Introduzione al DHCP

Transcript

1 Modulo 8: Applicativi Parte 1: DHCP, Bootp 1 Introduzione al DHCP Per comunicare via TCP/IP un host deve conoscere il proprio indirizzo IP conoscere la propria rete (netmask) conoscere l indirizzo l di un router sulla propria rete quest ultima ultima informazione e e necessaria solo per poter parlare con nodi esterni alla propria rete Oltre a questo, il funzionamento completo dei protocolli TCP/IP richiedono altre informazioni l indirizzo di uno o piu DNS server il proprio domain name l indirizzo di uno o piu NTP server l indirizzo di uno o piu WINS server... Queste informazioni possono essere inserite staticamente sull host (tipicamente vengono salvate su file di configurazione e rilette al bootstrap) Spesso e e conveniente poter caricare queste informazioni al volo, durante il processo di bootstrap Reti di Calcolatori 2 1

2 Vantaggi della inizializzazione dinamica L utente non deve conoscere i dettagli degli indirizzi, netmask, default route e delle configurazioni degli applicativi (resolver, time server,...) di particolare importanza per la gestione delle connessioni occasionali, quali quelle dei portatili dei visitatori di un sito assolutamente essenziale per i service provider L amministratore di rete non deve recarsi di persona davanti all host da configurare Modifiche ai parametri di configurazione non richiedono una riconfigurazione dei parametri statici di tutti gli host particolarmente faticoso per operazioni massiccie quali il completo renumbering di una rete ci si dimentica sempre di qualcosa che poi non funziona Reti di Calcolatori 3 DHCP Il Dynamic Host Configuration Protocol e e stato sviluppato per poter realizzare la configurazione dinamica degli host Questo protocollo e e standardizzato tramite opportuni RFC, e rappresenta l evoluzione del protocollo BOOTP (Bootstrap Protocol), da cui eredita il formato del messaggio e le specifiche della comunicazione Il protocollo funziona tramite una interazione client-server il client e e il nodo che esegue il bootstrap, e che deve interrogare un server per avere informazioni il server deve essere opportunamente configurato per rispondere alle richieste, fornendo i parametri necessari DHCP e e sostanzialmente un applicativo della suite TCP/IP che utilizza UDP (e quindi IP a livello di rete) per trasmettere le informazioni benche l host non conosca ancora il proprio indirizzo IP e la propria rete e di appartenenza, IP puo essere utilizzato per trasmettere pacchetti all indirizzo broadcast locale ( ), cosa che viene realizzata trasmettendo un frame di livello 2 broadcast il server ascolta sulla porta 67 (sia TCP che UDP), il client utilizza la porta 68 (UDP) Reti di Calcolatori 4 2

3 Logica del funzionamento Il DHCP gestisce le assegnazioni di indirizzo come una concessione ne in affitto Quando un client richiede un indirizzo, e questo viene concesso, l indirizzo assegnato viene considerato dal server non piu utilizzabile per altri client per un certo periodo di tempo (lease time) Allo scadere del periodo di affitto, il client deve rinnovare la richiesta o smettere di utilizzare l indirizzo l assegnato se rinnova la richiesta, viene concesso di utlizzare lo stesso indirizzo i per un nuovo periodo di lease time Quando il lease time scade ed il client non rinnova la richiesta il server puo utilizzare lo stesso indirizzo per un altro client non e e garantito (se non specificato in configurazione) che lo stesso client riceva lo stesso indirizzo in due periodi diversi e non consecutivi solo il rinnovo dell affitto garantisce di mantenere lo stesso indirizzo La durata del lease time e e un parametro che dipende dalla configurazione il server ha un valore di default ed un limite massimo il client puo richiedere una certa durata temporale, ma il server rispondera quello che ritiene opportuno (in funzione dei limiti di configurazione) il client puo (dovrebbe) notificare una interruzione anticipata al server quando non ha piu bisogno dell indirizzo Reti di Calcolatori 5 Host multihomed Un host con piu di una interfaccia di rete deve gestire le assegnazioni dinamiche per ciascuna interfaccia separatamente Ogni interfaccia, allo startup, fara la sua richiesta inviando il broadcast sulla rete fisica connessa a quella interfaccia, e le informazioni che riceve saranno specifiche di quella interfaccia questo richiede che ci sia un DHCP server su ciascuna delle reti connesse al client possono verificarsi problemi legati ad informazioni che riguardano tutte le interfacce di rete, quali configurazioni di servizi e default route per gestire queste situazioni si deve fare una attenta pianificazione delle informazioni fornite dai diversi DHCP server Reti di Calcolatori 6 3

4 Meccanismo di funzionamento Il client invia un messaggio broadcast di richiesta DHCP non conoscendo l indirizzo l del DHCP server non puo indirizzare il messaggio unicast la necessita di utilizzare il broadcast impone l utilizzo l di UDP Il server per rispondere ha due alternative: invia un messaggio broadcast in risposta utilizza le informazioni contenute nel messaggio di richiesta unitamente alle informazioni (che deve conoscere) relative all indirizzo IP che il client prendera per aggiungere una entry alla ARP cache in questo modo il server dhcp puo rispondere con un messaggio unicast, che in base alla entry ARP appena inserita verra recapitato al destinatario tramite frame di livello 2 correttamente destinato to unicast si utilizza il messaggio broadcast su sistemi che non permettono di interagire con la ARP cache Reti di Calcolatori 7 Controllo degli errori e recovery L utilizzo di UDP comporta il problema di assicurarsi del ricevimento e della correttezza della risposta, di cui si fa carico il client DHCP utilizza UDP con la checksum per la verifica dei dati viene imposto il bit don t t fragment per evitare sul client eventuali problemi di RAM nella ricostruzione del segmento UDP DHCP prevede la possibilita di trasmettere risposte ripetute: il client accetta la prima che arriva il client utilizza tecniche di timer per reiterare la richiesta se la risposta non arriva oltre un certo tempo il timeout e e scelto in modo casuale entro qualche secondo ad ogni reiterazione, il timeout viene raddoppiato, fino a 60 secondi dopo alcuni tentativi senza risposta il protocollo fallisce Reti di Calcolatori 8 4

5 Messaggi DHCP di inizializzazione Alla inizializzazione il client invia in broadcast un messaggio di DHCPDISCOVER (richiesta di configurazione) Il (o i) server rispondono alla richiesta con un messaggio DHCPOFFER (offerta), contenente le informazioni di configurazione Il client sceglie la prima risposta che arriva, e si configura nel n modo definito, ma deve negoziare i parametri dell affitto: invia quindi un messaggio DHCPREQUEST al server da cui ha accettato l offertal questo serve a notificare al server che ha offerto l indirizzo l che il client ha accettato la sua offerta (e non magari altre) i server che non ricevono il messaggio DHCPREQUEST considerano l offerta rifiutata,, e mantengono l indirizzo l offerto tra quelli disponibili Il server che riceve il messaggio di DHCPREQUEST invia una conferma con un messaggio DHCPACK da questo momento l indirizzo l e e assegnato, per il lease time concordato Reti di Calcolatori 9 Messaggi DHCP di mantenimento Allo scadere di un timer della durata di meta del tempo di lease,, il client deve rinnovare l affitto: l invia al server un nuovo messaggio di DHCPREQUEST Il server puo : accettare il rinnovo, con un messaggio DHCPACK in questo caso il client azzera i timer e continua ad usare la nuova configurazione proposta (puo avere parametri diversi) rifiutare il rinnovo con un messaggio DHCPNACK in questo caso il client azzera la propria configurazione e ricomincia da capo Se non arriva risposta, dopo l 87.5% del tempo di lease,, il client invia un DHCPREQUEST in broadcast un altro server puo inviare un DHCPACK o un DHCPNACK: il client si comporta come se avesse risposto il server originario Se non arriva risposta allo scadere del lease time,, il client deve abbandonare la configurazione e ricominciare con un DHCPDISCOVER Se il client non ha piu bisogno dell indirizzo (shutdown della interfaccia di rete) invia al server un messaggio di DHCPRELEASE,, dopo il quale (senza attendere riscontri) il client azzera la configurazione Reti di Calcolatori 10 5

6 Ulteriori messaggi di controllo Il client puo richiedere ulteriori informazioni al server, tramite l invio l di un messaggio DHCPINFORM il server rispondera un DHCPACK per fornire i parametri richiesti Il client puo rispondere negativamente al messaggio DHCPOFFER, utilizzando un messaggio DHCPDECLINE ad esempio quando il client ha accettato la configurazione da un altro dhcp server oppure quando il client ritiene che le informazioni offerte non siano soddisfacenti (ad esempio se per errore il server fornisce un indirizzo IP gia utilizzato,, ed il client se ne accorge Reti di Calcolatori 11 Formato del messaggio DHCP Il messaggio DHCP ha lo stesso formato del messaggio BOOTP. Come in ARP, esiste un solo formato per i diversi tipi di messaggio. Il messaggio deve stare tutto dentro un solo datagramma UDP (la cui dimensione dipende dalla MTU della rete sottostante) OP: : indica il tipo di messaggio HTYPE ed HLEN definiscono il tipo di data link layer e la lunghezza degli indirizzi hardware HOPS indica quanti hop di livello 3 il messaggio attraversa: e e possibile rimpallare la richiesta ad un server su un altra rete IP TRANSACTION ID: : un intero utilizzato dal client per associare le risposte alle richieste inviate SECONDS: : indica il tempo trascorso dalla inizializzazione del client FLAGS: : il client pone ad 1 il primo bit se desidera una risposta inviata in broadcast Gli altri campi contengono informazioni che sono riempite se note, poste a 0 altrimenti YOUR IP ADDRESS viene riempito dal server nella risposta se CLIENT IP ADDRESS della richiesta e e 0 La netmask viene specificata in un campo delle OPTIONS Reti di Calcolatori 12 6

7 Opzioni Nel campo OPTIONS possono essere inserite informazioni di vario tipo: NTP time server name host name e domain name print server DNS server e search list WINS server TFTP server name messaggi di temporizzazioni (DURATA DEL LEASE) non tutte sono standard, e non tutte verranno utilizzate dal client Informazioni di file di boot DHCP copre anche le funzioni di bootp: comunicare al client il nome n di un file da caricare come sistema operativo utilizzato principalmente per calcolatori diskless Il campo BOOT FILE NAME viene riempito con il nome di un file da scaricare il file viene scaricato tramite protocollo TFTP dal server indicato in un campo delle opzioni Reti di Calcolatori 13 Gestione degli indirizzi Il DHCP server deve essere configurato per gestire in modo opportuno gli indirizzi che offre ai client Tipicamente questi indirizzi fanno parte di un pool tra gli indirizzi della rete di appartenenza del server ma non e e obbligatorio: : un server puo fornire indirizzi di una rete remota Il dhcp server sceglie tra gli indirizzi del pool un indirizzo disponibiled l indirizzo non deve essere correntemente utilizzato da un altro client l assegnazione rende l indirizzo l indisponibile fino alla scadenza dell affitto E possibile definire politiche di controllo sulle assegnazioni si puo richiedere che il server conceda indirizzi solo a client con MAC address autorizzato si puo richiedere che ad un dato MAC address venga assegnato sempre lo stesso indirizzo,, che non deve essere parte del pool di indirizzi dinamici si possono richiedere entrambe le cose: : questa configurazione di fatto rappresenta una assegnazione statica degli indirizzi IP ai soli client registrati, ma operata in modo da non dover configurare appositamente i client Reti di Calcolatori 14 7

8 DHCP relay DHCP utilizza il broadcast, quindi il server deve essere sulla stessa LAN del client Le specifiche prevedono la possibilita di centralizzare la gestione del dhcp tra piu LAN su ogni LAN viene configurato un server che si limita a fare il forwarding della richiesta DHCP verso un server opportuno (definito nella configurazione) che puo essere remoto il server cosi configurato non dispone di indirizzi da assegnare, ma si limita a rimpallare la richiesta (DHCP( relay) il server centrale rispondera al messaggio con un messaggio DHCP inviato al DHCP relay,, che a sua volta lo inoltrera sulla rete locale secondo le modalita richieste (unicast o broadcast) la comunicazione tra i server puo avvenire utilizzando UDP o TCP, sempre sulla porta 67 (server) e 68 (client) Reti di Calcolatori 15 Modulo 8: Applicativi Parte 2: DNS 16 8

