Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз DNS-сервера Unbound 1.7.0"	+/–
Сообщение от opennews on 16-Мрт-18, 10:14
Состоялся (http://www.unbound.net/pipermail/unbound-users/2018-March/00...) релиз  кеширующего DNS-сервера Unbound 1.7.0 (http://www.unbound.net/download.html), ориентированного на использование в промышленной инфраструктуре интернет сервис-провайдеров. Unbound распространяется под лицензией BSD, имеет модульную структуру и поддерживает работу резолвера в рекурсивном и кэширующем режиме, также имеется возможность проверки валидности DNSSEC сигнатур, асинхронных запросов и библиотеки для интеграции кода резолвера в пользовательские приложения. Основные новшества: -  Поддержка авторитетных зон, которые можно отдавать из файла или загружать с других серверов через запросы AXFR  и IXFR или даже указав URL ресурса, доступного через http/https. В том числе, новая функциональность позволяет разместить локальную копию корневой зоны. Подключение локальных файлов с зонами или задание ссылки на master-сервер осуществляется в секции  "auth-zone"; -  Режим агрессивной обработки NSEC, допускающий использование записей NSEC из кэша для генерации NXDOMAIN, NODATA  и положительных ответов. Данный режим позволяет справляться с флудом запросами несуществующих доменов. Включение режима производится опцией  "aggressive-nsec: yes"; -  Новые настройки tls-upstream, tls-port, tls-service-key, tls-service-pem, stub-tls-upstream и forward-tls-upstream; -  В секцию "[dnscrypt]" добавлена опция dnscrypt-provider-cert-rotated, позволяющая поочерёдно обрабатывать несколько пар сертификатов/ключей; -  В OpenBSD обеспечена работа опции ip-transparent (приём соединений с использованием сокета с флагом IP_TRANSPARENT). URL: http://www.unbound.net/pipermail/unbound-users/2018-March/00... Новость: https://www.opennet.dev/opennews/art.shtml?num=48267
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз DNS-сервера Unbound 1.7.0"	+3 +/–
Сообщение от пани Икра on 16-Мрт-18, 10:14
Лучший DNS-ресолвер, я считаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от Шкурка_от_головки (ok) on 16-Мрт-18, 17:19
	Ок
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз DNS-сервера Unbound 1.7.0"	+/–
Сообщение от DmA (??) on 17-Мрт-18, 13:35
Удобная штука  и небольшая - я обычно на винде ставлю везде, и прописываю первым днс сервером 127.0.0.1 (или вообще единственным), потом провайдера или днс сервера провайдера вовсе не прописываю, чтобы на днс сервере провайдера мои запросы не оставались. Они в принципе и так их могут посмотреть, но может им посложнее будет сделать, хотя тут дело техники... Жаль DNSSEC не хотят даже банки вводить в личных кабинетах, древние люди. Мало распространён этот протокол в России или может мало админов способных с настройками DNSSEC разобраться :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от slayer (??) on 17-Мрт-18, 21:22
	dnscrypt ты имел в виду, наверное? чем тебя спасёт dnssec в твоём сценарии - непонятно
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от Аноним84701 (ok) on 17-Мрт-18, 21:52
	> dnscrypt ты имел в виду, наверное? DNSCrypt уже вроде не в моде. Вместо него теперь  DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать все-все проблемы и задачи.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от DmA (??) on 19-Мрт-18, 08:59
	>> dnscrypt ты имел в виду, наверное? > DNSCrypt уже вроде не в моде. > Вместо него теперь  DNS-over-TLS (https://tools.ietf.org/html/rfc7858) будет решать > все-все проблемы и задачи. не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот сайт, который нужен! и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от Аноним84701 (ok) on 19-Мрт-18, 15:03
	> не будет решать dns-over-tls все задачи гарантирующие, что вы посещаете именно тот > сайт, который нужен! Последняя часть, о решении "всех-всех" проблем, была легкой иронией. Но сабж в dns over tls умеет. > и что провайдер или сосед по лестничной клетке(вклинившись в ваш траффик) не узнает какие вы сайты посещаете! СМ моё другое сообщение здесь! Удачи и соседу и провайдеру вклиниться в (грамотно реализованный) TLS. Кстати, открою страшную тайну – провайдеру совсем не обязательно перехватывать запросы DNS, чтобы знать, куда вы ходите ;)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	6. "Релиз DNS-сервера Unbound 1.7.0"	+/–
	Сообщение от DmA (??) on 19-Мрт-18, 08:55
	обычные пользователи используют   сетевые настройки , которые им выдаёт провайдер, в том числе и днс сервера.  Поэтому запросы на разрешения имён посещаемых узлов пользователем шлются на днс сервер провайдера. Поэтому провайдер знает по каким сайтам  вы ходите. можно поднять свой кеширующий сервис имён и не использовать днс сервер провайдера. Unbound - отличный вариант для этого, маленький и многоплатформенный!  Он имея список корневых серверов сам разбирается кого(какие днс сервера) отпросить, чтобы найти то имя, который ввёл пользователь в адресной строке. Все днс запросы посылаются без шифрования: и от браузера к днс серверу и дальше от одного днс сервера к другому. Так что формально провайдер может видеть запросы от вашего unbound, но для этого ему уже нужны снифферы. Есть нестандартное решение(dnscrypt), которое позволяет шифровать запросы от клиента к серверу днс. для этого на клиенте и на сервере нужно установить дополнительное ПО, хотя открытое, но не всеми поддерживаемое! Но запросы между серверами всё равно будут идти открытым текстом! Если провайдер захочет вас послать на другой какой-то сайт, то ему достаточно заменить ip, которое он выдаст вам в ответ и вы пойдёте например на сайт сбербанка(но попадёте на другой IP, где будет размещён похожий сайт) и там введёте свои данные, которые могут быть украдены этим фальшивым сайтом. dnscrypt тоже не решает проблем с фальшивым ответом от вашего днс провайдера! DNSSEC добавляет в днс сервера возможность подписывать эцп "связку имя и ip", поэтому вы получате именно тот IP, который должен быть и гарантия этого использование ЭЦП.Но вас всё равно могут послать на другой сайт(тот же провайдер например) используя технологию трансляции адресов лезут внутрь ваших ip пакетов и когда пакет идёт от вас, то меняют поля "куда идёт пакет", а когда обратно, то поле "откуда пришёл пакет". Вы сидите счастливый, думая, что сидели и смотрели почту, переписывались с любимой, а отвечал вам злобный хакер "Вася" работающий у провайдера, который хочет отбить вашу девушку :) Ясно, что dnssec хотя бы добавляет уверенности, что вы соединяетесь с именно тем сайтом! И в первую очередь это должно использоваться там, где может нанести большой урон: банках, услугах на сайтах, интернет магазинах итп
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема