Transferencias de Zona (I de II)

=========================================================Transferencias de Zona (I de II)Transferencias de Zona (II de II)=========================================================

Buenas a todos, en la cadena de posts que hoy damos comienzo vamos a hablar sobre el DNS (Sistema de nombres de dominio) y su posibilidad para dividir el espacio de nombres DNS en varias zonas, para delegar la administración. Tras explicar el concepto, hablaremos sobre las transferencias de zona y su seguridad.Como una imagen vale más que mil palabras, para comenzar os hemos dibujado un diagrama muy ilustrativo sobre cómo funcionan las zonas, en él os mostramos nuestro dominio flu-project.com, con su nombre de dominio “flu-project” dentro de la zona principal. Por otro lado tenemos tres subdominios “blog”, “www” y “ftp” (hipotéticos), estos subdominios pueden configurarse dentro de la zona principal, o en otra separada, como por ejemplo el caso del subdominio “ftp”, que estaría administrado por la zona “prueba”.Para que una zona nueva delegada de la principal, por ejemplo la zona prueba, funcione, es necesario configurar algunos recursos, para que tenga información sobre la delegación a los otros servidores de DNS autorizados. Es de extrema importancia que las zonas estén disponibles desde varios servidores de DNS por temas de disponibilidad.Para que otros servidores además del principal puedan alojar zonas, se crearon las transferencias de zona, que se encargan de hacer la replicación de todas ellas y de sincronizarlas.Ahora bien, ¿cuándo se realizan estas transferencias de zona? Tenemos cuatro posibilidades:
  1. La primera de ellas es que se instale o inicie un nuevo servidor DNS y se configure en una zona existente.
  2. La segunda, cuando finaliza el plazo de actualización de una zona.
  3. La tercera, cuando se produce algún cambio en una zona, y es necesario actualizar para replicar los cambios.
  4. Y la última, cuando manualmente se solicita una transferencia de zona.
Bien, una vez entendido bien el concepto de zona, vamos a llevarlo a la práctica. Vamos a abrir una consola de comandos de Windows y ejecutaremos el programa “nslookup”, para Linux también existe. Nslookup es una aplicación de línea de comandos que permite probar y solucionar problemas en los servidores DNS. Nosotros lo utilizaremos para activar una transferencia de zona de manera manual.Vamos a iniciar Nslookup en modo interactivo, para ello basta con abrir un CMD y escribir el comando “nslookup”:Ahora vamos utilizar la instrucción SET TYPE para consultar datos de tipo DNS (NS), para ver otros tipos de consultas podéis utilizar la ayuda poniendo una interrogación ?:Ahora buscaremos los servidores de DNS de alguna organización:Ya sabemos los servidores DNS de ese dominio, ahora procederemos a ponernos como uno de ellos:Ahora ya nos queda tan solo para realizar la transferencia de zona ejecutar el comando LS contra el dominio que queramos:Y disfrutar de todo el listado de máquinas que contienen las zonas:Ese listado que veis en la imagen, que bien podría ser una captura de la película Matrix =), lo he redirigido a un fichero y he contado más de 20000 máquinas, como veis es una transferencia de zona completa de una organización, que reporté hace un par de años y ahí sigue para disfrute del personal... La transferencia de zona la hemos realizado desde fuera de la red interna debido a una mala configuración por parte de la organización. Esto no debería ocurrir, por motivos de seguridad obvios, y es que cualquiera desde su casa puede hacerse con todas las IP y dominios internos de una organización.Para que estuviese bien configurado, nos debería haber respondido al comando LS con algo como lo siguiente:El próximo día os enseñaremos a realizar la configuración correctamente para evitar que sucedan estas cosillas.Saludos!