1_Infra_05_DNS_DHCP.pdf

Full Transcript

Domain Name System (DNS)
Wozu DNS?

Menschen merken sich Wörter
leichter als Zahlen!

2
Chronologie des Internets

3
Auflösung IP in Hostnamen vor DNS
„Host Names On-Line“ 1973/74 RFC 606 u. 608

Auflösung der IP-Adressen durch Einträge in Hosts
Datei

4
Nachteile der Host Datei
Hoher administrativer Aufwand durch häufige
Veränderungen
Langsames Reagieren auf Veränderungen im Netz
Stetig wachsender Platzverbrauch durch größer
werdende Hostdateien
Hoher Bandbreitenverbrauch durch das Überspielen
der Hostdateien an die Hosts
Menschliches Versagen durch Tippfehler oder
Vergessen von Hostupdates
Probleme durch flachen Namensraum

5
Namensräume
Der Grundgedanke eines Namenssystems ist, eine
Möglichkeit zur Verfügung zu stellen, um
Vorrichtungen mit symbolische Namen zu
kennzeichnen.
Die Architektur des Namensraumes stellt fest, ob
Namen als einfacher unstrukturierter Satz von
Symbolen oder als eine komplizierte interne Struktur
verwendet werden.

6
Flache Namensarchitektur
Reihenfolge von Symbolen zugewiesen ohne
irgendeine interne Struktur.
Es gibt kein Verhältnis zwischen jedem möglichen
Namen und irgendeinem anderen Namen.

7
Hierarchische Namensarchitektur
In hierarchischer Namensarchitektur sind die Namen
eine Reihenfolge von Symbolen, diese werden
anhand einer spezifischen Struktur zugewiesen.
Jeder Name besteht aus diskreten Elementen, die
untereinander verbunden sind (meist durch eine
Eltern/Kind Semantik)

8
Beispiel hierarchischer Namensraum

9
Flache Namensarchitektur
Ein Bereich des Einflusses, der Steuerung oder des
politischen Einflusses
Hierarchischer Namensraum

10
Fully Qualified Domain Name (FQDN)
Dient der eindeutigen Bestimmung eines Knotens im
hierarchischen Namensraum.
Die Notation erfolgt durch die Aneinanderreihung der
Namen aller Knoten getrennt durch einen Punkt. Von
links nach rechts vom untersten Knoten bis zur
Wurzel.

− Wien.Austria.UnitedNations.
− www.technikum-wien.at.
− ftp.technikum-wien.at.

11
Top Level Domains (TLD)
Höchste Ebene der Namensauflösung

TLDs können dabei in drei Hauptgruppen aufgeteilt
werden:

− allgemeine TLDs (genericTLD)
− länderspezifische TLDs (country-code)
− gebietsspezifische TLDs

12
Ursprüngliche allgemeine TLD.arpa – TLD des ursprünglichen Arpanets (inzw.
veraltet).com – Kommerzielle Organisationen.edu – Bildungseinrichtungen (4-jährig).gov – Regierungsorgane der USA.int – Internationale Organisationen.mil – US Militär.net – Große Network-Support-Center.org – Nichtkommerzielle Organisationen

13
Beispiele für neue allgemeine TLD.aero – Luftfahrt tätige Organisationen.biz – Handelsfirmen.coop – Genossenschaften.info – Informationsanbieter.jobs – Firmen mit Stellenangeboten.mobi – Webseiten speziell für mobile Endgeräte.museum – Museen.name – Natürliche Personen oder Familien.pro – Anwälte, Steuerberater, Ärzte in den USA.travel – Für die Reise-Industrie

14
Länderspezifische TLD
Bestehen aus 2 Buchstaben des ISO 3166
Ländercodes
Viele Länder unterteilen ihre Länderdomain noch
durch länderspezifische Second Level Domain.
Österreich:
− co.at ae United Arab Emirates
at Austria
− ac.at
ch Suisse
USA: de Germany
− ny.us fr France
it Italy
uk United Kingdom
us United States
zw Zimbabwe

15
Hierarchische Baumstruktur von Internet
domain servers

16
Domain Name System
Server
DNS Server Funktionen (1)
Interagieren mit anderen Servern: DNS-
Auflösungsprozess erfordert häufig, dass mehrere
Server beteiligt sind.

Zonenmanagement und -übertragungen: Der
Server muss DNS-Informationen innerhalb der Zone,
für die er zuständig ist, bearbeiten können.
Außerdem muss er seine kompletten Informationen
an untergeordnete Server weitergeben können.

