Mere sikkert internet med ny DNS-server

Unbound er navnet på et nyt open source-alternativ til den BIND-software, som stort set enerådende har fået lov til at køre internettets telefonbog. Den nye server skulle være mere sikker og yde bedre end rivalen.

En ekspertgruppe står bag et nyt, open source-serverprogram, som skal konkurrere med BIND, som hidtil har været dominerende indefor DNS-systemet. Det skriver Infoworld.

DNS (Domain Name System) er internettets telefonbog, hvor webadresser og servernavne byttes for et IP-nummer, som benyttes at internettets infrastruktur til at finde den rigtige server.

Unbound, som det nye serverprogram er døbt, skulle give bedre sikkerhed og højere ydelse end BIND.

Bag Unbound står fimaerne NLnet Labs, Verisign, Nominet og Kirei. NLnet Labs er en hollandsk non-profit-virksomhed, som løbende vil understøtte serversoftwaren.

Unbound har været under udvikling siden 2004. Programmet understøtter DNS security extensions (DNSSEC), som kan autentificere DNS-opslag, men systemet benyttes endnu kun i en lille grad.

»En af dets hovedsaglige fordele er, at den er højtydende. Fra begyndelsen designede vi den til at være hurtig,« siger Matt Larson, som er leder af Verisigns DNS-forskning, til Infoworld.

Verisign benytter dog ikke selv Unbound på firmaets DNS-servere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Bruun Olsen

Sådan som jeg læser informationen på unbound.net er der kun tale om en resolving DNS, ikke en authorative DNS. Det vil altså sige at den kan lave opslag i DNS-systemet for folk, men ikke selv indeholde DNS-zoner. Derfor er den hverken en fuld erstatning for BIND eller djbdns (kun for dnscache fra djbdns). Det er naturligvis godt med en bedre resolving DNS til internetudbydere, men der vil jeg nu mene at dnscache (dbjdns) er et bedre valg da den har mange år på bagen, er stabil, har god performance og er sikker. Det eneste unbound har som dnscache ikke har lader til at være DNSSEC. Jeg har dog ikke studeret unbound så tæt endnu, så jeg kan ikke være helt sikker på det sidste.

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Måske fordi de ønsker at man skal bruge NSD til autoritative servere:
http://www.nlnetlabs.nl/nsd/

Derved opnår man at man skal bruge to forskellige programmer, begge bliver mere simple - og man risikerer ikke pludselig at have en server som kan begge dele.

NSD benyttes vist på K. rod navneserveren, Jeps det gør den:
http://k.root-servers.org/

Men desværre er overstående artikel meget forkert ...

DNS er ganske rigtigt som internets telefonbog. Men som der også angives mange steder er disse telefonopslag ikke krypterede eller sikrede (DNSSEC forsøger at løse dette). Man skal dernæst bruge sikre autoritative navneservere, det løser NSD og BIND til dels - sammen med de mange andre alternativer.
(btw DJB software er aldrig et alternativ, han er kugleskør og hans software er knapt nok open source)

En rekursiv navneserver, som Unbound, slår op på de autoritative navneservere - og skal selvfølgelig også være god og sikker software. Det er fint med alternativer, men jeg tvivler på at det rykker ret meget ved BINDs dominans.

Eksempelvis er NSD navneserveren ikke ret udbredt, selvom den efter sigende er ret hurtigt osv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere