BINDに代わるDNSサーバ

0
    OSS研究室の大野です。

    OSSのDNSサーバと言えばBINDですが、最近ではBINDの脆弱性がとても多く発見されています。
    BINDをお使いのシステム管理者さんは、頻繁なバージョンアップ等、苦労されている方も多いのではないでしょうか?
    そこで、OSS研究室ではBINDに代わるDNSサーバの調査を行うことにしました。

    セキュリティに強いDNSサーバを構築する方法として、キャッシュDNSサーバと権威DNSサーバを別々に構成することは一般的になっています。
    キャッシュDNSサーバではUnboundが多く使用されるようになってきており、2014年にリリースされたRed Hat Enterprise Linux 7 / CentOS 7 では、ディストリビューションのパッケージとして採用されています。
    Unboundは、キャッシュ汚染に対する耐性が強い、高速に動作する、設定が容易である、等、いろいろなメリットがあります。

    権威DNSサーバも、BINDに代わるOSSが出てきています。
    最近利用されるようになってきている3つのDNSサーバ NSD, KnotDNS, PowerDNS について調査を行いました。

    [NSD]
    Unboundを開発した NLnet Labs が開発した権威DNSサーバです。
    権威DNSサーバの機能だけと提供しており、キャッシュDNSの機能はありません。BINDと比較して高速に動作すると言われています。
    一部のルートサーバにも使用されており、十分な動作実績があります。

    [KnotDNS]
    CZ NIC が開発した権威DNSサーバです。
    マルチスレッドで動作するように設計されており、CPUの数と比例して高速に動作すると言われています。
    ANY問い合わせを無効にする機能や、RRL(Response Rate Limiting)に対応しており、セキュアな権威DNSサーバを構築することができます。

    [PowerDNS]
    オランダのPowerDNS.COM BVが開発したDNSサーバです。
    LDAP、MySQL、PostgreSQL、Oracle、BINDのゾーンファイルなど、様々なバックエンドを使用できます。
    バックエンドにMySQLやPostgreSQL等のRDBを利用する場合、Poweradmin等の管理ウェブインタフェースを利用することができ、管理面で優れています。
    キャッシュDNSサーバの機能も有していますが、権威DNSサーバとは完全に切り離された状態で動作します。

    上記のDNSサーバについて、BINDと比較するためにベンチマークを行ってみました。
    ベンチマークの結果はデージーネットのホームページの 無料資料ダウンロード からダウンロードできますので、よろしければご参照ください。


    コメント
    コメントする








       

    calendar

    S M T W T F S
     123456
    78910111213
    14151617181920
    21222324252627
    282930    
    << June 2020 >>

    selected entries

    categories

    archives

    recent comment

    links

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM