ENOG18-unbound-takata-2.pptx

Size: px

Start display at page:

Download "ENOG18-unbound-takata-2.pptx"

くうしょうはぎにわ
7 years ago
Views:

1 Unbound の紹介 ENOG18 高 1

2 自己紹介 InfoSphere サービス立立ち上げ ISP サービス (NTT グループでは初 ) 1994 年年 ~ 担当 : DNS メール Radius 認証系他 WebARENA の中の人ハウジング VPS 共用レンタルサーバなど 1999 年年 ~ 担当 : DNS メール UNIX システム管理理他 DNSOPS.JP 幹事 2

3 agenda Unbound? BINDとのちがい build&setup 関連ツール紹介まとめ参考資料料 3

4 Unbound とはキャッシュ DNS サーバソフトウェアキャッシュ DNS のサービスに特化シンプル簡易易的な権威 DNS サーバの機能もあるオープンソース BSD ライセンス Linux 版と Windows 版がある最新版は (2012/12/12 リリース ) オランダ NLnet Labs 他 4 組織で開発 BIND の代替 DNS サーバの多様性現在は NLnet Labs にて開発保守 4

5 なぜ Unbound? 不不定期的にやってくる BIND 脆弱性発見見クリティカル workaround なしアップデートにはコストがかかる検証各所への連絡実際の作業重点監視アップデートまでに攻撃されるリスク 1 パケットで named が死んだり DNS サービスの停止 => サービス全断高パフォーマンス大規模な環境でも使われている 5

6 UnboundキャッシュDNSサーバ大規模用途向け機能の実装より 6

7 BIND( キャッシュ ) との違いない機能 View ResponsePolicyZone AAAA filter DNS64 挙動の違い DNS ラウンドロビン多段 CNAME アクセス制限 cache snooping 各種コマンド rndc unbound- control dig drill ログ形式 7

8 ない機能 View 複数のサーバを稼働させることで回避 ResponsePolicyZone 簡易易権威サーバ機能で代替可能な場合も AAAA filter 構成変更更や運用等で回避 DNS64 過去バージョン用のパッチがあったらしい必要ならコードを書きましょう 8

9 挙動の違い (1) DNS ラウンドロビン unbound にて実装デフォルトではオフ rrset- roundrobin: yes ラウンドロビンでなくランダムな順番で答える多段 CNAME 9 段以上の多段になると SERVFAIL hoge1 IN CNAME hoge2 hoge2 IN CNAME hoge3 : : hoge9 IN CNAME hoge10 hoge10 IN A RFC には特に規定がない部分 9

10 挙動の違い (2) アクセス制限デフォルトはどこからの問い合わせにも答えない NW 単位で許可設定 allow- control: /24 allow オープンリゾルバの予防必要な NW にのみサービスするようにしましょう cache snooping キャッシュ DNS サーバへの非再帰検索索要求 unbound は返答しないのがデフォルトキャッシュには再帰検索索しかこない筈だから? NW 単位で許可設定 allow- control: /24 allow_ snoop BIND からの置き換えと考えると必要かも? 10

11 挙動の違い (3) プライベートアドレスは NXDOMAIN RFC 1918, 0/8, /16, /24, /24, /24, 他これらについて返事させたいときには簡易易権威 DNS サーバ機能 (local- zone, stub- zone) を使うイマドキの bind は同様の挙動だった 11

12 導入シナリオ (1) bind を unbound に置き換え置き換え時の一時的なコストのみ IP アドレス等変更更しなくて ok サービス影響が少ない可能ならおすすめキャッシュ機能だけ unbound に置き換え権威 / キャッシュ兼用の場合など bind は権威のみサービスするよう設定変更更 IP アドレスを変更更する必要があるかも権威 / キャッシュ機能分離離にもなって 12

13 導入シナリオ (2) hot standby LB での運用の場合 LB のうしろに BIND と unbound 両方用意 cold standby 通常は BIND を使用 named が死んだら unbound 登場 BIND 特有の機能を使っている場合など置き換え以外は両方管理理することになるコスト増でも背に腹はかえられない unbound にも脆弱性発見見の可能性があるから 13

14 cold standby の一手法 bind 付属のプロセス監視ツール contrib/nanny/nanny.pl ps と dig で監視異異常があったら再起動改造異異常検知時 named を kill unbound を起動 unbound 稼働中の異異常検知 named は起動しない 14

15 必要な環境 OpenSSL の開発環境バージョン 1.0 未満の場合 GOST と ECDSA を要 disable 後述のコマンドラインにてグレイアウト部分を指定 CentOS 5 系とか ldns ( 後述 ) libevent- devel, expat- devel ほか 15

16 ldns NLnet Labs 製ソフトウェア DNS まわりライブラリ RFC や最新のドラフトに追従サンプルプログラム drill (DNS 検索索ツール BIND でいう dig) その他 (ldns- walk とか ) C で記述 ( 高速 ) 機能 IPv4 / IPv6 サポート TSIG サポート DNSSEC サポート ( 署名と検証 ) 小さいサイズオンライン文書と man 16

17 build&install: ldns wget tar.gz zcat ldns tar.gz tar xf cd ldns /./configure - - prefix=/usr/local/ - - with- drill - - disable- gost - - disable- ecdsa && make && sudo make install OpenSSL 1.0 未満の場合はグレイアウト部分を指定 17

18 build&install&setup: unbound wget tar.gz./configure - - prefix=/usr/local/ - - disable- gost - - disable- ecdsa && make && sudo make install sudo useradd unbound unbound ユーザを追加 sudo /usr/local/sbin/unbound- control- setup unbound- control 用の環境設定 sudo chown unbound:unbound /usr/local/etc/unbound pid ファイル等のため owner を変更更 DNSSEC 検証をする場合のみ sudo /usr/local/sbin/unbound- anchor root の DNSKEY を取得本来はこの鍵が正しらしいか確認する必要が sudo /usr/local/sbin/unbound 起動! 18

19 /usr/local/etc/unbound/ unbound.conf デフォルト設定でも動く例例 : server: rrset- roundrobin: yes auto- trust- anchor- file: /local/etc/unbound/ root.key" statistics- interval: 300 extended- statistics: yes val- log- level: 2 remote- control: control- enable: yes ラウンドロビン設定 ON DNSSEC 検証 ON+root DNSKEY ファイル指定統計出力力インターバル ( 秒 ) 拡張統計設定 ON DNSSEC 検証エラーのログレベル後述 unbound- control での制御 ON 19

20 unbound.conf (2) localhost 以外からのクエリを受け付ける acess- control: n.n.n.n/n allow だけではダメ interface: or interface: ::0 インタフェースを開けてやる必要がある 20

21 ログの見見え方 statistics [7903:0] info: server stats for thread 0: 3 queries, 0 answers from cache, 3 recursions, 0 prefetch [7903:0] info: server stats for thread 0: requestlist max 0 avg 0 exceeded 0 jostled 0 extended- statistics: yes [7903:0] info: average recursion processing time sec [7903:0] info: histogram of recursion processing times [7903:0] info: [25%]=0 median[50%]=0 [75%]=0 [7903:0] info: lower(secs) upper(secs) recursions [7903:0] info: [7903:0] info: [7903:0] info: val- log- level: 2 [7903:0] info: validation failure <fail.dnssec.jp. A IN>: signature expired from for key fail.dnssec.jp. while building chain of trust 21

22 unbound- control unbound のコントロールをするツール BIND でいう rndc 機能プロセス関連 start, stop, reload, stats, status, stats_ noreset 簡易易権威 DNS サーバ機能関連 local_ zone, local_ zone_ remove, list_ local_ zones, local_ data, local_ data_ remove, list_ local_ data, stub_ add, stub_ remove, list_ stubs キャッシュ関連 dump_ cache, load_ cache, dump_ requestlist, dump_ infra キャッシュ消去関連 flush, flush_ type, flush_ zone, flush_ bogus, flush_ stats, flush_ requestlist, flush_ infra forward 関連 forward_ add, forward_ remove, list_ forwards, forward その他 verbosity, log_ reopen, lookup, set_ option, get_ option BIND にない機能もいろいろ 22

23 おまけ : root hint 変更更 D.ROOT- SERVERS.NET IP アドレス変更更 archive/web/dnsop/current/msg09956.html d- root- ip- address- change.html 米メリーランド大運営のルート NS 新 : 旧 : ( 少なくとも ) 半年年間並行行運用される Unbound( イマドキの BIND) の root.hint はソースにハードコードされている次のバージョンでは書き変わってるかも unbound.conf で指定することも可能 root- hints: root.hint など設定したらちゃんと更更新を 23

24 プライミング (priming) root.hint を使うのは最初だけプロセス起動時 root.hint 内のどれかに. の NS を問合せ戻ってきた答えをヒントとして使う BIND, Unbound はこういう実装 root.hint の更更新は緩やかで ok 1/13 のリスク旧サーバの IP が別組織に再割当されたら? BGP ハイジャックされたら? やっぱりきちんとやっておきましょう 24

25 まとめ Unbound おすすめポイントわかりやすい記法の設定ファイル BIND に比べて高性能 (qps) 脆弱性の少なさキャッシュに特化シンプルシンプルな構成を心がけるベンダーロックインを防ぐ運用しやすい 25

26 参考資料料 Unbound キャッシュ DNS サーバ大規模用途向け機能の実装 higashi- dnsops- 2012summerday2- final.pdf 東大亮亮さん DNS Summer Days 2012 での発表資料料 Unbound, 知ってる? この先 10 年年を見見据えた DNS 滝澤隆史さん 2008 年年の技術評論論社記事全 4 回 Unbound Validating Caching Resolver ripe56_ unbound_ 02.pdf Wouter Wijngaards さん 2008 年年 RIPE56 での発表資料料 26

27 日本語の情報日本 Unbound ユーザ会和訳マニュアルアップデートのアナウンスなど 27

2 フルサービスリゾルバスタブリゾルバからリクエストを受け取るフルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせを行行うルートゾーンの権威サーバスタブリゾルバの IP アドレスを教えて? の IP アドレ

2 フルサービスリゾルバスタブリゾルバからリクエストを受け取るフルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせを行行うルートゾーンの権威サーバスタブリゾルバの IP アドレスを教えて? の IP アドレ夏の DNS 祭り 2014 ハンズオン - Unbound 編株式会社ハートビーツ滝澤隆史 2 フルサービスリゾルバスタブリゾルバからリクエストを受け取るフルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせを行行うルートゾーンの権威サーバスタブリゾルバ www.example.jp の IP アドレスを教えて? www.example.jp の IP アドレスは