Techtalk: DNS & domeinen

Transcript

1. Domeinen en DNS Openminds Techtalk 19 december 2012 Wednesday 2

   January 13

2. Domeinen openminds.be - google.com - hoewijsis.gent Wednesday 2 January 13

3. Domeinen •Top Level Domain •Elke TLD wordt door een instantie

   beheerd •Algemene - ICANN •Landgebonden - per land (eigen keuze) Wednesday 2 January 13

4. ccTLD •.be - DNS.be (Leuven, 25 man sterk) •.nl -

   SIDN.nl •.fr - AFNIC •... Wednesday 2 January 13

5. Algemene •.com - Verisign •.org - PIR (Public Internet Registry)

   •.eu - Eurid Wednesday 2 January 13

6. Nieuwe •.vlaanderen, .brussels - Uitgebaat door DNS.be •.gent - Uitgebaat

   door Combell •... Wednesday 2 January 13

7. Regels •Elke entiteit maakt eigen regels •Local presence •Regels meestal

   in opdracht van wetgever •Nieuwe registraties •Procedures voor het veranderen van eigenaar •Technische eisen (bvb .dk, .de, .fr...) Wednesday 2 January 13

8. tldinfo.openminds.be Wednesday 2 January 13

9. whois •Service om de servers van de beheerders van een

   zone te ondervragen over een domeinnaam •Meestal maar beperkte info •Online whois per TLD-instantie Wednesday 2 January 13

10. whois voorbeeld •whois openminds.be •whois google.es Wednesday 2 January 13

11. DNS Domain Name Service Domain Record Service zou beter zijn

    Wednesday 2 January 13

12. Wat •De hoeksteen van het internet •Zegt wat waar te

    vinden is op het internet •Menselijke naam naar IP-adres of andere info Wednesday 2 January 13

13. Eenvoudig voorbeeld •www.openminds.be •188.93.97.104 •2a02:d08:: Wednesday 2 January 13

14. Ontleding •domein: openminds.be •record: “www” •record-type: adres Wednesday 2 January

    13

15. Welke record-types? Wednesday 2 January 13

16. A / AAAA •Adres •Geeft het IPv4/6 adres weer voor

    een naam/ waarde (bvb “www”) •Meest gangbare record •Lege records! Wednesday 2 January 13

17. CNAME •Canonical Name •Also-known-as •webmail CNAME mail.openminds.be •www CNAME webserver.openminds.be

    •Veelgebruikt •NOOIT op de lege record Wednesday 2 January 13

18. A / AAAA / CNAME •Alles qua webhosting wordt hiermee

    opgelost •Iemand tikt een naam in, komt op de juiste server terecht •Domeinnaam/record naar een andere server laten verwijzen (heroku, wordpress.com, etc...) Wednesday 2 January 13

19. MX •Mail eXchange(r) •Geeft aan waar de mail voor @iets.domain.tld

    naartoe moet •Prioriteiten •Lege record - hoofddomein Wednesday 2 January 13

20. MX •NOOIT naar een IP adres •Indien niet gedefinieerd -

    A-record •Definieert NIET waar je webmail staat, of waar je calender zit, of... Wednesday 2 January 13

21. TXT •TeXT •informatieve velden •origineel weinig gebruikt Wednesday 2 January

    13

22. SRV •Service / Server •Geeft een bepaalde bestaande service weer

    •Enkel gebruikt voor bvb SIP- telefooncentrales, Windows LDAP/Active Directory... •Meestal automatisch gegenereerd Wednesday 2 January 13

23. Andere •PTR (ip naar waarde omzetten) - eigenaar van IP

    block doet dit (provider) •SOA (start of authority - meta-record) •NS (is voor straks) •DNAME, HINFO, ISDN, ... Wednesday 2 January 13

24. Voorbeeld 1 •Default openminds hosting zone •A: leeg en www

    naar 88.151.243.8 •MX: argon en hotel •A: webmail, mail, ... naar 88.151.243.22 •NS: ns1.openminds.be, ns2. ... •SOA Wednesday 2 January 13

25. Voorbeeld 2: Gmail •5 MX servers •ghs, calendar, ... met

    A-records of CNAME naar de juiste webservers Wednesday 2 January 13

26. Voorbeeld 3: Verificaties •TXT-record toevoegen ter verificatie •bvb: ms=123456789 •<leeg>

    TXT ms=123456789 Wednesday 2 January 13

27. SPF •Sender Policy Framework •of TXT, of SPF record (beide

    goed) •inhoud is tekstveld, volgens SPF regels •wordt opgevraagd door mailscanning-servers •is geen globale bescherming Wednesday 2 January 13

28. Hoe werkt het? Wednesday 2 January 13

29. Wie antwoordt? •Zelf geef je DNS-servers in (of via DHCP)

    •Hiërarchisch systeem •Root servers zijn algemeen geweten Wednesday 2 January 13

30. Voorbeeld •A record voor www.openminds.be •waar beginnen? - ingestelde nameservers

    •recursie: via nameserver, root-nameservers, en zo naar beneden •NS records in bovenliggende zone Wednesday 2 January 13

31. Nameservers •Whois: zijn geen records an sich •Whois geeft die

    weer - is enkel voor mensen •dig +trace www.openminds.be Wednesday 2 January 13

32. Nameservers •Controleert alles voor dat domein •“Authorative” •Meerdere Wednesday 2

    January 13

33. Caching •recursive nameservers •dns-servers •TTL Wednesday 2 January 13

34. Voorbeeld •www.openminds.be •whois •dig +trace Wednesday 2 January 13

35. DNSSEC DNS-Secure / Security Wednesday 2 January 13

36. DNSSEC •www.uwbank.be heeft A record 123.123.123.123 •Hoe zeker ben je

    daarvan? •Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die niet gehackt, zijn het wel die van Telenet/... etc...? Wednesday 2 January 13

37. Signatures toevoegen •Tekenen en handtekening naar boven doorgeven •Signature wordt

    in zone gezet (DS records) •bvb: .be (dns.be) zone bevat openminds.be signature/bewijs •RRSIG per record voor signature Wednesday 2 January 13

38. DNSSEC: nuttig? •Ja! •Nee! •Wachten tot alle onderdelen het ondersteunen

    •Wat met transfers? •Gevaarlijk wanneer één stap het niet/fout doet Wednesday 2 January 13

39. DNSSEC •Complexe oplossing •Key-management •Technische kennis moet aanwezig zijn in

    elke stap Wednesday 2 January 13

40. Vragen? Wednesday 2 January 13