The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз DNS-сервера Unbound 1.7.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от opennews on 16-Мрт-18, 10:14 
Состоялся (http://www.unbound.net/pipermail/unbound-users/2018-March/00...) релиз  кеширующего DNS-сервера Unbound 1.7.0 (http://www.unbound.net/download.html), ориентированного на использование в промышленной инфраструктуре интернет сервис-провайдеров. Unbound распространяется под лицензией BSD, имеет модульную структуру и поддерживает работу резолвера в рекурсивном и кэширующем режиме, также имеется возможность проверки валидности DNSSEC сигнатур, асинхронных запросов и библиотеки для интеграции кода резолвера в пользовательские приложения.

Основные новшества:


-  Поддержка авторитетных зон, которые можно отдавать из файла или загружать с других серверов через запросы AXFR  и IXFR или даже указав URL ресурса, доступного через http/https. В том числе, новая функциональность позволяет разместить локальную копию корневой зоны. Подключение локальных файлов с зонами или задание ссылки на master-сервер осуществляется в секции  "auth-zone";
-  Режим агрессивной обработки NSEC, допускающий использование записей NSEC из кэша для генерации NXDOMAIN, NODATA  и положительных ответов. Данный режим позволяет справляться с флудом запросами несуществующих доменов. Включение режима производится опцией  "aggressive-nsec: yes";


-  Новые настройки tls-upstream, tls-port, tls-service-key, tls-service-pem, stub-tls-upstream и forward-tls-upstream;
-  В секцию "[dnscrypt]" добавлена опция dnscrypt-provider-cert-rotated, позволяющая поочерёдно обрабатывать несколько пар сертификатов/ключей;
-  В OpenBSD обеспечена работа опции ip-transparent (приём соединений с использованием сокета с флагом IP_TRANSPARENT).

URL: http://www.unbound.net/pipermail/unbound-users/2018-March/00...
Новость: https://www.opennet.dev/opennews/art.shtml?num=48267

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз DNS-сервера Unbound 1.7.0"  +3 +/
Сообщение от пани Икра on 16-Мрт-18, 10:14 
Лучший DNS-ресолвер, я считаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от Шкурка_от_головки (ok) on 16-Мрт-18, 17:19 
Ок
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от DmA (??) on 17-Мрт-18, 13:35 
Удобная штука  и небольшая - я обычно на винде ставлю везде, и прописываю первым днс сервером 127.0.0.1 (или вообще единственным), потом провайдера или днс сервера провайдера вовсе не прописываю, чтобы на днс сервере провайдера мои запросы не оставались. Они в принципе и так их могут посмотреть, но может им посложнее будет сделать, хотя тут дело техники...
Жаль DNSSEC не хотят даже банки вводить в личных кабинетах, древние люди. Мало распространён этот протокол в России или может мало админов способных с настройками DNSSEC разобраться :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от slayer (??) on 17-Мрт-18, 21:22 
dnscrypt ты имел в виду, наверное? чем тебя спасёт dnssec в твоём сценарии - непонятно
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от Аноним84701 (ok) on 17-Мрт-18, 21:52 
> dnscrypt ты имел в виду, наверное?

DNSCrypt уже вроде не в моде.
Вместо него теперь  DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать все-все проблемы и задачи.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от DmA (??) on 19-Мрт-18, 08:59 
>> dnscrypt ты имел в виду, наверное?
> DNSCrypt уже вроде не в моде.
> Вместо него теперь  DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать
> все-все проблемы и задачи.

не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот сайт, который нужен! и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от Аноним84701 (ok) on 19-Мрт-18, 15:03 
> не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот
> сайт, который нужен!

Последняя часть, о решении "всех-всех" проблем, была легкой иронией. Но сабж в dns over tls умеет.

> и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь!

Удачи и соседу и провайдеру вклиниться в (грамотно реализованный) TLS.
Кстати, открою страшную тайну – провайдеру совсем не обязательно перехватывать запросы DNS, чтобы знать, куда вы ходите ;)


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Релиз DNS-сервера Unbound 1.7.0"  +/
Сообщение от DmA (??) on 19-Мрт-18, 08:55 
обычные пользователи используют   сетевые настройки , которые им выдаёт провайдер, в том числе и днс сервера.  Поэтому запросы на разрешения имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер знает по каким сайтам  вы ходите. можно поднять свой кеширующий сервис имён и не использовать днс сервер провайдера. Unbound - отличный вариант для этого, маленький и многоплатформенный!  Он имея список корневых серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, который ввёл пользователь в адресной строке. Все днс запросы посылаются без шифрования: и от браузера к днс серверу и дальше от одного днс сервера к другому. Так что формально провайдер может видеть запросы от вашего unbound, но для этого ему уже нужны снифферы.
Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента к серверу днс. для этого на клиенте и на сервере нужно установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое!
Но запросы между серверами всё равно будут идти открытым текстом!
Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно заменить ip, которое он выдаст вам в ответ и вы пойдёте например на сайт сбербанка(но попадёте на другой IP, где будет размещён похожий сайт) и там введёте свои данные, которые могут быть украдены этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом от вашего днс провайдера!
DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", поэтому вы получате именно тот IP, который должен быть и гарантия этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip пакетов и когда пакет идёт от вас, то меняют поля "куда идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет отбить вашу девушку :)
Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно тем сайтом! И в первую очередь это должно использоваться там, где может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру