1. Ingénierie
  2. Informatique
  3. Java

Unbound, un résolveur DNSSEC libre

Téléchargement
Ajouter à la (aux) collection (s) Ajouter à enregistré
Unbound, un r´
esolveur DNSSEC libre
St´
ephane Bortzmeyer
<[email protected]>
Premi`
ere r´
edaction de cet article le 2 avril 2007. Derni`
ere mise `
a jour le 18 f´
evrier 2008
http://www.bortzmeyer.org/unbound-dnssec.html
—————————-
Tout le monde se met `
a DNSSEC ce mois-ci, essentiellement grˆ
ace aux intentions clairement ex-
prim´
ees par le gouvernement US de maintenir son contrˆ
ole sur la racine du DNS y compris via les
signatures DNSSEC. Le monde bruit donc de nouvelles et de projets sur DNSSEC, souvent plus vir-
tuels que r´
eels et souvent motiv´
es par le d´
esir de faire un beau communiqu´
e de presse plutˆ
ot que par
celui de d´
eployer un service largement utilis´
e. Mais peut-on tirer profit des rares domaines sign´
es, d`
es
aujourd’hui ?
Pour celui qui voudrait limiter le risque d’empoisonnement des donn´
ees DNS grˆ
ace `
a DNSSEC,
il existe deux r´
esolveurs DNS en logiciel libre, BIND et Unbound <http://www.rfc.se/unbound/
prototype-resolver.html>. Ce dernier est ´
ecrit en Java et, comme la plupart des programmes Java,
ne pouvait pas ˆ
etre utilis´
e dans un environnement 100 % logiciel libre, peu de programmes Java r´
eels ac-
ceptant de tourner avec les environnements libres comme gcj. D´
esormais, l’impl´
ementation de r´
ef´
erence
´
etant libre <http://www.sun.com/2006-1113/feature/>, on peut utiliser des programmes Java.
Unbound est encore assez beta et l’installation se fait `
a la main, en copiant les fichiers (dans mon
cas, en /local/share/unbound et j’ai modifi´
e le script de lancement unbound-resolver.sh pour
indiquer le CLASSPATH Java).
Unbound se configure ensuite via le fichier iterative-config.properties. Les cl´
es des do-
maines qu’on veut v´
erifier sont dans trust_anchors. En effet, la racine du DNS n’est pas sign´
ee `
a
l’heure actuelle. En attendant l’aboutissement de projets comme DLV (d´
ecrit dans le RFC 4431 1), il faut
donc configurer `
a la main les zones s´
ecuris´
ees et indiquer leurs cl´
es. Pour r´
ecup´
erer celles-ci, il n’y
a pas de moyen propre et standard, il faut aller `
a la pˆ
eche un peu partout. Dans mon fichier (en ligne
sur http://www.bortzmeyer.org/files/trust_anchors), j’ai indiqu´
e en commentaires les URL
des sites o `
u r´
ecup´
erer les cl´
es ; question s´
ecurit´
e, cela vaut ce que cela vaut mais il est difficile de faire
mieux aujourd’hui. En tout cas, cela vaut mieux que de simplement les r´
ecup´
erer dans le DNS (dig
DNSKEY domain.example.), ce qui n’offrirait aucune s´
ecurit´
e.
1. Pour voir le RFC de num´
ero NNN, https://www.ietf.org/rfc/rfcNNN.txt, par exemple https://www.ietf.
org/rfc/rfc4431.txt
1
2
On peut ensuite tester Unbound avec dig. Si un nom a une signature invalide, Unbound renvoie
Server Failure” (SERVFAIL). Cette politique n’est pas configurable (le r´
esolveur DNSSEC de Microsoft
est apparemment tout aussi peu configurable mais, lui, il renvoie ”No such domain” (NXDOMAIN).
Dans le fichier iterative-config.properties, on peut aussi indiquer, pour chaque domaine,
des serveurs de noms `
a interroger directement si les vrais serveurs ne font pas de DNSSEC. Ainsi,
.net avait des serveurs DNSSEC (mais qui ne semblent plus accessibles). L’AFNIC en a aussi pour .fr,
accessibles de l’ext´
erieur. Si la zone .example est sign´
ee sur un tel jeu de serveurs experimentaux, on
peut dire `
a Unbound de l’utiliser ainsi :
dns.stub = example
dns.stub.example = 192.0.2.34 192.0.2.35
On peut trouver plein de noms valides et invalides (`
a des fins de test) en <http://www.dnssec-tools.
org/testzone/>.
Apr`
es quelques jours, j’ai arrˆ
et´
e. Unbound plante tr`
es souvent, avec de magnifiques piles d’excep-
tions Java comme :
java.lang.IllegalArgumentException: Entry was invalid
at se.rfc.unbound.cache.CacheCore.removeFromLRU(CacheCore.java:139)
at se.rfc.unbound.cache.CacheCore.get(CacheCore.java:212)
