ከሁለት አመት እድገት በኋላ፣ የአይኤስሲ ጥምረት የመጀመሪያውን የተረጋጋ የ BIND 9.18 ዲ ኤን ኤስ አገልጋይ አዲስ ቅርንጫፍ አውጥቷል። ለቅርንጫፍ 9.18 ድጋፍ የተራዘመ የድጋፍ ዑደት አካል ሆኖ እስከ 2ኛው ሩብ 2025 ድረስ ለሦስት ዓመታት ይሰጣል። ለ9.11 ቅርንጫፍ ድጋፍ በመጋቢት ወር ያበቃል፣ እና ለ9.16 ቅርንጫፍ ድጋፍ በ2023 አጋማሽ ላይ። የሚቀጥለውን የተረጋጋ የ BIND ስሪት ተግባራዊነት ለማዳበር፣ የሙከራ ቅርንጫፍ BIND 9.19.0 ተቋቁሟል።
የ BIND 9.18.0 መለቀቅ ለዲኤንኤስ በ HTTPS (DoH፣ DNS over HTTPS) እና ዲ ኤን ኤስ በTLS (DoT፣ DNS over TLS)፣ እንዲሁም XoT (XFR-over-TLS) ዘዴን በመተግበሩ ታዋቂ ነው። ደህንነቱ የተጠበቀ የዲኤንኤስ ይዘት ለማስተላለፍ በአገልጋዮች መካከል ያሉ ዞኖች (ሁለቱም በXoT በኩል መላክ እና መቀበያ ዞኖች ይደገፋሉ)። በተገቢው ቅንጅቶች ፣ አንድ ነጠላ የተሰየመ ሂደት አሁን ባህላዊ የዲ ኤን ኤስ መጠይቆችን ብቻ ሳይሆን ፣ DNS-over-HTTPS እና DNS-over-TLS በመጠቀም የተላኩ መጠይቆችን ሊያገለግል ይችላል። የDNS-over-TLS የደንበኛ ድጋፍ በዲፍ መገልገያ ውስጥ ነው የተሰራው፣ ይህም የ"+tls" ባንዲራ ሲገለፅ በTLS ላይ ጥያቄዎችን ለመላክ ሊያገለግል ይችላል።
በDoH ውስጥ ጥቅም ላይ የዋለው የኤችቲቲፒ/2 ፕሮቶኮል ትግበራ በnghttp2 ቤተ-መጽሐፍት አጠቃቀም ላይ የተመሰረተ ነው፣ እሱም እንደ አማራጭ የመሰብሰቢያ ጥገኝነት ተካቷል። የDoH እና DoT የምስክር ወረቀቶች በተጠቃሚው ሊቀርቡ ወይም በሚነሳበት ጊዜ በራስ-ሰር ሊፈጠሩ ይችላሉ።
DoH እና DoTን በመጠቀም የጥያቄ ማቀናበር የሚቻለው የ"http" እና "tls" አማራጮችን ወደ ማዳመጥ መመሪያ በማከል ነው። ያልተመሰጠረ ዲ ኤን ኤስ-ከላይ-ኤችቲቲፒን ለመደገፍ በቅንብሮች ውስጥ “tls none” የሚለውን መግለጽ አለብዎት። ቁልፎች በ "tls" ክፍል ውስጥ ተገልጸዋል. ነባሪው የኔትወርክ ወደቦች 853 ለዶቲ፣ 443 ለዶኤች እና 80 ለDNS-over-HTTP በtls-port፣ https-port እና http-port መለኪያዎች ሊሻሩ ይችላሉ። ለምሳሌ:
tls local-tls {key-file "/path/to/priv_key.pem"; Cert-file "/path/to/cert_chain.pem"; }; http local-http-server {የመጨረሻ ነጥቦች {"/ dns-query"; }; }; አማራጮች { https-ወደብ 443; listen-on port 443 tls local-tls http myserver {ማንኛውም;}; }
በ BIND ውስጥ ካለው የDoH አተገባበር ባህሪያት አንዱ የTLS ምስጠራ ስራዎችን ወደ ሌላ አገልጋይ የማዘዋወር ችሎታ ነው፣ይህም የTLS ሰርተፊኬቶች በሌላ ስርዓት ላይ በሚቀመጡበት እና (ለምሳሌ ከድር ሰርቨሮች ጋር ባለው መሠረተ ልማት ውስጥ) እና በተያዙ ሁኔታዎች አስፈላጊ ሊሆን ይችላል። በሌሎች ሰራተኞች. ያልተመሰጠረ ዲኤንኤስ-ከላይ-ኤችቲቲፒ ድጋፍ ማረም ለማቃለል እና በውስጣዊ አውታረመረብ ላይ ወደ ሌላ አገልጋይ ለማስተላለፍ እንደ ንብርብር (ምስጠራን ወደ ሌላ አገልጋይ ለማንቀሳቀስ) ይተገበራል። በርቀት አገልጋይ ላይ፣ nginx የTLS ትራፊክ ለመፍጠር ጥቅም ላይ ሊውል ይችላል፣ ልክ HTTPS ማሰሪያ ለድር ጣቢያዎች እንደሚደራጅ አይነት።
ሌላው ባህሪው ዶኤችን እንደ አጠቃላይ ትራንስፖርት በማዋሃድ የደንበኛ ጥያቄዎችን ወደ ፈላጊው ለማስተናገድ ብቻ ሳይሆን በአገልጋዮች መካከል ሲግባቡ ፣ ዞኖችን በባለስልጣን ዲ ኤን ኤስ አገልጋይ ሲያስተላልፍ እና በማንኛውም ዲ ኤን ኤስ የተደገፉ ጥያቄዎችን በሚሰራበት ጊዜም ጭምር ነው ። ማጓጓዣዎች.
