Pärast kaheaastast arendustööd on ISC konsortsium välja andnud BIND 9.18 DNS-serveri suure uue haru esimese stabiilse versiooni. Haru 9.18 toetust antakse pikendatud toetustsükli raames kolmeks aastaks kuni 2. aasta II kvartalini. 2025 esinduse toetus lõpeb märtsis ja 9.11 esinduse toetus 9.16. aasta keskel. BINDi järgmise stabiilse versiooni funktsionaalsuse arendamiseks on moodustatud eksperimentaalne haru BIND 2023.
BIND 9.18.0 väljalase on tähelepanuväärne HTTPS-i kaudu DNS-i (DoH, DNS üle HTTPS) ja DNS-i üle TLS-i (DoT, DNS üle TLS-i), samuti XoT-i (XFR-over-TLS) mehhanismi toetamise poolest. DNS-i sisu turvaliseks edastamiseks.tsoonid serverite vahel (toetatud on nii XoT kaudu saatmis- kui vastuvõtutsoone). Sobivate sätetega saab üks nimega protsess nüüd teenindada mitte ainult traditsioonilisi DNS-päringuid, vaid ka DNS-üle HTTPS-i ja DNS-üle-TLS-i kaudu saadetud päringuid. DNS-over-TLS klienditugi on sisse ehitatud dig-utiliiti, mida saab kasutada päringute saatmiseks TLS-i kaudu, kui on määratud lipp "+tls".
DoH-s kasutatava HTTP/2 protokolli rakendamine põhineb nghttp2 teegi kasutamisel, mis on lisatud valikulise kooste sõltuvusena. DoH-i ja DoT-i sertifikaate saab anda kasutaja või luua need automaatselt käivitamisel.
Taotluste töötlemine DoH ja DoT abil on lubatud, lisades kuulamisdirektiivile suvandid "http" ja "tls". Krüptimata DNS-üle-HTTP toetamiseks peaksite seadetes määrama "tls none". Võtmed on määratletud jaotises "tls". Vaikimisi võrguporte 853 DoT jaoks, 443 DoH jaoks ja 80 DNS-over-HTTP jaoks saab alistada parameetrite tls-port, https-port ja http-port kaudu. Näiteks:
tls local-tls { võtmefail "/path/to/priv_key.pem"; cert-fail "/tee/to/cert_chain.pem"; }; http local-http-server { lõpp-punktid { "/dns-päring"; }; }; valikud { https-port 443; kuulamisport 443 tls local-tls http myserver {ükskõik milline;}; }
Üks DoH juurutuse omadusi BINDis on võimalus teisaldada TLS-i krüpteerimistoimingud teise serverisse, mis võib olla vajalik tingimustes, kus TLS-i sertifikaate hoitakse teises süsteemis (näiteks veebiserveritega infrastruktuuris) ja neid hooldatakse. muu personali poolt. Krüptimata DNS-over-HTTP tugi on rakendatud silumise lihtsustamiseks ja kihina sisevõrgus teisele serverile edastamiseks (krüptimise teisaldamiseks eraldi serverisse). Kaugserveris saab nginxi kasutada TLS-i liikluse genereerimiseks, sarnaselt sellele, kuidas veebisaitide HTTPS-i sidumine on korraldatud.
Teine funktsioon on DoH integreerimine üldise transpordina, mida saab kasutada mitte ainult kliendi päringute käsitlemiseks lahendajale, vaid ka serveritevahelisel suhtlemisel, autoriteetse DNS-serveri poolt tsoonide ülekandmisel ja muude DNS-i toetatud päringute töötlemisel. transpordid.
Puuduste hulgas, mida saab kompenseerida DoH/DoT-ga ehitamise keelamisega või krüptimise teisaldamisega teise serverisse, torkab silma koodibaasi üldine keerukus - lisatud on sisseehitatud HTTP-server ja TLS-i teek, mis võivad potentsiaalselt sisaldada haavatavused ja toimivad rünnakute lisavektoritena. Samuti suureneb DoH kasutamisel liiklus.
