Eftir tveggja ára þróun hefur ISC hópurinn gefið út fyrstu stöðugu útgáfuna af stórri nýrri útibúi BIND 9.18 DNS netþjónsins. Stuðningur við útibú 9.18 verður veittur í þrjú ár til 2. ársfjórðungs 2025 sem hluti af auknu stuðningsferli. Stuðningi við 9.11 útibúið lýkur í mars og stuðningi við 9.16 útibúið um mitt ár 2023. Til að þróa virkni næstu stöðugu útgáfu af BIND hefur tilraunagrein BIND 9.19.0 verið mynduð.
Útgáfa BIND 9.18.0 er áberandi fyrir innleiðingu stuðnings við DNS yfir HTTPS (DoH, DNS yfir HTTPS) og DNS yfir TLS (DoT, DNS yfir TLS), sem og XoT (XFR-over-TLS) vélbúnaðinn fyrir öruggan flutning á DNS efni svæði á milli netþjóna (bæði sendingar- og móttökusvæði í gegnum XoT eru studd). Með viðeigandi stillingum getur eitt nafngreint ferli nú þjónað ekki aðeins hefðbundnum DNS fyrirspurnum, heldur einnig fyrirspurnum sem sendar eru með DNS-over-HTTPS og DNS-over-TLS. Stuðningur viðskiptavinar fyrir DNS-yfir-TLS er innbyggður í grafaforritið, sem hægt er að nota til að senda beiðnir yfir TLS þegar „+tls“ fáninn er tilgreindur.
Innleiðing HTTP/2 samskiptareglunnar sem notuð er í DoH byggist á notkun nghttp2 bókasafnsins, sem er innifalið sem valfrjálst samsetningarháð. Vottorð fyrir DoH og DoT geta verið veitt af notandanum eða búið til sjálfkrafa við ræsingu.
Beiðnavinnsla með því að nota DoH og DoT er virkjuð með því að bæta „http“ og „tls“ valkostinum við hlustunartilskipunina. Til að styðja ódulkóðað DNS-yfir-HTTP ættir þú að tilgreina „tls none“ í stillingunum. Lyklar eru skilgreindir í "tls" hlutanum. Hægt er að hnekkja sjálfgefnum netgáttum 853 fyrir DoT, 443 fyrir DoH og 80 fyrir DNS-over-HTTP í gegnum tls-port, https-port og http-port breytur. Til dæmis:
tls local-tls { lykilskrá "/path/to/priv_key.pem"; vottorðsskrá "/path/to/cert_chain.pem"; }; http staðbundinn-http-þjónn { endapunktar { "/dns-query"; }; }; valkostir { https-port 443; hlusta-á tengi 443 tls local-tls http myserver {hvað sem er;}; }
Einn af eiginleikum DoH útfærslunnar í BIND er hæfileikinn til að færa dulkóðunaraðgerðir fyrir TLS yfir á annan netþjón, sem gæti verið nauðsynlegt við aðstæður þar sem TLS vottorð eru geymd á öðru kerfi (til dæmis í innviði með vefþjónum) og viðhaldið af öðru starfsfólki. Stuðningur við ódulkóðað DNS-yfir-HTTP er útfært til að einfalda kembiforrit og sem lag fyrir áframsendingu á annan netþjón á innra neti (til að færa dulkóðun á sérstakan netþjón). Á ytri netþjóni er hægt að nota nginx til að búa til TLS umferð, svipað og HTTPS binding er skipulögð fyrir vefsíður.
Annar eiginleiki er samþætting DoH sem almennrar flutnings sem hægt er að nota ekki aðeins til að meðhöndla beiðnir viðskiptavina til lausnarans, heldur einnig þegar samskipti eru á milli netþjóna, þegar svæði eru flutt af viðurkenndum DNS netþjóni og þegar unnið er með allar fyrirspurnir sem eru studdar af öðrum DNS flutningar.
Meðal annmarka sem hægt er að bæta fyrir með því að slökkva á smíði með DoH/DoT eða færa dulkóðunina á annan netþjón er almenna flækja kóðagrunnsins áberandi - innbyggðum HTTP netþjóni og TLS bókasafni er bætt við, sem gæti hugsanlega innihaldið veikleika og virka sem viðbótarvigrar fyrir árásir. Einnig, þegar DoH er notað, eykst umferð.