at se.rfc.unbound.cache.StandardHostCache.lookup(StandardHostCache.java:94)
at se.rfc.unbound.DelegationPoint.addTarget(DelegationPoint.java:216)
at se.rfc.unbound.DelegationPoint.addTargets(DelegationPoint.java:245)
at se.rfc.unbound.DelegationPoint.addTargets(DelegationPoint.java:259)
at se.rfc.unbound.DelegationPoint.messageToDelegationPoint(DelegationPoint.java:411)
at se.rfc.unbound.iter.IterativeResolver.processInitRequest(IterativeResolver.java:923)
at se.rfc.unbound.iter.IterativeResolver.handleEvent(IterativeResolver.java:743)
at se.rfc.unbound.iter.IterativeResolver.processRequest(IterativeResolver.java:679)
at se.rfc.unbound.validator.ValidatingResolver.processRequest(ValidatingResolver.java:873)
at se.rfc.unbound.server.Server.processRequest(Server.java:226)
at se.rfc.unbound.server.Server.handleReadRequest(Server.java:763)
at se.rfc.unbound.server.Server.handleRead(Server.java:698)
at se.rfc.unbound.server.Server.serve(Server.java:383)
at se.rfc.unbound.server.Server.main(Server.java:1098)
Le probl`
eme est parfois li´
e`
a un nom particuli`
er (r´
esoudre www.ripe.net entraine une java.lang.NullPointerException
alors que r´
esoudre ns-pri.ripe.net ne cr´
ee aucun probl`
eme) et parfois pas. Dans tous les cas,
Unbound-Java n’est pas prˆ
et pour un fonctionnement en production.
Son d´
eveloppement semble d´
esormais stopp´
e. Un autre logiciel du mˆ
eme nom a ´
et´
e publi´
e<http:
//www.nominet.org.uk/news/releases/?contentId=5085>,´
ecrit cette fois en C (ce qui r`
egle
les probl`
emes de licence), Unbound est donc d´
esormais utilisable en production <http://www.bortzmeyer.
org/unbound.html>. Il a une API donc on peut d´
evelopper ses propres applications DNSSECis´
ees.
Ici, voici son utilisation depuis la ligne de commande :
% unbound-host -F ˜/etc/trusted-keys -v www.ripe.net
www.ripe.net is an alias for kite-www.ripe.net. (secure)
kite-www.ripe.net has address 193.0.0.214 (secure)
kite-www.ripe.net has IPv6 address 2001:610:240:0:a843::8 (secure)
kite-www.ripe.net has no mail handler record (secure)
% unbound-host -F ˜/etc/trusted-keys -v www.afnic.fr
www.afnic.fr is an alias for rigolo.nic.fr. (insecure)
rigolo.nic.fr has address 192.134.4.20 (insecure)
rigolo.nic.fr has IPv6 address 2001:660:3003:2::4:20 (insecure)
rigolo.nic.fr has no mail handler record (insecure)
—————————-
http://www.bortzmeyer.org/unbound-dnssec.html
1 / 2 100%
Documents connexes
Rachid GUELAI - Developpez.net
Rachid GUELAI - Developpez.net
Exas Programmation Systèmes février 06
Exas Programmation Systèmes février 06
HTML 5 /Framework La conception orientée Langage SQL pour les Développement Java 8
HTML 5 /Framework La conception orientée Langage SQL pour les Développement Java 8
JAVA - FCPR Formation
JAVA - FCPR Formation
Stagiaire Développeur Java
Stagiaire Développeur Java
Offres Développeur/Développeuse d`application depuis 1 semaine
Offres Développeur/Développeuse d`application depuis 1 semaine
developpeur java – h/f
developpeur java – h/f
Forum: Mises à jour de logiciels
Forum: Mises à jour de logiciels
Chapitre 1: Introduction Agenda Programmation Java 2 • Plan du cours
Chapitre 1: Introduction Agenda Programmation Java 2 • Plan du cours
Quelles solutions d`hébergement Java sont offertes par Telenet?
Quelles solutions d`hébergement Java sont offertes par Telenet?
Entreprise 35 - Offre 168 - JAVA
Entreprise 35 - Offre 168 - JAVA
Nous recherchons pour un de nos clients, un(e) Développeur Java
Nous recherchons pour un de nos clients, un(e) Développeur Java
La catégorie de ce document est-elle correcte?
  1. Ingénierie
  2. Informatique
  3. Java
Merci pour votre participation!

Faire une suggestion

Avez-vous trouvé des erreurs dans linterface ou les textes ? Ou savez-vous comment améliorer linterface utilisateur de StudyLib ? Nhésitez pas à envoyer vos suggestions. Cest très important pour nous !

Produits
Assistance
© 2013 - 2024 studylibfr.com toutes les autres marques déposées et droits dauteur sont la propriété de leurs propriétaires respectifs
GDPR Confidentialité Conditions d'utilisation