Post em Destaque

Aviso importante! Mudanças na versão do PHP 5 em /usr/ports/lang/php5

Para aqueles que estão usando o PHP 5.3 instalado à partir do /usr/ports/lang/php5 perceberão que após um “portsnap fetch update” a versão mudará para o PHP 5.4.3. Cuidado na hora de atualizar o PHP para não trocar de versão acidentalmente. O PHP 5.3 agora encontra-se em: /usr/ports/lang/php53 Os...

Leia mais...

BIND? Seja feliz com o NSD e Unbound

Posted by gondim | Posted in Dicas, FreeBSD, Segurança, Software Livre, Tecnologia | Posted on 18-08-2018

Tags:, ,

0

Hoje venho escrever sobre um papo que tive com um amigo de longa data, o Tiago Felipe Gonçalves. Estávamos conversando sobre DNS e especificamente sobre o BIND. Aqui na empresa já tem alguns anos que separamos os serviços em suas VMs e com a questão do DNS não foi diferente. O DNS trabalha basicamente para nós, meros mortais, como sendo Autoritativo ou Recursivo. Sendo o Autoritativo responsável pela administração dos domínios que você controla na sua empresa e o Recurso responsável pela resolução de nomes na Internet já que sem ele não conseguiríamos navegar ou acessar qualquer serviço através dos nomes. Imaginem ter que ficar decorando os IPs. rsrsrsrs o tão usado virtual hosts dos servidores web nem funcionariam.

O BIND é um programa desenvolvido pela ISC (Internet Systems Consortium) e é sem dúvida o sistema mais utilizado no mundo para DNS mas este teve uma época negra com diversas vulnerabilidades exploradas o que fez ele ter um apelido carinhoso de o Queijo Suiço, de tantos furos que ele tinha. O BIND é bem completo e faz as duas coisas que necessitamos, o Autoritativo e o Recursivo mas não precisamos ter os dois no mesmo lugar e fazendo as duas coisas. Pensando em performance e segurança entra em cena a NLnet Labs que desenvolveu o Unbound (DNS Recursivo) e o NSD (DNS Autoritativo). O primeiro ficou muito famoso e considerado o DNS Recursivo mais rápido da Internet e hoje venho falar do NSD.

O NSD tem a estrutura de configuração parecida com o do seu irmão Unbound, ele não faz cache e não resolve nada que não seja controlado por ele, ou seja, faz o que se propõe apenas que é servir como DNS Autoritativo para os seus domínios e reversos IPv4 e IPv6. Um outro fato interessante é que a syntax das zonas é a mesma usada pelo BIND, ou seja, você vai aproveitar todos os seus arquivos de zonas exatamente como eles estão. Isso não só mantém a curva de aprendizado baixa como simplifica toda uma migração. Além disso o NSD é extremamente rápido e seguro assim como seu irmão Unbound.

O que aconselho em sua estrutura de ISP é ter ambos os serviços separados e bem definidos. Ah! O NSD é usado inclusive em alguns Root Servers que mantém nossa Internet funcionando.

Para ajudar à entender melhor o NSD na sua migração, tem esse tutorial para Ubuntu na DigitalOcean, mas que serve muito bem para ser usado em FreeBSD ou qualquer outro sistema.

Share Button