[GTER] Fwd: DNSCurve

Rubens Kuhl Jr. rubensk at gmail.com
Tue Sep 2 19:05:11 -03 2008


>> Mas
>> torço para que entre as primeiras implementações estejam o NSD e o
>> Unbound;
>
> Ja' andei experimentando com ambos, e achei-os pouco flexiveis quando
> comparados com o BIND; nao tem por exemplo o conceito de "views" do BIND,
> e nao da' para rodar um servidor recursivo e autoritativo no mesmo IP
> (util para instalacoes menores).

Você pode colocar IPs nas interfaces loopback ou como secundários na
Ethernet e rodar diversos DNS na mesma máquina, com software diferente
inclusive... eu aliás acho ruim rodar recursivo e autoritativo no
mesmo IP, mesmo em instalações menores, mas YMMV.
Não tenho porém nada contra rodar na mesma máquina.

> Por outro lado, o Unbound ja' era (mais)
> resistente `a vulnerabilidade levantada pelo Dan Kaminski "por default",
> nao precisando de nenhum patch, ao contrario do BIND...

O dnscache do DJB também, por sinal... é o mais antigo Kaminski-ready.
Depois veio uma versão (mas não a inicial) do Power DNS Recursor, e
depois o Unbound.

>> O autoritativo talvez seja
>> mais prático fazer como forward como até o DJB sugere, e deixar o
>> processo normal de desenvolvimento implantar essa funcionalidade nas
>> novas versões.
>
> Desde que algum dia saia uma implementacao para um DNSCurve server...
> ate' agora o DJB nao "mostrou o codigo".

De repente o Wietse Venema escreve o dele antes do DJB... :-)


>> Minha sensação é que se Nominum, Akamai, Google e Microsoft gostarem e
>> adotarem o DNSCurve, será um padrão de fato. Gostaria que se tornasse
>> um padrão de direito através de uma RFC, mas não acho que o ego do DJB
>> o permita passar pelo processo da IETF... então pessoas dessas 4
>> entidades, mais familiarizadas, poderiam fazê-lo, creditando-o pela
>> idéia original.
>
> Acho que este cenario tem bastante chance de vir mesmo a ocorrer.
>
> Vamos observar, e torcer... eu ficaria muito satisfeito de ver
> algo como o DNSCurve sendo implementado em larga escala.
>
> Neste particular, na minha opiniao nada ajudaria a difundir o DNSCurve
> mais rapidamente do que a sua implementacao no BIND (se possivel com a
> bencao da ISC, senao atraves de patches de terceiros): a enorme maioria
> de servidores DNS atualmente roda BIND (da ultima vez que vi, mais de
> 65% dos dominios era servida por BIND).

Patches para o BIND para Redhat/CentOS e Debian/Ubuntu já colocariam
isso em grande parte das máquinas Linux do planeta com ou sem benção
da ISC... já na Microsoft, ou ela embarca no DNS Service para Windows
Server e para o cliente embutido no XP/Vista, ou isso demorará mais
anos que o DNSSEC...


Rubens



More information about the gter mailing list