Server DNS, BIND ha un nuovo rivale open

Si chiama Unbound, ha amici nelle alte sfere, e ambisce a detronizzare lo storico BIND. Si tratta di un nuovo server DNS open source progettato per resistere a tutti i pių diffusi attacchi e fornire performance di prima classe

Amsterdam - Altrettanto completo di BIND ma, rispetto a questo, più sicuro e veloce. Č quanto promette Unbound 1.0, prima versione matura di un server DNS open source sponsorizzato, tra gli altri, dalla famosa multinazionale americana VeriSign che gestisce la registrazione dei domini ".com" e ".net".

Sebbene sia principalmente indirizzato agli ISP e alle grandi aziende, Unbound è disponibile anche in una versione embedded adatta per essere inglobata nelle appliance di rete, come router e modem ADSL. Da questo punto di vista, i suoi creatori affermano che Unbound è più versatile e modulare rispetto a BIND, e ciò grazie al fatto che è stato progettato e sviluppato da zero.

A differenza di altre alternative a BIND - open source e proprietarie - Unbound supporta praticamente tutte le funzionalità di quest'ultimo, incluse ricorsività, caching e supporto a DNSSEC (DNS Security Extensions), un'estensione di sicurezza per il protocollo DNS che protegge da attacchi come il DNS cache poisoning. BIND ha implementato integralmente la specifica DNSSEC a partire dall'ultima release, la 9, rilasciata nel 2000. Secondo gli sviluppatori di Unbound, il loro server e BIND sono oggi le uniche implementazioni open source del Domain Name System a supportare lo standard DNSSEC.
"Sebbene, tra i server DNS, BIND rappresenti lo standard di fatto fin dagli anni '80, il desiderio di cercare un'alternativa capace di eccellere in sicurezza, performance e facilità d'uso, ci ha spinto a sviluppare una nuova implementazione open source del DNS", hanno spiegato gli autori di Unbound in questo comunicato. "Unbound fornisce una solida difesa contro i più diffusi attacchi DNS minimizzando la degradazione delle performance. Oltre a ciò, ci siamo sforzati al massimo di produrre codice elegante, leggibile e ben documentato".

Unbound è stato progettato nel gennaio del 2004 da Jakob Schlyter, della società di consulenza Kirei, e Roy Arends, del registrar inglese Nominet. VeriSign e EP.Net hanno finanziato lo sviluppo di una prima implementazione del software, i cui principali fautori sono David Blacka e Matt Larson di VeriSign. Nel tardo 2006 si è unita all'iniziativa l'organizzazione non profit NLnet Labs, con sede ad Amsterdam, che partendo dal prototipo di Blacka e Larson ha trasformato Unbound in quello che è oggi.

Pubblicato sotto la licenza open source BSD, la stessa di BIND, Unbound può essere scaricato da qui per Linux e fatto girare su diversi sistemi operativi conformi allo standard POSIX, tra i quali Mac OS X, FreeBSD e Solaris.
50 Commenti alla Notizia Server DNS, BIND ha un nuovo rivale open
Ordina
  • non è che si tratta di vendetta di verisign per via della patch che bind tiro' subito fuori quando verisign pretendeva di risolvere tuti i domini inesistenti sul suo motore di ricerca e l'intero mondo gli fece un c... così?
    non+autenticato
  • Bind ha una licenza as-is, come descritto dall'header di ogno file sorgente che lo compone:

    /*
    * Copyright (C) 2004-2007 Internet Systems Consortium, Inc. ("ISC")
    * Copyright (C) 1999-2003 Internet Software Consortium.
    *
    * Permission to use, copy, modify, and/or distribute this software for any
    * purpose with or without fee is hereby granted, provided that the above
    * copyright notice and this permission notice appear in all copies.
    *
    * THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
    * REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
    * AND FITNESS. IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
    * INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
    * LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
    * OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
    * PERFORMANCE OF THIS SOFTWARE.
    */

    Leggermente diversa quella idnkit (ma sempre as-is) per il fatto che 'e sviluppato da un team giapponese idn ~= utf-8

    Mah, a me sembra gia abbastanza aperta, poi fate voi.
  • a parte che il programma e sotto licenza BSD, bsd e non gpl
    ma secondo voi questo dovrebbe sostiturire bind?
    http://www.unbound.net/documentation/libunbound-tu...

    verisign gestisce i domini com e net?
    ma chi lo ha scritto sto articolo? ha fatto bene a non firmarsi.
    a parte che verisign gestisce i certificati e non i domini.
    ma poi l'autore di questo articolo da campionario delle castronerie lo ha visto il programma?

    quera con una libreria?
    ma scherziamo o cosa
    usa una libreria ad hoc su un file di configurazione ad hoc
    e va ricompilato tutto il binario ogni volta che bisogna fare delle modifiche? no dico ma scherzate???/
    e questa monnezza dovrebbe sostituire bind?

    ma avete visto come funziona?
    o_O

    una cosa cosi impraticabile (pensate chi a migliaia di entry sul dns) non si era mai visto da quando l'uomo invento' la prima ruota e la fece quadrata!
    -----------------------------------------------------------
    Modificato dall' autore il 22 maggio 2008 13.39
    -----------------------------------------------------------
  • - Scritto da: Spectator
    > a parte che il programma e sotto licenza BSD, bsd
    > e non
    > gpl
    > ma secondo voi questo dovrebbe sostiturire bind?

    imho no

    > http://www.unbound.net/documentation/libunbound-tu
    >
    > verisign gestisce i domini com e net?
    > ma chi lo ha scritto sto articolo? ha fatto bene
    > a non
    > firmarsi.
    > a parte che verisign gestisce i certificati e
    > non i
    > domini.

    Verisign 'e _anche_ un registar per i .com e .net come ce ne sono molti altri.

    > ma poi l'autore di questo articolo da campionario
    > delle castronerie lo ha visto il
    > programma?
    >

    IMHO no

    > quera con una libreria?
    > ma scherziamo o cosa
    > usa una libreria ad hoc su un file di
    > configurazione ad
    > hoc
    > e va ricompilato tutto il binario ogni volta che
    > bisogna fare delle modifiche? no dico ma
    > scherzate???/
    > e questa monnezza dovrebbe sostituire bind?
    >

    Ma neanche tu hai guardato bene, esiste un server, e anche una libreria, di ricompilare a ogni modifica non se ne parla proprio.
    Gia' guardando la documentazione di come va scritto il config file ti puoi fare un idea.
    http://www.unbound.net/documentation/unbound.conf....

    > ma avete visto come funziona?
    > o_O

    no, e per ora non ci tengo, appena passa l'hype creato ad arte ... forse

    > una cosa cosi impraticabile (pensate chi a
    > migliaia di entry sul dns) non si era mai visto
    > da quando l'uomo invento' la prima ruota e la
    > fece
    > quadrata!

    vedi spiegazione sopra, credo che la ruota l' abbiano ri-fatta rotonda.
  • - Scritto da: vivo
    > - Scritto da: Spectator
    > > a parte che il programma e sotto licenza BSD,
    > bsd
    > > e non
    > > gpl
    > > ma secondo voi questo dovrebbe sostiturire bind?
    >
    > imho no
    >
    > >
    > http://www.unbound.net/documentation/libunbound-tu
    > >
    > > verisign gestisce i domini com e net?
    > > ma chi lo ha scritto sto articolo? ha fatto bene
    > > a non
    > > firmarsi.
    > > a parte che verisign gestisce i certificati e
    > > non i
    > > domini.
    >
    > Verisign 'e _anche_ un registar per i .com e .net
    > come ce ne sono molti
    > altri.
    >
    > > ma poi l'autore di questo articolo da
    > campionario
    > > delle castronerie lo ha visto il
    > > programma?
    > >
    >
    > IMHO no
    >
    > > quera con una libreria?
    > > ma scherziamo o cosa
    > > usa una libreria ad hoc su un file di
    > > configurazione ad
    > > hoc
    > > e va ricompilato tutto il binario ogni volta che
    > > bisogna fare delle modifiche? no dico ma
    > > scherzate???/
    > > e questa monnezza dovrebbe sostituire bind?
    > >
    >
    > Ma neanche tu hai guardato bene, esiste un
    > server, e anche una libreria, di ricompilare a
    > ogni modifica non se ne parla
    > proprio.
    > Gia' guardando la documentazione di come va
    > scritto il config file ti puoi fare un
    > idea.
    > http://www.unbound.net/documentation/unbound.conf.

    mi ricorda tragicomicamente il nis della sun dove per aggiungere host e dati dovevi fare il make ogni volta il demone server e' un demone che si appoggia ad una libreria ma ti ripeto mi ricorda tanto il nis ma fatto assai peggio.

    per quanto riguarda verisign da quanto so vende i certificati ssl per le aziende, non ho mai sentito che gestiva i TLD da quello che so io e' solo la ICANN a farlo.
  • Scusate...ma qualcuno ha capito dall'articolo
    che differenze ci sono con bind?
    A parte "abbiamo scritto il codice pulito" e
    "ci siamo sforzati di renderlo sicuro" non
    vedo niente di piu' preciso.
    Qualcuno e' in grado di dire qualcosa di piu' concreto?
    non+autenticato
  • - Scritto da: cappero
    > Scusate...ma qualcuno ha capito dall'articolo
    > che differenze ci sono con bind?
    > A parte "abbiamo scritto il codice pulito" e
    > "ci siamo sforzati di renderlo sicuro" non
    > vedo niente di piu' preciso.
    > Qualcuno e' in grado di dire qualcosa di piu'
    > concreto?

    di concreto ti posso dire: se sei un masochista puoi usarlo tranquillamente.
    La gestione viene fatto sulla ricompilazione di una libreria ad hoc che tale binario si deve andare a rileggere ogni volta e devi ricompilare ogni volta un orrore simile non l'ho mai visto dai tempi del nis e del nis+ di sun
  • per completezza di informazione

    http://en.wikipedia.org/wiki/Daniel_J._Bernstein

    http://cr.yp.to/djbdns/forgery.html

    (qui Bernstein spiega perche' dnssec non serve ancora a nulla)

    http://cr.yp.to/djbdns.html

    il suo server dns
    non+autenticato
  • Paul Vixie:

    > Bind people don't ack djb points and vice versa.

    i don't ack djb's existence, not merely his "points."
    non+autenticato
  • - Scritto da: Anonimo Codardo
    > Paul Vixie:
    >
    > > Bind people don't ack djb points and vice versa.
    >
    > i don't ack djb's existence, not merely his
    > "points."

    Beh qui Paul Vixie si dimostra peggio di Bernstein in quanto ad atteggiamento "trolloso"; lo sanno tutti che Bernstein e' intrattabile (e' forse l'unico peggio di De Raadt nella comunita' open), ma e' anche un fior di programmatore ed esperto di sicurezza che liquidare con "non ne parlo neanche" mi sembra quantomeno stupido.
    non+autenticato
  • - Scritto da: rotfl

    >
    > Beh qui Paul Vixie si dimostra peggio di
    > Bernstein in quanto ad atteggiamento "trolloso";
    > lo sanno tutti che Bernstein e' intrattabile (e'
    > forse l'unico peggio di De Raadt nella comunita'

    Pienamente daccordo Sorride

    > open), ma e' anche un fior di programmatore ed
    > esperto di sicurezza che liquidare con "non ne
    > parlo neanche" mi sembra quantomeno
    > stupido.

    Ti diro' di piu', DJB, implementa molte delle sue funzioni in stile assembly. Quindi difficilmente lo freghi. Si posso verificare sempre degli errori, ma difficilmente tali da compromettere l'intero sistema.
    non+autenticato
  • Grazie per i link. Li ho trovati molto interessanti.

    Se non ricordo male, Verisign aveva utilizzato un certo controllo (scusate se sono vago, ma vado a memoria) sui dns per spedire un redirect a tutti gli utenti che sbagliavano a digitare un indirizzo web. Naturalmente le destinazioni erano pagine pubblicitarie.

    Cercando su internet trovo ancora tracce della cosa:
    http://www.petitiononline.com/icanndns/

    Non so se la tecnologia utilizzata fosse proprio dnssec. Dunque cerchiamo anche di capire perche' Verisign ha fatto questa mossa prima di buttarci a pesce sul nuovo dns.

    Ciao,
    Marco Tamanti
  • Scusa, potresti approfondire la questione relativa a qmail (visto che lo sto installando in questi giorni)? Sembrava fosse un buon mail server, stabile.
    non+autenticato
  • infatti

    non dargli retta

    fai un giro per vedere chi lo usa

    ...qualcuno ha detto hotmail?
  • ..qulche duno ha detto yahoo?

    (un cammello solitario nel deserto : "speriamo di trovare qualche duna!")
    -----------------------------------------------------------
    Modificato dall' autore il 22 maggio 2008 12.52
    -----------------------------------------------------------
  • - Scritto da: astruso
    > Scusa, potresti approfondire la questione
    > relativa a qmail (visto che lo sto installando in
    > questi giorni)? Sembrava fosse un buon mail
    > server,
    > stabile.

    e' niente di piu' che un software didattico, al pari di minix; qmail non supporta quasi nessuna delle features che supportano i moderni mta (supporto ldap, antivirus, tls con smtp auth, ecc..); per renderlo quasi usabile devi letteralmente riempirlo di patch distribuite da terze parti (addirittura per venire incontro al marasma di conflitti che si hanno installando N patch contemporaneamente c'e' chi ha creato una patch fatta di patch (netqmail)); in ambiente enterprise usare qmail e' abbastanza sconsigliato, sia per i suddetti motivi (se devo installare N patch di terze parti, nessuno garantisce piu' la sicurezza e stabilita' tanto sbandierata per qmail), sia per problemi di installazione e update (per motivi di licenza non e' possibile distribuire qmail sotto forma di pacchetti binari, quindi non ti puoi affidare a sistemi di update consolidati, ma devi ricompilare tutto a mano su ogni singola macchina)
    non+autenticato
  • opporcogiuda!
    adesso corro a togliere qmail e djbdns da tutti i miei server
    up da anni senza nessun aggiornamento!

    avvisi tu yahoo che stanno usando un software didattico?
  • Ma non era diventato opensource?
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)