أعلن مطورو خادم BIND DNS عن إضافة دعم الخادم لـ DNS عبر HTTPS (DoH، DNS عبر HTTPS) وDNS over TLS (DoT، DNS over TLS)، بالإضافة إلى آلية XFR-over-TLS للتأمين الآمن نقل محتويات مناطق DNS بين الخوادم. يتوفر DoH للاختبار في الإصدار 9.17، كما أن دعم DoT موجود منذ الإصدار 9.17.10. بعد الاستقرار، سيتم نقل دعم DoT وDoH إلى الفرع المستقر 9.17.7.
يعتمد تنفيذ بروتوكول HTTP/2 المستخدم في DoH على استخدام مكتبة nghttp2، المضمنة ضمن تبعيات التجميع (في المستقبل، من المخطط نقل المكتبة إلى عدد التبعيات الاختيارية). يتم دعم كل من اتصالات HTTP/2 المشفرة (TLS) وغير المشفرة. باستخدام الإعدادات المناسبة، يمكن لعملية واحدة مسماة الآن أن تخدم ليس فقط استعلامات DNS التقليدية، ولكن أيضًا الاستعلامات المرسلة باستخدام DoH (DNS-over-HTTPS) وDoT (DNS-over-TLS). لم يتم تنفيذ دعم HTTPS من جانب العميل (dig) بعد. يتوفر دعم XFR-over-TLS لكل من الطلبات الواردة والصادرة.
يتم تمكين معالجة الطلبات باستخدام DoH وDoT عن طريق إضافة خيارات http وtls إلى توجيه الاستماع. لدعم DNS-over-HTTP غير المشفر، يجب عليك تحديد "tls none" في الإعدادات. يتم تعريف المفاتيح في قسم "tls". يمكن تجاوز منافذ الشبكة الافتراضية 853 لـ DoT و443 لـ DoH و80 لـ DNS-over-HTTP من خلال معلمات tls-port وhttps-port وhttp-port. على سبيل المثال: tls local-tls { key-file "/path/to/priv_key.pem"؛ ملف الشهادة "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; الخيارات {https-المنفذ 443؛ منفذ الاستماع 443 tls local-tls http myserver {any;}; }
من بين ميزات تنفيذ DoH في BIND، يُشار إلى التكامل باعتباره وسيلة نقل عامة، والتي يمكن استخدامها ليس فقط لمعالجة طلبات العميل إلى المحلل، ولكن أيضًا عند تبادل البيانات بين الخوادم، عند نقل المناطق بواسطة خادم DNS موثوق، و عند معالجة أية طلبات تدعمها عمليات نقل DNS الأخرى.
ميزة أخرى هي القدرة على نقل عمليات التشفير لـ TLS إلى خادم آخر، وهو ما قد يكون ضروريًا في الظروف التي يتم فيها تخزين شهادات TLS على نظام آخر (على سبيل المثال، في البنية التحتية مع خوادم الويب) ويحتفظ بها موظفون آخرون. يتم تنفيذ دعم DNS-over-HTTP غير المشفر لتبسيط تصحيح الأخطاء وكطبقة لإعادة التوجيه في الشبكة الداخلية، والتي يمكن على أساسها تنظيم التشفير على خادم آخر. على خادم بعيد، يمكن استخدام nginx لإنشاء حركة مرور TLS، على غرار كيفية تنظيم ربط HTTPS لمواقع الويب.
دعونا نتذكر أن DNS-over-HTTPS يمكن أن يكون مفيدًا في منع تسرب المعلومات حول أسماء المضيفين المطلوبة من خلال خوادم DNS الخاصة بموفري الخدمة، ومكافحة هجمات MITM وانتحال حركة مرور DNS (على سبيل المثال، عند الاتصال بشبكة Wi-Fi عامة)، ومواجهة الحظر على مستوى DNS (لا يمكن لـ DNS-over-HTTPS أن يحل محل VPN في تجاوز الحظر المطبق على مستوى DPI) أو لتنظيم العمل عندما يكون من المستحيل الوصول مباشرة إلى خوادم DNS (على سبيل المثال، عند العمل من خلال وكيل). إذا تم إرسال طلبات DNS في الوضع العادي مباشرة إلى خوادم DNS المحددة في تكوين النظام، ففي حالة DNS-over-HTTPS، يتم تغليف طلب تحديد عنوان IP المضيف في حركة مرور HTTPS وإرساله إلى خادم HTTP، حيث يقوم المحلل بمعالجة الطلبات عبر Web API.
يختلف "DNS over TLS" عن "DNS over HTTPS" في استخدام بروتوكول DNS القياسي (يتم استخدام منفذ الشبكة 853 عادة)، ملفوفًا في قناة اتصال مشفرة منظمة باستخدام بروتوكول TLS مع التحقق من صحة المضيف من خلال شهادات TLS/SSL المعتمدة من قبل سلطة التصديق. يستخدم معيار DNSSEC الحالي التشفير فقط لمصادقة العميل والخادم، ولكنه لا يحمي حركة المرور من الاعتراض ولا يضمن سرية الطلبات.
المصدر: opennet.ru