9 Domain Name System Lo scopo principale del Domain Name System e e quello di poter associare ad un nome un indirizzo IP e viceversa semplicita di memorizzazione della destinazione per gli utenti della rete Le caratteristiche essenziali sono univocita del nome possibilita di conversione diretta ed inversa Il DNS e e un database che associa ad un nome una proprieta principalmente associa ad un nome un indirizzo IP, ma gestisce anche altri tipi di associazioni Reti di Calcolatori 17 Introduzione storica Negli anni 70 ARPAnet e e una rete di piccole dimensioni La associazione nome-indirizzo viene realizzata tramite un singolo file di testo (HOSTS.TXT) Il file originale era mantenuto da una unica organizzazione (NIC: Network Information Center) ogni nuova registrazione veniva proposta via mail al NIC il NIC inseriva la registrazione (con verifica di univocita del nome,, e non solo) il file aggiornato veniva reso disponibile ogni una/due settimane La disponibilita della nuova registrazione richiedeva quindi accettazione della proposta da parte del NIC pubblicazione del nuovo file HOSTS.TXT aggiornato update del file su tutti i client della rete Reti di Calcolatori 18 9

10 Limiti della soluzione a singolo file L aumento esplosivo di dimensioni di ARPAnet ha generato i seguenti problemi eccesso di traffico e di carico sul server: l aumento l dei client che necessitano di scaricare le versioni aggiornate provoca un carico eccessivo sul server della master copy del file HOSTS.TXT collisione di nomi: : con l aumento l dei nodi in rete aumenta in modo insostenibile la richiesta di nomi uguali per host differenti consistenza: : al crescere della rete le modifiche ai nodi diventano troppo frequenti (nuovi( nodi, indirizzi cambiati, nodi dismessi) ) ed il file non e e mai aggiornato alla reale situazione della rete La soluzione a singolo file come master copy non scala con le dimensioni della rete Si pensa ad una soluzione diversa: database distribuito,, in modo da permettere l amministrazione l decentrata per le modifiche locali sistema di nomi (namespace) gerarchico,, in modo da prevenire la duplicazione di nomi Reti di Calcolatori 19 Architettura del DNS Il sistema e e costituito da un database distribuito in cui la gestione dei nomi di un certo insieme di nodi viene demandata all amministratore amministratore di quei nodi Il sistema di accesso all informazione viene realizzato secondo una architettura client-server il name server e un processo che dispone delle informazioni relative ad una porzione dell intero database e le rende disponibili ai client il resolver e il client che interroga il name server attraverso la rete per ottenere le risoluzioni, secondo un protocollo codificato Reti di Calcolatori 20 10

11 Struttura del database DNS La struttura del database (quindi dei nomi) e e gerarchica, ed e e rappresentabile da un albero rovesciato,, in cui i nomi sono i nodi e le relazioni gerarchiche sono rappresentate da linee che connettono due nodi in cima c e c il nodo root (radice), il cui nome e e la stringa vuota ( ) sotto la root ci sono i nodi che rappresentano i nomi di primo livello (es: edu, com, gov, it,...) ciascuno di tali nomi e e a sua volta radice di un sottoalbero del namespace, che si chiama dominio (top-level domain) sotto ciascun nome di primo livello ci sono nomi di secondo livello, e cosi via qualunque nome sotto il primo livello e e anch esso radice di una porzione dello spazio dei nomi,, che prende il nome di dominio si utilizza il termine sottodominio per indicare una porzione (sottoalbero) qualunque di un dominio Reti di Calcolatori 21 Struttura del database DNS (2) Ogni dominio deve avere un nome unico Ogni sottodominio di uno stesso dominio deve avere un nome unico entro il dominio ma domini diversi possono avere sottodomini con lo stesso nome Reti di Calcolatori 22 11

12 Rappresentazione dei nomi del DNS I nomi dei domini e sottodomini vengono rappresentati indicando l elenco dei nomi a partire dal dominio in questione, risalendo l albero l fino alla radice,, e separandoli da. es: stanford.edu., fnal.gov, ge.infn.it.,... il. finale separa il nome del dominio di primo livello dal nome della la radice, che e e I nomi degli host sono i punti terminali di questo albero, e sono rappresentati nello stesso modo es: mailhub.ge.infn.it., server1.fisica.unige.it. La parte terminale del nome di un host e e detta simple name,, il resto e e detta domain name dell host es: per l host l server1.fisica.unige.it. il simple name e e server1,, il suo domain name e e fisica.unige.it. fisica.unige.it. Il nome completo (di un host o di un dominio) e e detto FQDN (Fully( Qualified Domain Name) Qualunque nome si dice appartenente a tutti i domini che lo comprendono server1.fisica.unige.it. appartiene al dominio fisica.unige.it. ma anche ai domini unige.it. e it. Reti di Calcolatori 23 Delega della autorita (zone) Utilizzando questa struttura gerarchica e e possibile delegare la gestione dei nomi di un sottodominio ad una organizzazione diversa L insieme dei nomi gestiti dalla stessa organizzazione si chiama zona Una zona puo contenere sottodomini, nomi di host o entrambi la zona infn.it contiene host: mail.infn.it., radius.infn.it.,... sottodomini: ge.infn.it., roma1.infn.it.,... il sottodominio ge.infn.it. costituisce in realta una diversa zona (ha una delega dell amministrazione), e contiene: host: mail.ge.infn.it., server.ge.infn.it. sottodomini: nt.ge.infn.it.,... In questo modo si distribuisce il carico di gestione agli amministratori delle diverse zone l univocita dei nomi deve essere osservata solo all interno dello stesso dominio: diversi domini hanno sempre nomi completi differenti questo permette una completa autonomia al gestore della zona per quanto riguarda l assegnazione l dei nomi Reti di Calcolatori 24 12

13 Zone file e name server Ogni zona gestisce le informazioni relative ad i nomi di un dominio eventualmente anche per i nomi di sottodomini Il database di una zona e e contenuto in un file (lo zone file) I record di ogni zona vengono serviti da uno o piu name server, che dispongono di una copia del file della zona e si dicono autorevoli per quella zona Generalmente una sola copia dei file di zona e e master,, ed il server che usa la copia master si dice name server primario Si possono configurare name server secondari per una zona: i secondari ricevono una copia dello zone file dal name server primario p allo startup e ad ogni modifica del file (cioe del database della zona) questo garantisce la sincronizzazione tra le informazioni possedute dal server primario e dai server secondari l operazione di sincronizzazione si chiama zone transfer i server secondari sono in grado di rispondere a query relative ad un nome nello stesso modo dei server primari Un server puo operare come server primario per alcune zone, e come server secondario per altre E possibile definire piu server come primari,, ma bisogna gestire in qualche modo la sincronizzazione dei file delle zone Windows Server utilizza questo meccanismo sui diversi controller di dominio, e garantisce la sincronia del database tramite Active Directory Reti di Calcolatori 25 Root name server I root name server sono i server che gestiscono le informazioni relative al dominio sono i server autorevoli per la zona detta root zone Questi server gestiscono le informazioni su quali server sono autorevoli per i domini di primo livello essenzialmente le uniche informazioni contenute nella root zone sono quelle relative ai server che gestiscono i domini di primo livello Sono critici per il funzionamento globale del DNS, perche devono essere conosciuti da tutti i server Attualmente ce ne sono undici, sparsi in tutto il mondo per garantire accessibilita alle informazioni sui domini di primo livello L elenco dei root name server e e gestito e distribuito dalla organizzazione InterNIC, ed il file relativo (named.root) si puo scaricare dal sito ftp://ftp.rs.internic.net tutte le implementazioni di DNS server vengono distribuite con una u copia di questo file, ma e e opportuno verificarne ciclicamente la consistenza Reti di Calcolatori 26 13

14 Osservazioni sui nomi Una zona e e una porzione di name space gestita dallo stesso server Una zona puo contenere nomi di un dominio e nomi di suoi sottodomini ad esempio, la zona ge.infn.it puo avere due host di nome server ed eth1.desk i nomi completi saranno server.ge.infn.it. ed eth1.desk.ge.infn.it. non esiste una zona per il dominio desk.ge.infn.it. desk.ge.infn.it.,, che e e gestito nella stessa zona a cui appartiene server.ge.infn.it. L utilizzo di nomi contenenti il. (cioe l utilizzo di sottodomini) ha lo scopo di suddividere logicamente i nomi di un dominio ad esempio nel dominio unige.it. si puo utilizzare uno schema di nomi: xxx.unige.it. per i nodi centrali xxx.chimica.unige.it..unige.it. per i nodi della facolta di chimica xxx.disi.unige.it..unige.it. per i nomi della facolta di informatica quando la complessita lo richiedesse, si potra spezzare la zona in diverse zone, ciascuna per i domini unige.it., chimica.unige.it., disi.unige.it. delegandone la amministrazione Reti di Calcolatori 27 Nomi come indici del database Il DNS e e un database che fa corrispondere ad un nome una certa informazione non necessariamente l informazione l e e l indirizzo IP dell host in questione I nomi costituiscono un indice per accedere alla informazione corrispondente Le associazioni nome - informazione si chiamano record del DNS ogni record ha un campo tipo,, che definisce il tipo di informazione associata ad un nome In sostanza la differenza tra il nome di un dominio ed il nome di un host e e data dal fatto che al nome dell host corrisponde una informazione specifica dell host (come ad esempio un indirizzo IP) L esistenza dalla caratteristica tipo permette di avere nello spazio dei nomi due record che hanno lo stesso nome ma contengono informazioni di tipo differente es: ge.infn.it esiste come record di tipo (NS) (indica quale e e il server che gestisce la zona associata al dominio ge.infn.it) ma esiste anche e come record di tipo MX (indica quale e e il mail server a cui recapitare i messaggi indirizzati a <user>@ge.infn.it) Reti di Calcolatori 28 14

15 Tipi di record I tipi principali sono: record di tipo A: : al nome (che rappresenta un host) viene associato l indirizo l IP dell host record di tipo CNAME: : utilizzato per definire un sinonimo di un host name record di tipo HINFO: : utilizzato per definire una descrizione testuale dell host record di tipo MX: : utilizzato per definire l host l che deve essere utilizzato come mail relay per inviare mail al dominio specificato record di tipo NS: : utilizzato per specificare l host l che svolge funzioni di DNS server per il dominio (zona) specificato record di tipo PTR: : utilizzato per le risoluzioni inverse record di tipo SOA: : utilizzato per definire le informazioni di authority relative ad un dominio Quando un client interroga il DNS, chiede le informazioni relative ad un nome per uno specifico tipo di record,, in funzione di quello che vuole sapere (l indirizzo di un host, il nome del DNS server di un dominio, il nome n di un mail server,...) Reti di Calcolatori 29 Record di tipo A I record di tipo A (address( address) ) sono utilizzati per definire nel DNS l indirizzo IPv4 corrispondente al nome (che deve essere il nome di un host) Il formato del record e e <nome> [<TTL>] <class> A <address> dove <nome>: e e il FQDN <TTL>: Time To Live,, e e un intero che definisce il tempo oltre il quale la risposta fornita dal server deve essere considerata non piu valida (opzionale) <class>: deve essere IN (Internet) <address>: e e la rappresentazione decimale dell indirizzo IPv4 Esempio: server1.fisica.unige.it IN A Reti di Calcolatori 30 15

