Bi urteko garapenaren ondoren, ISC partzuergoak BIND 9.18 DNS zerbitzariaren adar berri garrantzitsu baten lehen bertsio egonkorra kaleratu du. 9.18 adarraren laguntza hiru urtez emango da 2eko 2025. hiruhilekora arte laguntza-ziklo hedatu baten barruan. 9.11 adarraren laguntza martxoan amaituko da, eta 9.16 adarraren laguntza 2023aren erdialdean. BIND-en hurrengo bertsio egonkorraren funtzionaltasuna garatzeko, BIND 9.19.0 adar esperimental bat eratu da.
BIND 9.18.0 bertsioa nabarmentzen da HTTPS bidez DNS (DoH, DNS HTTPS bidez) eta TLS bidezko DNS (DoT, DNS TLS bidez) laguntza ezartzeagatik, baita XoT (XFR-over-TLS) mekanismoa ere. DNS edukiaren transferentzia segururako.zerbitzarien arteko eremuak (XoT bidez bidaltzeko zein jasotzeko guneak onartzen dira). Ezarpen egokiekin, izendun prozesu bakar batek DNS ohiko kontsultak ez ezik, DNS-over-HTTPS eta DNS-over-TLS erabiliz bidalitako kontsultak ere balio ditzake. DNS-over-TLS-rako bezeroen laguntza dig utilitatean integratuta dago, eta TLS bidez eskaerak bidaltzeko erabil daiteke "+tls" bandera zehaztuta dagoenean.
DoHn erabiltzen den HTTP/2 protokoloaren inplementazioa nghttp2 liburutegiaren erabileran oinarritzen da, aukerako muntaia-mendekotasun gisa sartzen dena. DoH eta DoT ziurtagiriak erabiltzaileak eman ditzake edo abiaraztean automatikoki sor ditzake.
DoH eta DoT erabiliz eskaerak prozesatzea gaitzen da "http" eta "tls" aukerak entzuteko zuzentarauari gehituta. Enkriptatu gabeko DNS-a HTTP-ren gainean onartzeko, "tls none" zehaztu beharko zenuke ezarpenetan. Gakoak "tls" atalean definitzen dira. Sare-ataka lehenetsiak DoT-rako 853, DoH-rako 443 eta DNS-over-HTTPrako 80 baliogabetu daitezke tls-port, https-port eta http-port parametroen bidez. Adibidez:
tls local-tls { gako-fitxategia "/path/to/priv_key.pem"; cert-fitxategia "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; aukerak { https-port 443; listen-on ataka 443 tls local-tls http nire zerbitzaria {edozein;}; }
BIND-en DoH inplementazioaren ezaugarrietako bat TLSrako enkriptazio-eragiketak beste zerbitzari batera eramateko gaitasuna da, beharrezkoa izan daiteke TLS ziurtagiriak beste sistema batean gordeta dauden baldintzetan (adibidez, web zerbitzariak dituen azpiegitura batean) eta mantentzen diren baldintzetan. beste langile batzuek. Zifratu gabeko DNS-over-HTTPrako laguntza inplementatzen da arazketa errazteko eta barne-sareko beste zerbitzari batera birbidaltzeko geruza gisa (enkriptatzea zerbitzari bereizi batera eramateko). Urruneko zerbitzari batean, nginx TLS trafikoa sortzeko erabil daiteke, webguneetarako HTTPS lotura antolatzen den antzera.
Beste ezaugarri bat DoH-ren integrazioa da garraio orokor gisa, eta ez bakarrik erabil daiteke bezeroen eskaerak konpontzaileari kudeatzeko, baita zerbitzarien arteko komunikazioan ere, DNS zerbitzari autoritario batek eremuak transferitzean eta beste DNS batzuek onartzen dituzten kontsultak prozesatzen direnean. garraioak.
DoH/DoT-rekin eraikitzea desgaituz edo enkriptatzea beste zerbitzari batera eramanez konpents daitezkeen gabezien artean, kode-oinarriaren konplikazio orokorra nabarmentzen da: HTTP zerbitzari integratua eta TLS liburutegia gehitzen dira, izan ditzaketenak. ahuleziak eta erasoen bektore osagarri gisa jardutea. Gainera, DoH erabiltzean, trafikoa handitzen da.
