🥇BIND DNS સર્વર 9.18.0 DNS-ઓવર-TLS અને DNS-ઓવર-HTTPS સપોર્ટ સાથે રિલીઝ

બે વર્ષના વિકાસ પછી, ISC કન્સોર્ટિયમે BIND 9.18 DNS સર્વરની મુખ્ય નવી શાખાનું પ્રથમ સ્થિર પ્રકાશન બહાર પાડ્યું છે. વિસ્તૃત સપોર્ટ સાયકલના ભાગરૂપે 9.18 ના બીજા ક્વાર્ટર સુધી ત્રણ વર્ષ માટે શાખા 2 માટે સપોર્ટ આપવામાં આવશે. 2025 બ્રાન્ચ માટે સપોર્ટ માર્ચમાં સમાપ્ત થશે અને 9.11ના મધ્યમાં 9.16 બ્રાન્ચ માટે સપોર્ટ. BIND ના આગામી સ્થિર સંસ્કરણની કાર્યક્ષમતા વિકસાવવા માટે, એક પ્રાયોગિક શાખા BIND 2023 ની રચના કરવામાં આવી છે.

BIND 9.18.0 નું પ્રકાશન HTTPS (DoH, HTTPS પર DNS) અને TLS પર DNS (DoT, DNS પર TLS), તેમજ XoT (XFR-ઓવર-TLS) મિકેનિઝમ પર DNS માટે સમર્થનના અમલીકરણ માટે નોંધપાત્ર છે. DNS સામગ્રીના સુરક્ષિત સ્થાનાંતરણ માટે. સર્વર્સ વચ્ચેના ઝોન (XoT દ્વારા મોકલવા અને પ્રાપ્ત કરવા બંને ઝોન સપોર્ટેડ છે). યોગ્ય સેટિંગ્સ સાથે, એક નામવાળી પ્રક્રિયા હવે માત્ર પરંપરાગત DNS ક્વેરીઝ જ નહીં, પણ DNS-over-HTTPS અને DNS-over-TLS નો ઉપયોગ કરીને મોકલવામાં આવેલી ક્વેરી પણ આપી શકે છે. DNS-over-TLS માટે ક્લાયન્ટ સપોર્ટ ડિગ યુટિલિટીમાં બનેલ છે, જેનો ઉપયોગ TLS પર વિનંતીઓ મોકલવા માટે થઈ શકે છે જ્યારે "+tls" ફ્લેગ ઉલ્લેખિત હોય.

DoH માં ઉપયોગમાં લેવાતા HTTP/2 પ્રોટોકોલનું અમલીકરણ nghttp2 લાઇબ્રેરીના ઉપયોગ પર આધારિત છે, જે વૈકલ્પિક એસેમ્બલી નિર્ભરતા તરીકે સમાવિષ્ટ છે. DoH અને DoT માટે પ્રમાણપત્રો વપરાશકર્તા દ્વારા પ્રદાન કરી શકાય છે અથવા સ્ટાર્ટઅપ સમયે આપમેળે જનરેટ થઈ શકે છે.

DoH અને DoT નો ઉપયોગ કરીને વિનંતિ પ્રક્રિયાને લિસન-ઓન ડાયરેક્ટિવમાં "http" અને "tls" વિકલ્પો ઉમેરીને સક્ષમ કરવામાં આવે છે. અનએન્ક્રિપ્ટેડ DNS-ઓવર-HTTP ને સપોર્ટ કરવા માટે, તમારે સેટિંગ્સમાં "tls none" નો ઉલ્લેખ કરવો જોઈએ. કી "tls" વિભાગમાં વ્યાખ્યાયિત થયેલ છે. DoT માટે ડિફોલ્ટ નેટવર્ક પોર્ટ 853, DoH માટે 443 અને DNS-over-HTTP માટે 80 tls-port, https-પોર્ટ અને http-પોર્ટ પરિમાણો દ્વારા ઓવરરાઇડ કરી શકાય છે. દાખ્લા તરીકે:

tls local-tls { કી-ફાઈલ "/path/to/priv_key.pem"; પ્રમાણપત્ર-ફાઇલ "/path/to/cert_chain.pem"; }; http સ્થાનિક-http-સર્વર { એન્ડપોઇન્ટ્સ { "/dns-query"; }; }; વિકલ્પો { https-પોર્ટ 443; લિસન-ઓન પોર્ટ 443 tls local-tls http myserver {any;}; }

BIND માં DoH અમલીકરણની એક વિશેષતા એ TLS માટે એન્ક્રિપ્શન ઑપરેશન્સને બીજા સર્વર પર ખસેડવાની ક્ષમતા છે, જે એવી પરિસ્થિતિઓમાં જરૂરી હોઈ શકે છે જ્યાં TLS પ્રમાણપત્રો અન્ય સિસ્ટમ પર સંગ્રહિત થાય છે (ઉદાહરણ તરીકે, વેબ સર્વર્સ સાથેના ઈન્ફ્રાસ્ટ્રક્ચરમાં) અને જાળવવામાં આવે છે. અન્ય કર્મચારીઓ દ્વારા. અનએન્ક્રિપ્ટેડ DNS-ઓવર-HTTP માટેનો આધાર ડીબગીંગને સરળ બનાવવા અને આંતરિક નેટવર્ક પર બીજા સર્વર પર ફોરવર્ડ કરવા માટેના સ્તર તરીકે અમલમાં મૂકવામાં આવ્યો છે (એક અલગ સર્વર પર એન્ક્રિપ્શન ખસેડવા માટે). રિમોટ સર્વર પર, nginx નો ઉપયોગ TLS ટ્રાફિક જનરેટ કરવા માટે થઈ શકે છે, જે રીતે વેબસાઇટ્સ માટે HTTPS બંધનનું આયોજન કરવામાં આવે છે.

અન્ય વિશેષતા એ સામાન્ય પરિવહન તરીકે DoH નું એકીકરણ છે જેનો ઉપયોગ ફક્ત ક્લાયંટની વિનંતીઓને ઉકેલવા માટે જ નહીં, પણ સર્વર વચ્ચે વાતચીત કરતી વખતે, અધિકૃત DNS સર્વર દ્વારા ઝોન ટ્રાન્સફર કરતી વખતે અને અન્ય DNS દ્વારા સમર્થિત કોઈપણ પ્રશ્નોની પ્રક્રિયા કરતી વખતે પણ થઈ શકે છે. પરિવહન

DoH/DoT સાથે બિલ્ડને અક્ષમ કરીને અથવા એન્ક્રિપ્શનને બીજા સર્વર પર ખસેડીને જે ખામીઓનું વળતર મળી શકે છે તેમાં, કોડ બેઝની સામાન્ય ગૂંચવણો બહાર આવે છે - બિલ્ટ-ઇન HTTP સર્વર અને TLS લાઇબ્રેરી ઉમેરવામાં આવે છે, જે સંભવિત રૂપે સમાવી શકે છે. નબળાઈઓ અને હુમલાઓ માટે વધારાના વેક્ટર તરીકે કાર્ય કરે છે. ઉપરાંત, DoH નો ઉપયોગ કરતી વખતે, ટ્રાફિક વધે છે.

ચાલો યાદ કરીએ કે ડીએનએસ-ઓવર-એચટીટીપીએસ પ્રદાતાઓના DNS સર્વર્સ દ્વારા વિનંતી કરાયેલ હોસ્ટ નામો વિશેની માહિતીના લીકને રોકવા માટે, MITM હુમલાઓ અને DNS ટ્રાફિક સ્પૂફિંગ (ઉદાહરણ તરીકે, જ્યારે જાહેર Wi-Fi સાથે કનેક્ટ થાય છે), કાઉન્ટરિંગનો સામનો કરવા માટે ઉપયોગી થઈ શકે છે. DNS સ્તરે અવરોધિત કરવું (DNS-over-HTTPS, DPI સ્તર પર અમલમાં મુકવામાં આવેલા બ્લોકીંગને બાયપાસ કરીને VPN ને બદલી શકતું નથી) અથવા જ્યારે DNS સર્વર્સને સીધું એક્સેસ કરવું અશક્ય હોય ત્યારે કાર્યનું આયોજન કરવા માટે (ઉદાહરણ તરીકે, જ્યારે પ્રોક્સી દ્વારા કામ કરવું). જો સામાન્ય પરિસ્થિતિમાં DNS વિનંતીઓ સીધી સિસ્ટમ રૂપરેખાંકનમાં વ્યાખ્યાયિત DNS સર્વર્સને મોકલવામાં આવે છે, તો DNS-ઓવર-HTTPS ના કિસ્સામાં હોસ્ટ IP સરનામું નક્કી કરવાની વિનંતી HTTPS ટ્રાફિકમાં સમાવિષ્ટ છે અને HTTP સર્વરને મોકલવામાં આવે છે, જ્યાં રિઝોલ્વર વેબ API દ્વારા વિનંતીઓ પર પ્રક્રિયા કરે છે.

પ્રમાણભૂત DNS પ્રોટોકોલ (નેટવર્ક પોર્ટ 853 નો સામાન્ય રીતે ઉપયોગ થાય છે) ના ઉપયોગમાં "TLS પર DNS" "DNS over HTTPS" થી અલગ છે, TLS/SSL પ્રમાણપત્રો દ્વારા પ્રમાણિત હોસ્ટ વેલિડિટી ચેકિંગ સાથે TLS પ્રોટોકોલનો ઉપયોગ કરીને આયોજિત એનક્રિપ્ટેડ કમ્યુનિકેશન ચેનલમાં આવરિત છે. પ્રમાણપત્ર અધિકારી દ્વારા. હાલનું DNSSEC માનક ફક્ત ક્લાયંટ અને સર્વરને પ્રમાણિત કરવા માટે એન્ક્રિપ્શનનો ઉપયોગ કરે છે, પરંતુ ટ્રાફિકને અવરોધથી સુરક્ષિત કરતું નથી અને વિનંતીઓની ગોપનીયતાની બાંયધરી આપતું નથી.

કેટલીક અન્ય નવીનતાઓ:

TCP અને UDP પર વિનંતીઓ મોકલતી અને પ્રાપ્ત કરતી વખતે ઉપયોગમાં લેવાતા બફરના કદને સેટ કરવા માટે tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer અને udp-send-bfer સેટિંગ્સ ઉમેરવામાં આવી છે. વ્યસ્ત સર્વર્સ પર, આવનારા બફર્સમાં વધારો થવાથી ટ્રાફિક પીક દરમિયાન પેકેટો છોડવામાં આવતા ટાળવામાં મદદ મળશે, અને તેમને ઘટાડવાથી જૂની વિનંતીઓ સાથે મેમરી ક્લોગિંગથી છુટકારો મેળવવામાં મદદ મળશે.
નવી લોગ કેટેગરી “rpz-pasthru” ઉમેરવામાં આવી છે, જે તમને RPZ (રિસ્પોન્સ પોલિસી ઝોન) ફોરવર્ડિંગ ક્રિયાઓને અલગથી લોગ કરવાની મંજૂરી આપે છે.
પ્રતિભાવ-નીતિ વિભાગમાં, "nsdname-wait-recurse" વિકલ્પ ઉમેરવામાં આવ્યો છે, જ્યારે "ના" પર સેટ કરેલ હોય, ત્યારે RPZ NSDNAME નિયમો માત્ર ત્યારે જ લાગુ થાય છે જો કેશમાં હાજર અધિકૃત નામ સર્વર્સ વિનંતી માટે મળે, અન્યથા RPZ NSDNAME નિયમ અવગણવામાં આવે છે, પરંતુ માહિતી પૃષ્ઠભૂમિમાં પુનઃપ્રાપ્ત કરવામાં આવે છે અને તે પછીની વિનંતીઓ પર લાગુ થાય છે.
HTTPS અને SVCB પ્રકારો સાથેના રેકોર્ડ્સ માટે, "વધારાની" વિભાગની પ્રક્રિયા લાગુ કરવામાં આવી છે.
કસ્ટમ અપડેટ-પોલીસી નિયમોના પ્રકારો ઉમેર્યા - krb5-subdomain-self-rhs અને ms-subdomain-self-rhs, જે તમને SRV અને PTR રેકોર્ડ્સના અપડેટને મર્યાદિત કરવાની મંજૂરી આપે છે. અપડેટ-પોલીસી બ્લોક્સ દરેક પ્રકાર માટે વ્યક્તિગત રેકોર્ડની સંખ્યા પર મર્યાદા સેટ કરવાની ક્ષમતા પણ ઉમેરે છે.
ડિગ યુટિલિટીના આઉટપુટમાં ટ્રાન્સપોર્ટ પ્રોટોકોલ (UDP, TCP, TLS, HTTPS) અને DNS64 ઉપસર્ગ વિશેની માહિતી ઉમેરી. ડિબગીંગ હેતુઓ માટે, dig એ ચોક્કસ વિનંતી ઓળખકર્તા (dig +qid=) નો ઉલ્લેખ કરવાની ક્ષમતા ઉમેરી છે. ).
OpenSSL 3.0 લાઇબ્રેરી માટે સપોર્ટ ઉમેર્યો.
DNS ફ્લેગ ડે 2020 દ્વારા ઓળખવામાં આવેલા મોટા DNS સંદેશાઓ પર પ્રક્રિયા કરતી વખતે IP ફ્રેગમેન્ટેશનની સમસ્યાઓને ઉકેલવા માટે, જ્યારે વિનંતીનો કોઈ પ્રતિસાદ ન હોય ત્યારે EDNS બફરના કદને સમાયોજિત કરતો કોડ રિઝોલ્વરમાંથી દૂર કરવામાં આવ્યો છે. EDNS બફરનું કદ હવે બધી આઉટગોઇંગ વિનંતીઓ માટે સ્થિર (edns-udp-size) પર સેટ છે.
બિલ્ડ સિસ્ટમને autoconf, automake અને libtool ના સંયોજનનો ઉપયોગ કરવા માટે સ્વિચ કરવામાં આવી છે.
"નકશા" ફોર્મેટ (માસ્ટરફાઇલ-ફોર્મેટ નકશા) માં ઝોન ફાઇલો માટેનો આધાર બંધ કરવામાં આવ્યો છે. આ ફોર્મેટના વપરાશકર્તાઓને નામ-કમ્પાઇલઝોન ઉપયોગિતાનો ઉપયોગ કરીને ઝોનને કાચા ફોર્મેટમાં કન્વર્ટ કરવાની ભલામણ કરવામાં આવે છે.
જૂના DLZ (ડાયનેમિકલી લોડેબલ ઝોન્સ) ડ્રાઇવરો માટે સપોર્ટ બંધ કરવામાં આવ્યો છે, DLZ મોડ્યુલો દ્વારા બદલવામાં આવ્યો છે.
વિન્ડોઝ પ્લેટફોર્મ માટે બિલ્ડ અને રન સપોર્ટ બંધ કરવામાં આવ્યો છે. છેલ્લી શાખા જે Windows પર ઇન્સ્ટોલ કરી શકાય છે તે BIND 9.16 છે.

સોર્સ: opennet.ru

DNS-ઓવર-TLS અને DNS-ઓવર-HTTPS માટે સમર્થન સાથે BIND DNS સર્વર 9.18.0 નું પ્રકાશન

એક ટિપ્પણી ઉમેરો જવાબ રદ