Nakon dvije godine razvoja, ISC konzorcij objavio je prvo stabilno izdanje velike nove grane BIND 9.18 DNS poslužitelja. Podrška za granu 9.18 pružat će se tri godine do 2. kvartala 2025. kao dio produženog ciklusa podrške. Podrška za granu 9.11 završit će u ožujku, a podrška za granu 9.16 sredinom 2023. godine. Za razvoj funkcionalnosti sljedeće stabilne verzije BIND-a, formirana je eksperimentalna grana BIND 9.19.0.
Izdanje BIND 9.18.0 značajno je po implementaciji podrške za DNS preko HTTPS (DoH, DNS preko HTTPS) i DNS preko TLS (DoT, DNS preko TLS), kao i XoT (XFR-over-TLS) mehanizam za siguran prijenos DNS sadržaja.zone između poslužitelja (podržane su i slanje i primanje zona putem XoT-a). Uz odgovarajuće postavke, jedan imenovani proces sada može posluživati ne samo tradicionalne DNS upite, već i upite poslane korištenjem DNS-over-HTTPS i DNS-over-TLS. Klijentska podrška za DNS-over-TLS ugrađena je u uslužni program dig, koji se može koristiti za slanje zahtjeva preko TLS-a kada je navedena oznaka "+tls".
Implementacija protokola HTTP/2 koji se koristi u DoH-u temelji se na korištenju biblioteke nghttp2, koja je uključena kao izborna ovisnost sklopa. Certifikate za DoH i DoT može dati korisnik ili se automatski generiraju prilikom pokretanja.
Obrada zahtjeva pomoću DoH i DoT omogućena je dodavanjem opcija "http" i "tls" direktivi slušanja. Da biste podržali nekriptirani DNS-preko-HTTP-a, trebali biste navesti “tls none” u postavkama. Ključevi su definirani u odjeljku "tls". Zadani mrežni priključci 853 za DoT, 443 za DoH i 80 za DNS-over-HTTP mogu se nadjačati pomoću parametara tls-port, https-port i http-port. Na primjer:
tls lokalni-tls { ključ-datoteka "/put/do/priv_ključ.pem"; cert-file "/path/to/cert_chain.pem"; }; http lokalni-http-poslužitelj { krajnje točke { "/dns-upit"; }; }; opcije { https-port 443; priključak za slušanje 443 tls lokalni-tls http moj poslužitelj {bilo koji;}; }
Jedna od značajki DoH implementacije u BIND-u je mogućnost premještanja operacija enkripcije za TLS na drugi poslužitelj, što može biti potrebno u uvjetima u kojima su TLS certifikati pohranjeni na drugom sustavu (na primjer, u infrastrukturi s web poslužiteljima) i održavani od strane drugog osoblja. Podrška za nekriptirani DNS-over-HTTP implementirana je kako bi se pojednostavilo uklanjanje pogrešaka i kao sloj za prosljeđivanje na drugi poslužitelj na internoj mreži (za premještanje enkripcije na zasebni poslužitelj). Na udaljenom poslužitelju, nginx se može koristiti za generiranje TLS prometa, slično kao što je HTTPS vezanje organizirano za web stranice.
Još jedna značajka je integracija DoH-a kao općeg prijenosa koji se može koristiti ne samo za rukovanje klijentskim zahtjevima prema rezolveru, već i pri komunikaciji između poslužitelja, pri prijenosu zona putem autoritativnog DNS poslužitelja i pri obradi bilo kojih upita koje podržava drugi DNS transportira.
Među nedostacima koji se mogu kompenzirati onemogućavanjem izgradnje s DoH/DoT ili premještanjem enkripcije na drugi poslužitelj, ističe se opća komplikacija kodne baze - dodani su ugrađeni HTTP poslužitelj i TLS biblioteka, koji potencijalno mogu sadržavati ranjivosti. i djeluju kao dodatni vektori napada. Također, kada koristite DoH, povećava se promet.
Podsjetimo se da DNS-over-HTTPS može biti koristan za sprječavanje curenja informacija o traženim imenima hostova kroz DNS poslužitelje pružatelja usluga, borbu protiv MITM napada i lažiranja DNS prometa (na primjer, pri povezivanju na javni Wi-Fi), suzbijanje blokiranje na DNS razini (DNS-over-HTTPS ne može zamijeniti VPN u zaobilaženju blokiranja implementiranom na DPI razini) ili za organizaciju rada kada je nemoguće izravno pristupiti DNS poslužiteljima (na primjer, kada se radi preko proxyja). Ako se u normalnoj situaciji DNS zahtjevi izravno šalju DNS poslužiteljima definiranim u konfiguraciji sustava, tada se u slučaju DNS-over-HTTPS zahtjev za određivanje IP adrese glavnog računala enkapsulira u HTTPS promet i šalje HTTP poslužitelju, gdje rezolver obrađuje zahtjeve putem Web API-ja.
"DNS preko TLS-a" razlikuje se od "DNS-a preko HTTPS-a" u upotrebi standardnog DNS protokola (obično se koristi mrežni port 853), omotanog u šifrirani komunikacijski kanal organiziran korištenjem TLS protokola s provjerom valjanosti hosta putem certificiranih TLS/SSL certifikata od strane certifikacijskog tijela. Postojeći DNSSEC standard koristi enkripciju samo za autentifikaciju klijenta i poslužitelja, ali ne štiti promet od presretanja i ne jamči povjerljivost zahtjeva.
Još neke inovacije:
- Dodane su postavke tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer i udp-send-buffer za postavljanje veličina međuspremnika koji se koriste prilikom slanja i primanja zahtjeva putem TCP-a i UDP-a. Na zauzetim poslužiteljima, povećanje dolaznih međuspremnika pomoći će u izbjegavanju odbacivanja paketa tijekom vršnog prometa, a njihovo smanjenje će pomoći u rješavanju začepljenja memorije starim zahtjevima.
- Dodana je nova kategorija dnevnika "rpz-passthru", koja vam omogućuje zasebno bilježenje radnji prosljeđivanja RPZ (Response Policy Zones).
- U odjeljku politike odgovora dodana je opcija "nsdname-wait-recurse", kada je postavljena na "ne", pravila RPZ NSDNAME primjenjuju se samo ako se za zahtjev pronađu autoritativni poslužitelji imena prisutni u predmemoriji, inače RPZ NSDNAME pravilo se zanemaruje, ali se informacije dohvaćaju u pozadini i primjenjuju se na sljedeće zahtjeve.
- Za zapise s tipovima HTTPS i SVCB implementirana je obrada odjeljka “DODATNO”.
- Dodane prilagođene vrste pravila pravila ažuriranja - krb5-subdomain-self-rhs i ms-subdomain-self-rhs, koja vam omogućuju da ograničite ažuriranje SRV i PTR zapisa. Blokovi pravila ažuriranja također dodaju mogućnost postavljanja ograničenja broja zapisa, pojedinačno za svaku vrstu.
- Dodane informacije o transportnom protokolu (UDP, TCP, TLS, HTTPS) i DNS64 prefiksima u izlaz uslužnog programa dig. Za potrebe otklanjanja pogrešaka, dig je dodao mogućnost specificiranja specifičnog identifikatora zahtjeva (dig +qid= ).
- Dodana podrška za biblioteku OpenSSL 3.0.
- Za rješavanje problema s IP fragmentacijom prilikom obrade velikih DNS poruka identificiranih DNS Flag Day 2020., kod koji prilagođava veličinu EDNS međuspremnika kada nema odgovora na zahtjev uklonjen je iz razlučivača. Veličina EDNS međuspremnika sada je postavljena na konstantu (edns-udp-size) za sve odlazne zahtjeve.
- Sustav izrade je prebačen na korištenje kombinacije autoconf, automake i libtool.
- Podrška za datoteke zona u formatu "map" (masterfile-format map) je prekinuta. Korisnicima ovog formata preporučuje se pretvaranje zona u neobrađeni format pomoću uslužnog programa named-compilezone.
- Podrška za starije DLZ (Dynamically Loadable Zones) upravljačke programe je prekinuta, zamijenjena DLZ modulima.
- Podrška za izgradnju i pokretanje za Windows platformu je prekinuta. Posljednja grana koja se može instalirati na Windows je BIND 9.16.
Izvor: opennet.ru