İki illik inkişafdan sonra ISC konsorsiumu BIND 9.18 DNS serverinin əsas yeni filialının ilk stabil buraxılışını buraxdı. 9.18 filialına dəstək, genişləndirilmiş dəstək dövrünün bir hissəsi olaraq 2-ci ilin 2025-ci rübünə qədər üç il müddətində təmin ediləcək. 9.11 filialına dəstək mart ayında, 9.16 filialına dəstək isə 2023-cü ilin ortalarında başa çatacaq. BIND-in növbəti stabil versiyasının funksionallığını inkişaf etdirmək üçün BIND 9.19.0 eksperimental filialı yaradılmışdır.
BIND 9.18.0-ın buraxılışı HTTPS üzərindən DNS (DoH, HTTPS üzərində DNS) və TLS üzərində DNS (DoT, TLS üzərində DNS), eləcə də XoT (XFR-over-TLS) mexanizmi dəstəyinin həyata keçirilməsi ilə diqqət çəkir. DNS məzmununun təhlükəsiz ötürülməsi üçün serverlər arasında zonalar (Xot vasitəsilə həm göndərmə, həm də qəbul zonaları dəstəklənir). Müvafiq parametrlərlə, bir adlandırılmış proses indi yalnız ənənəvi DNS sorğularına deyil, həm də DNS-over-HTTPS və DNS-over-TLS istifadə edərək göndərilən sorğulara xidmət edə bilər. DNS-over-TLS üçün müştəri dəstəyi qazma proqramında qurulub və "+tls" bayrağı göstərildikdə TLS üzərindən sorğu göndərmək üçün istifadə oluna bilər.
DoH-də istifadə edilən HTTP/2 protokolunun tətbiqi isteğe bağlı montaj asılılığı kimi daxil edilən nghttp2 kitabxanasının istifadəsinə əsaslanır. DoH və DoT üçün sertifikatlar istifadəçi tərəfindən təqdim edilə bilər və ya başlanğıc zamanı avtomatik olaraq yaradıla bilər.
DoH və DoT istifadə edərək sorğunun işlənməsi dinləmə direktivinə "http" və "tls" seçimlərini əlavə etməklə aktivləşdirilir. Şifrələnməmiş DNS-over-HTTP-ni dəstəkləmək üçün parametrlərdə “tls none” təyin etməlisiniz. Açarlar "tls" bölməsində müəyyən edilir. Defolt şəbəkə portları DoT üçün 853, DoH üçün 443 və DNS-over-HTTP üçün 80 tls-port, https-port və http-port parametrləri vasitəsilə ləğv edilə bilər. Misal üçün:
tls local-tls { açar faylı "/path/to/priv_key.pem"; sertifikat faylı "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; seçimlər { https-port 443; dinləmə portu 443 tls local-tls http myserver {hər hansı;}; }
BIND-də DoH tətbiqinin xüsusiyyətlərindən biri TLS sertifikatlarının başqa bir sistemdə (məsələn, veb serverləri olan infrastrukturda) saxlandığı və saxlandığı şəraitdə lazım ola bilən TLS üçün şifrələmə əməliyyatlarını başqa serverə köçürmək imkanıdır. digər işçilər tərəfindən. Şifrələnməmiş DNS-over-HTTP dəstəyi sazlamağı asanlaşdırmaq və daxili şəbəkədəki başqa bir serverə yönləndirmək üçün bir təbəqə kimi həyata keçirilir (şifrləməni ayrıca serverə köçürmək üçün). Uzaq bir serverdə nginx, HTTPS bağlanmasının veb saytlar üçün necə təşkil edildiyi kimi TLS trafikini yaratmaq üçün istifadə edilə bilər.
Digər bir xüsusiyyət, DoH-nin yalnız həllediciyə müştəri sorğularını idarə etmək üçün deyil, həm də serverlər arasında əlaqə qurarkən, nüfuzlu DNS serveri tərəfindən zonaları köçürərkən və digər DNS tərəfindən dəstəklənən hər hansı sorğuları emal edərkən istifadə edilə bilən ümumi nəqliyyat kimi inteqrasiyasıdır. nəql edir.
DoH/DoT ilə quruluşu söndürməklə və ya şifrələməni başqa bir serverə köçürməklə kompensasiya edilə bilən çatışmazlıqlar arasında kod bazasının ümumi mürəkkəbliyi diqqəti çəkir - daxili HTTP serveri və TLS kitabxanası əlavə olunur ki, bu da potensial olaraq ehtiva edə bilər. zəifliklər və hücumlar üçün əlavə vektor kimi çıxış edir. Həmçinin, DoH istifadə edərkən trafik artır.
