Οι προγραμματιστές του διακομιστή BIND DNS ανακοίνωσαν την προσθήκη υποστήριξης διακομιστή για τις τεχνολογίες DNS μέσω HTTPS (DoH, DNS over HTTPS) και DNS over TLS (DoT, DNS over TLS), καθώς και τον μηχανισμό XFR-over-TLS για ασφαλή μεταφορά των περιεχομένων των ζωνών DNS μεταξύ διακομιστών. Το DoH είναι διαθέσιμο για δοκιμή στην έκδοση 9.17 και η υποστήριξη DoT είναι παρούσα από την έκδοση 9.17.10. Μετά τη σταθεροποίηση, η υποστήριξη DoT και DoH θα μεταφερθεί στον σταθερό κλάδο 9.17.7.
Η υλοποίηση του πρωτοκόλλου HTTP/2 που χρησιμοποιείται στο DoH βασίζεται στη χρήση της βιβλιοθήκης nghttp2, η οποία περιλαμβάνεται στις εξαρτήσεις συναρμολόγησης (στο μέλλον, η βιβλιοθήκη σχεδιάζεται να μεταφερθεί στον αριθμό των προαιρετικών εξαρτήσεων). Υποστηρίζονται τόσο κρυπτογραφημένες (TLS) όσο και μη κρυπτογραφημένες συνδέσεις HTTP/2. Με τις κατάλληλες ρυθμίσεις, μια μεμονωμένη διαδικασία με όνομα μπορεί πλέον να εξυπηρετεί όχι μόνο παραδοσιακά ερωτήματα DNS, αλλά και ερωτήματα που αποστέλλονται με χρήση DoH (DNS-over-HTTPS) και DoT (DNS-over-TLS). Η υποστήριξη HTTPS στην πλευρά του πελάτη (dig) δεν έχει ακόμη εφαρμοστεί. Η υποστήριξη XFR-over-TLS είναι διαθέσιμη τόσο για εισερχόμενα όσο και για εξερχόμενα αιτήματα.
Η επεξεργασία αιτημάτων με χρήση DoH και DoT ενεργοποιείται προσθέτοντας τις επιλογές http και tls στην οδηγία ακρόασης. Για να υποστηρίξετε μη κρυπτογραφημένο DNS-over-HTTP, θα πρέπει να καθορίσετε "tls none" στις ρυθμίσεις. Τα κλειδιά ορίζονται στην ενότητα "tls". Οι προεπιλεγμένες θύρες δικτύου 853 για DoT, 443 για DoH και 80 για DNS-over-HTTP μπορούν να παρακαμφθούν μέσω των παραμέτρων tls-port, https-port και http-port. Για παράδειγμα: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; επιλογές { https-port 443; θύρα ακρόασης 443 tls local-tls http myserver {any;}; }
Μεταξύ των χαρακτηριστικών της υλοποίησης DoH στο BIND, η ενοποίηση σημειώνεται ως μια γενική μεταφορά, η οποία μπορεί να χρησιμοποιηθεί όχι μόνο για την επεξεργασία αιτημάτων πελάτη προς τον επιλύτη, αλλά και κατά την ανταλλαγή δεδομένων μεταξύ διακομιστών, κατά τη μεταφορά ζωνών από έναν έγκυρο διακομιστή DNS και κατά την επεξεργασία τυχόν αιτημάτων που υποστηρίζονται από άλλες μεταφορές DNS.
Ένα άλλο χαρακτηριστικό είναι η δυνατότητα μετακίνησης λειτουργιών κρυπτογράφησης για TLS σε άλλο διακομιστή, κάτι που μπορεί να είναι απαραίτητο σε συνθήκες όπου τα πιστοποιητικά TLS αποθηκεύονται σε άλλο σύστημα (για παράδειγμα, σε μια υποδομή με διακομιστές ιστού) και συντηρούνται από άλλο προσωπικό. Η υποστήριξη για μη κρυπτογραφημένο DNS-over-HTTP υλοποιείται για την απλοποίηση του εντοπισμού σφαλμάτων και ως επίπεδο για προώθηση στο εσωτερικό δίκτυο, βάσει του οποίου μπορεί να οργανωθεί η κρυπτογράφηση σε άλλο διακομιστή. Σε έναν απομακρυσμένο διακομιστή, το nginx μπορεί να χρησιμοποιηθεί για τη δημιουργία επισκεψιμότητας TLS, παρόμοια με τον τρόπο οργάνωσης της σύνδεσης HTTPS για ιστότοπους.
Ας θυμηθούμε ότι το DNS-over-HTTPS μπορεί να είναι χρήσιμο για την πρόληψη διαρροών πληροφοριών σχετικά με τα ονόματα κεντρικών υπολογιστών που ζητήθηκαν μέσω των διακομιστών DNS των παρόχων, την καταπολέμηση των επιθέσεων MITM και της πλαστογράφησης της κυκλοφορίας DNS (για παράδειγμα, κατά τη σύνδεση σε δημόσιο Wi-Fi), την αντιμετώπιση αποκλεισμός σε επίπεδο DNS (το DNS-over-HTTPS δεν μπορεί να αντικαταστήσει ένα VPN παρακάμπτοντας τον αποκλεισμό που εφαρμόζεται σε επίπεδο DPI) ή για την οργάνωση εργασίας όταν είναι αδύνατη η άμεση πρόσβαση σε διακομιστές DNS (για παράδειγμα, όταν εργάζεστε μέσω διακομιστή μεσολάβησης). Εάν σε μια κανονική κατάσταση τα αιτήματα DNS αποστέλλονται απευθείας σε διακομιστές DNS που ορίζονται στη διαμόρφωση του συστήματος, τότε στην περίπτωση του DNS-over-HTTPS το αίτημα για τον προσδιορισμό της διεύθυνσης IP του κεντρικού υπολογιστή ενσωματώνεται στην κίνηση HTTPS και αποστέλλεται στον διακομιστή HTTP, όπου ο επιλύτης επεξεργάζεται αιτήματα μέσω Web API.
Το "DNS μέσω TLS" διαφέρει από το "DNS μέσω HTTPS" στη χρήση του τυπικού πρωτοκόλλου DNS (συνήθως χρησιμοποιείται η θύρα δικτύου 853), τυλιγμένο σε ένα κρυπτογραφημένο κανάλι επικοινωνίας οργανωμένο χρησιμοποιώντας το πρωτόκολλο TLS με έλεγχο εγκυρότητας κεντρικού υπολογιστή μέσω πιστοποιητικών TLS/SSL από μια αρχή πιστοποίησης. Το υπάρχον πρότυπο DNSSEC χρησιμοποιεί κρυπτογράφηση μόνο για τον έλεγχο ταυτότητας του πελάτη και του διακομιστή, αλλά δεν προστατεύει την κυκλοφορία από την παρακολούθηση και δεν εγγυάται την εμπιστευτικότητα των αιτημάτων.
Πηγή: opennet.ru