Your SlideShare is downloading. ×
0
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
#dnstudy 01 Unboundの紹介
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

#dnstudy 01 Unboundの紹介

4,265

Published on

Published in: Technology, News & Politics
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,265
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
48
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1Unboundの紹介日本Unboundユーザ会 滝澤隆史 日本Unboundユーザ会 2011-06-18 #dnstudy 01 発表資料
  • 2. 2日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 3. 3 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料日本Unboundユーザ会• 何となくノリで作った• なぜか公式(NLnet Labs)公認• ユーザ会と名乗っている割にはコミュニテゖー として体をなしていない• ときどき協力してくださる方がいるので助かっ ている• Googleグループに議論や連絡の場所を作った。 ▫ http://groups.google.com/group/unbound-jp
  • 4. 4 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料ユーザ会の主な活動• ウェブサ゗トの公開 ▫ http://unbound.jp/• マニュゕル等の翻訳• Unboundだけでなく、ldnsとNSDについてもマ ニュゕルを翻訳して公開している• 技術検証はほとんどできていない
  • 5. 5日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 6. 6 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料BINDの代替を目指したキャッシュサーバ• 設定の容易さ• フルスペックのキャッシュサーバ• 機能を限定した権威サーバ• キャッシュ汚染への高い耐性• 高い処理性能• リモート制御ツール• DNSSEC対応
  • 7. 7 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料NLnet Labsが開発・保守• Verisign labs〃Nominet〃Kirei〃EP.netがプロトタ ゗プをJavaで開発した• NLnet LabsがCで実装し直した• NLnet Labsはルートサーバでも利用されている権 威DNSサーバのNSDの開発元でもある• BSDラ゗センス
  • 8. 8 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料動作環境• UNIX系OS(Linux, *BSD, MacOS X, Solaris)• Windows
  • 9. 9 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料動作環境/依存ラ゗ブラリ• 依存するラ゗ブラリ▫ OpenSSL  GOSTに対応していない場合(0.9.8以前)はunbound のconfigure時に--disable-gostを付ける必要がある。▫ libexpat  Unbound 1.4.7以降で必要となる▫ ldns  unboundのビルド時に同梱のldnsを組み込むこともで きる
  • 10. 10 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/パッケージ(Linux系)Linuxデゖストロ Unbound ldns 備考Debian GNU/Linux squeeze 1.4.6 1.6.6Debian GNU/Linux wheezy 1.4.10 1.6.9Ubuntu 10.04 LTS 1.4.1 1.6.1Ubuntu 10.10 1.4.5 1.6.4Fedora 15 1.4.8 1.6.8 標準パッケージなし。RHEL 5/CentOS 5 (1.4.4) (1.6.4) Fedora EPEL 5より 標準パッケージなし。RHEL 6 (1.4.4) (1.6.4) Fedora EPEL 6よりopenSUSE 11.3 - 1.5.1 パッケージなしMomonga Linux 7 1.4.6 1.6.5Gentoo Linux 1.4.10 1.6.9
  • 11. 11 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/パッケージ(BSD系)OS Unbound ldns 備考FreeBSD 1.4.10 1.6.9 PortsNetBSD 1.4.9 1.6.9 Packages CollectionOpenBSD 1.4.10 1.6.9 PortsMac OS X(MacPorts) 1.4.10 1.6.8 MacPorts
  • 12. 12 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料動作環境/Windows• 公式サ゗トにWindows版が公開されている• ゗ンストーラー付き
  • 13. 13 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料動作環境/Windows• ゗ンストール後に参照する「DNSサーバー」を 「127.0.0.1」に変更するだけ• ルートのトランスゕンカーが自動で取得され、 DNSSECの検証が有効になる。
  • 14. 14 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料バージョンの履歴• 1.0.0(2008年05月) ▫ 正式リリース• 1.1.0(2008年11月) ▫ DLV対応• 1.2.0(2009年1月) ▫ unbound-controlコマンド• 1.3.0(2009年6月) ▫ Windows版、Python対応
  • 15. 15 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料バージョンの履歴• 1.4.0(2009年11月) ▫ トラストゕンカーの自動更新機能 ▫ RSASHA256とRSASHA512サポート (デフォルト有効)• 1.4.7(2010年11月) ▫ unbound-anchorコマンド (ルートゾーンのDNSKEYの取得)• 1.4.10(2011年5月) ▫ 最新版 ▫ セキュリテゖ修正あり
  • 16. 16 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料利用すべきバージョン• 1.4.10以降を推奨 ▫ 1.4.9以前にセキュリテゖ問題あり ▫ 設定パラメータautomatic-interfaceをnoに設定して いればこれより古いバージョンでもよい• 少なくとも1.4.0以降を利用すべき ▫ トラストゕンカーの自動更新 ▫ RSASHA256とRSASHA512のサポート• 1.4.7以降を推奨 ▫ unbound-anchorコマンドが新規導入には便利
  • 17. 17日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 18. 18 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料設定フゔ゗ル• 設定フゔ゗ルは一つ ▫ unbound.conf• 形式 ▫ パラメータ名: 設定値• 設定例 ▫ server: verbosity: 1 interface: 0.0.0.0 access-control: 192.0.2.0/24 allow
  • 19. 19 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料ゾーンフゔ゗ルの記述不要• ループバックゕドレスに対する正引きおよび逆 引きのゾーンなどのお決まりのゾーン▫ 組み込まれている▫ BINDのようにゾーンフゔ゗ルを用意する必要はな い
  • 20. 20 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料ホスト自身のリゾルバ• デフォルトの設定で動作可能▫ ローカルホストにバ゗ンド▫ ゕクセス制御はローカルホストのみ許可
  • 21. 21 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料他のホストに対するフルリゾルバ• "interface"でバ゗ンドする゗ンターフェ゗スの指 定• "access-control"でゕクセス制御を指定• 設定例 ▫ server: interface: 0.0.0.0 ←バ゗ンドする゗ンターフェ゗ス(IPv4) interface: ::0 ←バ゗ンドする゗ンターフェ゗ス(IPv6) access-control: 192.0.2.0/24 allow ←ゕクセス制御 access-control: 2001:db8:beef::/48 allow ←ゕクセス制御
  • 22. 22日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 23. 23 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料フルスペックのキャッシュサーバ• 再帰問い合わせ• キャッシュ• DNSSECの検証• スタブ• フォワード
  • 24. 24 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料スタブ• 指定したゾーンに対して指定した権威サーバへ 問い合わせを行う• "stub-zone"を設定する• 設定例▫ stub-zone: name: "example.org" stub-addr: 192.0.2.1 stub-zone: name: "2.0.192.in-addr.arpa" stub-addr: 192.0.2.1
  • 25. 25 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料フォワード• 指定したゾーンに対して指定したキャッシュ サーバへ再帰問い合わせを行う• "forward-zone"を設定する• 設定例▫ forward-zone: name: "example.com" forward-addr: 192.0.2.68 forward-addr: 192.0.2.73@5355
  • 26. 26 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料制限事項• DNSラウンドロビン非対応 ▫ キャッシュした内容をそのままの順番で回答する
  • 27. 27日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 28. 28 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料限定的な機能の権威サーバ• フル実装は目指していない• 別の権威サーバに問い合わせるまでもないリ ソースレコードについて回答する
  • 29. 29 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料ループバックゕドレス• ループバックゕドレスの正引きと逆引き▫ localhost.▫ 127.in-addr.arpa.▫ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0.0.ip6.arpa.
  • 30. 30 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料不要な逆引きの問い合わせへの回答• 不要な逆引きの問い合わせにはName Error (NXDOMAIN)を返す(AS112的な対応) ▫ プラ゗ベート ▫ リンクローカル ▫ テストネット ▫ ブロードキャスト ▫ 例示
  • 31. 31 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料リソースレコードの登録• local-data ▫ リソースレコードを登録できる  local-data: a.example.jp. IN A 192.0.2.1  local-data: 1.2.0.192.in-addr.arpa. IN PTR a.example.jp.• local-data-ptr ▫ PTRの簡略記法  local-data-ptr: 192.0.2.1 a.example.jp.• local-data, local-data-ptrはLAN内のホストの名前 解決用に利用すると便利
  • 32. 32 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料プラ゗ベートゕドレスの注意事項• forward-zoneやstub-zoneでプラ゗ベートゕドレス の逆引き用にキャッシュサーバや権威サーバを 指定する場合 ▫ stub-zone: name: "0.168.192.in-addr.arpa" stub-addr: 192.0.2.1• このときAS112対策でName Error(NXDOMAIN) が返される ▫ 対策としてlocal-zoneでtransparentを指定 ▫ local-zone: "0.168.192.in-addr.arpa." transparent
