Unboundの紹介

Size: px

Start display at page:

Download "Unboundの紹介"

しげのぶおおばま
5 years ago
Views:

1 1 Unbound の紹介日本 Unbound ユーザ会滝澤隆史

2 2 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

3 3 日本 Unbound ユーザ会何となくノリで作ったなぜか公式 (NLnet Labs) 公認ユーザ会と名乗っている割にはコミュニテゖーとして体をなしていないときどき協力してくださる方がいるので助かっている Google グループに議論や連絡の場所を作った

4 4 ユーザ会の主な活動ウェブサトの公開マニュゕル等の翻訳 Unbound だけでなく ldns と NSD についてもマニュゕルを翻訳して公開している技術検証はほとんどできていない

5 5 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

6 6 BIND の代替を目指したキャッシュサーバ設定の容易さフルスペックのキャッシュサーバ機能を限定した権威サーバキャッシュ汚染への高い耐性高い処理性能リモート制御ツール DNSSEC 対応

7 7 NLnet Labs が開発保守 Verisign labs Nominet Kirei EP.net がプロトタプを Java で開発した NLnet Labs が C で実装し直した NLnet Labs はルートサーバでも利用されている権威 DNS サーバの NSD の開発元でもある BSD ラセンス

8 8 動作環境 UNIX 系 OS(Linux, *BSD, MacOS X, Solaris) Windows

9 9 動作環境 / 依存ラブラリ依存するラブラリ OpenSSL GOST に対応していない場合 (0.9.8 以前 ) は unbound の configure 時に --disable-gost を付ける必要がある libexpat Unbound 以降で必要となる ldns unbound のビルド時に同梱の ldns を組み込むこともできる

10 10 動作環境 / パッケージ (Linux 系 ) Linux デゖストロ Unbound ldns 備考 Debian GNU/Linux squeeze Debian GNU/Linux wheezy Ubuntu LTS Ubuntu Fedora (1.4.8) (1.6.8) 括弧内はupdates RHEL 5/CentOS 5 (1.4.4) (1.6.4) 標準パッケージなし Fedora EPEL 5より RHEL 6 (1.4.4) (1.6.4) 標準パッケージなし Fedora EPEL 6より opensuse パッケージなし Momonga Linux Gentoo Linux (1.4.9) (1.6.9) 括弧内は unstable

11 11 動作環境 / パッケージ (BSD 系 ) OS Unbound ldns 備考 FreeBSD Ports NetBSD Packages Collection OpenBSD Ports Mac OS X(MacPorts) MacPorts

12 12 動作環境 /Windows 公式サトに Windows 版が公開されているンストーラー付き

13 13 動作環境 /Windows ンストール後に参照する DNS サーバーをに変更するだけルートのトランスゕンカーが自動で取得され DNSSEC の検証が有効になる

14 14 バージョンの履歴 1.0.0(2008 年 05 月 ) 正式リリース 1.1.0(2008 年 11 月 ) DLV 対応 1.2.0(2009 年 1 月 ) unbound-control コマンド 1.3.0(2009 年 6 月 ) Windows 版 Python 対応

15 15 バージョンの履歴 1.4.0(2009 年 11 月 ) トラストゕンカーの自動更新機能 RSASHA256 と RSASHA512 サポート ( デフォルト有効 ) 1.4.7(2010 年 11 月 ) unbound-anchor コマンド ( ルートゾーンの DNSKEY の取得 ) 1.4.9(2011 年 3 月 ) 最新版

16 16 利用すべきバージョン少なくとも以降を利用すべきトラストゕンカーの自動更新 RSASHA256 と RSASHA512 のサポート以降を推奨 unbound-anchor コマンドが新規導入には便利

17 17 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

18 18 設定フゔル設定フゔルは一つ unbound.conf 形式パラメータ名 : 設定値設定例 server: verbosity: 1 interface: access-control: /24 allow

19 19 ゾーンフゔルの記述不要ループバックゕドレスに対する正引きおよび逆引きのゾーンなどのお決まりのゾーン組み込まれている BIND のようにゾーンフゔルを用意する必要はない

20 20 ホスト自身のリゾルバデフォルトの設定で動作可能ローカルホストにバンドゕクセス制御はローカルホストのみ許可

21 21 他のホストに対するフルリゾルバ "interface" でバンドするンターフェスの指定 "access-control" でゕクセス制御を指定設定例 server: interface: バンドするンターフェス (IPv4) interface: ::0 バンドするンターフェス (IPv6) access-control: /24 allow ゕクセス制御 access-control: 2001:DB8:BEEF::/48 allow ゕクセス制御

22 22 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

23 23 フルスペックのキャッシュサーバ再帰問い合わせキャッシュ DNSSEC の検証別資料 Unbound と DNSSEC 参照スタブフォワード

24 24 スタブ指定したゾーンに対して指定した権威サーバへ問い合わせを行う "stub-zone" を設定する設定例 stub-zone: name: "example.org" stub-addr: stub-zone: name: " in-addr.arpa" stub-addr:

25 25 フォワード指定したゾーンに対して指定したキャッシュサーバへ再帰問い合わせを行う "forward-zone" を設定する設定例 forward-zone: name: "example.com" forward-addr: forward-addr:

26 26 制限事項 DNS ラウンドロビン非対応キャッシュした内容をそのままの順番で回答する

27 27 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

28 28 限定的な機能の権威サーバフル実装は目指していない別の権威サーバに問い合わせるまでもないリソースレコードについて回答する

29 29 ループバックゕドレスループバックゕドレスの正引きと逆引き localhost. 127.in-addr.arpa ip6.arpa.

