El servicio de DNS de caché de CEDIA está concebido como una forma de resolver de forma segura nombres de dominio para las instituciones miembros del CEDIA.
Además este servicio utiliza listas para bloquear el acceso a dominios conteniendo malware con la finalidad de mejorar la seguridad de las redes y la calidad del servicio a través de ofrecer un mejor uso del canal de internet.
Este servicio actualmente bloquea además sitios de anuncios (adware).
Este servicio está disponible para las Instituciones miembro del CEDIA. Si usted es una institución educativa y/o de investigación del Ecuador contáctenos a info@cedia.org.ec para conocer los beneficios de pertenecer al CEDIA
¿Cómo utilizar este servicio?
Este servicio está autorizado solamente para las direcciones IP de las redes comerciales instaladas por CEDIA en las IES miembros del CEDIA.
Verificar conectividad
Lo primero que se debe realizar es, desde una red de una institución miembro del CEDIA, comprobar nos podemos conectar a los servidores, realizarle consultas y obtener respuestas satisfactorias.
Resultado esperado: una respuesta a consultas de dns.
Ejemplo de consultas por IPv4 a dnscache1 y dnscache2
Para verificar conectividad por IPv4 realizamos consultas a ambos servidores de DNS utilizando nslookup (también se puede utilizar dig o host):
nslookup - 201.159.221.68
> www.cedia.org.ec
Server: 201.159.221.68
Address: 201.159.221.68#53
Non-authoritative answer:
Name: www.cedia.org.ec
Address: 190.15.141.76
>
nslookup - 201.159.221.11
> www.cedia.org.ec
Server: 201.159.221.11
Address: 201.159.221.11#53
Non-authoritative answer:
Name: www.cedia.org.ec
Address: 190.15.141.76
>
Como se puede ver, las dos consultas resultan en respuestas no autoritativas.
Ejemplo de consultas por IPv6 a dnscache1 y dnscache2
Estas pruebas se deben realizar sólo en caso de tener activado IPv6 :
nslookup - 2800:68:0:bebe::4
> www.cedia.org.ec
Server: 2800:68:0:bebe::4
Address: 2800:68:0:bebe::4#53
Non-authoritative answer:
Name: www.cedia.org.ec
Address: 190.15.141.76
nslookup - 2800:68:0:2b::2
> www.cedia.org.ec
Server: 2800:68:0:2b::2
Address: 2800:68:0:2b::2#53
Non-authoritative answer:
Name: www.cedia.org.ec
Address: 190.15.141.76
>
2- Formas de implementación
IES con servidores DNS de caché en producción: En caso de que la IES tenga uno o varios servidores de DNS de caché implementados en su red, sugerimos configurar la opción de “forwarders” a estos servidores con la finalidad de que primero consulten los servidores de DNS de caché del CEDIA.
Deben configurarse TODOS los servidores de DNS De caché locales con forwarders para obtener respuestas consistentes en todos los servidores de DNS de la IES.
IES que utilizan DNS de caché de terceros (del ISP, de google, etc): En caso de que no se tenga servidor de DNS de caché local en la IES debemos configurar los servidores de DHCP para que entreguen los DNS de caché del CEDIA. Y dejar de utilizar los servidores de DNS de terceros.
Deben configurarse únicamente los DNS del CEDIA, dejando de usar los DNS de terceros. En caso de que se mantengan los servidores de terceros, no se aprovecharán las características de los DNS de caché del CEDIA pues los equipos podrán preguntarle eventualmente a los otros DNS.
IES que utilizan equipos con IPs estáticas: En este caso deben acercarse a cada uno de los equipos configurados de forma estática. Deben dejarse de utilizar DNS de terceros por las mismas razones del punto anterior.
3- Descripción del proceso de cambio de DNS
Implementación a través de forwarders en DNS de caché
bind con IPv4 solamente:
En named.conf agregar en la sección “options {“ :
forwarders {
201.159.221.68;
201.159.221.11;
};
forward first;
bind con IPv6 e IPv4:
En named.conf agregar en la sección “options {“ :
forwarders {
2800:68:0:bebe::4;
2800:68:0:2b::2;
201.159.221.68;
201.159.221.11;
};
forward first;
unbound con IPv4
Al final del archivo unbound.conf
forward-zone:
name: "."
forward-addr: 201.159.221.68
forward-addr: 201.159.221.11
forward-first: yes
unbound con IPv4 e IPv6
forward-zone:
name: "."
forward-addr: 2800:68:0:bebe::4
forward-addr: 2800:68:0:2b::2
forward-addr: 201.159.221.68
forward-addr: 201.159.221.11
forward-first: yes
verificar la configuración con : unbound-checkconf /etc/unbound/unbound.conf
dnsmasq con IPv4
En el archivo /etc/resolv.conf del servidor poner solamente estas dos líneas:
nameserver 201.159.221.68
nameserver 201.159.221.11
reiniciar el servicio de DNSmasq
dnsmasq con IPv4 e IPv6
En el archivo /etc/resolv.conf del servidor poner solamente estas dos líneas:
nameserver 2800:68:0:bebe::4
nameserver 2800:68:0:2b::2
nameserver 201.159.221.68
nameserver 201.159.221.11
reiniciar el servicio de DNSmasq
Otros servicios de DNS
Todo servidor de DNS tiene una opción similar o parecida a “forward” o “forwarders” en la documentación debe explicarse cómo configurar el forward o forwarders, deben utilizarse solamente las IPv4 y/o IPv6 del CEDIA como forwarders.
Implementación en equipos de la red a través de DHCP
DHCP con servicio dhcpd de Linux
en el archivo dhcpd.conf cambiar la opción option domain-name-servers a:
option domain-name-servers 201.159.221.68, 201.159.221.11;
Reiniciar el servicio de dhcpd
DHCP de CISCO
En caso de usar el servidor de DHCP de cisco, cambiar la opción dns-server para que entregue las IPs de los DNS del CEDIA
Implementación en equipos de la red con IP estática
En la configuración de la red de los equipos, configurar las IP de los DNS del CEDIA en la opción de configuración de la IP y DNS de los equipos
Archivo de ejemplo para servidor de unbound:
A este archivo unbound.conf debe renombrársele como «unbound.conf» y agregársele el forward para conectarlo a nuestros DNS.
En caso de dudas o para obtener soporte contactar a: ernesto.perez@cedia.org.ec (09) 9924 6504