Post em Destaque

Novas vulnerabilidades – bind 9 e sysret + correção IPv6

Saíram 2 novas vulnerabilidades e um acerto relacionado ao IPv6. É bom atualizarem os sistemas e sempre se manterem seguros. Abaixo os links com todas as informações necessárias: http://security.freebsd.org/advisories/FreeBSD-SA-12:04.sysret.asc http://security.freebsd.org/advisories/FreeBSD-SA-12:03.bind.asc http://security.freebsd.org/advisories/FreeBSD-EN-12:02.ipv6refcount.asc O...

Leia mais...

BIND? Seja feliz com o NSD e Unbound

Posted by gondim | Posted in Dicas, FreeBSD, Segurança, Software Livre, Tecnologia | Posted on 18-08-2018

Tags:, ,

0

Hoje venho escrever sobre um papo que tive com um amigo de longa data, o Tiago Felipe Gonçalves. Estávamos conversando sobre DNS e especificamente sobre o BIND. Aqui na empresa já tem alguns anos que separamos os serviços em suas VMs e com a questão do DNS não foi diferente. O DNS trabalha basicamente para nós, meros mortais, como sendo Autoritativo ou Recursivo. Sendo o Autoritativo responsável pela administração dos domínios que você controla na sua empresa e o Recurso responsável pela resolução de nomes na Internet já que sem ele não conseguiríamos navegar ou acessar qualquer serviço através dos nomes. Imaginem ter que ficar decorando os IPs. rsrsrsrs o tão usado virtual hosts dos servidores web nem funcionariam.

O BIND é um programa desenvolvido pela ISC (Internet Systems Consortium) e é sem dúvida o sistema mais utilizado no mundo para DNS mas este teve uma época negra com diversas vulnerabilidades exploradas o que fez ele ter um apelido carinhoso de o Queijo Suiço, de tantos furos que ele tinha. O BIND é bem completo e faz as duas coisas que necessitamos, o Autoritativo e o Recursivo mas não precisamos ter os dois no mesmo lugar e fazendo as duas coisas. Pensando em performance e segurança entra em cena a NLnet Labs que desenvolveu o Unbound (DNS Recursivo) e o NSD (DNS Autoritativo). O primeiro ficou muito famoso e considerado o DNS Recursivo mais rápido da Internet e hoje venho falar do NSD.

O NSD tem a estrutura de configuração parecida com o do seu irmão Unbound, ele não faz cache e não resolve nada que não seja controlado por ele, ou seja, faz o que se propõe apenas que é servir como DNS Autoritativo para os seus domínios e reversos IPv4 e IPv6. Um outro fato interessante é que a syntax das zonas é a mesma usada pelo BIND, ou seja, você vai aproveitar todos os seus arquivos de zonas exatamente como eles estão. Isso não só mantém a curva de aprendizado baixa como simplifica toda uma migração. Além disso o NSD é extremamente rápido e seguro assim como seu irmão Unbound.

O que aconselho em sua estrutura de ISP é ter ambos os serviços separados e bem definidos. Ah! O NSD é usado inclusive em alguns Root Servers que mantém nossa Internet funcionando.

Para ajudar à entender melhor o NSD na sua migração, tem esse tutorial para Ubuntu na DigitalOcean, mas que serve muito bem para ser usado em FreeBSD ou qualquer outro sistema.

Share Button