  • 33. 33 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18"Unbound 1.0.2 Patch Announcement"のまとめhttp://unbound.net/documentation/patch_announce102.html
  • 34. 34 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料オープンリゾルバにならないためのゕクセス制御• デフォルトではlocalhostからのみゕクセス可能• 必要に応じてゕクセスを許可 ▫ interface: 0.0.0.0 ▫ access-control: 192.0.2.0/24 allow
  • 35. 35 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料キャッシュ汚染への高い耐性• 回答に対するサニタ゗ジング• 暗号学的に強いランダム性を持つクエリーIDの 利用• 暗号学的に強いランダム性を持つソースポート 番号の 利用• ランダムなデステゖネーションIPゕドレスの利 用• ランダムなソースIPゕドレスの利用• dns-0x20(クエリーの際に大文字・小文字をラ ンダムに混ぜる)
  • 36. 36 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料デフォルトのランダム性クエリーID 16 ビットポート番号 16 ビットデステゖネーションIPゕドレス(平均) 2 ビットランダム性の合計 34 ビット
  • 37. 37 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料さらに工夫した場合のランダム性クエリーID 16 ビットポート番号 16 ビットデステゖネーションIPゕドレス(平均) 2 ビットソースIPゕドレス(平均) 2 ビットdns-0x20(平均) 8 ビットランダム性の合計 44 ビット
  • 38. 38 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料攻撃に対する耐性ビット 50%機会 5%機会 16 10秒 1秒 ランダムなクエリーIDのみ 26 2.8時間 17分 ランダムなクエリーIDとソースポートのラン ダムの範囲1024ポート 34 28日 2.8日 Unboundデフォルト 44 28444日 2844.4日 Unbound(dns-0x20とソースゕドレス)
  • 39. 39 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料dns-0x20の注意点• この機能はデフォルトでは無効である• 設定フゔ゗ルで"use-caps-for-id: yes"と記述する ことで有効になる• 有効にすると問い合わせに失敗することがある ため、実験的な機能として捉えてください
  • 40. 40日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 41. 41 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料Performance tests results onBIND9/NSD/UNBOUND• IEPG Meeting – November 2010 @ IETF 79 ▫ http://iepg.org/2010-11-ietf79/• Orange LabsのDaniel Migault氏の発表• BINDの2~3倍のキャッシュ処理性能
  • 42. 42 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 Alternative DNS Servers: the book as PDF • Jan-Piet Mens著" Alternative DNS Servers " ▫ http://blog.fupps.com/2010/10/29/alternative-dns- servers-the-book-as-pdf/ PowerDNS MaraDNS BIND dnscache Unbound RecursorQueries /sec 13,846 16,066 14,957 10,796 25,072Queries /sec (LAN) 13,308 26,656 13,114 21,218 30,569Queries /sec (10 clients) 3,068 3,003 2,928 2,074 8,276RSS size 1,336 40,916 1,712 14,336 16,828VSZ size 168,408 195,380 6,044 26,500 180,648 P.559 Table 23.9: How the caching name servers performed
  • 43. 43日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 44. 44 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料unbound-control• リモート制御ツール• BINDのrndcのようなもの
  • 45. 45 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料Unboundへの接続• ポート番号はTCP953• サーバにはSSL/TLS経由で接続 ▫ 秘密鍵や証明書が必要 ▫ 秘密鍵と自己署名証明書 を作成する unbound-control-setupというスクリプトあり
  • 46. 46 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料主な機能• 起動、停止、リロード、状態の出力• 饒舌さ(verbosity)の変更• 統計情報の出力• ローカルゾーンの操作(追加、削除)• ローカルデータの操作(追加、削除)• キャッシュのダンプ、ロード、削除• 設定オプションの設定および取得• 利用中のスタブゾーン、フォワードゾーン、 ローカルゾーン、ローカルデータの一覧の出力
  • 47. 47日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 48. 48 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料DNSSEC• 別資料「UnboundとDNSSEC」を参照 ▫ http://unbound.jp/unbound/
  • 49. 49日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18

×