BIND DNS সার্ভারে DNS-ওভার-HTTPS-এর জন্য পরীক্ষামূলক সমর্থন যোগ করা হয়েছে

BIND DNS সার্ভারের ডেভেলপাররা DNS-এর জন্য HTTPS (DoH, DNS over HTTPS) এবং DNS ওভার TLS (DoT, DNS ওভার TLS) প্রযুক্তির জন্য সার্ভার সমর্থন যোগ করার ঘোষণা দিয়েছে, সেইসাথে নিরাপদের জন্য XFR-ওভার-TLS মেকানিজম। সার্ভারের মধ্যে DNS জোনের বিষয়বস্তু স্থানান্তর করা। DoH রিলিজ 9.17 এ পরীক্ষার জন্য উপলব্ধ, এবং DoT সমর্থন 9.17.10 রিলিজ থেকে উপস্থিত রয়েছে। স্থিতিশীলতার পরে, DoT এবং DoH সমর্থন স্থিতিশীল 9.17.7 শাখায় ব্যাকপোর্ট করা হবে।

DoH-এ ব্যবহৃত HTTP/2 প্রোটোকলের বাস্তবায়ন nghttp2 লাইব্রেরির ব্যবহারের উপর ভিত্তি করে, যা সমাবেশ নির্ভরতাগুলির মধ্যে অন্তর্ভুক্ত (ভবিষ্যতে, লাইব্রেরিটিকে ঐচ্ছিক নির্ভরতার সংখ্যায় স্থানান্তর করার পরিকল্পনা করা হয়েছে)। এনক্রিপ্ট করা (TLS) এবং আনএনক্রিপ্ট করা HTTP/2 সংযোগ উভয়ই সমর্থিত। উপযুক্ত সেটিংসের সাথে, একটি একক নামকরণ প্রক্রিয়া এখন শুধুমাত্র প্রথাগত DNS প্রশ্নই নয়, DoH (DNS-over-HTTPS) এবং DoT (DNS-over-TLS) ব্যবহার করে পাঠানো প্রশ্নগুলিও পরিবেশন করতে পারে। ক্লায়েন্ট সাইডে HTTPS সমর্থন (dig) এখনও প্রয়োগ করা হয়নি। XFR-ওভার-TLS সমর্থন ইনবাউন্ড এবং আউটবাউন্ড উভয় অনুরোধের জন্য উপলব্ধ।

DoH এবং DoT ব্যবহার করে রিকোয়েস্ট প্রসেসিং লিসেন-অন নির্দেশনায় http এবং tls বিকল্প যোগ করে সক্ষম করা হয়েছে। এনক্রিপ্ট না করা DNS-ওভার-HTTP সমর্থন করতে, আপনাকে সেটিংসে "tls none" উল্লেখ করতে হবে। কীগুলি "tls" বিভাগে সংজ্ঞায়িত করা হয়েছে। ডিফল্ট নেটওয়ার্ক পোর্ট 853 DoT-এর জন্য, 443 DoH-এর জন্য এবং DNS-over-HTTP-এর জন্য 80 টি এলএস-পোর্ট, https-পোর্ট এবং http-পোর্ট প্যারামিটারের মাধ্যমে ওভাররাইড করা যেতে পারে। যেমন: tls local-tls { key-file "/path/to/priv_key.pem"; সার্টি-ফাইল "/path/to/cert_chain.pem"; }; http স্থানীয়-http-সার্ভার { শেষ পয়েন্ট { "/dns-query"; }; }; বিকল্পগুলি { https-পোর্ট 443; লিসেন-অন পোর্ট 443 tls local-tls http myserver {any;}; }

বিআইএনডি-তে DoH বাস্তবায়নের বৈশিষ্ট্যগুলির মধ্যে, ইন্টিগ্রেশন একটি সাধারণ পরিবহন হিসাবে উল্লেখ করা হয়, যা শুধুমাত্র সমাধানকারীর কাছে ক্লায়েন্টের অনুরোধগুলি প্রক্রিয়া করার জন্যই নয়, সার্ভারের মধ্যে ডেটা আদান-প্রদানের সময়, একটি প্রামাণিক DNS সার্ভার দ্বারা অঞ্চল স্থানান্তর করার সময়ও ব্যবহার করা যেতে পারে। অন্যান্য DNS পরিবহন দ্বারা সমর্থিত কোনো অনুরোধ প্রক্রিয়া করার সময়।

আরেকটি বৈশিষ্ট্য হল TLS-এর জন্য এনক্রিপশন ক্রিয়াকলাপগুলিকে অন্য সার্ভারে স্থানান্তর করার ক্ষমতা, যেটি এমন পরিস্থিতিতে প্রয়োজন হতে পারে যেখানে TLS শংসাপত্রগুলি অন্য সিস্টেমে সংরক্ষণ করা হয় (উদাহরণস্বরূপ, ওয়েব সার্ভার সহ একটি পরিকাঠামোতে) এবং অন্যান্য কর্মীদের দ্বারা রক্ষণাবেক্ষণ করা হয়। এনক্রিপ্ট না করা DNS-ওভার-HTTP-এর জন্য সমর্থন ডিবাগিং সহজ করার জন্য এবং অভ্যন্তরীণ নেটওয়ার্কে ফরওয়ার্ড করার জন্য একটি স্তর হিসাবে প্রয়োগ করা হয়, যার ভিত্তিতে অন্য সার্ভারে এনক্রিপশন সংগঠিত করা যেতে পারে। একটি দূরবর্তী সার্ভারে, nginx টিএলএস ট্র্যাফিক তৈরি করতে ব্যবহার করা যেতে পারে, যেভাবে ওয়েবসাইটগুলির জন্য HTTPS বাইন্ডিং সংগঠিত হয়।

আমাদের স্মরণ করা যাক যে ডিএনএস-ওভার-এইচটিটিপিএস প্রোভাইডারদের ডিএনএস সার্ভারের মাধ্যমে অনুরোধ করা হোস্টের নাম সম্পর্কে তথ্য ফাঁস প্রতিরোধে, এমআইটিএম আক্রমণ এবং ডিএনএস ট্র্যাফিক স্পুফিং (উদাহরণস্বরূপ, পাবলিক ওয়াই-ফাইয়ের সাথে সংযোগ করার সময়) প্রতিরোধের জন্য কার্যকর হতে পারে। ডিএনএস স্তরে ব্লক করা (ডিএনএস-ওভার-এইচটিটিপিএস ডিপিআই স্তরে প্রয়োগ করা ব্লকিং বাইপাসিংয়ে কোনও ভিপিএন প্রতিস্থাপন করতে পারে না) বা যখন সরাসরি ডিএনএস সার্ভার অ্যাক্সেস করা অসম্ভব (উদাহরণস্বরূপ, প্রক্সির মাধ্যমে কাজ করার সময়) কাজ সংগঠিত করার জন্য। যদি একটি স্বাভাবিক পরিস্থিতিতে ডিএনএস অনুরোধগুলি সরাসরি সিস্টেম কনফিগারেশনে সংজ্ঞায়িত ডিএনএস সার্ভারে পাঠানো হয়, তবে ডিএনএস-ওভার-এইচটিটিপিএসের ক্ষেত্রে হোস্ট আইপি ঠিকানা নির্ধারণের অনুরোধটি HTTPS ট্র্যাফিকের মধ্যে এনক্যাপসুলেট করা হয় এবং HTTP সার্ভারে পাঠানো হয়, যেখানে সমাধানকারী ওয়েব API এর মাধ্যমে অনুরোধগুলি প্রক্রিয়া করে।

স্ট্যান্ডার্ড ডিএনএস প্রোটোকল (নেটওয়ার্ক পোর্ট 853 সাধারণত ব্যবহার করা হয়) ব্যবহারে "TLS ওভার DNS" "DNS ওভার HTTPS" থেকে আলাদা, TLS/SSL সার্টিফিকেটের মাধ্যমে হোস্টের বৈধতা যাচাইয়ের সাথে TLS প্রোটোকল ব্যবহার করে সংগঠিত একটি এনক্রিপ্ট করা যোগাযোগ চ্যানেলে মোড়ানো। একটি সার্টিফিকেশন কর্তৃপক্ষ দ্বারা। বিদ্যমান DNSSEC মান শুধুমাত্র ক্লায়েন্ট এবং সার্ভারকে প্রমাণীকরণের জন্য এনক্রিপশন ব্যবহার করে, কিন্তু ট্রাফিককে বাধা থেকে রক্ষা করে না এবং অনুরোধের গোপনীয়তার গ্যারান্টি দেয় না।

উত্স: opennet.ru