Programeri BIND DNS servera najavili su dodavanje serverske podrške za DNS preko HTTPS (DoH, DNS preko HTTPS) i DNS preko TLS (DoT, DNS over TLS) tehnologije, kao i XFR-over-TLS mehanizam za siguran prenos sadržaja DNS zona između servera. DoH je dostupan za testiranje u izdanju 9.17, a DoT podrška je prisutna od izdanja 9.17.10. Nakon stabilizacije, DoT i DoH podrška će se vratiti na stabilnu granu 9.17.7.
Implementacija HTTP/2 protokola koji se koristi u DoH bazira se na korišćenju biblioteke nghttp2, koja je uključena među asemblerske zavisnosti (u budućnosti se planira prebacivanje biblioteke na broj opcionih zavisnosti). Podržane su i šifrirane (TLS) i nešifrirane HTTP/2 veze. Uz odgovarajuće postavke, jedan imenovani proces sada može poslužiti ne samo tradicionalne DNS upite, već i upite poslane korištenjem DoH (DNS-over-HTTPS) i DoT (DNS-over-TLS). HTTPS podrška na strani klijenta (dig) još nije implementirana. XFR-over-TLS podrška je dostupna i za dolazne i za odlazne zahtjeve.
Obrada zahtjeva koristeći DoH i DoT je omogućena dodavanjem http i tls opcija u direktivu slušanja. Da biste podržali nešifrirani DNS-over-HTTP, trebate navesti “tls none” u postavkama. Ključevi su definirani u odjeljku "tls". Zadani mrežni portovi 853 za DoT, 443 za DoH i 80 za DNS-over-HTTP mogu se nadjačati kroz parametre tls-port, https-port i http-port. Na primjer: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http lokalni-http-server { endpoints { "/dns-query"; }; }; opcije { https-port 443; port za slušanje 443 tls lokalni-tls http moj server {any;}; }
Među karakteristikama implementacije DoH-a u BIND-u, integracija je istaknuta kao opšti transport, koji se može koristiti ne samo za obradu zahtjeva klijenata prema razrješaču, već i prilikom razmjene podataka između servera, prilikom prijenosa zona od strane autoritativnog DNS servera i prilikom obrade bilo kakvih zahtjeva podržanih od strane drugih DNS transporta.
Još jedna karakteristika je mogućnost premještanja operacija šifriranja za TLS na drugi server, što može biti neophodno u uvjetima kada su TLS certifikati pohranjeni na drugom sistemu (na primjer, u infrastrukturi sa web serverima) i održavani od strane drugog osoblja. Podrška za nešifrovani DNS-over-HTTP implementirana je radi pojednostavljenja otklanjanja grešaka i kao sloj za prosleđivanje u internoj mreži, na osnovu kojeg se može organizovati enkripcija na drugom serveru. Na udaljenom serveru, nginx se može koristiti za generiranje TLS prometa, slično kao što je organizirano HTTPS povezivanje za web stranice.
Podsjetimo da DNS-over-HTTPS može biti koristan za sprječavanje curenja informacija o traženim imenima hosta preko DNS servera provajdera, suzbijanje MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranje na DNS nivou (DNS-over-HTTPS ne može zamijeniti VPN u zaobilaženju blokiranja implementiranog na DPI nivou) ili za organizaciju rada kada je nemoguće direktno pristupiti DNS serverima (na primjer, kada se radi preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi direktno šalju na DNS servere definisane u konfiguraciji sistema, onda se u slučaju DNS-over-HTTPS-a zahtjev za određivanje IP adrese hosta inkapsulira u HTTPS promet i šalje na HTTP server, gdje rezolver obrađuje zahtjeve preko Web API-ja.
“DNS preko TLS-a” se razlikuje od “DNS-a preko HTTPS-a” po korištenju standardnog DNS protokola (obično se koristi mrežni port 853), umotanog u šifrirani komunikacioni kanal organiziran korištenjem TLS protokola s provjerom valjanosti hosta putem certificiranih TLS/SSL certifikata od strane certifikacionog tijela. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i servera, ali ne štiti promet od presretanja i ne garantuje povjerljivost zahtjeva.
izvor: opennet.ru