תמיכה ניסיונית עבור DNS-over-HTTPS נוספה לשרת BIND DNS

מפתחי שרת BIND DNS הכריזו על הוספת תמיכת שרת עבור טכנולוגיות DNS over HTTPS (DoH, DNS over HTTPS) ו-DNS over TLS (DoT, DNS over TLS), וכן מנגנון XFR-over-TLS לאבטחה העברת התוכן של אזורי DNS בין שרתים. DoH זמין לבדיקה במהדורה 9.17, ותמיכה ב-DoT קיימת מאז גרסה 9.17.10. לאחר ייצוב, תמיכת DoT ו-DoH תועבר לאחור לסניף היציב 9.17.7.

יישום פרוטוקול ה-HTTP/2 המשמש ב-DoH מבוסס על השימוש בספריית nghttp2, הנכללת בין תלויות ה-assembly (בעתיד, הספרייה מתוכננת לעבור למספר התלות האופציונלית). גם חיבורי HTTP/2 מוצפנים (TLS) וגם לא מוצפנים נתמכים. עם ההגדרות המתאימות, תהליך בעל שם יחיד יכול כעת לשרת לא רק שאילתות DNS מסורתיות, אלא גם שאילתות שנשלחות באמצעות DoH (DNS-over-HTTPS) ו-DoT (DNS-over-TLS). תמיכת HTTPS בצד הלקוח (dig) עדיין לא מיושמת. תמיכת XFR-over-TLS זמינה עבור בקשות נכנסות ויוצאות כאחד.

עיבוד בקשות באמצעות DoH ו-DoT מופעל על ידי הוספת האפשרויות http ו-tls להנחיית ההאזנה. כדי לתמוך ב-DNS-over-HTTP לא מוצפן, עליך לציין "tls none" בהגדרות. מפתחות מוגדרים בסעיף "tls". ניתן לעקוף את יציאות ברירת המחדל של הרשת 853 עבור DoT, 443 עבור DoH ו-80 עבור DNS-over-HTTP באמצעות הפרמטרים tls-port, https-port ו-http-port. לדוגמה: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; options { https-port 443; יציאת האזנה 443 tls local-tls http myserver {any;}; }

בין המאפיינים של יישום DoH ב-BIND, האינטגרציה מצוינת כתחבורה כללית, אשר יכולה לשמש לא רק לעיבוד בקשות לקוח לפותר, אלא גם בעת חילופי נתונים בין שרתים, בעת העברת אזורים על ידי שרת DNS סמכותי, וכן בעת עיבוד כל בקשות הנתמכות על ידי העברות DNS אחרות.

תכונה נוספת היא היכולת להעביר את פעולות ההצפנה עבור TLS לשרת אחר, דבר שעשוי להיות נחוץ בתנאים שבהם תעודות TLS מאוחסנות במערכת אחרת (לדוגמה, בתשתית עם שרתי אינטרנט) ומתוחזקות על ידי כוח אדם אחר. תמיכה ב-DNS-over-HTTP לא מוצפן מיושמת כדי לפשט את איתור הבאגים וכשכבה להעברה ברשת הפנימית, שעל בסיסה ניתן לארגן הצפנה בשרת אחר. בשרת מרוחק, ניתן להשתמש ב-nginx ליצירת תעבורת TLS, בדומה לאופן שבו מאורגנת קשירת HTTPS עבור אתרי אינטרנט.

נזכיר ש-DNS-over-HTTPS יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM ובזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה פועלת ברמת ה-DNS (DNS-over-HTTPS לא יכול להחליף VPN בעקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה כאשר אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DNS-over-HTTPS הבקשה לקביעת כתובת ה-IP המארח מובלעת בתעבורת HTTPS ונשלחת לשרת HTTP, שם הפותר מעבד בקשות באמצעות Web API.

"DNS over TLS" שונה מ-"DNS over HTTPS" בשימוש בפרוטוקול DNS הסטנדרטי (בדרך כלל נעשה שימוש ביציאת רשת 853), עטוף בערוץ תקשורת מוצפן המאורגן באמצעות פרוטוקול TLS עם בדיקת תקפות המארח באמצעות תעודות TLS/SSL מאושרות על ידי רשות אישורים. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

מקור: OpenNet.ru