Spring naar de hoofdinhoud

Voorgestelde waarden voor Advanced tab in Unbound

Screenshots staan onderaan deze post.

Basisinstellingen voor privacy en veiligheid:

  1. Hide Identity:

    • Aan: Verbergt de identiteit van de Unbound-server (zoals het feit dat je Unbound gebruikt) in DNS-responses. Dit is handig voor privacy.

  2. Hide Version:

    • Aan: Verbergt de versie van Unbound die wordt gebruikt in de DNS-responses. Dit voorkomt dat een aanvaller de versie van je server kan achterhalen.

  3. Prefetch DNS Key Support:

    • Aan: Verbetert de prestaties van DNSSEC-queries door vooraf de sleutels van de domeinen in te laden, wat de latentie kan verminderen.

  4. Harden DNSSEC Data:

    • Aan: Zorgt ervoor dat DNSSEC-resolutie strikt wordt gehandhaafd. Dit betekent dat alle DNSSEC-handtekeningen strikt worden gecontroleerd, wat de veiligheid verhoogt.

  5. Aggressive NSEC:

    • Aan: Verhoogt de veiligheid door gebruik te maken van de agressieve NSEC-beveiliging, wat voorkomt dat er onterechte 'NXDOMAIN' antwoorden worden gegeven voor niet-bestaande domeinen.

  6. Strict QNAME Minimisation:

    • Aan: Minimaliseert de hoeveelheid informatie die Unbound naar upstream DNS-servers stuurt, wat kan helpen om je privacy te beschermen en gegevenslekken te verminderen.

  7. Rebind protection networks:

    • Aan: Activeer dit om rebind-aanvallen te voorkomen, waarbij een aanvaller je DNS-resolver probeert te misleiden door interne IP-adressen te maskeren.

Prestatiesettings:

  1. Outgoing TCP Buffers:

    • Standaardinstellingen zijn vaak prima, maar je kunt het verhogen als je een snelle verbinding hebt met veel gelijktijdige queries. Dit kan helpen bij het omgaan met grotere verzoeken via TCP.

  2. Incoming TCP Buffers:

    • Eveneens kun je de standaardinstellingen gebruiken, maar bij hoge verkeersvolumes kan het verhogen van de bufferwaarde helpen om betere prestaties te bereiken.

  3. Number of queries per thread:

    • 2 tot 4 is een goede instelling voor de meeste omgevingen, afhankelijk van de belasting. Verhoog dit als je veel queries verwerkt.

  4. Outgoing Range:

    • Standaard is 10-20 prima. Verhoog dit om grotere hoeveelheden gelijktijdige uitgaande verzoeken te verwerken.

  5. Jostle Timeout en Discard Timeout:

    • Deze zijn goed ingesteld op default, maar als je last hebt van time-outs bij het resolven van verzoeken, kun je experimenteren met langere time-outs.

Cachinginstellingen:

  1. Message Cache Size:

    • Dit kan verhoogd worden voor grotere netwerken (bijv. 50-100 MB), afhankelijk van de hoeveelheid DNS-verkeer die je genereert.

  2. RRset Cache Size:

    • Vergroot deze als je veel verzoeken hebt naar dezelfde domeinen. Standaardwaarden zijn vaak voldoende, maar grotere netwerken kunnen baat hebben bij een grotere cache.

  3. Maximum TTL for RRsets and messages:

    • Maximaal 86400 (1 dag) is een gangbare instelling voor de TTL. Dit bepaalt hoe lang records worden bewaard. Dit kan de prestaties verbeteren, maar verhoogt het risico van verouderde informatie.

  4. Minimum TTL for RRsets and messages:

    • Standaardinstelling van 0 is prima, tenzij je wilt forceren dat bepaalde records voor een minimumtijd worden bewaard.

  5. TTL for Host Cache entries:

    • Dit moet niet te hoog ingesteld worden. 900 seconden (15 minuten) is een gangbare waarde, wat een goede balans biedt tussen prestaties en actualiteit van gegevens.

  6. Keep probing down hosts:

    • Uit is vaak goed, tenzij je wilt dat Unbound blijft proberen om onbereikbare hosts te bereiken, wat de prestaties kan beïnvloeden.

  7. Number of Hosts to cache:

    • Een hogere waarde, zoals 1000, kan nuttig zijn voor grotere netwerken. Dit bepaalt hoeveel hostnamen in het cachegeheugen worden bewaard.

Logginginstellingen:

  1. Log Queries:

    • Uit voor minder logverkeer en meer privacy, tenzij je specifieke diagnostiek nodig hebt.

  2. Log Replies:

    • Uit is meestal voldoende om de belasting op je logs laag te houden.

  3. Tag Queries and Replies:

    • Uit voor betere prestaties, tenzij je een gedetailleerde audit nodig hebt.

  4. Log local actions:

    • Aan kan handig zijn voor probleemoplossing, maar dit kan leiden tot veel logverkeer.

  5. Log SERVFAIL:

    • Aan kan nuttig zijn voor diagnostiek van problemen, maar zet het uit voor meer geoptimaliseerde prestaties.

Diverse instellingen:

  1. Serve Expired Settings:

    • Aan: Verbetert de beschikbaarheid van gegevens door verlopen gegevens toch te serveren als tijdelijke oplossing (bijvoorbeeld als de upstream DNS niet reageert).

  2. Serve Expired Responses:

    • Aan zorgt ervoor dat verouderde gegevens toch kunnen worden bediend, maar dit kan veiligheidsrisico's inhouden als je vertrouwt op de validiteit van de gegevens.

  3. Extended Statistics:

    • Aan voor gedetailleerdere statistieken, maar dit verhoogt de belasting op de server.

  4. Log Level Verbosity:

    • 2 of 3 voor gedetailleerde logs. Je kunt dit verhogen naar 4 als je gedetailleerde foutopsporingsinformatie nodig hebt.

  5. Log validation level:

    • Minimaal of Fouten voor minder logverkeer, tenzij je actief DNSSEC-validatieproblemen onderzoekt.

Aanbevolen instellingen (samenvatting):

  • Privacy: Hide Identity, Hide Version, Harden DNSSEC Data, Strict QNAME Minimisation.

  • Veiligheid: Rebind protection networks, Aggressive NSEC.

  • Prestaties: Prefetch DNS Key Support, Outgoing Range, Number of queries per thread.

  • Cache: Message Cache Size, RRset Cache Size, Maximum TTL for RRsets.

  • Logging: Zet logging zoveel mogelijk uit voor betere prestaties, maar log SERVFAIL als je problemen wilt onderzoeken.

Door deze instellingen zorgvuldig af te stemmen, kun je de prestaties, privacy en veiligheid van je DNS-resolutie optimaliseren.

Screenshot_20250603_163844a.png

Screenshot_20250603_163903b.png

Terug naar boven