16 Record di tipo A multipli E possibile associare ad un nome piu di un record di tipo A questa tecnica viene utilizzata per suddividere il carico di un servizio, accessibile specificando un unico host name, tra piu di un server (esempio tipico i server web dei grossi siti) In questo caso il DNS server rispondera alle query con uno solo degli indirizzi specificati Ad interrogazioni successive,, il server puo essere configurato per comportarsi in modo diverso: il server puo rispondere a turno tutti gli indirizzi che sono associati ad un nome (round( robin) il server puo essere configurato per rispondere uno degli indirizzi in modo casuale si puo configurare il server in modo che risponda con l indirizzo l che abbia il migliore match con l indirizzo l di chi fa la richiesta Reti di Calcolatori 31 Record di tipo CNAME (Canonical Name) I record di tipo CNAME (Canonical Name) sono utilizzati per definire sinonimi di un nome nel DNS La sintassi e : e <nome> [<ttl>] <class> CNAME <canonical name> dove <nome>: e e il nome DNS <ttl>: time to live (opzionale) <class>: indica la classe del record (IN) <canonical name>: indica il FQDN a cui il <nome> corrisponde Esempio: mailbox1.ge.infn.it. IN A mbox.ge.infn.it. IN CNAME mailbox1.ge.infn.it. in questo caso una query per il record di tipo A del nome mbox.ge.infn.it. verra risolta con l indirizzo l E possibile definire record di tipo CNAME che puntano a record di tipo CNAME ma si deve fare attenzione ai loop: name1.domain.com IN CNAME name2.domain.com name2.domain.com IN CNAME name1.domain.com!!!! Reti di Calcolatori 32 16

17 Record CNAME multipli In alcune versioni del DNS server e e possibile utilizzare definizioni multiple di CNAME per ottenere una risoluzione verso diversi indirizzi in modalita round robin: name.domain.com IN CNAME srv1.domain.com name.domain.com IN CNAME srv2.domain.com name.domain.com IN CNAME srv3.domain.com Questa configurazione non viene accettata da tutte le implementazioni del DNS server, e non osserva le definizioni dello standard Per ottenere lo scopo desiderato si devono definire record multipli di tipo A Reti di Calcolatori 33 Record di tipo HINFO I record di tipo HINFO (host( information) ) sono utilizzati per definire le caratteristiche di cpu e sistema operativo di un host Il formato del record e e <nome> [<TTL>] <class> HINFO <cpu> <os> dove <nome>: e e il FQDN <TTL>: time to live (opzionale) <class>: deve essere IN <cpu>: stringa descrittiva del tipo di cpu <os>: stringa descrittiva del tipo di sistema operativo Esempio: teo09.ge.infn.it. IN HINFO AMD opteron 285 linux nota: se la stringa contiene spazi,, va inserita tra doppi apici Questo tipo di record non ha effetti di funzionalita,, ed e e attualmente poco utilizzato puo servire come informazione interna per statistiche, ma e e difficile tenerla aggiornata Reti di Calcolatori 34 17

18 Record di tipo MX I record di tipo MX (mail( exchanger) ) sono utilizzati per definire quale sia il server di posta elettronica a cui inoltrare i messaggi per un certo dominio di posta Il formato del record e e <nome> [<TTL>] <class> MX <preference> <server FQDN> dove <nome>: e e il FQDN <TTL>: (opzionale) time to live <class>: deve essere IN <preference>: numero intero che indica il livello di preferenza <server FQDN>: stringa con il FQDN del mail server Esempio: ge.infn.it. IN MX 10 smtp1.ge.infn.it. ge.infn.it. IN MX 20 smtp2.ge.infn.it Reti di Calcolatori 35 Osservazioni sui record MX Per motivi di affidabilita spesso un sito dispone di piu di un server di posta elettronica Perche il sistema funzioni si possono definire piu record di tipo MX,, che puntano a mail server differenti Il valore <preference> indica la priorita dei mail server un numero inferiore indica un mail server a maggiore priorita si possono definire piu record con lo stesso livello di priorita : : in questo caso i mail server saranno utilizzati con scelta casuale, allo scopo di ridistribuire il carico Si deve fare attenzione ad un requisito stringente dello standard: il FQDN deve essere un nome associato ad un record di tipo A non e e ammesso associare ad un record MX un CNAME: possono insorgere problemi di funzionalita difficili da identificare Reti di Calcolatori 36 18

19 Record di tipo SOA I record di tipo SOA (Start( Of Authority) ) hanno la funzione di definire quale sia il server primario per la zona definita da nome, ed altri parametri Il formato del record e e <nome> [<TTL>] <class> SOA <server FQDN> <admin mail address> (<serial> <refresh> <retry> <expire> <negative TTL>) dove <nome>: e e il FQDN del dominio che identifica la zona <TTL>: time to live (opzionale) <class>: deve essere IN <server FQDN>: stringa con il FQDN del DNS server primario per la zona <admin mail address>: indirizzo di mail dell amministratore sostituito da.). serial: numero seriale refresh: : numero di secondi oltre il quale la zona deve essere ricaricata dai secondari retry: : tempo oltre il quale il secondario deve ritentare il refresh in caso di errore expire: : intervallo di tempo oltre il quale il secondario non risponde piu a query su quella zona in caso di refresh fallito negative TTL: : tempo di durata della cache per risposte negative relative a quella zona Esempio: ge.infn.it. IN SOA dns1.ge.infn.it. dnsadmin.ge.infn.it ( ) in questo caso va fatto refresh ogni ora, ritentato ogni 20 minuti, con expiration dopo una settimana, e TTL negativo pari ad un giorno Reti di Calcolatori 37 Osservazioni sul record SOA Ogni zona deve avere nella sua configurazione uno ed un solo record di tipo SOA Questo definisce non solo il DNS server primario per tale zona, ma anche serial: ogni modifica al database della zona deve essere accompagnata da un incremento del serial number parametri temporali per il comportamento dei DNS server slave: ogni quanto tempo il secondario deve richiedere un refresh al primario dopo quanto tempo ritentare il refresh in caso di errore dopo quanto tempo il secondario che non riceve un refresh deve considerare invalide le informazioni che possiede sulla zona quale debba essere il valore del TTL per le risposte negative nelle vecchie versioni indicava il valore di default del TTL Reti di Calcolatori 38 19

20 Record di tipo NS I record di tipo NS (Name Server) hanno la funzione di associare ad un domain name il nome dei server che hanno l autorital autorita per quel dominio Il formato del record e e <nome> [<TTL>] <class> NS <server FQDN> dove <nome>: e e il FQDN del dominio <TTL>: time to live (opzionale) <class>: deve essere IN <server FQDN>: stringa con il FQDN del DNS server per il dominio Deve essere definito un record di tipo NS per ogni server autorevole per quel dominio I record di tipo NS sono nomi che fanno parte del dominio stesso ge.infn.it. e e il nome di un dominio il record NS che definisce il server del dominio e e un nome che fa parte dello stesso dominio ge.infn.it. per realizzare la delega di autorita i record NS devono essere registrati anche nella zona del dominio di livello superiore Esempio: ge.infn.it. IN NS dns1.ge.infn.it. ge.infn.it. IN NS dns2.ge.infn.it. Reti di Calcolatori 39 Delega della amministrazione I record di tipo NS sono necessari per la delega della amministrazione di sottodomini Es: il dominio movie.edu. vuole creare il subdomain fx.movie.edu. e delegare la sua amministrazione fx.movie.edu. diventera una nuova zona bladerunner.fx.movie.edu. sara il server primario outland.fx.movie.edu. sara il server secondario sul database del primario di movie.edu. si devono inserire i record per indicare i name server del dominio fx.movie.edu. fx.movie.edu IN NS bladerunner.fx.movie.edu. fx.movie.edu IN NS outland.fx.movie.edu. ed i glue record: bladerunner.fx.movie.edu IN A outland.fx.movie.edu IN A in questo modo il server del livello superiore sa dove trovare informazioni per il sottodominio Reti di Calcolatori 40 20

21 I glue record I glue record sono record di tipo A relativi ai nomi dei DNS server autorevoli per il sottodominio (nell esempio esempio fx.movie.edu.) Senza i glue record il server del dominio (movie.edu.) non puo conoscere l indirizzo dei server per il sottodominio (fx.movie.edu.) i record di tipo NS contengono il FQDN dei server, non il loro indirizzo questi server hanno nomi che appartengono al sottodominio stesso per conoscerne l indirizzo l si dovrebbe quindi interrogare proprio uno di loro, creando un problema di uovo e gallina NOTA: una zona puo contenere esclusivamente informazioni relative a nomi che appartengono al dominio che la definisce qualunque nome che termina in movie.edu. appartiene al dominio movie.edu. m (es: host.movie.edu., xxx.fx.movie.edu., a.b.c.movie.edu.) quando si delega l amministrazione l di un sottodominio, la zona del dominio non dovrebbe piu avere nomi appartenenti a quel sottodominio, ma nulla lo vieta questa possibilita permette di utilizzare i glue record poiche i glue record sono record di tipo A che stanno in due zone diverse, si deve fare attenzione: si devono utilizzare solo i glue record necessari si deve garantire che i glue record siano sempre sincronizzati Reti di Calcolatori 41 Risoluzione dei nomi I client che interrogano i DNS server sono detti resolver Un resolver deve sapere quale DNS server interrogare per avere le informazioni necessarie usualmente il resolver viene configurato specificando uno o piu DNS server a cui inviare le richieste La struttura gerarchica permette di ottenere l informazione l su un nome a partire dai server che gestiscono la root Ad esempio: risoluzione di eth.vaio.ge.infn.it. Si interroga un root name server,, che risponde con il nome del server che gestisce il dominio it. Si interroga questo server, che risponde con il nome del server che gestisce il dominio infn.it. Si interroga quest ultimo, ultimo, che risponde con il nome del server che gestisce il dominio ge.infn.it. Infine si interroga l ultimo l server, che e e autorevole per l informazione l richiesta e la comunica Le richieste ricevute dai DNS server possono essere recursive: : il server deve trovare la risposta alla query, e comunicare la risposta (eventualmente negativa) iterative: : il server comunica la risposta, se la conosce, o l indirizzo l di un server che puo conoscere la risposta Reti di Calcolatori 42 21

22 Interrogazioni recursive e iterative Il client esegue sempre interrogazioni ricorsive: il server interrogato si deve occupare di trovare la risposta e comunicarla al client I server usualmente effettuano interrogazioni iterative se il server interrogato dal client non e e autorevole per quella informazione, il server esegue interrogazioni iterative partendo da un root name server,, e segue la catena fino a trovare l informazione richiesta Questo meccanismo richiede che: qualunque DNS server conosca l indirizzo l dei root name server qualunque server autorevole di un dominio conosca l indirizzo l dei server autorevoli dei suoi sottodomini di primo livello,, in modo da poter discendere l albero l (quindi la delega deve essere fatta correttamente, attraverso i record di tipo NS ed i glue record) Reti di Calcolatori 43 Caching L architettura del DNS prevede quindi che un client interroga sempre e solo il suo DNS server (con una query ricorsiva) il server: se e e autorevole per l informazione, l la fornisce altrimenti esegue interrogazioni iterative verso altri server, partendo p dai root name server, fino ad ottenere l informazione l cercata Per migliorare l efficienza l del processo di risoluzione e alleggerire il carico sui root server si utilizza una tecnica di caching: il server memorizza le risposte che ottiene dagli altri server durante le sue interrogazioni iterative quando il server riceve una interrogazione per cui non e e autorevole, prima guarda nella cache se l informazione l esiste in cache, utilizza quella (e specifica che la risposta non e e autorevole) altrimenti esegue la procedura usuale Le entry nella cache hanno un tempo di validita definito dal campo TTL (quindi e e definibile sul server primario autorevole per l informazione l stessa) Reti di Calcolatori 44 22

23 Cache name server E possibile definire un DNS server in modo che non abbia autorita su alcuna zona Questo server, ad ogni query, interroghera i root name server per ridiscendere l albero, l come gli altri Di fatto, in condizioni di regime il server rispondera con le informazioni di cache, o ridiscendera l albero Questi server si chiamano cache name server utilizzano solo le informazioni di cache non avendo deleghe di autorita,, non devono essere registrati come name server (tramite record NS) su alcun altro server L utilizzo dei cache name server e e finalizzato ad alleggerire il carico di lavoro dei name server autorevoli in caso di sovraccarico Reti di Calcolatori 45 Configurazione del client Il resolver e e il client del database DNS Usualmente costituito da librerie di sistema,, ha una configurazione unica per ogni host tutti gli applicativi fanno utilizzo dello stesso resolver Svolge funzioni molto semplici si limita ad interrogare un server per avere la risposta alle query La configurazione e e semplice: local domain name: : e e il dominio a cui appartiene il client se non definito, si ottiene dal nome dell host (dal primo. in poi) search list: : e e un elenco di nomi di dominio utilizzati (assieme al local domain name) per risolvere nomi specificati in modo non completamente definito (vedi slide successiva) nameserver: : e e un elenco di indirizzi IP corrispondenti ai DNS server che il client puo contattare per interrogare il DNS Reti di Calcolatori 46 23

