Hlavní navigace

Úroda DNS programů

Pavel Satrapa 10. 11. 2011

Podzim 2011 byl mimořádně úrodný na DNS software. Na svět přišly dva nové servery a jedna klientská nadstavba, jejímž cílem je dostat DNSSEC kamkoli, navzdory NATům, firewallům a jiným pohromám.

Na pracovní skupině pro DNS v rámci RIPE Meetingů občas bývají ohlašovány nové softwarové kreace. Obvykle s frekvencí jeden kus ročně, spíše ještě řidší. Meeting z minulého týdne byl z tohoto pohledu dost unikátní – během hodiny došlo k představení hned tří zajímavých produktů.

Nové DNS servery

Když prozradím, že správce domény nejvyšší úrovně došel k závěru, že biotop DNS serverů je velmi omezený, pro velké domény nabízí de facto jen dva kandidáty – BIND a NSD – a rozhodl se jej rozhojnit o další alternativu, nebude taková informace příliš překvapivá. Ovšem skutečnost, že ve stejném čase ke stejnému rozhodnutí se skoro stejným výsledkem dospělidva správci TLD zároveň, je docela pikantní.

Prvním z nich je český CZ.NIC, který uvedl na scénu svůj Knot DNS. Roli déjà-vu na sebe vzal EURid, správce domény eu, jehož příspěvek DNS komunitě nese jméno Yadifa. Zní jako arabské dívčí jméno, ale ve skutečnosti se za ním skrývá zkratka Yet Another DNS Implementation For All.

Oba programy mají řadu vlastností společnou. Vznikly s cílem obohatit DNS prostor o nový server a s okem upřeným na provozování velkých domén. Usilují proto o vysoký výkon, snadné zásahy do složení zón za chodu a samozřejmě podporují DNSSEC. Oba jsou k dispozici jen jako autoritativní servery – nemají vyrovnávací paměť a nepodporují rekurzivní řešení dotazů pro místní klienty. Oba jsou/budou k dispozici volně s otevřeným zdrojovým kódem. Provedené testy kupodivu vykazují i podobné zvýšení výkonu proti NSD (o BINDu nemluvě, ten při výkonnostních testech figuruje spíše jako fackovací panák). Oba jsou už také v experimentálním provozu, mimo jiné obsluhují své vlastní domény.

A rozdíly? Knot DNS je o něco dál – současně s jeho představením jej CZ.NIC uvolnil ke stažení, byť číslo verze 0.8 naz­načuje, že jej autoři považují za ne zcela dospělý. Dokumentace je sporá (zahrnuje README, INSTALL, pár krátkých manuálových stránek a komentované ukázky konfiguračních souborů), ale pro experimenty s programem stačí. Zejména když je čerstvě doplněna článkem Ondřeje Surého, který pomůže s úvodní orientací.

Yadifa plánuje první veřejnou verzi 1.0 na únor příštího roku. Zatím si s ní tedy pohrát nemůžete. Ve schopnostech najdete dílčí rozdíly – Knot DNS zatím neumí autentizaci TSIG či dynamické aktualizace, Yadifa zase na začátku nebude doprovázena řídicím programem a budou jí chybět některé kryptografické algoritmy. Ovšem takové srovnání není zrovna korektní, protože se srovnává aktuální stav Knota s plánem Yadify na únor. Až Yadifa vyjde, bude mít smysl se k němu vrátit a porovnat, co je v obou alternativách opravdu k dispozici. Asi nejvýznamnější odlišností je, že EURid chystá i rekurzivní server (měl by se objevit ve verzi 2.0 plánované na srpen 2012), zatímco CZ.NIC takové cíle nedeklaroval.

Obecně lze příchod nových serverů jen přivítat. Konkurence samozřejmě pobízí zúčastněné k lepším výkonům a lze si od ní slibovat kvalitnější nástroje pro nás, kteří okopáváme pole DNS.

DNSSEC kdekoli

Jestliže představení nového DNS serveru se ukázalo jako ne zcela originální nápad, pravým opakem je Dnssec-Trigger nizozemských NLnet Labs. Snaží se ověřovat DNSSEC na koncovém stroji, a to i v podmínkách krajně nepříznivých.

WT100

Opírá se o lokálně instalovaný rekurzivní DNS server Unbound, který slouží jako ověřovatel DNSSEC. Trigger mu upravuje konfiguraci podle informací z DHCP tak, aby potřebné záznamy získával z DNS serverů určených pro místní síť a využíval jejich sdílené vyrovnávací paměti. Pokud neuspěje, zkusí se obrátit přímo na autoritativní servery a chovat se jako regulérní rekurzivní server. Když se ani toto nezdaří (DNS je omezeno či přesměrováno), zkusí ještě získat informace od serverů NLnet Labs provozovaných na obvykle propustných TCP portech 443 a 80. Selžou-li všechny pokusy, Dnssec-Trigger informuje uživatele o nemožnosti ověřit podpisy a dotáže se, zda pokračovat bez DNS nebo s nezabezpečeným DNS. (A opakovaně zkouší, jestli se na situaci něco nezměnilo k lepšímu.)

Program se asi nedočká masového rozšíření, nicméně správcům DNS a uživatelům citlivým na bezpečnost může nabídnout zajímavé služby. Zatím je v experimentálním stavu (aktuální verze nese číslo 0.7), nicméně kromě zdrojového kódu je už k dispozici i v podobě instalátorů pro MS Windows a Mac OS X, a to včetně Unboundu, aby bylo jeho nasazení co nejsnadnější.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...