18
DNS Server Funktionen (2)
Leistungsverbessernde Funktion: Aufgrund der
hohen Anzahl an DNS Anfragen verwendet der
Server Techniken, um die Bearbeitungszeit zu
verringern.
Cachen der Namensinformationen
Loadbalancing
Administration: Viele administrative Details werden
von den Servern abgespeichert. z.B.
Kontaktinformationen
MX Record

19
Name Server Typen
Primary bzw. Master nameserver
Hat Autorität über seine Zone. Bezieht seine
Zoneninformation von der eigenen Harddisk.

Secondary bzw. Slave nameserver
DNS-Informationen qualitativ gleichwertig zum Primary
und ist ebenfalls autoritär für die Zone. Er holt seine
Zoneninformationen vom Primary durch Zonentransfer.

Caching-only nameserver
Hat selbst keine Autorität, bezieht die Informationen vom
Primary oder Secondary.

20
Gründe für Secondary name server
Redundanz: Ausfallssicherheit des Dienstes

Wartbarkeit: Wartung eines Servers ist kein
Problem, wenn andere weiter den Dienst anbieten.

Lastenausgleich: Bei vielen Anfragen kann so die
Last auf mehrere Server verteilt werden.

Effizienz: Verteilung auf mehrere Name Servern
kann zur Effizienzsteigerung führen - z.B. entferntes
Büro angeschlossen über langsame WAN
Verbindung.
21
Root Name Server
Es gibt 13 Root Name Server die von 12
unterschiedlichen Organisationen betrieben werden
a.root-servers.net bis m.root-servers.net
Es handelt sich aber nicht um 13 Server sondern um
Cluster, insgesamt sind es hunderte von
Einzelserver

Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 22
Typische Arten der DNS Auflösung
Namensauflösung: Liefert IP Adresse zu einem
Domainnamen

Umgekehrte Namensauflösung: Liefert den
Namen zu einer IP Adresse

Auflösung der elektronischen Mail: Liefert die IP
Adresse des Mailservers einer Domain

23
Domain Name System
Resolver
Aufgaben des Resolver
DNS Client heißt RESOLVER

Unterstützt Applikationen mit DNS Informationen

Erstellt DNS Anfragen an den Server

Verarbeitet das Ergebnis und beliefert die
anfragende Applikation

25
Abfragearten
Rekursive Abfrage: Der Resolver stellt eine
Abfrage an den Server und dieser beschafft alle
benötigten Informationen. Wird von Hosts
verwendet.

Iterative Abfrage: Der Resolver stellt eine Anfrage
an den Server, der liefert wenn er das Ergebnis nicht
weiß, die IP Adresse des „zuständigeren“ Servers.
Der Resolver fragt nun diesen usw. bis er die
Antwort kennt. Wird von DNS Servern verwendet.

26
Arten von Resolver
Full resolver: Kann rekursive und iterative Abfragen
verwenden - Server

Stub resolver: Kann nur rekursive Abfragen
verwenden - Host

27
DNS Prozess

Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 28
DNS Protokoll
Besitzt 5 Abschnitte
Protokollkopf
Anfrage
Antwort
Informationen über Autorität
Zusätzliche Informationen

Anforderungen und Antworten verwenden dasselbe
Format

Formatabhängig sind nicht alle Felder befüllt

29
DNS Protokoll

30
Beispiel DNS Anfrage

31
Beispiel DNS Anfrage (1)
DNS Anfragepaket von user.chello.at and
ns1.chello.at
MAC Kopf

IP Kopf
Empfänger = 195.34.133.21 Absender = 80.108.245.1
IP-Adressen
ID-Kennung Parameter = QR+RD
DNS Kopf
Anzahl Fragen = 1 Anzahl Antworten = 0

Anzahl Autoritäten = 0 Anzahl Zusätze = 0

Name = www.technikum- Typ = A Klasse = IN
Frage
wien.at
Parameter: QR = Anfrage; RD = Rekursion gefordert
Typ: A = Host Adresse
Klasse: IN = Internet

32
Beispiel DNS Anfrage (2)
DNS Anfragepaket von ns1.chello.at an
ns1.univie.ac.at
MAC Kopf

IP Kopf
Empfänger = 193.171.255.2 Absender = 195.34.133.21
IP-Adressen
ID-Kennung Parameter = QR
DNS Kopf
Anzahl Fragen = 1 Anzahl Antworten = 0

Anzahl Autoritäten = 0 Anzahl Zusätze = 0

Name = www.technikum- Typ = A Klasse = IN
Frage
wien.at
Parameter: QR = Anfrage
Typ: A = Host Adresse
Klasse: IN = Internet

