שחרור של BIND DNS Server 9.18.0 עם תמיכה ב-DNS-over-TLS ו-DNS-over-HTTPS

לאחר שנתיים של פיתוח, קונסורציום ISC פרסם את המהדורה היציבה הראשונה של סניף חדש וגדול של שרת BIND 9.18 DNS. תמיכה בסניף 9.18 תינתן למשך שלוש שנים עד הרבעון השני של שנת 2 כחלק ממחזור תמיכה מורחב. התמיכה בסניף 2025 תסתיים במרץ, והתמיכה בסניף 9.11 באמצע 9.16. כדי לפתח את הפונקציונליות של הגרסה היציבה הבאה של BIND, נוצר ענף ניסיוני BIND 2023.

השחרור של BIND 9.18.0 בולט בהטמעת תמיכה ב-DNS על HTTPS (DoH, DNS על HTTPS) ו-DNS over TLS (DoT, DNS over TLS), כמו גם במנגנון XoT (XFR-over-TLS) להעברה מאובטחת של תוכן DNS.אזורי בין שרתים (גם אזורי שליחה וגם אזורי קבלה באמצעות XoT נתמכים). עם ההגדרות המתאימות, תהליך בעל שם יחיד יכול כעת לשרת לא רק שאילתות DNS מסורתיות, אלא גם שאילתות שנשלחות באמצעות DNS-over-HTTPS ו-DNS-over-TLS. תמיכת לקוח עבור DNS-over-TLS מובנית בכלי השירות לחפירה, אשר ניתן להשתמש בה כדי לשלוח בקשות באמצעות TLS כאשר דגל "+tls" מצוין.

היישום של פרוטוקול HTTP/2 המשמש ב-DoH מבוסס על השימוש בספריית nghttp2, הנכללת כתלות assembly אופציונלית. אישורים עבור DoH ו-DoT יכולים להיות מסופקים על ידי המשתמש או להפיק אוטומטית בזמן ההפעלה.

עיבוד בקשות באמצעות DoH ו-DoT מופעל על ידי הוספת האפשרויות "http" ו- "tls" להנחיית ההאזנה. כדי לתמוך ב-DNS-over-HTTP לא מוצפן, עליך לציין "tls none" בהגדרות. מפתחות מוגדרים בסעיף "tls". ניתן לעקוף את יציאות ברירת המחדל של הרשת 853 עבור DoT, 443 עבור DoH ו-80 עבור DNS-over-HTTP באמצעות הפרמטרים tls-port, https-port ו-http-port. לדוגמה:

tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; options { https-port 443; יציאת האזנה 443 tls local-tls http myserver {any;}; }

אחת התכונות של הטמעת DoH ב-BIND היא היכולת להעביר פעולות הצפנה עבור TLS לשרת אחר, דבר שעשוי להיות נחוץ בתנאים שבהם תעודות TLS מאוחסנות במערכת אחרת (לדוגמה, בתשתית עם שרתי אינטרנט) ומתוחזקות על ידי כוח אדם אחר. תמיכה ב-DNS-over-HTTP לא מוצפן מיושמת כדי לפשט את ניפוי הבאגים וכשכבה להעברה לשרת אחר ברשת הפנימית (להעברת הצפנה לשרת נפרד). בשרת מרוחק, ניתן להשתמש ב-nginx ליצירת תעבורת TLS, בדומה לאופן שבו מאורגנת קשירת HTTPS עבור אתרי אינטרנט.

תכונה נוספת היא השילוב של DoH כתחבורה כללית שיכולה לשמש לא רק לטיפול בבקשות לקוח לפותר, אלא גם בעת תקשורת בין שרתים, בעת העברת אזורים על ידי שרת DNS סמכותי, ובעת עיבוד כל שאילתה הנתמכת על ידי DNS אחר. הובלות.

בין החסרונות שניתן לפצות עליהם על ידי ביטול הבנייה עם DoH/DoT או העברת ההצפנה לשרת אחר, בולטת הסיבוך הכללי של בסיס הקוד - מתווספים שרת HTTP מובנה וספריית TLS, שעלולים להכיל נקודות תורפה ולפעול כווקטורים נוספים להתקפות. כמו כן, בעת שימוש ב-DoH, התעבורה גדלה.

