25#53 Non-authoritative answer: www.iac.cnr.it canonical name = silos.iac.rm.cnr.it. Authoritative answers can be found from: iac.cnr.it nameserver = nameserver.cnr.it. iac.cnr.it nameserver = silos.rm.iac.cnr.it. nameserver.cnr.it internet address = 194.119.192.34 silos.rm.iac.cnr.it internet address = 150.146.2.210
  • Slide 66
  • F. Castiglione 66 nslookup Query per tutti i record del dominio cnr.it filippo[133]-> nslookup Server: 150.146.2.25 Address: 150.146.2.25#53 set query=any cnr.it Non-authoritative answer: cnr.it nameserver = dns3.nic.it. cnr.it nameserver = pdadr1.pd.cnr.it. cnr.it nameserver = dns.cnr.it. cnr.it origin = dns.cnr.it. mail addr = m.astolfi.src.cnr.it. serial = 2003080102 refresh = 86400 retry = 3600 expire = 604800 minimum = 86400 cnr.it nameserver = dns2.cnr.it. Authoritative answers can be found from: cnr.it nameserver = dns3.nic.it. cnr.it nameserver = pdadr1.pd.cnr.it. cnr.it nameserver = dns.cnr.it. cnr.it nameserver = dns2.cnr.it. dns3.nic.it internet address = 193.205.245.66 pdadr1.pd.cnr.it internet address = 150.178.1.2 dns.cnr.it internet address = 150.146.205.10 dns2.cnr.it internet address = 150.146.81.2
  • Slide 67
  • F. Castiglione 67 host incluso nella distribuzione di BIND ed inoltre reperibile presso: ftp://ftp.nikhef.nl/pub/network/host.tar.Z non interattivo: si utilizza da linea di comando permette di fare interrogazioni complesse a qualsiasi nameserver dotato di aiuto in linea host host -i 146.48.65.3 host -av cnr.it nameserver.cnr.it host -avl cnr.it nameserver.cnr.it host -t soa cnr.it host -C cnr.it
  • Slide 68
  • F. Castiglione 68 host Query per tutti i record del dominio cnr.it filippo[137]-> host -va cnr.it Query about cnr.it for record types ANY Trying cnr.it... Query done, 6 answers, status: no error The following answer is not authoritative: cnr.it 542353 IN NS nameserver.cnr.it cnr.it 542353 IN NS dns2.nic.it cnr.it 542353 IN NS itgbox.iat.cnr.it cnr.it 542353 IN NS simon.cs.cornell.edu cnr.it 542353 IN NS ns1.surfnet.nl cnr.it 155353 IN SOA nameserver.cnr.it Daniele\.Vannozzi.iat.cnr.it ( 2000111801 ;serial (version) 86400 ;refresh period (1 day) 1800 ;retry interval (30 minutes) 604800 ;expire time (1 week) 86400 ;default ttl (1 day) )
  • Slide 69
  • F. Castiglione 69 host filippo[137]->host -C ba.cnr.it ba.cnr.it NS nameserver.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it (1999071201 3600 1800 604800 86400) ba.cnr.it NS dns.ba.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it (1999071202 3600 1800 604800 86400) !!! dns.ba.cnr.it has different serial than nameserver.cnr.it ba.cnr.it NS area.area.ba.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it (1999071201 3600 1800 604800 86400)
  • Slide 70
  • F. Castiglione 70 dig incluso nella distribuzione di BIND non interattivo; si utilizza da linea di comando permette di fare interrogazioni complesse ed a qualsiasi nameserver dotato di aiuto in linea dig -h dig dns.iat.cnr.it dig dns.iat.cnr.it mx dig -x 146.48.65.3 dig @nameserver.cnr.it cnr.it
  • Slide 71
  • F. Castiglione 71 dig Query per tutti i record del dominio cnr.it filippo[137]->dig cnr.it ; > DiG 9.1.3 > cnr.it ;; global options: printcmd ;; Got answer: ;; ->>HEADER
  • F. Castiglione 76 nsupdate Consente di aggiornare una zona in modo dinamico, inviando al named i RR da inserire. # nsupdate > update add cc.dynamic.ba.cnr.it 3600 IN A 100.100.100.100 causer linserimento del RR cc 3600 IN A 100.100.100.100 nel dominio dynamic.ba.cnr.it Loperazione verr registrata in un file di log (file di zona.log) e propagata ai server secondari: ;BIND LOG V8 [DYNAMIC_UPDATE] id 8347 from [193.204.191.39].1315 at 941985572 (named pid 959) : zone: origin dynamic.ba.cnr.it class IN serial 1999072501 update: {add} cc.dynamic.ba.cnr.it. 3600 IN A 100.100.100.100 ;BIND LOG V8 [INCR_SERIAL] from 1999072501 to 1999072502 Sat Nov 6 15:44:32 1999
  • Slide 77
  • F. Castiglione 77 nsupdate ATTENZIONE! Il file di zona verr riscritto (ogni 30 minuti o allo shutdown di named) con i RR aggiunti via nsupdate: file di zona prima di nsupdate @ IN SOA dns.ba.cnr.it. postmaster.dns.ba.cnr.it. ( 1999072501 3600 1800 604800 86400 ) @ NS dns.ba.cnr.it. @ NS area.area.ba.cnr.it. ; WWW IN A 194.119.200.100 file di zona riscritto da named ; BIND DUMP V8 $ORIGIN ba.cnr.it. dynamic 86400 IN NS dns.ba.cnr.it. ;Cl=4 86400 IN NS area.area.ba.cnr.it. ;Cl=4 86400 IN SOA dns.ba.cnr.it. postmaster.dns.ba.cnr.it. ( 1999072502 3600 1800 604800 86400 ) ;Cl=4 $ORIGIN dynamic.ba.cnr.it. cc 3600 IN A 100.100.100.100 ;Cl=4 WWW 86400 IN A 194.119.200.100 ;Cl=4