Tuletagem meelde, et DNS-over-HTTPS võib olla kasulik taotletud hostinimede teabelekke vältimiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-liikluse võltsimise vastu võitlemisel (näiteks avaliku WiFi-võrguga ühenduse loomisel), DNS-i tasemel blokeerimine (DNS-over-HTTPS ei saa asendada VPN-i DPI-tasemel rakendatud blokeerimisest möödahiilimisel) või tööde korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DNS-üle-HTTPS-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb päringuid veebi API kaudu.
"DNS over TLS" erineb DNS-ist HTTPS-i kaudu standardse DNS-protokolli kasutamise poolest (tavaliselt kasutatakse võrguporti 853), mis on mähitud krüpteeritud sidekanalisse, mis on korraldatud TLS-protokolli kasutades ja hosti kehtivust kontrollib TLS/SSL-sertifikaatide kaudu. sertifitseerimisasutuse poolt. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Mõned muud uuendused:
- Lisatud tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer ja udp-send-buffer sätted, et määrata TCP ja UDP kaudu päringute saatmisel ja vastuvõtmisel kasutatavate puhvrite suurused. Hõivatud serverites aitab sissetulevate puhvrite suurendamine vältida pakettide kukkumist liikluse tippude ajal ja nende vähendamine aitab vabaneda mälu ummistumisest vanade päringute tõttu.
- Lisatud on uus logikategooria “rpz-passthru”, mis võimaldab eraldi logida RPZ (Response Policy Zones) edastamistoiminguid.
- Jaotises vastusepoliitika on lisatud valik "nsdname-wait-recurse", kui see on seatud "ei", rakendatakse RPZ NSDNAME reegleid ainult siis, kui päringu jaoks leitakse vahemälus olevad autoriteetsed nimeserverid, vastasel juhul RPZ NSDNAME reeglit eiratakse, kuid teave hangitakse taustal ja see rakendub järgmistele päringutele.
- HTTPS- ja SVCB-tüüpidega kirjete puhul on rakendatud jaotise "LISA" töötlemine.
- Lisatud kohandatud värskenduspoliitika reeglitüübid - krb5-subdomain-self-rhs ja ms-subdomain-self-rhs, mis võimaldavad piirata SRV- ja PTR-kirjete värskendamist. Värskenduspoliitika plokid lisavad ka võimaluse seada kirjete arvule piiranguid, iga tüübi jaoks eraldi.
- Dig-utiliidi väljundisse on lisatud teave transpordiprotokolli (UDP, TCP, TLS, HTTPS) ja DNS64 eesliited. Silumiseks on dig lisanud võimaluse määrata konkreetne päringu identifikaator (dig +qid= ).
- Lisatud on OpenSSL 3.0 teegi tugi.
- DNS-lipupäeval 2020 tuvastatud suurte DNS-sõnumite töötlemisel IP killustatusega seotud probleemide lahendamiseks on lahendajast eemaldatud kood, mis kohandab EDNS-i puhvri suurust, kui päringule ei vastata. EDNS-i puhvri suurus on nüüd seatud konstantseks (edns-udp-size) kõigi väljaminevate päringute jaoks.
- Ehitussüsteem on lülitatud kasutama kombinatsiooni autoconf, automake ja libtool.
- Kaardivormingus (põhifailivormingus kaart) tsoonifailide tugi on lõpetatud. Selle vormingu kasutajatel soovitatakse teisendada tsoonid töötlemata vormingusse, kasutades utiliiti named-compilezone.
- Vanemate DLZ (dünaamiliselt laaditavate tsoonide) draiverite tugi on lõpetatud, asendatud DLZ moodulitega.
- Windowsi platvormi koostamise ja käitamise tugi on lõpetatud. Viimane haru, mida saab Windowsi installida, on BIND 9.16.
Allikas: opennet.ru