33
Beispiel DNS Anfrage (3)
DNS Antwortpaket von ns1.univie.ac.at an
ns1.chello.at
MAC Kopf
IP Kopf
IP-Adressen Empfänger = 195.34.133.21 Absender = 193.171.255.2
DNS Kopf
ID-Kennung Parameter = ResponseBit, RA
Anzahl Fragen = 1 Anzahl Antworten = 1
Anzahl Autoritäten = 0 Anzahl Zusätze = 0
Name = www.technikum-wien.at Typ = A Klasse = IN
Frage

Name = (Zeiger auf den Frage Abschnitt)
Antwort Typ = A Klasse = IN
TTL = (20.864 Sekunden) Länge = 4
Antwort = 62.116.84.229
Parameter: RA = Rekursion verfügbar
Typ: A = Host Adresse
Klasse: IN = Internet
TTL: legt fest wie lange die Antwort zwischengespeichert wird (hier etwa 5h 48min)

34
Beispiel DNS Anfrage (3)
DNS Antwortpaket von ns1.chello.at an
user.chello.at
MAC Kopf
IP Kopf
IP-Adressen Empfänger = 80.108.245.1 Absender = 195.34.133.21
DNS Kopf
ID-Kennung Parameter = ResponseBit, RD
Anzahl Fragen = 1 Anzahl Antworten = 1
Anzahl Autoritäten = 0 Anzahl Zusätze = 0
Name = www.technikum-wien.at Typ = A Klasse = IN
Frage

Name = (Zeiger auf den Frage Abschnitt)
Antwort Typ = A Klasse = IN
TTL = (20.864 Sekunden) Länge = 4
Antwort = 62.116.84.229
Parameter: RD = Rekursion gefordert
Typ: A = Host Adresse
Klasse: IN = Internet
TTL: legt fest wie lange die Antwort zwischengespeichert wird (hier etwa 5h 48min)

35
DNS Abfragetypen
Diese werden von der IANA ausgegeben
Typische Abfragearten
A - Host Adresse
MX - Mailserver Adresse
NS - Zuständiger Nameserver

Es gibt aber noch sehr viele weitere Abfragetypen
http://www.iana.org/assignments/dns-parameters/dns-
parameters.xhtml

36
DNS Abfragen
DNS liefert viele Informationen über öffentliche und
manchmal auch private Server
IP Adresse
Server Namen
Sever Funktion

Verschiedenste DNS Clients
Host, nslookup, dig

37
MX Queries
Identifizierung des Mail Servers

Die Zahl vor dem Domain Name zeigt an, welcher
Mailserver beim Erhalt einer Email präferiert wird
Je kleiner die Zahl desto höher die Präferenz
Polyxena ist also der primäre Mail Server

38
NS Queries
Identifizierung des Name Server

39
DIG
DIG ist ein noch viel mächtigeres Tool als nslookup

Allgemeine Ausgabe
dig technikum-wien.at +short
Mailserver
dig technikum-wien.at MX
Nameserver
dig technikum-wien.at NS
Zonentransfer
dig axfr @samba4dc1.technikum-wien.attechnikum-
wien.at

40
Bootstrap und Autokonfiguration
(BOOTP, DHCP)
Wichtige Parameter eines TCP/IP Netz
IP-Adresse
Zum Senden und Empfangen von Datagrammen
Subnetmask
Unterteilt IP-Adresse in Netzwerk- und Hostteil
Gateway
Zum Senden von Datagrammen in andere Netze
DNS
Zum Auflösen von Namen in IP-Adressen

42
Auflistung der Parameter

43
Dynamic Host Configuration Protocol
DHCP
DHCP
Ersetzt BOOTP nicht sondern nutzt seine Stärken
und erweitert es

Dynamische IP Adressen Vergabe

Verbesserte Client/Server Kommunikation

RFC 2131

45
DHCP Zuordnungsarten
Manuelle Zuordnung
Anhand der MAC Adresse bekommt der Host immer
dieselbe, vom Administrator zugewiesene IP
Automatische Zuordnung
DHCP Server vergibt dem Client automatisch eine
permanente IP Adresse d.h. der Client wird später vom
Server immer wieder diese IP zugewiesen bekommen
Dynamische Zuordnung
DHCP Server vergibt eine IP Adresse auf Zeit (Lease)

