BIND DNS サーバーの開発者は、DNS over HTTPS (DoH、DNS over HTTPS) および DNS over TLS (DoT、DNS over TLS) テクノロジーのサーバー サポートと、安全性を確保するための XFR-over-TLS メカニズムの追加を発表しました。サーバー間で DNS ゾーンのコンテンツを転送します。 DoH はリリース 9.17 でテストに使用でき、DoT サポートはリリース 9.17.10 から存在します。 安定化後、DoT および DoH のサポートは安定版 9.17.7 ブランチにバックポートされます。
DoH で使用される HTTP/2 プロトコルの実装は、アセンブリの依存関係に含まれる nghttp2 ライブラリの使用に基づいています (将来、ライブラリはオプションの依存関係の数に移行される予定です)。 暗号化 (TLS) 接続と暗号化されていない HTTP/2 接続の両方がサポートされています。 適切な設定を使用すると、単一の名前付きプロセスで従来の DNS クエリだけでなく、DoH (DNS-over-HTTPS) および DoT (DNS-over-TLS) を使用して送信されたクエリも処理できるようになります。 クライアント側 (dig) での HTTPS サポートはまだ実装されていません。 XFR-over-TLS サポートは、受信リクエストと送信リクエストの両方で利用できます。
DoH および DoT を使用したリクエスト処理は、listen-on ディレクティブに http および tls オプションを追加することで有効になります。 暗号化されていない DNS-over-HTTP をサポートするには、設定で「tls none」を指定する必要があります。 キーは「tls」セクションで定義されます。 デフォルトのネットワーク ポート (DoT の場合は 853、DoH の場合は 443、DNS-over-HTTP の場合は 80) は、tls-port、https-port、および http-port パラメータを通じてオーバーライドできます。 例: tls local-tls { key-file "/path/to/priv_key.pem"; 証明書ファイル "/path/to/cert_chain.pem"; }; http local-http-server { エンドポイント { "/dns-query"; }; }; オプション { https-ポート 443; リッスンオン ポート 443 tls local-tls http myserver {任意;}; }
BIND における DoH 実装の機能の中で、統合は一般的なトランスポートとして注目されており、リゾルバーへのクライアント要求を処理するためだけでなく、サーバー間でデータを交換するとき、権威 DNS サーバーによってゾーンを転送するとき、および他の DNS トランスポートによってサポートされているリクエストを処理するとき。
もう XNUMX つの機能は、TLS の暗号化操作を別のサーバーに移動する機能です。これは、TLS 証明書が別のシステム (たとえば、Web サーバーのあるインフラストラクチャ) に保存され、他の担当者によって維持されている状況で必要になる場合があります。 暗号化されていない DNS-over-HTTP のサポートは、デバッグを簡素化するために、また内部ネットワークでの転送レイヤーとして実装されており、これに基づいて別のサーバーで暗号化を構成できます。 リモート サーバーでは、Web サイトで HTTPS バインディングを構成する方法と同様に、nginx を使用して TLS トラフィックを生成できます。
DNS-over-HTTPS は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩を防止し、MITM 攻撃や DNS トラフィック スプーフィング (たとえば、公衆 Wi-Fi に接続する場合) と闘い、攻撃に対抗するのに役立つことを思い出してください。 DNS レベルでのブロック (DNS-over-HTTPS は、DPI レベルで実装されたブロックをバイパスする VPN に代わることはできません)、または DNS サーバーに直接アクセスできない場合 (プロキシ経由で作業する場合など) に作業を整理するために使用します。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DNS-over-HTTPS の場合、ホスト IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信されます。リゾルバーは Web API 経由でリクエストを処理します。
「DNS over TLS」は、標準の DNS プロトコル (通常はネットワーク ポート 853 が使用されます) を使用する点で「DNS over HTTPS」とは異なり、TLS プロトコルを使用して組織された暗号化通信チャネルでラップされ、認証された TLS/SSL 証明書によるホストの有効性チェックが行われます。認証局による。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。
出所: オープンネット.ru