Xatırladaq ki, DNS-over-HTTPS provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumatların sızmasının qarşısını almaq, MITM hücumları və DNS trafikinin saxtalaşdırılması ilə mübarizə (məsələn, ictimai Wi-Fi-a qoşulduqda), qarşıdurma üçün faydalı ola bilər. DNS səviyyəsində bloklama (DNS-over-HTTPS, DPI səviyyəsində həyata keçirilən blokdan yan keçməklə VPN-i əvəz edə bilməz) və ya DNS serverlərinə birbaşa daxil olmaq mümkün olmadıqda (məsələn, proxy vasitəsilə işləyərkən) işin təşkili üçün. Normal vəziyyətdə, DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərilirsə, HTTPS-dən çox DNS vəziyyətində, host IP ünvanını müəyyən etmək üçün sorğu HTTPS trafikinə daxil edilir və HTTP serverinə göndərilir. həlledici sorğuları Web API vasitəsilə emal edir.
“TLS üzərində DNS” sertifikatlaşdırılmış TLS/SSL sertifikatları vasitəsilə host etibarlılığının yoxlanılması ilə TLS protokolundan istifadə edərək təşkil edilmiş şifrələnmiş rabitə kanalına bükülmüş standart DNS protokolunun (adətən şəbəkə portu 853 istifadə olunur) istifadəsinə görə “HTTPS üzərində DNS”dən fərqlənir. sertifikatlaşdırma orqanı tərəfindən. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
Bəzi digər yeniliklər:
- TCP və UDP üzərindən sorğuların göndərilməsi və qəbulu zamanı istifadə olunan buferlərin ölçülərini təyin etmək üçün tcp-qəbul-bufer, tcp-göndər-bufer, udp-qəbul-bufer və udp-göndərmə-bufer parametrləri əlavə edildi. Məşğul olan serverlərdə daxil olan buferlərin artırılması trafikin zirvəsi zamanı paketlərin atılmasının qarşısını almağa kömək edəcək və onların azaldılması köhnə sorğularla yaddaşın tıxanmasından xilas olmağa kömək edəcək.
- RPZ (Response Policy Zones) yönləndirmə hərəkətlərini ayrıca qeyd etməyə imkan verən yeni jurnal kateqoriyası “rpz-passthru” əlavə edildi.
- Cavab siyasəti bölməsində “nsdname-wait-recurse” seçimi əlavə edilmişdir, “no” olaraq təyin edildikdə, RPZ NSDNAME qaydaları yalnız sorğu üçün keşdə mövcud olan səlahiyyətli ad serverləri aşkar edildikdə tətbiq edilir, əks halda RPZ NSDNAME qaydasına məhəl qoyulmur, lakin məlumat arxa planda alınır və sonrakı sorğulara tətbiq edilir.
- HTTPS və SVCB tipli qeydlər üçün “ƏLAVƏ” bölməsinin işlənməsi həyata keçirilib.
- Əlavə edilmiş fərdi yeniləmə siyasəti qayda növləri - krb5-subdomain-self-rhs və ms-subdomain-self-rhs, bu, SRV və PTR qeydlərinin yenilənməsini məhdudlaşdırmağa imkan verir. Yeniləmə siyasəti blokları həmçinin hər bir növ üçün fərdi olaraq qeydlərin sayına məhdudiyyətlər təyin etmək imkanı əlavə edir.
- Qazma yardım proqramının çıxışına nəqliyyat protokolu (UDP, TCP, TLS, HTTPS) və DNS64 prefiksləri haqqında məlumat əlavə edildi. Sazlama məqsədləri üçün dig xüsusi sorğu identifikatorunu təyin etmək imkanı əlavə etdi (dig +qid= ).
- OpenSSL 3.0 kitabxanası üçün əlavə dəstək.
- DNS Bayraq Günü 2020 tərəfindən müəyyən edilmiş böyük DNS mesajlarını emal edərkən IP parçalanması ilə bağlı problemləri həll etmək üçün sorğuya cavab olmadıqda EDNS bufer ölçüsünü tənzimləyən kod həlledicidən silindi. EDNS bufer ölçüsü indi bütün gedən sorğular üçün sabit (edns-udp-size) olaraq təyin edilib.
- Quraşdırma sistemi autoconf, automake və libtool birləşməsindən istifadə etməyə keçirilib.
- “Xəritə” formatında (masterfayl formatında xəritə) zona fayllarına dəstək dayandırıldı. Bu formatın istifadəçilərinə adlandırılmış-compilezone yardım proqramından istifadə edərək zonaları xam formata çevirmək tövsiyə olunur.
- Köhnə DLZ (Dinamik Yüklənə bilən Zonalar) sürücülərinə dəstək dayandırıldı, DLZ modulları ilə əvəz olundu.
- Windows platforması üçün qurma və işlətmə dəstəyi dayandırıldı. Windows-da quraşdırıla bilən son filial BIND 9.16-dır.
Mənbə: opennet.ru