Skip to content

La superioridad de BIND

Publicado por Sergio Hernando el 22 noviembre 2007

Buenas,

A BIND (Berkeley Internet Name Domain) no le hace sombra nadie.

La historia se BIND se remonta a los 80, época en la que cuatro graduados de la CSRG de la Universidad de Berkeley, lanzaron la primera versión de BIND dentro de otro extraordinario producto, 4.3BSD. En 1988 comenzó oficialmente el mantenimiento de BIND.

A BIND siempre le han llovido críticas. Especialmente las que emanaron a raíz de la reescritura del código en la versión 9, reescritura que pretendía zanjar de lleno los problemas de seguridad que perseguían a BIND 8. Si tiramos de hemerotica, es cierto que BIND 9 no ha supuesto una mejora significativa en la seguridad. A La versión 4.x.x se le reconocieron 3 problemas de seguridad desde 2003 a 2007. En la rama 8.X.X, se notificaron 6 problemas de seguridad en el mismo período. Si nos vamos a la rama 9.X, tenemos 6 problemas en la rama 9.2.X, otros 6 para la rama 9.3.X (en su mayoría compartidos con la rama anterior), y para la 9.4.X llevamos 2 problemas notificados entre 2003 y 2007.

Otros rajan a los cuatro vientos que BIND es el único demonio DNS que se pasa por el arco del triunfo soportar backending LDAP para almacenar registros de zonas, y que en caso de que queramos respaldar a BIND con LDAP, hay que parchear el código. También hay sectores que cargan contra los modelos de administración BIND, que son algo particulares.

El caso es que a la hora de la verdad, en el mundo DNS existe BIND y existen los demás. Una reciente encuesta conducida por Infoblox, ha constatado lo que se veía venir: por un lado, el incremento en la cuota de mercado de BIND, que acumula un 70% de cuota de uso entre BIND 8 y BIND 9, y por otro, que los competidores no le hacen sombra. Por ejemplo, Microsoft Windows DNS 2000 y 2003, cuyas cuotas de uso apenas rascan el 2% y el 1% respectivamente. Otras soluciones populares, como PowerDNS y el Caching Server de Nominum mantienen cuotas respecto a estudios anteriores.

dns

Sea como fuere queda mucho por hacer en seguridad DNS, y la labor principal no está en mejorar los productos, sino en mejorar las implementaciones. En la encuesta citada, sólo el 0.0018% de máquinas consultadas soportaban y operaban con registros DNSSEC. Este número habla por sí solo.

Otro dato que da que pensar es el siguiente: si la cuota de uso de versiones Microsoft DNS es prácticamente testimonial, pero sin embargo la cuota de IIS es significativa [ dicen algunas malas lenguas que por una caída imparable de Apache :) ], ¿es posible deducir de ésto que los administradores de máquinas Microsoft huyen despavoridos ante la posibilidad de habilitar un DNS en Windows Server?

Quien sabe.

Be Sociable, Share!
3 comentarios
  1. 22 noviembre 2007

    Curioso artículo, aunque me gustaría responder a tu pregunta: No xD

    Si, es cierto que bind tiene mas cuota, pero que le vamos a hacer, si la mayoría de empresas de hosting preferirán para escupir registros DNS un servidor DNS gratuito. Es lo unico que necesitan, eso y que repliquen entre todos ellos.

    En redes locales… será tanta la diferencia entre los DNS de Windows Server y bind? Yo creo que no, y todos sabemos por qué.

  2. 22 noviembre 2007

    Lo más gracioso es que ese 3% de mercado copado por DNS de Windows Server es, en realidad, también BIND, pues el código está cogido de BIND9 xD

  3. 24 noviembre 2007
    chmeee permalink

    Desde el punto de vista de la seguridad a mi me gusta djbdns (http://cr.yp.to/djbdns.html), del señor Bernstein (uno de los que más ha criticado a BIND, the Buggy Internet Name Daemon).

    Sin embargo, por comodidad y debido a que djbdns está paradillo, actualmente uso maradns (www.maradns.org) de un discipulo aventajado de Bernstein. Un software con un buen historial en cuanto a seguridad y además el único software DNS con su propia cantinela con aliteración :):

    “Erre con erre cigarro
    Erre con erre barril
    Rápido ruedan los carros
    En el ferrocarril”

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS