Configure DNS de cache

El servicio de DNS de caché de CEDIA está concebido como una forma de resolver de forma segura nombres de dominio para las instituciones miembros del CEDIA.

Además este servicio utiliza listas para bloquear el acceso a dominios conteniendo malware con la finalidad de mejorar la seguridad de las redes y la calidad del servicio a través de ofrecer un mejor uso del canal de internet.

Este servicio actualmente bloquea además sitios de anuncios (adware).

Este servicio está disponible para las Instituciones miembro del CEDIA. Si usted es una institución educativa y/o de investigación del Ecuador contáctenos a info@cedia.org.ec para conocer los beneficios de pertenecer al CEDIA

¿Cómo utilizar este servicio?

Este servicio está autorizado solamente para las direcciones IP de las redes comerciales instaladas por CEDIA en las IES miembros del CEDIA.

1- Verificar conectividad

Lo primero que se debe realizar es, desde una red de una institución miembro del CEDIA, comprobar nos podemos conectar a los servidores, realizarle consultas y obtener respuestas satisfactorias.

Resultado esperado: una respuesta a consultas de dns.

Ejemplo de consultas por IPv4 a dnscache1 y dnscache2

Para verificar conectividad por IPv4 realizamos consultas a ambos servidores de DNS utilizando nslookup (también se puede utilizar dig o host):

nslookup - 201.159.221.68

> www.cedia.org.ec

Server: 201.159.221.68

Address: 201.159.221.68#53

Non-authoritative answer:

Name: www.cedia.org.ec

Address: 190.15.141.76

>
nslookup - 201.159.221.11

> www.cedia.org.ec

Server: 201.159.221.11

Address: 201.159.221.11#53

Non-authoritative answer:

Name: www.cedia.org.ec

Address: 190.15.141.76

>

Como se puede ver, las dos consultas resultan en respuestas no autoritativas.

Ejemplo de consultas por IPv6 a dnscache1 y dnscache2

Estas pruebas se deben realizar sólo en caso de tener activado IPv6 :

nslookup - 2800:68:0:bebe::4

> www.cedia.org.ec

Server: 2800:68:0:bebe::4

Address: 2800:68:0:bebe::4#53

Non-authoritative answer:

Name: www.cedia.org.ec

Address: 190.15.141.76
nslookup - 2800:68:0:2b::2
> www.cedia.org.ec

Server: 2800:68:0:2b::2

Address: 2800:68:0:2b::2#53

Non-authoritative answer:

Name: www.cedia.org.ec

Address: 190.15.141.76

>

2- Formas de implementación

IES con servidores DNS de caché en producción: En caso de que la IES tenga uno o varios servidores de DNS de caché implementados en su red, sugerimos configurar la opción de “forwarders” a estos servidores con la finalidad de que primero consulten los servidores de DNS de caché del CEDIA.

Deben configurarse TODOS los servidores de DNS De caché locales con forwarders para obtener respuestas consistentes en todos los servidores de DNS de la IES.

IES que utilizan DNS de caché de terceros (del ISP, de google, etc): En caso de que no se tenga servidor de DNS de caché local en la IES debemos configurar los servidores de DHCP para que entreguen los DNS de caché del CEDIA. Y dejar de utilizar los servidores de DNS de terceros.

Deben configurarse únicamente los DNS del CEDIA, dejando de usar los DNS de terceros. En caso de que se mantengan los servidores de terceros, no se aprovecharán las características de los DNS de caché del CEDIA pues los equipos podrán preguntarle eventualmente a los otros DNS.

IES que utilizan equipos con IPs estáticas: En este caso deben acercarse a cada uno de los equipos configurados de forma estática. Deben dejarse de utilizar DNS de terceros por las mismas razones del punto anterior.

3- Descripción del proceso de cambio de DNS

Implementación a través de forwarders en DNS de caché


bind con IPv4 solamente:

En named.conf agregar en la sección “options {:

forwarders {
201.159.221.68;
201.159.221.11;
 };

forward first;

bind con IPv6 e IPv4:

En named.conf agregar en la sección “options {:

forwarders {
2800:68:0:bebe::4
2800:68:0:2b::2
201.159.221.68;
201.159.221.11;
};

forward first;


unbound con IPv4

Al final del archivo unbound.conf

forward-zone:
 name: "."
 forward-addr: 201.159.221.68
 forward-addr: 201.159.221.11

 forward-first: yes

unbound con IPv4 e IPv6

forward-zone:
name: "."
forward-addr: 2800:68:0:bebe::4
forward-addr: 2800:68:0:2b::2
forward-addr: 201.159.221.68
forward-addr: 201.159.221.11

forward-first: yes

verificar la configuración con : unbound-checkconf /etc/unbound/unbound.conf


dnsmasq con IPv4

En el archivo /etc/resolv.conf del servidor poner solamente estas dos líneas:

nameserver 201.159.221.68
nameserver 201.159.221.11

reiniciar el servicio de DNSmasq


dnsmasq con IPv4 e IPv6

En el archivo /etc/resolv.conf del servidor poner solamente estas dos líneas:

nameserver 2800:68:0:bebe::4
nameserver 2800:68:0:2b::2
nameserver 201.159.221.68
nameserver 201.159.221.11

reiniciar el servicio de DNSmasq


Otros servicios de DNS

Todo servidor de DNS tiene una opción similar o parecida a “forward” o “forwarders” en la documentación debe explicarse cómo configurar el forward o forwarders, deben utilizarse solamente las IPv4 y/o IPv6 del CEDIA como forwarders.


Implementación en equipos de la red a través de DHCP

DHCP con servicio dhcpd de Linux

en el archivo dhcpd.conf cambiar la opción option domain-name-servers a:

option domain-name-servers 201.159.221.68, 201.159.221.11;

Reiniciar el servicio de dhcpd


DHCP de CISCO

En caso de usar el servidor de DHCP de cisco, cambiar la opción dns-server para que entregue las IPs de los DNS del CEDIA

Implementación en equipos de la red con IP estática

En la configuración de la red de los equipos, configurar las IP de los DNS del CEDIA en la opción de configuración de la IP y DNS de los equipos

Archivo de ejemplo para servidor de unbound:

A este archivo unbound.conf debe renombrársele como “unbound.conf” y agregársele el forward para conectarlo a nuestros DNS.

En caso de dudas o para obtener soporte contactar a: ernesto.perez@cedia.org.ec (09) 9924 6504