24 Nomi semplici e FQDN Ogni nome nel DNS e e costituito da una sequenza di nomi semplici separati da.,, e termina con un. (es: alet.it., smtp.ge.infn.it.) questo si chiama FQDN Il resolver puo accettare nomi semplici (non terminati da un. ), completando automaticamente la loro forma secondo le seguenti regole: si appende al nome un. e si tenta la risoluzione si appende il local domain name (con punto finale) e si tenta questa risoluzione si appende uno dei domini definiti nella search list (in ordine) e si tenta la risoluzione In questo modo si puo semplificare agli utenti la scrittura dei nomi nell utilizzo delle applicazioni viene tradotto in telnet linuxge eseguito su un calcolatore nel dominio ge.infn.it. viene tradotto in telnet linuxge.ge.infn.it. Reti di Calcolatori 47 Configurazione del resolver linux: il resolver si configura attraverso il file /etc/resolv.conf le direttive sono domain ge.infn.it nameserver nameserver search ge.infn.it nt.ge.infn.it le direttive domain e search sono mutualmente esclusive: l ultima che appare e e quella che verra utilizzata questo significa che l utilizzo l della direttiva search richiede di inserire il local domain tra i domini della lista e possibile sovrascrivere la configurazione del resolver tramite le informazioni fornite dal dhcp server se opportunamente configurato Reti di Calcolatori 48 24

25 Configurazione del resolver (2) Windows 2000/XP: il domain name si configura tramite la finestra di dialogo Start->Settings >Settings->Control >Control Panel->System si seleziona il tab Computer Name e si definisce come nome del computer il suo FQDN la parte che segue il primo. rappresenta il domain name il resolver si configura tramite la finestra di dialogo Start->Settings >Settings->Network >Network Connections->[Interfaccia di rete] si seleziona Internet Protocol,, quindi click sul bottone Properties qui si possono definire i DNS server, o accettare quelli forniti dal DHCP server fare click sul bottone Advanced per l ulteriore l configurazione, e selezionare il tab DNS si possono aggiungere ulteriori DNS server si puo decidere di aggiungere il suffisso del domain name primario si possono aggiungere altri domain name per il search Reti di Calcolatori 49 Caching del client Per motivi di ulteriore efficienza anche i client possono utilizzare meccanismi di caching i client unix normalmente non lo fanno per i client Windows (2000/XP) possono essere utilizzati i comandi ipconfig /displaydns per visualizzare la cache ipconfig /flushdns per azzerare la cache L utilizzo del caching spesso puo creare difficolta nella analisi di problemi sul sistema di risoluzione dei nomi ci si deve sempre affidare a tecniche di analisi che non dipendano da fattori ignoti, quali ad esempio la cache dei client Reti di Calcolatori 50 25

26 Risoluzione inversa Spesso si ha la necessita di sapere quale nome sia associato ad un indirizzo IP Il DNS contiene gia questa informazione come valore (del record di tipo A) associato ad una chiave (il nome) Poiche non c e c relazione tra un dominio e gli indirizzi utilizzati dalle macchine appartenenti a questo dominio, trovare quale sia la chiave (il nome) associata ad un valore (l indirizzo) richiederebbe l analisi l di tutti i record del DNS Per risolvere questo problema si e e introdotto nel DNS uno spazio di nomi che mappano gli indirizzi IP a questi nomi sono associati valori che corrispondono al nome della macchina i record che associano alla chiave (nome( che rappresenta l indirizzo l IP) il nome (FQDN) della macchina sono di tipo PTR questi nomi appartengono tutti al dominio in-addr.arpa. Reti di Calcolatori 51 Formato dei nomi del dominio in-addr.arpa L architettura del DNS funziona perche i nomi sono gerarchici Gli indirizzi IP hanno una gerarchia intrinseca: : a.b.c.d a differenza dei nomi, negli indirizzi la parte piu specifica e e a destra Per gestire le risoluzioni inverse si associa ad ogni indirizzo IP del tipo a.b.c.d un nome del tipo d.c.b.a.in-addr.arpa. addr.arpa. il dominio in-addr.arpa. contiene al massimo 256 sottodomini: 0.in-addr.arpa.,..., 255.in-addr.arpa. ogni sottodominio (ad esempio 193.in-addr.arpa.) contiene 256 sottodomini: in-addr.arpa.,..., in-addr.arpa. ciascuno di questi (ad esempio in-addr.arpa.) contiene a sua volta 256 sottodomini: in-addr.arpa.,..., in-addr.arpa. infine ciascuno di questi (ad esempio in-addr.arpa.) continene al massimo 256 record di tipo PTR,, ciascuno dei quali corrisponde ad un indirizzo IP nella rete /24, a cui e e associato il nome della macchina che ha quell indirizzo Questo permette di realizzare una struttura gerarchica per gli indirizzi i IP l ordine inverso e e determinato dal fatto che una organizzazione generalmente gestisce una rete di indirizzi IP: : invertendo l ordine l si puo realizzare una delega per tutta una rete IP delegando la zona corrispondente secondo l architettura l del DNS Reti di Calcolatori 52 26

