3 de jun de 2009

Sysadmin - troca de DNS


Por razões estratégicas, estou trocando meu link internet de operadora e por consequência os trabalhos de reconfiguração de DNS é fundamental, principalmente o reverso e registros mx, www, etc. Não é nada complicado mas levantando as informações e fazendo um check-list acabei por encontrar algumas práticas que podem minimizar os impactos iniciais.
Primeira observação é com relação aos serviços usados externamente, como VPN, acessos remotos e transmissão de dados. Se estes serviços estiverem usando um ip ao invés de um nome, é bom lembrar que esta não é uma forma elegante de fazer isto. Bom alterar para uma resolução que use um nome no seu sistema de DNS.
Em segundo lugar, embora não obrigatório, é baixar seu tempo de


$TTL 86400

para valores mais baixos. Assim, a rede internet vai renovar mais rápido a pesquisa ao servidor, quando seu novo IP estiver "up".
Antes de mais nada, backup de todas as configurações de zonas e partir para as mudanças, já tendo contato com o suporte com sua operadora e naturalmente a delegação da resolução do DNS transferido para sua rede. Muitos casos de erro no dns reverso esta nesta simples questão.


Listei alguns serviços na internet que pode auxiliar as checagens ao novo IP, como por exemplo o checkdns[1] que levanta as principais configurações e aponta possiveis erros. Outro site interessante da mdbrasil[2] que testa o reverso, embora eu faça isso usando o
nslookup
.
Alguns conceitos importantes para novatos em DNS pode ser visto em [3] e em [4], com direito a ilustrações e tudo bem detalhado.
Uma boa documentação em Português, pode ser obtido no site do cert [5], com ricas recomendações de melhores práticas para ter um sistema de DNS seguro e evitar Cache Poisoning. Inclusive, para testar e saber se seu DNS esta com consultas recursisvas abertas (não recomendável) veja em [6] e obtenha respostas precisas a respeito disso.

Por exemplo, uma configuração funcional é mostrada abaixo, com consulta recursiva somente para a rede local.

options {allow-query { any; };
recursion yes;
allow-transfer { none; };
directory "/var/named";
query-source address * port 53;
dump-file "/var/named/dump/named_dump.db";
statistics-file "/var/named/dump/named.stats";
memstatistics-file "/var/named/dump/named.memstats";
allow-recursion {localhost;192.168.1.0/24;127.0.0.1;10.10.10.2;10.1.1.0/24;10.1.1.1;};
version "[secured]";
forwarders {192.168.1.254; };
};


Uma consulta completa também pode ser feita em [7], com resultados também precisos em Português.
Em dns-oarc.net [8] é possível o quando randomico é a resolução de seu DNS. Quanto maior melhor e com esta capacidade de responder com alta eficiencia randomica (quanto à portas), significa que estará menos exposto a ataques de envenenamento de cache.
Finalmente, em [9] um tópico do Manual de Administração de Rede GNU/Debian, que pode ser muito útil para tirar duvidas e fazer uma configuração segura do seu servidor.
[update]
Outro serviço interessante para vários testes no DNS (Registro A, MX, NS, PTR, SOA, SRV, TXT, SPF) pode ser encontrado em [10]
[/update]


1-http://www.checkdns.net
2-http://www.mdbrasil.com.br/postmaster/index_dnsreverso.php
3-http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
4-http://linuxgazette.net/153/moen.html
5-http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
6-http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl/
7-http://www.ipok.com.br
8-https://www.dns-oarc.net/oarc/services/dnsentropy
9-http://www.debian.org/doc/manuals/network-administrator/ch-bind.html
10-http://emailstuff.org/
Outros testes:
http://www.dnsgoodies.com/
http://www.pweb.cz/en/dns-test/dom.php