Forum Linux.debian/ubuntu Serveur DNS : Unbound ou bind9 ?

Posté par  . Licence CC By‑SA.
Étiquettes :
2
12
oct.
2022

Bonjour,

Actuellement j'utilise bind9 comme serveur DNS sur un PC routeur configuré comme "box".

Bind9 me permet de gérer :
-Une zone DNS associé mon nom de domaine
-Resolveur DNS non publique

Je souhaite mettre en place des communications type DNS Over TLS.

En regardant d'avantage, je trouve aussi bien le moyen de le faire via bind9 que par unbound.

A côté de ça, j'ai vu dans les liens ci-dessous qu'il est possible de bloquer des pubs/trackers.

On me conseille plutôt Unbound que bind9.

Qu'utilisez-vous ? Quel serait une différence notoire ?

Utilisation "maison" avec peu d'utilisateur 10 maximum.

Merci pour vos retours.

J'ai trouvé ces deux articles parlant de DNSSEC, un rapport avec DNS Over TLS à priori !?

Unbound
https://forum-debian.fr/wiki/Utiliser_Unbound_avec_DNSSEC

Bind9
https://wiki.debian.org/DNSSEC%20Howto%20for%20BIND%209.9+

  • # Pas la meme chose

    Posté par  . Évalué à 3.

    Salut,

    Ce n'est pas la meme chose:
    DoT (DNS Over TLS) et DoH (DNS Over https) chiffre le traffic DNS entre le client et le serveur DNS.
    Mais ne garantie pas que la réponse soit authentique.

    DNSSEC permet d'authentifier les réponses, mais n'est pas en soit chiffré. On peut connaitre quelles ont été vos demandes DNS mais elles sont authentiques.

    Il faut donc les 2 ;-)

    • [^] # Re: Pas la meme chose

      Posté par  . Évalué à 0.

      Attention avec le DoT/DoH : suivant le modèle de menace, il faut faire attention à ce que l'on interroge les root DNS en chiffrant également le trafic.

      En effet suivant, généralement, tu vas configurer le DoT/DoH entre ton client (PC final) et ton serveur (Box). Par contre, ton serveur va faire des requetes sur les root DNS s'il ne connait pas la réponse. Si tu n'as pas de chiffrement de trafic entre ton serveur et les root, un attaquant, pouvant écouter le trafic, pourra connaitre tes requêtes.

      A noter que ce modèle constitue déjà une avancée: il faut une écoute active du trafic plutôt que de regarder les logs du DNS resolver du FAI.

      • [^] # Hein ?

        Posté par  . Évalué à 2. Dernière modification le 15 octobre 2022 à 19:09.

        Le trafic DNS n'est chiffrable qu'entre les clients DNS (sur les machines clientes) parfois appelées stub et les résolveurs DNS.
        Entre le résolveur et les serveurs faisant autorité, il n'est possible que de réduire les informations transmises à ces derniers avec la qname minimisation, entre autres.

        Plus d'information à https://www.bortzmeyer.org/9076.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.