PSeg12 - Norma para os Serviços de DNS
Introdução
Nesta norma estão definidas as diretrizes que devem ser observadas na utilização do DNS (Domain Name System) dentro da Universidade de São Paulo, principalmente no que se referem à sua implementação em servidores. Também são abordados alguns casos de utilização do DNS por parte dos usuários.
1. Objetivos
Esse documento tem como objetivo principal estabelecer diretrizes para uma boa utilização do DNS dentro da Universidade, tendo em vista a Política de Segurança vigente.
2. Abrangência
Em conformidade com a Política de Segurança, esta Norma tem abrangência em todo o backbone USPnet, sendo mandatória neste escopo.
3. Regras e Diretrizes Gerais
O DNS é um serviço coletivo e para que ele funcione a contento é necessário uma boa coordenação de todas as partes envolvidas.
Cabe aos Centros de Informática administrarem o domínio "usp.br" e seus sub-domínios. Uma Unidade pode requerer o registro de um sub-domínio e caso a Unidade deseje (e tenha competência para isso), pode passar a administrá-lo num servidor sob sua responsabilidade. Isso se chama delegação.
Não serão declarados equipamentos de outras redes nos servidores DNS da Universidade. Também não deverá haver registro de domínio "usp.br" em máquinas não pertencentes à USPnet.
A Resolução CCI 02 - "Normas para Registro de Sub-Domínios da USPnet" deve ser consultada. Para domínios não contidos nesta Resolução, a CCI deve ser consultada.
3.1 Regras e Diretrizes Referentes ao Administrador
3.1.1 Deveres
- Fornecer informações aos Usuários que permitam a configuração correta do DNS em seus computadores (quais servidores utilizar na resolução de nomes e que nome de domínio colocar).
- Manter o servidor de DNS configurado de forma correta e eficiente.
- Seguir recomendações dos Centros de Informática quanto a versão do servidor de DNS.
- Manter um "reverso" para todos os computadores pertencentes ao sub-domínio sob sua responsabilidade.
- Comunicar ao Centro de Informática local as alterações que forem feitas na configuração das zonas (mudanças de IPs e nomes dos servidores DNS) dos sub-domínios cuja responsabilidade lhe foi delegada.
- Manter o registro SOA corretamente configurado para o sub-domínio, em relação aos parâmetros temporais e também ao endereço de e-mail para contato.
- Manter atualizados os Contatos Administrativo, Técnico e de Segurança pertinentes ao seu sub-domínio, no sistema disponibilizado pelo CCE para essa finalidade (servidor WhoIs).
- Evitar a utilização de registros do tipo TXT ou HINFO, pois estes permitem que alguém obtenha de forma remota informações adicionais sobre os computadores da rede (fabricante do computador, sistema operacional instalado, etc.).
- Configurar seu servidor para limitar o número de computadores que tem permissão para fazer a leitura das zonas (transferência de zonas ou AXFR).
- Configurar seu servidor para que não seja possível fazer a leitura da versão instalada.
- Auxiliar a Unidade que deseje criar um sub-domínio como proceder.
- Computadores que se utilizam de acesso remoto para se conectar a Universidade devem ter nomes que identifiquem claramente esse tipo de acesso, de preferência devem pertencer a um subdomínio reservado a essa finalidade. Isso facilita a criação de regras de bloqueio baseadas em nomes. Exemplos de nomes que podem ser utilizados: tty21.dialup.uspnet.usp.br, 54-45-107.143.dsl.ime.usp.br, etc.
3.2 Regra para o Usuário
O Usuário deve configurar seu computador para que ele procure nomes em pelo menos dois servidores de DNS (primário e secundário).