27 Record di tipo PTR I record di tipo PTR (pointer( pointer) ) hanno la funzione di associare ad un nome (che mappa un indirizzo IP) il nome dell host che ha quell indirizzo Il formato del record e e <nome> [<TTL>] <class> PTR <host FQDN> dove <nome>: e e il nome associato all indirizzo IP <TTL>: time to live (opzionale) <class>: deve essere IN <host FQDN>: stringa con il FQDN dell host che ha quell indirizzo Esempio: in-addr.arpa. IN PTR dns1.ge.infn.it. Reti di Calcolatori 53 Delega dei sottodomini di in-addr.arpa. La struttura del dominio in-addr.arpa. permette la delega di sottodomini come per i nomi ordinari Questo permette di poter delegare la gestione delle risoluzioni inverse di una rete x.y.0.0/16 delegando la zona y.x.in-addr.arpa. Tuttavia la struttura permette la delega solo per sottoreti ad ottetti interi (maschere ad 8, 16 o 24 bit) Per affrontare situazioni di delega della amministrazione per sottoreti a maschere differenti esistono diverse soluzioni complesse,, di cui la piu semplice e : e : non delegare Reti di Calcolatori 54 27

28 Advanced features Lo standard per il servizio DNS e e specificato in numerosi RFC (1034, 1035, 1101,..., 2845) Oltre alle funzionalita descritte sono specificate funzionalita avanzate, che modificano ed integrano quelle originarie gestione di ACL per query, transfer delle zone,... DNS notify incremental zone transfer update dinamico forwarding criteri per la selezione della risposta relativa a record multipli li security per garantire l identital identita della sorgente dell informazione Vedremo le principali Reti di Calcolatori 55 DNS notify Questa funzionalita permette al server primario di notificare ai secondari che la zona e e stata modificata In questo modo i secondari sono spinti a chiedere un update per la zona Questo permette di evitare di dover attendere un tempo pari al tempo di refresh (definito nel record SOA della zona) prima di avere l aggiornamento l distribuito su tutti i secondari Questa modifica e e di particolare importanza per evitare comportamenti differenti tra i server di una stessa zona Tutte le implementazioni moderne soddisfano questa funzionalita per default Reti di Calcolatori 56 28

29 Incremental zone transfer Questa funzionalita definisce le specifiche per trasferire ai secondari solo le informazioni che sono cambiate nella zona rispetto all ultimo refresh Di particolare importanza per i DNS server sottoposti ad elevato carico Aumenta l efficienza l riducendo il numero di informazioni che il primario deve trasmettere al secondario Funzionalita non critica, ma utilizzata da tutte le implementazioni moderne Reti di Calcolatori 57 Update dinamico In base a determinati criteri e e possibile permettere ai client di effettuare l update l dinamico del DNS server al momento del bootstrap, in modo da registrare il proprio indirizzo ed il proprio nome una volta noto tipicamente utilizzato quando il client prende l indirizzo via DHCP (potenzialmente diverso ad ogni bootstrap) Il DNS server integrato in Windows Server utilizza questa funzionalita (che non puo essere eliminata in caso di domain controller) Reti di Calcolatori 58 29

30 Update dinamico: problemi Il problema della funzionalita di update dinamico e e la mancanza di controllo su quello che accade alle informazioni della zona un client che prende un indirizzo utilizzato precedentemente da un altro client aggiorna l entry l della risoluzione inversa (PTR), ma non elimina quella (vecchia) della risoluzione diretta in caso di assegnazione errata sparisce una entry che non dovrebbe be essere rimossa Il DNS server di Windows Server elimina automaticamente le registrazioni di host che non appaiono attivi per piu di 30 giorni questo genera un problema, in particolare per host dual boot questo meccanismo non e e eliminabile In sostanza il DNS non puo essere piu utilizzato come database di riferimento per la conta degli host definiti in rete la mancanza di una registrazione non necessariamente corrisponde ad un indirizzo non assegnato: potrebbe essere stato assegnato ad un host spento da qualche tempo, ma non rimosso dalla rete registrazioni dirette possono essere non piu attuali Reti di Calcolatori 59 DNS server forwarding E possibile definire un DNS server che ha il solo compito di fare il forwarding delle richieste tecnica utilizzata quando una rete e e situata dietro un firewall,, e solo una macchina ha connettivita esterna i server interni svolgono le loro funzioni normalmente, ma ogni volta che devono risolvere una query per un dominio non locale chiedono al server che ha connettivita esterna in questo modo si possono proteggere i DNS server interni, e delegare egare le funzionalita per la rizoluzione di nomi di Internet ad una sola macchina La funzionalita di forwarder e e quindi una proprieta che si configura sui server interni (non su quello che fa da forwarder, che si comporta come un server normale) e possibile istruire i server per utilizzare un forwarder in base alla query a cui deve rispondere, ad esempio solo per certi domini, o per tutti t i domini tranne alcuni Reti di Calcolatori 60 30

31 Porte e firewall Il DNS utilizza le seguenti porte per la sua funzionalita : il server ascolta sulla porta UDP 53 per ricevere le query dai client o da altri server i client interrogano il server a partire da una qualunque porta UDP > 1024 questo e il e comportamento di default, ma i client possono essere configurati per utilizzare TCP, sempre verso la porta 53 i server interrogano gli altri server a partire da una qualunque porta UDP > 1024, o dalla porte UDP 53 questo comportamento e e diverso dallo standard precedente, che richiedeva che il server effettuasse query a partire dalla sola porta 53 UDP il traffico di zone transfer avviene tramite connessione TCP sulla porta 53 del server primario Reti di Calcolatori 61 Porte e firewall (2) Da quanto abbiamo visto lo scenario e : e i client interrogano solo i DNS server configurati per il resolver: er: se i DNS server sono interni alla rete locale non devono essere aperte porte da o verso l esterno, l altrimenti devono essere aperte le porte 53 UDP e TCP verso questi DNS server i server locali interrogano i server remoti sulla porta 53 UDP: devono quindi poter uscire verso qualunque destinazione, porta 53 UDP se vengono utilizzati forwarder, solo questi devono poter uscire verso qualunque destinazione, porta 53 UDP i server locali (se contengono informazioni da rendere pubbliche verso Internet) devono poter essere contattati sulla porta 53 UDP a partire da qualunque sorgente (i DNS server del resto del mondo), qualunque porta alta UDP (secondo lo standard attuale) e 53 UDP (standard vecchio) questo costituisce un potenziale problema di sicurezza, che puo essere affrontato in modo piu sicuro deve essere aperto il traffico tra i DNS server primario e secondari sulla porta 53 TCP per permettere lo zone transfer Reti di Calcolatori 62 31