Una introducción al DNS no enlazado

Como administradores de sistemas, necesitamos saber un poco más sobre qué es el DNS y cómo funciona, incluido lo que podría salir mal. Sabiendo todo esto, ¿qué ventaja tendría gestionar nuestro propio servidor DNS en casa o en nuestra pequeña organización? Puede haber varias razones por las que podría querer tener su propio servidor DNS.

  1. Un servidor DNS local puede reducir el tiempo de respuesta para consultas de direcciones y usar los recursos de la red de manera más eficiente, mejorando el rendimiento general.
  2. Se puede utilizar un servidor DNS local para filtrar las consultas. Por ejemplo, puede bloquear la resolución DNS de los sitios que ofrecen publicidad o malware.
  3. Algunas personas usan su propio servidor DNS para la privacidad y la seguridad de los datos.
  4. Es posible que desee tener su propio servidor DNS en su propio laboratorio o pequeña organización para manejar la resolución de nombres interna y local. Además, no tiene que recordar direcciones, depender de un servicio de DNS externo o mantener archivos de hosts en todos sus dispositivos.

Entonces, ¿por qué Unbound?

Tienes varias opciones para este proyecto. En aras de la discusión, discutiremos brevemente un ejemplo popular de los tres tipos principales (tenga en cuenta que solo consideraremos el software "abierto" que puede obtener sin tener que pagar una licencia).

ENLAZAR

ENLAZAR es el abuelo de los servidores DNS, la primera y aún la más común de las opciones disponibles. BIND es capaz de hacer todo lo que desearía hacer con un servidor DNS, en particular, proporciona un servidor DNS autorizado. Puede manejar muchas (como cientos de) zonas o dominios como última palabra en el direccionamiento. Todas estas características hacen que sea un poco más difícil de configurar y administrar que otras opciones, y también son más lentas que otras. Esto puede volverse complicado de administrar rápidamente y probablemente sea excesivo para un proyecto más pequeño.

DNSMasq

DNSMasq es un servidor de almacenamiento en caché ligero diseñado para el rendimiento y la facilidad de implementación. También viene con un simple servidor DHCP y TFTP. Es muy popular como parte del software empaquetado para uso doméstico y es una base para otro software que haya utilizado, como Clonezilla y Pi-Hole, ya que puede proporcionar todos estos servicios en un solo paquete pequeño. Desafortunadamente, aunque es capaz de dividir DNS, es un servidor de almacenamiento en caché solamente. No puede hacer recursividad (no puede buscar otro servidor DNS ni manejar referencias hacia o desde otros servidores) y ni siquiera puede alojar un dominio auxiliar, por lo que no es muy útil para administrar nombres y direcciones.

Sin consolidar

Sin consolidar puede ser un servidor de almacenamiento en caché, pero también puede hacer recursividad y conservar los registros que obtiene de otros servidores DNS, así como proporcionar un servicio autorizado, como si solo tuviera unas pocas zonas; por lo tanto, puede servir como un servidor auxiliar o "pegamento" , o aloje una pequeña área de solo unos pocos dominios, lo que la hace perfecta para un laboratorio o una pequeña organización. También es muy popular como servidor de capa recursivo y de almacenamiento en caché en implementaciones más grandes. Unbound es capaz de validación de DNSSEC y puede servir como ancla de confianza. Puede realizar el cifrado TLS, y la versión más reciente ahora implementa el estándar RPZ (una versión más robusta y sofisticada de lo que hace DNSMasq con DNS dividido para permitir el filtrado de consultas de DNS para privacidad y seguridad). También se ha convertido en el software de servidor DNS estándar predeterminado disponible para muchas distribuciones de GNU/Linux, incluidas las versiones basadas en BSD y Red Hat.

En mi propio laboratorio, estoy ejecutando un servidor autorizado BIND para un dominio interno, y quiero agregar un servidor Unbound que haga referencia a él, pero que también pueda almacenar en caché, repetir y reenviar solicitudes al mundo exterior. La única razón por la que los hago por separado es como referencia y práctica.

Instalación

Desde máquinas RHEL/CENTOS/Fedora, es tan fácil como obtenerlo de los repositorios principales de YUM:

[[email protected] ~]# yum install unbound
 
---> Package unbound.x86_64 0:1.6.6-1.el7 will be installed
---> Package libevent.x86_64 0:2.0.21-4.el7 will be installed
---> Package unbound-libs.x86_64 0:1.6.6-1.el7 will be installed
--> Finished Dependency Resolution


Total download size: 1.3 M
Installed size: 4.2 M

El archivo principal con el que trabajaremos para configurar Unbound es el unbound.conf archivo, que en RHEL/CentOS/Fedora está en /etc/unbound/unbound.conf

Pour ce projet, je vais installer Unbound en tant que serveur DNS de mise en cache/récursif avec la tâche supplémentaire de résoudre les machines dans mon laboratoire local via un serveur DNS déjà existant qui agit comme un serveur faisant autorité pour mon laboratoire et mon bureau a domicilio.

Envoltura

En la próxima entrega de este artículo, veremos la configuración básica de Unbound.

Artículos de interés

Subir