Na pracovní skupině pro DNS v rámci RIPE Meetingů občas bývají ohlašovány nové softwarové kreace. Obvykle s frekvencí jeden kus ročně, spíše ještě řidší. Meeting z minulého týdne byl z tohoto pohledu dost unikátní – během hodiny došlo k představení hned tří zajímavých produktů.
Nové DNS servery
Když prozradím, že správce domény nejvyšší úrovně došel k závěru, že biotop DNS serverů je velmi omezený, pro velké domény nabízí de facto jen dva kandidáty – BIND a NSD – a rozhodl se jej rozhojnit o další alternativu, nebude taková informace příliš překvapivá. Ovšem skutečnost, že ve stejném čase ke stejnému rozhodnutí se skoro stejným výsledkem dospělidva správci TLD zároveň, je docela pikantní.
Prvním z nich je český CZ.NIC, který uvedl na scénu svůj Knot DNS. Roli déjà-vu na sebe vzal EURid, správce domény eu, jehož příspěvek DNS komunitě nese jméno Yadifa. Zní jako arabské dívčí jméno, ale ve skutečnosti se za ním skrývá zkratka Yet Another DNS Implementation For All.
Oba programy mají řadu vlastností společnou. Vznikly s cílem obohatit DNS prostor o nový server a s okem upřeným na provozování velkých domén. Usilují proto o vysoký výkon, snadné zásahy do složení zón za chodu a samozřejmě podporují DNSSEC. Oba jsou k dispozici jen jako autoritativní servery – nemají vyrovnávací paměť a nepodporují rekurzivní řešení dotazů pro místní klienty. Oba jsou/budou k dispozici volně s otevřeným zdrojovým kódem. Provedené testy kupodivu vykazují i podobné zvýšení výkonu proti NSD (o BINDu nemluvě, ten při výkonnostních testech figuruje spíše jako fackovací panák). Oba jsou už také v experimentálním provozu, mimo jiné obsluhují své vlastní domény.
A rozdíly? Knot DNS je o něco dál – současně s jeho představením jej CZ.NIC uvolnil ke stažení, byť číslo verze 0.8 naznačuje, že jej autoři považují za ne zcela dospělý. Dokumentace je sporá (zahrnuje README, INSTALL, pár krátkých manuálových stránek a komentované ukázky konfiguračních souborů), ale pro experimenty s programem stačí. Zejména když je čerstvě doplněna článkem Ondřeje Surého, který pomůže s úvodní orientací.
Yadifa plánuje první veřejnou verzi 1.0 na únor příštího roku. Zatím si s ní tedy pohrát nemůžete. Ve schopnostech najdete dílčí rozdíly – Knot DNS zatím neumí autentizaci TSIG či dynamické aktualizace, Yadifa zase na začátku nebude doprovázena řídicím programem a budou jí chybět některé kryptografické algoritmy. Ovšem takové srovnání není zrovna korektní, protože se srovnává aktuální stav Knota s plánem Yadify na únor. Až Yadifa vyjde, bude mít smysl se k němu vrátit a porovnat, co je v obou alternativách opravdu k dispozici. Asi nejvýznamnější odlišností je, že EURid chystá i rekurzivní server (měl by se objevit ve verzi 2.0 plánované na srpen 2012), zatímco CZ.NIC takové cíle nedeklaroval.
Obecně lze příchod nových serverů jen přivítat. Konkurence samozřejmě pobízí zúčastněné k lepším výkonům a lze si od ní slibovat kvalitnější nástroje pro nás, kteří okopáváme pole DNS.
DNSSEC kdekoli
Jestliže představení nového DNS serveru se ukázalo jako ne zcela originální nápad, pravým opakem je Dnssec-Trigger nizozemských NLnet Labs. Snaží se ověřovat DNSSEC na koncovém stroji, a to i v podmínkách krajně nepříznivých.
Opírá se o lokálně instalovaný rekurzivní DNS server Unbound, který slouží jako ověřovatel DNSSEC. Trigger mu upravuje konfiguraci podle informací z DHCP tak, aby potřebné záznamy získával z DNS serverů určených pro místní síť a využíval jejich sdílené vyrovnávací paměti. Pokud neuspěje, zkusí se obrátit přímo na autoritativní servery a chovat se jako regulérní rekurzivní server. Když se ani toto nezdaří (DNS je omezeno či přesměrováno), zkusí ještě získat informace od serverů NLnet Labs provozovaných na obvykle propustných TCP portech 443 a 80. Selžou-li všechny pokusy, Dnssec-Trigger informuje uživatele o nemožnosti ověřit podpisy a dotáže se, zda pokračovat bez DNS nebo s nezabezpečeným DNS. (A opakovaně zkouší, jestli se na situaci něco nezměnilo k lepšímu.)
Program se asi nedočká masového rozšíření, nicméně správcům DNS a uživatelům citlivým na bezpečnost může nabídnout zajímavé služby. Zatím je v experimentálním stavu (aktuální verze nese číslo 0.7), nicméně kromě zdrojového kódu je už k dispozici i v podobě instalátorů pro MS Windows a Mac OS X, a to včetně Unboundu, aby bylo jeho nasazení co nejsnadnější.
