Ar ôl dwy flynedd o ddatblygiad, mae consortiwm ISC wedi rhyddhau'r datganiad sefydlog cyntaf o gangen newydd fawr o'r gweinydd DNS BIND 9.18. Bydd cymorth i gangen 9.18 yn cael ei ddarparu am dair blynedd tan 2il chwarter 2025 fel rhan o gylch cymorth estynedig. Bydd cefnogaeth i gangen 9.11 yn dod i ben ym mis Mawrth, a chefnogaeth i gangen 9.16 yng nghanol 2023. Er mwyn datblygu ymarferoldeb y fersiwn sefydlog nesaf o BIND, mae cangen arbrofol BIND 9.19.0 wedi'i ffurfio.
Mae rhyddhau BIND 9.18.0 yn nodedig am weithredu cefnogaeth ar gyfer DNS dros HTTPS (DoH, DNS dros HTTPS) a DNS dros TLS (DoT, DNS dros TLS), yn ogystal â mecanwaith XoT (XFR-over-TLS) ar gyfer trosglwyddo cynnwys DNS yn ddiogel. parthau rhwng gweinyddwyr (mae parthau anfon a derbyn trwy XoT yn cael eu cefnogi). Gyda'r gosodiadau priodol, gall un broses a enwir bellach wasanaethu nid yn unig ymholiadau DNS traddodiadol, ond hefyd ymholiadau a anfonir gan ddefnyddio DNS-over-HTTPS a DNS-over-TLS. Mae cefnogaeth cleient ar gyfer DNS-over-TLS wedi'i ymgorffori yn y cyfleustodau cloddio, y gellir ei ddefnyddio i anfon ceisiadau dros TLS pan nodir y faner "+ tls".
Mae gweithredu'r protocol HTTP/2 a ddefnyddir yn yr Adran Iechyd yn seiliedig ar ddefnyddio'r llyfrgell nghttp2, sy'n cael ei chynnwys fel dibyniaeth ar y cynulliad opsiynol. Gall y defnyddiwr ddarparu tystysgrifau ar gyfer Adran Iechyd a DoT neu eu cynhyrchu'n awtomatig ar amser cychwyn.
Galluogir prosesu ceisiadau gan ddefnyddio DoH a DoT trwy ychwanegu'r opsiynau "http" a "tls" i'r gyfarwyddeb gwrando. I gefnogi DNS-over-HTTP heb ei amgryptio, dylech nodi “tls none” yn y gosodiadau. Diffinnir allweddi yn yr adran "tls". Gellir diystyru'r porthladdoedd rhwydwaith diofyn 853 ar gyfer DoT, 443 ar gyfer DoH ac 80 ar gyfer DNS-over-HTTP trwy baramedrau tls-port, https-port a http-port. Er enghraifft:
tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http lleol-http-server { endpoints { "/dns-query"; }; }; opsiynau { https-port 443; gwrando-ar porthladd 443 tls local-tls http myserver {any;}; }
Un o nodweddion gweithrediad yr Adran Iechyd yn BIND yw'r gallu i symud gweithrediadau amgryptio ar gyfer TLS i weinydd arall, a all fod yn angenrheidiol mewn amodau lle mae tystysgrifau TLS yn cael eu storio ar system arall (er enghraifft, mewn seilwaith gyda gweinyddwyr gwe) a'u cynnal gan bersonél eraill. Gweithredir cefnogaeth ar gyfer DNS-over-HTTP heb ei amgryptio i symleiddio dadfygio ac fel haen i'w hanfon ymlaen at weinydd arall ar y rhwydwaith mewnol (ar gyfer symud amgryptio i weinydd ar wahân). Ar weinydd pell, gellir defnyddio nginx i gynhyrchu traffig TLS, yn debyg i sut mae rhwymo HTTPS yn cael ei drefnu ar gyfer gwefannau.
Nodwedd arall yw integreiddio DoH fel cludiant cyffredinol y gellir ei ddefnyddio nid yn unig i drin ceisiadau cleient i'r datryswr, ond hefyd wrth gyfathrebu rhwng gweinyddwyr, wrth drosglwyddo parthau gan weinydd DNS awdurdodol, ac wrth brosesu unrhyw ymholiadau a gefnogir gan DNS eraill cludo.
Ymhlith y diffygion y gellir gwneud iawn amdanynt trwy analluogi'r adeilad gyda DoH / DoT neu symud yr amgryptio i weinydd arall, mae cymhlethdod cyffredinol y sylfaen cod yn amlwg - mae gweinydd HTTP adeiledig a llyfrgell TLS yn cael eu hychwanegu, a allai gynnwys o bosibl gwendidau a gweithredu fel fectorau ychwanegol ar gyfer ymosodiadau. Hefyd, wrth ddefnyddio DoH, mae traffig yn cynyddu.