30 30 不要な逆引きの問い合わせへの回答不要な逆引きの問い合わせには NXDOMAIN を返す (AS112 的な対応 ) プラベートリンクローカルテストネットブロードキャスト例示

31 31 リソースレコードの登録 local-data リソースレコードを登録できる local-data: 'a.example.jp. IN A ' local-data: ' in-addr.arpa. IN PTR a.example.jp.' local-data-ptr PTR の簡略記法 local-data-ptr: ' a.example.jp.' local-data, local-data-ptr は LAN 内のホストの名前解決用に利用すると便利

32 32 プラベートゕドレスの注意事項 forward-zone や stub-zone でプラベートゕドレスの逆引き用にキャッシュサーバや権威サーバを指定する場合 stub-zone: name: " in-addr.arpa" stub-addr: このとき AS112 対策で NXDOMAIN が返される対策として local-zone で transparent を指定 local-zone: " in-addr.arpa." transparent

33 33 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料 "Unbound Patch Announcement" のまとめ

34 34 オープンリゾルバにならないためのゕクセス制御デフォルトでは localhost からのみゕクセス可能必要に応じてゕクセスを許可 interface: access-control: /24 allow

35 35 キャッシュ汚染への高い耐性回答に対するサニタジング暗号学的に強いランダム性を持つクエリー ID の利用暗号学的に強いランダム性を持つソースポート番号の利用ランダムなデステゖネーション IP ゕドレスの利用ランダムなソース IP ゕドレスの利用 dns-0x20( クエリーの際に大文字小文字をランダムに混ぜる )

36 36 デフォルトのランダム性クエリー ID ポート番号デステゖネーションIP ゕドレス ( 平均 ) ランダム性の合計 16 ビット 16 ビット 2 ビット 34 ビット

37 37 さらに工夫した場合のランダム性クエリー ID ポート番号デステゖネーションIP ゕドレス ( 平均 ) ソースIP ゕドレス ( 平均 ) dns-0x20( 平均 ) ランダム性の合計 16 ビット 16 ビット 2 ビット 2 ビット 8 ビット 44 ビット

38 38 攻撃に対する耐性ビット 50% 機会 5% 機会秒 1 秒ランダムなクエリー ID のみ時間 17 分ランダムなクエリー IDとソースポートのランダムの範囲 1024ポート日 2.8 日 Unbound デフォルト日日 Unbound(dns-0x20 とソースゕドレス )

39 39 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

40 40 Performance tests results on BIND9/NSD/UNBOUND IEPG Meeting November IETF 79 Orange Labs の Daniel Migault 氏の発表 BIND の 2~3 倍のキャッシュ処理性能

41 Alternative DNS Servers: the book as PDF Jan-Piet Mens 著 " Alternative DNS Servers " http://blog.fupps.

41 41 Alternative DNS Servers: the book as PDF Jan-Piet Mens 著 " Alternative DNS Servers " MaraDNS BIND dnscache PowerDNS Recursor Unbound Queries /sec 13,846 16,066 14,957 10,796 25,072 Queries /sec (LAN) 13,308 26,656 13,114 21,218 30,569 Queries /sec (10 clients) 3,068 3,003 2,928 2,074 8,276 RSS size 1,336 40,916 1,712 14,336 16,828 VSZ size 168, ,380 6,044 26, ,648 P.559 Table 23.9: How the caching name servers performed

42 42 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

43 43 unbound-control リモート制御ツール BIND の rndc のようなもの

44 44 Unbound への接続ポート番号は TCP953 サーバには SSL/TLS 経由で接続秘密鍵や証明書が必要秘密鍵と自己署名証明書を作成する unbound-control-setup というスクリプトあり

45 45 主な機能起動停止リロード状態の出力饒舌さ (verbosity) の変更統計情報の出力ローカルゾーンの操作 ( 追加削除 ) ローカルデータの操作 ( 追加削除 ) キャッシュのダンプロード削除設定オプションの設定および取得利用中のスタブゾーンフォワードゾーンローカルゾーンローカルデータの一覧の出力

46 46 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

47 47 DNSSEC 別資料 Unbound と DNSSEC を参照

48 48 日本 Unbound ユーザ会 OSC 2011 Tokyo/Spring 発表資料

夏の DNS 祭り Unbound/NSD ハンズオン株式会社ハートビーツ滝澤隆史

夏の DNS 祭り Unbound/NSD ハンズオン株式会社ハートビーツ滝澤隆史夏の DNS 祭り 2014 Unbound/NSD ハンズオン株式会社ハートビーツ滝澤隆史 2 私は誰氏名 : 滝澤隆史 @ttkzw 所属 : 株式会社ハートビーツサーバの構築運用や 24 時間 365 日の有人監視をやっている会社いわゆる MSP( マネージドサービスプロバイダ ) DNS との関わりシステム管理理者として 1997 年年から 2006 年年までネームサーバの運