ግንባታውን በDoH/DoT በማሰናከል ወይም ምስጠራን ወደ ሌላ አገልጋይ በማሸጋገር ሊካካሱ ከሚችሉት ድክመቶች መካከል የኮድ መሰረቱ አጠቃላይ ውስብስብነት ጎልቶ ይታያል - አብሮገነብ HTTP አገልጋይ እና TLS ላይብረሪ ተጨምሯል ፣ ይህም ተጋላጭነቶችን ሊይዝ ይችላል እና እንደ ተጨማሪ የጥቃት አጋሮች ሆነው ይሰሩ። እንዲሁም፣ ዶኤች ሲጠቀሙ፣ ትራፊክ ይጨምራል።
ዲ ኤን ኤስ-በላይ-ኤችቲቲፒኤስ በአቅራቢዎች ዲ ኤን ኤስ አገልጋዮች በኩል ስለተጠየቁት የአስተናጋጅ ስሞች የመረጃ ፍሰትን ለመከላከል ፣MITM ጥቃቶችን እና የዲ ኤን ኤስ የትራፊክ መጨናነቅን (ለምሳሌ ከወል Wi-Fi ጋር ሲገናኙ) ለመከላከል ጠቃሚ ሊሆን እንደሚችል እናስታውስ። በዲኤንኤስ ደረጃ ማገድ (DNS-over-HTTPS በዲፒአይ ደረጃ የተተገበረ እገዳን በማለፍ ቪፒኤን መተካት አይችልም) ወይም የዲኤንኤስ አገልጋዮችን በቀጥታ ማግኘት በማይቻልበት ጊዜ (ለምሳሌ በፕሮክሲ በኩል ሲሰራ) ስራን ለማደራጀት። በመደበኛ ሁኔታ የዲ ኤን ኤስ ጥያቄዎች በስርዓት ውቅር ውስጥ ወደተገለጸው የዲ ኤን ኤስ አገልጋዮች በቀጥታ የሚላኩ ከሆነ፣ ከዲኤንኤስ በላይ ኤችቲቲፒኤስን በተመለከተ ጥያቄው የአስተናጋጁን የአይፒ አድራሻ በ HTTPS ትራፊክ ውስጥ ተጭኖ ወደ HTTP አገልጋይ ይላካል። ፈቺው ጥያቄዎችን በድር ኤፒአይ ያስኬዳል።
"DNS over TLS" ከ"DNS over HTTPS" ከ"DNS over HTTPS" የሚለየው በመደበኛው የዲኤንኤስ ፕሮቶኮል አጠቃቀም ነው (የአውታረ መረብ ወደብ 853 አብዛኛውን ጊዜ ጥቅም ላይ የሚውለው) የTLS ፕሮቶኮልን በመጠቀም በተዘጋጀ ኢንክሪፕትድ የመገናኛ ቻናል ተጠቅልሎ በTLS/SSL የምስክር ወረቀቶች የተረጋገጠ የአስተናጋጅ ትክክለኛነት ማረጋገጥ በማረጋገጫ ባለስልጣን. ያለው የDNSSEC ስታንዳርድ ምስጠራን የሚጠቀመው ደንበኛውን እና አገልጋዩን ለማረጋገጥ ብቻ ነው፣ ነገር ግን ትራፊክን ከመጥለፍ አይከላከልም እና የጥያቄዎችን ምስጢራዊነት አያረጋግጥም።
አንዳንድ ሌሎች ፈጠራዎች፡-
- በTCP እና UDP ላይ ጥያቄዎችን በሚልኩበት እና በሚቀበሉበት ጊዜ ጥቅም ላይ የሚውሉትን የመጠባበቂያ መጠኖች ለማዘጋጀት tcp-receive-buffer፣ tcp-send-buffer፣ udp-receive-buffer እና udp-send-buffer መቼቶች ታክለዋል። በተጨናነቁ አገልጋዮች ላይ፣ ገቢ ማቋረጦችን መጨመር በትራፊክ ከፍተኛ ቦታዎች ላይ እሽጎች እንዳይጣሉ ይረዳል፣ እና እነሱን መቀነስ በአሮጌ ጥያቄዎች የማስታወሻ መዘጋትን ለማስወገድ ይረዳል።
- አዲስ የምዝግብ ማስታወሻ ምድብ "rpz-passthru" ታክሏል, ይህም የ RPZ (የምላሽ ፖሊሲ ዞኖችን) የማስተላለፊያ ድርጊቶችን በተናጠል እንዲመዘግቡ ያስችልዎታል.
- በምላሽ ፖሊሲ ክፍል ውስጥ “nsdname-wait-recurse” አማራጭ ተጨምሯል ፣ ወደ “አይ” ሲዋቀር የ RPZ NSDNAME ህጎች የሚተገበሩት በመሸጎጫው ውስጥ ያሉ ስልጣን ያላቸው አገልጋዮች ለጥያቄው ከተገኙ ብቻ ነው ፣ ካልሆነ ግን የRPZ NSDNAME ህግ ችላ ይባላል፣ ነገር ግን መረጃው ከበስተጀርባ ተሰርስሮ ለቀጣይ ጥያቄዎች ተፈጻሚ ይሆናል።
- ኤችቲቲፒኤስ እና የኤስቪሲቢ አይነቶች ላሏቸው መዝገቦች የ"ተጨማሪ" ክፍልን ማካሄድ ተተግብሯል።
- የ SRV እና PTR መዝገቦችን ማዘመን እንዲገድቡ የሚያስችልዎ ብጁ ማዘመኛ-የፖሊሲ ደንብ ዓይነቶች - krb5-subdomain-self-rhs እና ms-subdomain-self-rhs። የዝማኔ-መመሪያው ብሎኮች እንዲሁ ለእያንዳንዱ ዓይነት ግለሰብ በመዝገቦች ብዛት ላይ ገደቦችን የማዘጋጀት ችሎታን ይጨምራሉ።
- ስለ ማጓጓዣ ፕሮቶኮል (UDP፣ TCP፣ TLS፣ HTTPS) እና DNS64 ቅድመ ቅጥያዎች ወደ ቁፋሮ መገልገያ ውፅዓት ታክሏል። ለማረም ዓላማዎች ዲግ የተወሰነ የጥያቄ መለያን የመግለጽ ችሎታ አክሏል (dig +qid= ).
- ለOpenSSL 3.0 ቤተ-መጽሐፍት ድጋፍ ታክሏል።
- በዲኤንኤስ ባንዲራ ቀን 2020 የተለዩ ትልልቅ የዲ ኤን ኤስ መልእክቶችን በሚሰራበት ጊዜ ከአይፒ መቆራረጥ ጋር የተያያዙ ችግሮችን ለመፍታት ለጥያቄ ምንም ምላሽ በማይኖርበት ጊዜ የኤዲኤንኤስ ቋት መጠንን የሚያስተካክል ኮድ ከመፍትሔው ተወግዷል። ለሁሉም ወጪ ጥያቄዎች የEDNS ቋት መጠን አሁን ወደ ቋሚ (edns-udp-size) ተቀናብሯል።
- የግንባታ ስርዓቱ የአውቶኮንፍ፣ አውቶማቲክ እና ሊብቶል ጥምረት ወደመጠቀም ተቀይሯል።
- በ "ካርታ" ቅርጸት (masterfile-format map) ውስጥ ያሉ የዞን ፋይሎች ድጋፍ ተቋርጧል። የዚህ ቅርጸት ተጠቃሚዎች የተሰየመውን-የተጠናቀረ መገልገያ በመጠቀም ዞኖችን ወደ ጥሬ ቅርጸት እንዲቀይሩ ይመከራሉ።
- የቆዩ የ DLZ (ተለዋዋጭ የሚጫኑ ዞኖች) አሽከርካሪዎች ድጋፍ ተቋርጧል፣ በ DLZ ሞጁሎች ተተክቷል።
- ለዊንዶው ፕላትፎርም ግንባታ እና አሂድ ድጋፍ ተቋርጧል። በዊንዶው ላይ ሊጫን የሚችለው የመጨረሻው ቅርንጫፍ BIND 9.16 ነው.
ምንጭ: opennet.ru