Gogora dezagun DNS-over-HTTPS erabilgarria izan daitekeela hornitzaileen DNS zerbitzarien bidez eskatutako ostalari-izenei buruzko informazio-ihesak saihesteko, MITM erasoei eta DNS trafikoaren faltsioari aurre egiteko (adibidez, Wi-Fi publikora konektatzean), aurre egiteko. DNS mailan blokeatzea (DNS-over-HTTPS ezin da VPN bat ordezkatu DPI mailan inplementatutako blokeoa saihestuz) edo lana antolatzeko DNS zerbitzarietara zuzenean sartzea ezinezkoa denean (adibidez, proxy baten bidez lan egiten denean). Egoera normal batean DNS eskaerak zuzenean bidaltzen badira sistemaren konfigurazioan definitutako DNS zerbitzarietara, orduan DNS-over-HTTPS-en kasuan ostalariaren IP helbidea zehazteko eskaera HTTPS trafikoan sartzen da eta HTTP zerbitzarira bidaltzen da, non. ebazpenak eskaerak prozesatzen ditu Web API bidez.
"DNS over TLS" eta "DNS over HTTPS" desberdina da DNS protokolo estandarraren erabileran (sareko ataka 853 erabiltzen da normalean), TLS protokoloa erabiliz antolatutako komunikazio kanal enkriptatu batean bilduta, ostalariaren baliozkotasuna egiaztatuta TLS/SSL ziurtagirien bidez. ziurtagiri-agintari batek. Lehendik dagoen DNSSEC estandarrak enkriptatzea erabiltzen du bezeroa eta zerbitzaria autentifikatzeko soilik, baina ez du trafikoa atzematetik babesten eta ez du eskaeren konfidentzialtasuna bermatzen.
Beste berrikuntza batzuk:
- TCP-receive-buffer, tcp-send-buffer, udp-receive-buffer eta udp-send-buffer ezarpenak gehitu dira TCP eta UDP bidez eskaerak bidaltzean eta jasotzean erabilitako buffer-tamainak ezartzeko. Lanpetuta dauden zerbitzarietan, sarrerako buffer-ak handitzeak trafiko gailurren garaian paketeak erortzen saihesten lagunduko du, eta murrizteak eskaera zaharretako memoria-blokea kentzen lagunduko du.
- "rpz-passthru" erregistro-kategoria berri bat gehitu da, RPZ (Erantzun Politika Eremuak) birbidaltze-ekintzak bereizita erregistratzeko aukera ematen duena.
- Erantzun-politika atalean, "nsdname-wait-recurse" aukera gehitu da, "ez" ezarrita dagoenean, RPZ NSDNAME arauak eskaerarako cachean dauden izen-zerbitzari autoritarioak aurkitzen badira soilik aplikatzen dira, bestela. RPZ NSDNAME araua ez da aintzat hartzen, baina informazioa atzeko planoan berreskuratzen da eta hurrengo eskaerei aplikatzen zaie.
- HTTPS eta SVCB motako erregistroetarako, "GEHIGARRI" atalaren prozesamendua ezarri da.
- Eguneratze-politikaren arau mota pertsonalizatuak gehitu dira: krb5-subdomain-self-rhs eta ms-subdomain-self-rhs, SRV eta PTR erregistroen eguneratzea mugatzeko aukera ematen dutenak. Eguneratze-politika blokeek erregistro-kopuruari mugak ezartzeko gaitasuna gehitzen dute, mota bakoitzeko banaka.
- Garraio-protokoloari (UDP, TCP, TLS, HTTPS) eta DNS64 aurrizkiei buruzko informazioa gehitu da dig utilityaren irteeran. Arazketa helburuetarako, dig-ek eskaera-identifikatzaile zehatz bat zehazteko gaitasuna gehitu du (dig +qid= ).
- OpenSSL 3.0 liburutegirako euskarria gehitu da.
- DNS Flag Day 2020-k identifikatutako DNS mezu handiak prozesatzen dituen IP zatiketaren arazoak konpontzeko, eskaera bati erantzunik ez dagoenean EDNS buffer-aren tamaina doitzen duen kodea kendu da ebazletik. EDNS buffer-aren tamaina konstantean ezarri da (edns-udp-size) irteerako eskaera guztientzat.
- Eraikuntza-sistema autoconf, automake eta libtool konbinazio batera aldatu da.
- "Mapa" formatuan (fitxategi-formatuko mapa) eremuko fitxategientzako laguntza eten egin da. Formatu honetako erabiltzaileei eremuak formatu gordina bihurtzea gomendatzen zaie named-compilezone utilitatearen bidez.
- DLZ (Dynamically Loadable Zones) kontrolatzaile zaharrentzako laguntza eten egin da, DLZ moduluek ordezkatuta.
- Windows plataformarako eraikitzeko eta exekutatzeko laguntza eten egin da. Windows-en instalatu daitekeen azken adarra BIND 9.16 da.
Iturria: opennet.ru