የ BIND ዲ ኤን ኤስ አገልጋይ ገንቢዎች ለዲኤንኤስ በኤችቲቲፒኤስ (DoH፣ DNS over HTTPS) እና ዲ ኤን ኤስ በTLS (DoT፣ DNS over TLS) ቴክኖሎጂዎች እንዲሁም የ XFR-over-TLS ዘዴ ደህንነቱ የተጠበቀ መሆኑን አስታውቀዋል። በአገልጋዮች መካከል የዲ ኤን ኤስ ዞኖችን ይዘቶች ማስተላለፍ. ዶኤች በልቀት 9.17 ለሙከራ ይገኛል፣ እና የDoT ድጋፍ 9.17.10 ከተለቀቀ በኋላ አለ። ከተረጋጋ በኋላ የዶቲ እና የዶኤች ድጋፍ ወደ የተረጋጋው 9.17.7 ቅርንጫፍ ይመለሳል።
በ DoH ውስጥ ጥቅም ላይ የዋለው የኤችቲቲፒ / 2 ፕሮቶኮል ትግበራ በ nghttp2 ቤተ-መጽሐፍት አጠቃቀም ላይ የተመሰረተ ነው, ይህም በስብሰባው ጥገኝነት መካከል የተካተተ (ወደፊት, ቤተ-መጽሐፍት ወደ አማራጭ ጥገኞች ቁጥር ለማዛወር የታቀደ ነው). ሁለቱም የተመሰጠሩ (TLS) እና ያልተመሰጠሩ HTTP/2 ግንኙነቶች ይደገፋሉ። በተገቢው ቅንጅቶች አንድ ነጠላ የተሰየመ ሂደት አሁን ባህላዊ የዲ ኤን ኤስ መጠይቆችን ብቻ ሳይሆን DoH (DNS-over-HTTPS) እና DoT (DNS-over-TLS) በመጠቀም የተላኩ ጥያቄዎችን ሊያገለግል ይችላል። የኤችቲቲፒኤስ ድጋፍ በደንበኛው በኩል (ዲግ) እስካሁን አልተተገበረም። የXFR-over-TLS ድጋፍ ለሁለቱም የገቢ እና የወጪ ጥያቄዎች ይገኛል።
DoH እና DoTን በመጠቀም ማሰናዳት የሚቻለው http እና tls አማራጮችን ወደ አድማጭ መመሪያ በማከል ነው። ያልተመሰጠረ ዲ ኤን ኤስ-ከላይ-ኤችቲቲፒን ለመደገፍ በቅንብሮች ውስጥ “tls none” የሚለውን መግለጽ አለብዎት። ቁልፎች በ "tls" ክፍል ውስጥ ተገልጸዋል. ነባሪው የኔትወርክ ወደቦች 853 ለዶቲ፣ 443 ለዶኤች እና 80 ለDNS-over-HTTP በtls-port፣ https-port እና http-port መለኪያዎች ሊሻሩ ይችላሉ። ለምሳሌ፡ tls local-tls {key-file "/path/to/priv_key.pem"; Cert-file "/path/to/cert_chain.pem"; }; http local-http-server {የመጨረሻ ነጥቦች {"/ dns-query"; }; }; አማራጮች { https-ወደብ 443; listen-on port 443 tls local-tls http myserver {ማንኛውም;}; }
በ BIND ውስጥ ካለው የDoH አተገባበር ገፅታዎች መካከል ውህደት እንደ አጠቃላይ ትራንስፖርት የሚጠቀስ ሲሆን ይህም የደንበኛ ጥያቄዎችን ወደ መፍትሄ ሰጪው ለማስኬድ ብቻ ሳይሆን በአገልጋዮች መካከል ውሂብ ሲለዋወጥ ፣ ዞኖችን በባለስልጣን ዲ ኤን ኤስ አገልጋይ ሲያስተላልፍ እና በሌሎች ዲ ኤን ኤስ ማጓጓዣዎች የሚደገፉ ማንኛቸውም ጥያቄዎችን ሲያቀርቡ .
ሌላው ባህሪ የTLS የምስክር ወረቀቶች በሌላ ስርዓት ላይ በሚቀመጡበት ጊዜ (ለምሳሌ ከድር ሰርቨሮች ጋር ባለው መሠረተ ልማት ውስጥ) እና በሌሎች ሰራተኞች በሚቀመጡበት ሁኔታ አስፈላጊ ሊሆን የሚችለውን የTLS ምስጠራ ስራዎችን ወደ ሌላ አገልጋይ የማዘዋወር ችሎታ ነው። ያልተመሰጠረ ዲኤንኤስ-ከላይ-ኤችቲቲፒ ድጋፍ ማረም ለማቃለል እና በውስጥ አውታረ መረብ ውስጥ ለማስተላለፍ እንደ ንብርብር ይተገበራል ፣ በዚህ መሠረት ምስጠራ በሌላ አገልጋይ ላይ ሊደራጅ ይችላል። በርቀት አገልጋይ ላይ፣ nginx የTLS ትራፊክ ለመፍጠር ጥቅም ላይ ሊውል ይችላል፣ ልክ HTTPS ማሰሪያ ለድር ጣቢያዎች እንደሚደራጅ አይነት።
ዲ ኤን ኤስ-በላይ-ኤችቲቲፒኤስ በአቅራቢዎች ዲ ኤን ኤስ አገልጋዮች በኩል ስለተጠየቁት የአስተናጋጅ ስሞች የመረጃ ፍሰትን ለመከላከል ፣MITM ጥቃቶችን እና የዲ ኤን ኤስ የትራፊክ መጨናነቅን (ለምሳሌ ከወል Wi-Fi ጋር ሲገናኙ) ለመከላከል ጠቃሚ ሊሆን እንደሚችል እናስታውስ። በዲኤንኤስ ደረጃ ማገድ (DNS-over-HTTPS በዲፒአይ ደረጃ የተተገበረ እገዳን በማለፍ ቪፒኤን መተካት አይችልም) ወይም የዲኤንኤስ አገልጋዮችን በቀጥታ ማግኘት በማይቻልበት ጊዜ (ለምሳሌ በፕሮክሲ በኩል ሲሰራ) ስራን ለማደራጀት። በመደበኛ ሁኔታ የዲ ኤን ኤስ ጥያቄዎች በስርዓት ውቅር ውስጥ ወደተገለጸው የዲ ኤን ኤስ አገልጋዮች በቀጥታ የሚላኩ ከሆነ፣ ከዲኤንኤስ በላይ ኤችቲቲፒኤስን በተመለከተ ጥያቄው የአስተናጋጁን የአይፒ አድራሻ በ HTTPS ትራፊክ ውስጥ ተጭኖ ወደ HTTP አገልጋይ ይላካል። ፈቺው ጥያቄዎችን በድር ኤፒአይ ያስኬዳል።
"DNS over TLS" ከ"DNS over HTTPS" ከ"DNS over HTTPS" የሚለየው በመደበኛው የዲኤንኤስ ፕሮቶኮል አጠቃቀም ነው (የአውታረ መረብ ወደብ 853 አብዛኛውን ጊዜ ጥቅም ላይ የሚውለው) የTLS ፕሮቶኮልን በመጠቀም በተዘጋጀ ኢንክሪፕትድ የመገናኛ ቻናል ተጠቅልሎ በTLS/SSL የምስክር ወረቀቶች የተረጋገጠ የአስተናጋጅ ትክክለኛነት ማረጋገጥ በማረጋገጫ ባለስልጣን. ያለው የDNSSEC ስታንዳርድ ምስጠራን የሚጠቀመው ደንበኛውን እና አገልጋዩን ለማረጋገጥ ብቻ ነው፣ ነገር ግን ትራፊክን ከመጥለፍ አይከላከልም እና የጥያቄዎችን ምስጢራዊነት አያረጋግጥም።
ምንጭ: opennet.ru