  • Slide 78
  • F. Castiglione 78 nsupdate La possibilit di aggiornare una zona via nsupdate va abilitata in named.conf mediante allow-update. Il controllo dellaccesso al momento basato solo sullindirizzo IP. Esempio: zone "dynamic.ba.cnr.it" { type master; file "dom.dynamic.ba.cnr.it"; allow-update { 193.204.191.39; };
  • Slide 79
  • F. Castiglione 79 Bibliografia DNS and BIND, 3rd Edition (Paul Albitz & Cricket Liu, September 1998) RFC 882 - Domain Names, Concepts and Facilities (P. Mockapetris, Sep 1983) RFC 883 - Domain Names, Implementation and Specification (P. M., Nov 1983) RFC 973 - Domain System Changes and Observations (P. M., Jan 1986) RFC 974 - Mail Routing and the Domain System (C. Partridge, Jan 1986) RFC 1034 - Domain Names, Concepts and Facilities (P. M., Nov 1987) RFC 1035 - Domain Names, Implementation and Specification (P. M., Nov 1987) RFC 1123 - Requirements for Internet Hosts, Application and Support (IETF, Oct 1989) RFC 1340 - Assigned Numbers (ISI, Jul 1992) RFC 1537 - Common DNS Data File Configuration Errors (P. Beertema, Oct 1993) RFC 1591 - Domain Name System Structure and Delegation (J. Postel, Mar 1994) RFC 1713 - Tools for DNS debugging (A. Romao, Nov 1994) RFC 1912 - Common DNS Operational and Configuration Errors (D. Barr, Feb 1996) RFC 2317 - Classless IN-ADDR.ARPA delegation (BSD - ISC, Mar 1998)
  • Slide 80
  • F. Castiglione 80 Sitografia http://www.isc.org : Bind http://www.ietf.org/rfc.html : RFC index http://www.iana.org : IANA http://www.icann.org : ICANN http://www.nic.it : Registration Authority Italiana http://www.dns.net/dnsrd/ : DNS Resources Directory
  • Slide 81
  • F. Castiglione 81 Materiale aggiuntivo IL REGOLAMENTO CE 733/2002 SUL DOMINIO.EU
  • Slide 82
  • F. Castiglione 82 PRINCIPI GIURIDICI DI BASE Connotazione pubblicistica storica (almeno in USA) della gestione del DNS Afferenza al settore delle telecomunicazioni Problemi di conflitto con diritti della personalit e di propriet industriale per domain names utilizzati a scopo distintivo (ma non per questo qualificazione in re ipsa del domain name come segno distintivo)
  • Slide 83
  • F. Castiglione 83 IL REGOLAMENTO Il dominio.eu un ccTLD (ISO 3166-1) Si affianca ai ccTLD degli Stati Membri Base giuridica del regolamento comunitario: reti transfrontaliere (artt. 154 e 155 del Trattato) Conferma dellafferenza al settore telecomunicazioni ed impostazione marcatamente pubblicistica
  • Slide 84
  • F. Castiglione 84 I SOGGETTI INTERESSATI Potr registrare un dominio.eu: qualsiasi impresa che abbia la propria sede legale, amministrazione centrale o sede d'affari principale nel territorio della Comunit europea qualsiasi organizzazione stabilita nel territorio della Comunit europea qualsiasi persona fisica residente nel territorio della Comunit europea Quindi, tecnicamente, anche le amministrazioni pubbliche nazionali
  • Slide 85
  • F. Castiglione 85 LA GESTIONE Titolarit dei diritti e delle politiche di risoluzione dei conflitti in capo agli organismi comunitari Gestione del registro ed applicazione delle politiche di risoluzione dei conflitti affidata ad organismo non- profit stabilito nella UE Affidatario scelto con procedimento ad evidenza comunitaria, secondo le regole della comitologia Principi di gestione informati a qualit, efficienza, affidabilit ed accessibilit
  • Slide 86
  • F. Castiglione 86 LA REGISTRAZIONE Servizi di registrazione (registrar) affidati ad organismi terzi, che dovranno sottoscrivere un contratto di registrar con laffidatario del registro Possibilit di registrazione per fasi per assicurare ai titolari di diritti preesistenti e agli organismi pubblici un adeguato lasso di tempo per la registrazione dei loro nomi Possibilit per gli Stati Membri di fornire liste di blocco di determinati nomi di interesse geografico o geopolitico nazionale
  • Slide 87
  • F. Castiglione 87 CONCLUSIONE Una operazione per fornire uno spazio di registrazione comune nella UE Un approccio equilibrato verso i diritti di propriet industriale e della personalit, senza i velleitarismi delle proposte di legge nazionali Una possibilit in pi anche per le amministrazioni pubbliche nazionali
  • Slide 88
  • F. Castiglione 88 fine