נזכיר ש-DNS-over-HTTPS יכול להיות שימושי למניעת דליפות מידע על שמות המארחים המבוקשים דרך שרתי ה-DNS של ספקים, מאבק בהתקפות MITM ובזיוף תעבורת DNS (לדוגמה, בעת חיבור ל-Wi-Fi ציבורי), מניעת חסימה פועלת ברמת ה-DNS (DNS-over-HTTPS לא יכול להחליף VPN בעקיפת חסימה המיושמת ברמת DPI) או לארגון עבודה כאשר אי אפשר לגשת ישירות לשרתי DNS (לדוגמה, בעבודה דרך פרוקסי). אם במצב רגיל בקשות DNS נשלחות ישירות לשרתי DNS המוגדרים בתצורת המערכת, אז במקרה של DNS-over-HTTPS הבקשה לקביעת כתובת ה-IP המארח מובלעת בתעבורת HTTPS ונשלחת לשרת HTTP, שם הפותר מעבד בקשות באמצעות Web API.

"DNS over TLS" שונה מ-"DNS over HTTPS" בשימוש בפרוטוקול DNS הסטנדרטי (בדרך כלל נעשה שימוש ביציאת רשת 853), עטוף בערוץ תקשורת מוצפן המאורגן באמצעות פרוטוקול TLS עם בדיקת תקפות המארח באמצעות תעודות TLS/SSL מאושרות על ידי רשות אישורים. תקן DNSSEC הקיים משתמש בהצפנה רק כדי לאמת את הלקוח והשרת, אך אינו מגן על התעבורה מפני יירוט ואינו מבטיח את סודיות הבקשות.

עוד כמה חידושים:

• נוספו הגדרות tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer ו-udp-send-buffer כדי להגדיר את הגדלים של מאגרים המשמשים בעת שליחה וקבלה של בקשות דרך TCP ו-UDP. בשרתים עמוסים, הגדלת מאגרים נכנסים תעזור למנוע נפילת מנות במהלך שיא התעבורה, והקטנתם תעזור להיפטר מחסימת זיכרון עם בקשות ישנות.
• נוספה קטגוריית יומן חדשה "rpz-passthru", המאפשרת לך לרשום בנפרד פעולות העברת RPZ (Response Policy Zones).
• בסעיף מדיניות התגובה, נוספה האפשרות "nsdname-wait-recurse", כאשר היא מוגדרת כ"לא", כללי RPZ NSDNAME מיושמים רק אם נמצאו שרתי שמות סמכותיים הנמצאים במטמון עבור הבקשה, אחרת מתעלמים מכלל RPZ NSDNAME, אך המידע מאוחזר ברקע וחל על בקשות עוקבות.
• עבור רשומות עם סוגי HTTPS ו-SVCB, עיבוד של הסעיף "נוסף" יושם.
• נוספו סוגי כללי מדיניות עדכון מותאמים אישית - krb5-subdomain-self-rhs ו-ms-subdomain-self-rhs, המאפשרים לך להגביל את העדכון של רשומות SRV ו-PTR. בלוקים של מדיניות העדכונים מוסיפים גם את היכולת להגדיר מגבלות על מספר הרשומות, אינדיבידואליות לכל סוג.
• הוסיף מידע על פרוטוקול התחבורה (UDP, TCP, TLS, HTTPS) וקידומות DNS64 לפלט של כלי השירות dig. למטרות ניפוי באגים, dig הוסיפה את היכולת לציין מזהה בקשה ספציפי (dig +qid= ).
• נוספה תמיכה בספריית OpenSSL 3.0.
• כדי לטפל בבעיות עם פיצול IP בעת עיבוד הודעות DNS גדולות שזוהו על ידי DNS Flag Day 2020, הוסר מהפותר קוד שמתאים את גודל מאגר ה-EDNS כאשר אין תגובה לבקשה. גודל המאגר של EDNS מוגדר כעת לקבוע (edns-udp-size) עבור כל הבקשות היוצאות.
• מערכת הבנייה הועברה לשימוש בשילוב של autoconf, automake ו-libtool.
• התמיכה בקבצי אזור בפורמט "מפה" (מפה בפורמט קובץ מאסטר) הופסקה. למשתמשים בפורמט זה מומלץ להמיר אזורים לפורמט גולמי באמצעות כלי השירות named-compilezone.
• הופסקה התמיכה במנהלי התקנים ישנים יותר של DLZ (אזורים ניתנים לטעינה דינמית), והוחלפו במודולי DLZ.
• התמיכה בבנייה והרצה של פלטפורמת Windows הופסקה. הענף האחרון שניתן להתקין ב-Windows הוא BIND 9.16.

מקור: OpenNet.ru