46
DHCP Nachrichtentyp (1)
DHCPDISCOVER
Broadcast Nachricht an alle DHCP Server mit der
Aufforderung dem Client einen IP Vorschlag zu schicken
DHCPOFFER
Servervorschlag einer IP Adresse
DHCPREQUEST
Anfrage von Client eine explizite IP Adresse verwenden zu
dürfen
DHCPDECLINE
Nachricht von Client an Server, die vorgeschlagene IP
Adresse ist bereits in Verwendung

47
DHCP Nachrichtentyp (2)
DHCPACK
Bestätigungsnachricht vom Server, dass die IP nun dem
Client zugewiesen ist
DHCPNACK
Absage vom Server, Client darf IP Adresse nicht mehr
verwenden
DHCPRELEASE
Nachricht vom Client, IP Adresse wird nicht mehr benötigt,
Lease wird beendet
DHCPINFORM
Anfrage des Client auf Übermittlung weiterer Parameter

48
DHCP Finite State Machine
(Ausschnitt über wichtigsten Zustände)

49
DHCP Prozessablauf laut RFC 2131
1. Der Client broadcasts ein DHCPDICOVER
Vorschläge hinsichtlich gewünschter IP Adresse oder
Leastime dürfen (may) angegeben sein
2. Jeder DHCP-Server darf (may) antworten mit
einem DHCPOFFER, vorher sollte (should) der
Server prüfen ob die IP Adresse bereits vergeben
ist (z.B. ICMP Echo request)
3. Der Client erhält ein oder mehrere DHCPOFFER
(er kann auch zunächst auf weitere warten) dann
entscheidet er sich für eines und sendet ein
DHCPREQUEST broadcast zurück inklusive
Server Identifier Option

50
DHCP Prozessablauf laut RFC 2131
4. Die Server erhalten den DHCPREQUEST, jene mit
anderem Server Identifier werten das als Absage
des Client, der ausgewählte DHCP Server sendet
ein DHCPACK inklusive Konfigurationsparamater
5. Der Client erhält das DHCPACK und sollte (should)
nochmals überprüfen ob die IP überhaupt frei ist
(z.B. ARP Request). Stellt er fest, dass die IP
Adresse vergeben ist, muss (must) er ein
DHCPDECLINE an den Server senden und
zumindest 10 Sekunden warten bis er den
gesamten Prozess erneut startet

RFC should, could, may usw. https://www.ietf.org/rfc/rfc2119.txt

51
DHCP simple case

Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 52
DHCP simple case

Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 53
DHCP Prozessablauf laut RFC 2131
1. Client C sendet DHCP
Discover
2. Relayagent befüllt das
Relayagentfield mit
seiner IP Adresse
3. Relayagent sendet
DCHP Discover an
DHCP Server
4. DHCP Server erkennt
an der Relayagent IP
aus welchem IP
Adressbereich er die
IP Adresse vergeben
kann
Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 54
DHCP Angriffsmöglichkeiten
DHCP Starvation Attack
Denial of Service Attack bei dem der IP Adresspool des
Servers aufgebraucht wird
Gegenmaßnahme
− Port Security am Switch
− IDS/IPS

Rogue DHCP Server Attack
Versuch eines DHCP Spoofing um selbst z.B. als
Gateway zu fungieren
Gegenmaßnahme
− DHCP Snooping
− ACL am Switch
− DHCPLOC

Kozierok, Charles M. “The TCP/IP Guide” The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference,
www.tcpipguide.com. Accessed 6 May 2020. 55
DHCPv6 Übung
DHCPv6 Übungsangabe
Wir verwenden den Cisco Packet Tracer um einen
DHCPv6 Server zu simulieren

Domainname: mydomain.at
Global IP Adressbereich: 2001:1234:5678::/64
Wir platzieren Server, Router und Switch

57
IP Adressen Pool
Zunächst konfigurieren wir den Router damit er IPv6
unicast Adressen routet

Nun erstellen wir einen DHCP Adresspool

Im Anschluss konfigurieren wir die Prefix-Verteilung
(inklusive maximale und erwünschte Lifetime), den
Domainname und den DNS Server

58
Router Interface konfigurieren
Nun legen definieren wir den Interface Teil der IPv6
Adresse

Wir konfigurieren am Router Interface eine IPv6
Adresse und linken den DHCPv6 Pool an dieses
Interface

59
DHCPv6 Test
Wir erstellen einen Client, verbinden diesen mit dem
Netz und sehen ob er eine IPv6 Adresse erhält

60
Quellen
Kozierok, Charles M. “Welcome to The TCP/IP
Guide!”, www.tcpipguide.com. Accessed 6 May
2020.

61