Unbound to darmowy i otwarty serwis DNS. Oferuje wiele funkcji, takich jak DNSSEC, HTTPS, IP_FREEBIND i wiele innych. Jeśli używasz Unbound, musisz upewnić się, że dbasz o konfigurację, aby Twój system działał jak najlepiej.
DNS over HTTPS
Unbound to serwer DNS, który przetwarza zapytania i dostarcza odpowiedzi użytkownikom. Może być używany w różnych sytuacjach, od buforowania po usługi autorytatywne. Można go również skonfigurować jako serwer typu stub.
Unbound został zaprojektowany tak, aby mógł obsługiwać wiadomości DNS szyfrowane protokołem TLS. Wykorzystuje bibliotekę nghttp2 do zapewnienia ramek HTTP/2. Może być łatwo zintegrowany z istniejącym kodem Unbound.
Protokół DNS został opracowany w 1984 roku. W tamtym czasie większość użytkowników znała się osobiście. Dziś miliony ludzi używają go do wyszukiwania zasobów i dodawania rekordów do bazy danych. W rezultacie DNS jest wysoce rozproszonym systemem.
IP_FREEBIND
Jeśli używasz IP freebind, istnieje szansa, że nie dostrzegasz większych możliwości. W szczególności brakuje Ci informacji o protokole nexo, czyli plątaninie sieciowych enklaw, które mają wspólną nazwę i są podatne na kolizje nazw domen. Na szczęście możesz zrobić pierwszy krok w kierunku szczęśliwego i zdrowego internetu, wdrażając protokół nexo. A najlepsze jest to, że jest to proces bezbolesny i nie wymaga zmiany sprzętu.
Oznacza to również, że możesz przejść do dobrych rzeczy wcześniej niż później, a to jest dokładnie to, do czego powinieneś dążyć. Wśród najciekawszych rzeczy, których się nauczysz, najważniejsza nie jest ta, którą wybrałeś.
DNSSEC
Domain Name System Security Extensions (DNSSEC) to zestaw protokołów, który dodaje integralności do DNS. Zapewnia on uwierzytelnianie i poufność żądań DNS. Wykorzystuje się je do uniemożliwienia złośliwym stronom zmiany danych DNS.
ICANN ma nadzieję, że adopcja DNSSEC będzie rosła, ponieważ więcej użytkowników będzie mogło skorzystać z tych protokołów. Aby DNSSEC działał, operatorzy sieci muszą go włączyć, a właściciele nazw domen muszą być świadomi jego istnienia.
Protokół DNSSEC składa się z dwóch głównych komponentów: walidacji i rejestrowania. Kiedy walidator sprawdza podpis DNSSEC, musi sprawdzić, czy domena została poprawnie podpisana. Jeśli nie uda mu się tego zrobić, oznacza to, że podpis jest nieważny.
Terminy
Unbound ma duży i nieporęczny zestaw funkcji, od fajnego rekursywnego schematu delegowania po wszechstronną usługę przekazywania i buforowania TCP i UDP. Sztuką jest dowiedzieć się, które z nich pozostawić w spokoju, a które zmodyfikować.
Aby zorientować się, co jest dostępne, musisz trochę poszukać. Dobrym miejscem do rozpoczęcia jest strona Unbound. Stamtąd możesz zorientować się, jakie są różnice między serwerami i jakie są zalety każdego z nich. W większości przypadków unbound robi wszystko, aby utrzymać stałe połączenia TCP z serwerami autorytetów. Jeśli serwer jest przeciążony zapytaniami, możesz doświadczyć pewnego opóźnienia. Aby temu zapobiec, możesz rozważyć konfigurację opartą na czasie, np. wykorzystanie wszystkich procesorów.
Instalacja
Unbound to pakiet oprogramowania serwera DNS typu open source. Jest to solidny serwer nazw obsługujący wszystkie standardowe funkcje DNS. Jest kompatybilny z wieloma platformami sprzętowymi i systemami operacyjnymi.
Został zaprojektowany jako buforujący serwer DNS, ale działa również jako serwer rekurencyjny. Obsługuje DNSSEC – technologię, która wykorzystuje podpisy cyfrowe do ochrony danych użytkownika. Ponadto Unbound jest rekurencyjny, co oznacza, że odpowiada na każdy adres IPv4 i IPv6. Jest również szybki. Dzięki temu idealnie nadaje się do małych sieci LAN, w których dostęp do Internetu ma kilkaset komputerów.
Unbound można zainstalować na większości nowoczesnych systemów operacyjnych. Działa na systemach Linux, FreeBSD i OS X.
Konfiguracja
Unbound to szybki i bezpieczny serwer nazw DNS. Jest idealny dla małych sieci LAN, w których dostęp do Internetu ma kilkaset maszyn. Jest dostępny dla większości systemów operacyjnych, w tym Linux, BSD i MacOS/X. Jest łatwy w konfiguracji i instalacji.
Unbound obsługuje walidację DNSSEC. Oznacza to, że można go skonfigurować tak, aby odpowiadał na zapytania, używając zaufanego wpisu z kluczem publicznym. Można to zrobić w pliku konfiguracyjnym.
Obsługuje również odwrotne odpowiedzi stref. Pozwala to uniknąć filtrowania w strefach RFC1918. Na przykład, jeśli ustawisz prywatną domenę, może ona zostać użyta do skonfigurowania strefy stub.