Muy poco había leído sobre el envenenamiento DNS;creo recordar que lo habían nombrado en el Curso de Mancomún de este mes en Santiago de Compostela.
No sé si habéis leído El Pais de hoy Domingo 20 de Julio.Publican una noticia más que interesante, acerca del descubrimiento de una serie de vulnerabilidades en el servicio DNS que permitía envenenar las bases de datos y "falsear" las asociaciones entre nombres DNS e IPs. Os recomiendo encarecidamente la lectura.
Siguiendo con los mismo,y a raíz de los problemas que hemos tenido esta semana en la oficina con algún que otro servidor DNS con Windows 2003, he recuperado documentación acerca de BIND, que utilizaré para configurar los dos servidores DNS del Kernel 2008 en Mugardos. El caso es que para levantar un DNS Caché que simplemente funcione con BIND, basta con introducir dos líneas en el fichero named.conf.options de /etc.
forward only;
forwarders {
212.51.33.106;
212.51.33.73;
};
La rapidez en las consultas es extraordinaria.Vamos a consultar con dig el dominio cisco.com y a comprobar cuanto tiempo tardan los DNS Server de mi ISP(el de mi vecino) en resolver la búsqueda:
polinico:/etc/bind# dig cisco.com
; >> DiG 9.4.2 >> cisco.com
[Resultados Omitidos]
;; Query time: 37 msec
;; SERVER: 212.51.33.106#53(212.51.33.106)
;; WHEN: Sun Jul 20 22:40:18 2008
;; MSG SIZE rcvd: 95
Ahora lo mismo, pero el contenido de /etc/resolv.conf es:
nameserver 127.0.0.1
polinico:/etc/bind# dig cisco.com
; >> DiG 9.4.2 >> cisco.com
[Resultados Omitidos]
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Jul 20 22:46:17 2008
;; MSG SIZE rcvd: 95
La verdad es que el tiempo de consultas se reduce considerablemente.
Salud y gnuismo para todos!