Gadewch inni gofio y gall DNS-over-HTTPS fod yn ddefnyddiol ar gyfer atal gollyngiadau gwybodaeth am yr enwau gwesteiwr y gofynnwyd amdanynt trwy weinyddion DNS darparwyr, brwydro yn erbyn ymosodiadau MITM a ffugio traffig DNS (er enghraifft, wrth gysylltu â Wi-Fi cyhoeddus), gwrthweithio blocio ymlaen ar y lefel DNS (ni all DNS-over-HTTPS ddisodli VPN wrth osgoi blocio a weithredir ar lefel DPI) neu ar gyfer trefnu gwaith pan fydd yn amhosibl cael mynediad uniongyrchol i weinyddion DNS (er enghraifft, wrth weithio trwy ddirprwy). Os yw ceisiadau DNS mewn sefyllfa arferol yn cael eu hanfon yn uniongyrchol at weinyddion DNS a ddiffinnir yng nghyfluniad y system, yna yn achos DNS-over-HTTPS mae'r cais i bennu cyfeiriad IP y gwesteiwr wedi'i grynhoi mewn traffig HTTPS a'i anfon at y gweinydd HTTP, lle mae'r datryswr yn prosesu ceisiadau trwy Web API.
Mae “DNS over TLS” yn wahanol i “DNS over HTTPS” yn y defnydd o'r protocol DNS safonol (defnyddir porthladd rhwydwaith 853 fel arfer), wedi'i lapio mewn sianel gyfathrebu wedi'i hamgryptio a drefnir gan ddefnyddio'r protocol TLS gyda dilysrwydd gwesteiwr yn gwirio trwy dystysgrifau TLS / SSL ardystiedig gan awdurdod ardystio. Mae'r safon DNSSEC bresennol yn defnyddio amgryptio i ddilysu'r cleient a'r gweinydd yn unig, ond nid yw'n amddiffyn traffig rhag rhyng-gipio ac nid yw'n gwarantu cyfrinachedd ceisiadau.
Rhai arloesiadau eraill:
- Ychwanegwyd gosodiadau tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer a udp-send-buffer i osod maint y byfferau a ddefnyddir wrth anfon a derbyn ceisiadau dros TCP a CDU. Ar weinyddion prysur, bydd cynyddu byfferau sy'n dod i mewn yn helpu i osgoi gollwng pecynnau yn ystod cyfnodau brig traffig, a bydd eu lleihau yn helpu i gael gwared ar glocsio cof gyda hen geisiadau.
- Mae categori log newydd “rpz-passthru” wedi'i ychwanegu, sy'n eich galluogi i logio camau gweithredu ymlaen RPZ (Parthau Polisi Ymateb) ar wahân.
- Yn yr adran ymateb-polisi, mae'r opsiwn “nsdname-wait-recurse” wedi'i ychwanegu, pan osodwyd i “na”, mae rheolau RPZ NSDNAME yn cael eu cymhwyso dim ond os canfyddir gweinyddwyr enw awdurdodol sy'n bresennol yn y storfa ar gyfer y cais, fel arall y Anwybyddir rheol RPZ NSDNAME, ond mae'r wybodaeth yn cael ei hadalw yn y cefndir ac yn berthnasol i geisiadau dilynol.
- Ar gyfer cofnodion gyda mathau HTTPS a SVCB, mae prosesu'r adran “YCHWANEGOL” wedi'i weithredu.
- Ychwanegwyd mathau o reolau diweddaru-polisi personol - krb5-subdomain-self-rhs a ms-subdomain-self-rhs, sy'n eich galluogi i gyfyngu ar ddiweddaru cofnodion SRV a PTR. Mae'r blociau polisi diweddaru hefyd yn ychwanegu'r gallu i osod cyfyngiadau ar nifer y cofnodion, unigol ar gyfer pob math.
- Ychwanegwyd gwybodaeth am y protocol trafnidiaeth (CDU, TCP, TLS, HTTPS) a rhagddodiaid DNS64 at allbwn y cyfleustodau cloddio. At ddibenion dadfygio, mae cloddio wedi ychwanegu'r gallu i nodi dynodwr cais penodol (dig +qid= ).
- Cefnogaeth ychwanegol i lyfrgell OpenSSL 3.0.
- Er mwyn mynd i'r afael â phroblemau gyda darnio IP wrth brosesu negeseuon DNS mawr a nodwyd gan Ddiwrnod Baner DNS 2020, mae cod sy'n addasu maint byffer EDNS pan nad oes ymateb i gais wedi'i dynnu o'r datryswr. Mae maint byffer EDNS bellach yn gyson (maint edns-udp-size) ar gyfer pob cais sy'n mynd allan.
- Mae'r system adeiladu wedi'i newid i ddefnyddio cyfuniad o autoconf, automake a libtool.
- Mae cefnogaeth ar gyfer ffeiliau parth yn y fformat “map” (map fformat masterfile) wedi dod i ben. Argymhellir defnyddwyr y fformat hwn i drosi parthau i fformat crai gan ddefnyddio'r cyfleustodau a enwir-compilezone.
- Mae cefnogaeth i yrwyr hŷn DLZ (Parthau y gellir eu Llwytho'n Ddeinamig) wedi'i derfynu, a'i ddisodli gan fodiwlau DLZ.
- Mae cefnogaeth adeiladu a rhedeg ar gyfer platfform Windows wedi dod i ben. Y gangen olaf y gellir ei gosod ar Windows yw BIND 9.16.
Ffynhonnell: opennet.ru