Við skulum muna að DNS-yfir-HTTPS getur verið gagnlegt til að koma í veg fyrir leka á upplýsingum um umbeðin hýsilheiti í gegnum DNS-þjóna veitenda, berjast gegn MITM árásum og DNS-umferðarskemmdum (til dæmis þegar tengst er almennu Wi-Fi), vinna gegn lokun á á DNS stigi (DNS-yfir-HTTPS getur ekki komið í stað VPN með því að komast framhjá lokun sem er innleidd á DPI stigi) eða til að skipuleggja vinnu þegar ómögulegt er að fá beinan aðgang að DNS netþjónum (til dæmis þegar unnið er í gegnum proxy). Ef við venjulegar aðstæður eru DNS beiðnir sendar beint á DNS netþjóna sem eru skilgreindir í kerfisstillingunni, þá er beiðnin um að ákvarða IP tölu hýsilsins hjúpuð í HTTPS umferð og send á HTTP netþjóninn, þegar um er að ræða DNS-over-HTTPS. leysirinn vinnur úr beiðnum í gegnum API á vefnum.
„DNS yfir TLS“ er frábrugðið „DNS yfir HTTPS“ í notkun staðlaðrar DNS-samskiptareglur (netgátt 853 er venjulega notað), vafin inn í dulkóðaða samskiptarás sem er skipulögð með TLS-samskiptareglum með lögmætisskoðun hýsils í gegnum TLS/SSL vottorð vottuð af vottunaraðila. Núverandi DNSSEC staðall notar dulkóðun eingöngu til að auðkenna biðlara og netþjón, en verndar ekki umferð fyrir hlerun og ábyrgist ekki trúnað um beiðnir.
Nokkrar aðrar nýjungar:
- Bætti við stillingum tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer og udp-send-buffer til að stilla stærðir á biðmunum sem eru notaðar þegar beiðnir eru sendar og mótteknar yfir TCP og UDP. Á uppteknum netþjónum mun aukning á innkomnum biðminni hjálpa til við að koma í veg fyrir að pakkar falli niður á umferðartoppum og að minnka þá mun hjálpa til við að losna við stíflu í minni með gömlum beiðnum.
- Nýjum annálaflokki „rpz-passthru“ hefur verið bætt við, sem gerir þér kleift að skrá RPZ (Response Policy Zones) framsendingaraðgerðir sérstaklega.
- Í svarstefnuhlutanum hefur „nsdname-wait-recurse“ valmöguleikanum verið bætt við, þegar hann er stilltur á „nei“ er RPZ NSDNAME reglum aðeins beitt ef opinberir nafnaþjónar sem eru til staðar í skyndiminni finnast fyrir beiðnina, annars er RPZ NSDNAME reglan er hunsuð, en upplýsingarnar eru sóttar í bakgrunni og eiga við um síðari beiðnir.
- Fyrir færslur með HTTPS og SVCB gerðum hefur vinnsla á „VIÐBÓT“ hlutanum verið útfærð.
- Bætt við sérsniðnum uppfærslureglugerðum - krb5-undirlén-sjálf-rhs og ms-undirlén-sjálf-rhs, sem gera þér kleift að takmarka uppfærslu á SRV og PTR færslum. Uppfærslustefnublokkirnar bæta einnig við möguleikanum á að setja takmarkanir á fjölda færslur, einstaklingsbundin fyrir hverja tegund.
- Bætti upplýsingum um flutningssamskiptareglur (UDP, TCP, TLS, HTTPS) og DNS64 forskeyti við úttak grafabúnaðarins. Í villuleitarskyni hefur dig bætt við möguleikanum á að tilgreina sérstakt beiðniauðkenni (dig +qid= ).
- Bætti við stuðningi við OpenSSL 3.0 bókasafn.
- Til að taka á vandamálum með IP sundrungu við vinnslu stórra DNS skilaboða sem auðkennd eru af DNS Flag Day 2020, hefur kóða sem aðlagar EDNS biðminni stærð þegar ekkert svar er við beiðni verið fjarlægður úr lausnaranum. Stærð EDNS biðminni er nú stillt á stöðug (edns-udp-stærð) fyrir allar sendar beiðnir.
- Byggingarkerfinu hefur verið skipt yfir í að nota blöndu af autoconf, automake og libtool.
- Stuðningur við svæðisskrár á "kort" sniði (masterfile-format map) hefur verið hætt. Mælt er með því að notendur á þessu sniði umbreyti svæðum í hrátt snið með því að nota tólið með nafni-samsetningarsvæði.
- Stuðningur við eldri DLZ (Dynamically Loadable Zones) rekla hefur verið hætt, skipt út fyrir DLZ einingar.
- Búið er að stöðva og keyra stuðning fyrir Windows vettvang. Síðasta útibúið sem hægt er að setja upp á Windows er BIND 9.16.
Heimild: opennet.ru