BIND DNS -palvelimen kehittäjät ilmoittivat lisäävänsä palvelintuen DNS over HTTPS (DoH, DNS over HTTPS) ja DNS over TLS (DoT, DNS over TLS) -tekniikoille sekä XFR-over-TLS -mekanismin turvallisuuden takaamiseksi. DNS-vyöhykkeiden sisällön siirtäminen palvelimien välillä. DoH on testattavissa julkaisussa 9.17, ja DoT-tuki on ollut olemassa julkaisusta 9.17.10 lähtien. Stabiloinnin jälkeen DoT- ja DoH-tuki siirretään takaisin vakaalle 9.17.7-haaralle.
DoH:ssa käytetyn HTTP/2-protokollan toteutus perustuu nghttp2-kirjaston käyttöön, joka sisältyy kokoonpanoriippuvuuksiin (jatkossa kirjasto on tarkoitus siirtää valinnaisten riippuvuuksien joukkoon). Sekä salattuja (TLS) että salaamattomia HTTP/2-yhteyksiä tuetaan. Asianmukaisilla asetuksilla yksi nimetty prosessi voi nyt palvella perinteisten DNS-kyselyiden lisäksi myös DoH:n (DNS-over-HTTPS) ja DoT:n (DNS-over-TLS) kautta lähetettyjä kyselyjä. Asiakaspuolen HTTPS-tukea (dig) ei ole vielä otettu käyttöön. XFR-over-TLS-tuki on saatavilla sekä saapuville että lähteville pyynnöille.
Pyynnön käsittely DoH:n ja DoT:n avulla otetaan käyttöön lisäämällä http- ja tls-vaihtoehdot kuunteluohjeeseen. Jos haluat tukea salaamatonta DNS-over-HTTP:tä, sinun tulee määrittää asetuksissa "tls none". Avaimet määritellään "tls"-osiossa. Oletusverkkoportit 853 DoT:lle, 443 DoH:lle ja 80 DNS-over-HTTP:lle voidaan ohittaa tls-port-, https-port- ja http-port-parametreilla. Esimerkki: tls local-tls { avaintiedosto "/polku/yksityisavain.pem"; cert-tiedosto "/polku/to/cert_chain.pem"; }; http paikallinen-http-palvelin { päätepisteet { "/dns-kysely"; }; }; valinnat { https-portti 443; kuunteluportti 443 tls local-tls http myserver {kaikki;}; }
BIND:n DoH-toteutuksen ominaisuuksista mainitaan integrointi yleisenä siirtona, jota voidaan käyttää paitsi asiakaspyyntöjen käsittelemiseen ratkaisijalle, myös vaihdettaessa tietoja palvelimien välillä, siirrettäessä vyöhykkeitä arvovaltaisen DNS-palvelimen toimesta ja kun käsitellään muiden DNS-siirtojen tukemia pyyntöjä.
Toinen ominaisuus on mahdollisuus siirtää TLS:n salaustoiminnot toiselle palvelimelle, mikä voi olla tarpeen olosuhteissa, joissa TLS-varmenteita on tallennettu toiseen järjestelmään (esimerkiksi infrastruktuuriin, jossa on web-palvelimia) ja toisen henkilöstön ylläpitämiä. Tuki salaamattomalle DNS-over-HTTP:lle on toteutettu yksinkertaistamaan virheenkorjausta ja kerrokseksi edelleenlähetystä sisäverkossa, jonka perusteella salaus voidaan järjestää toiselle palvelimelle. Etäpalvelimella nginxiä voidaan käyttää TLS-liikenteen luomiseen, samalla tavalla kuin HTTPS-sidos on järjestetty verkkosivustoille.
Muistetaan, että DNS-over-HTTPS voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), torjumaan esto DNS-tasolla (DNS-over-HTTPS ei voi korvata VPN:ää ohittaessaan DPI-tasolla toteutettua estoa) tai töiden järjestämiseen, kun DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäasetuksissa määritellyille DNS-palvelimille, niin DNS-over-HTTPS:n tapauksessa pyyntö isännän IP-osoitteen määrittämiseksi kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa Ratkaisija käsittelee pyynnöt Web API:n kautta.
"DNS over TLS" eroaa "DNS over HTTPS" -standardin DNS-protokollan käytöstä (verkkoporttia 853 käytetään yleensä), käärittynä salattuun viestintäkanavaan, joka on järjestetty TLS-protokollaa käyttäen ja isäntäkelpoisuustarkistus TLS/SSL-varmenteiden kautta. varmenneviranomaisen toimesta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Lähde: opennet.ru