DNS-over-TLS および DNS-over-HTTPS をサポートする BIND DNS サーバー 9.18.0 のリリース

9.18 年間の開発を経て、ISC コンソーシアムは、BIND 9.18 DNS サーバーの主要な新しいブランチの最初の安定版リリースをリリースしました。 ブランチ 2 のサポートは、延長サポート サイクルの一環として、2025 年の第 9.11 四半期までの 9.16 年間提供されます。 2023 ブランチのサポートは 9.19.0 月に終了し、XNUMX ブランチのサポートは XNUMX 年半ばに終了します。 BIND の次の安定バージョンの機能を開発するために、実験的なブランチ BIND XNUMX が作成されました。

BIND 9.18.0 のリリースは、DNS over HTTPS (DoH、DNS over HTTPS) および DNS over TLS (DoT、DNS over TLS)、および XoT (XFR-over-TLS) メカニズムのサポートの実装で注目に値します。 DNS コンテンツを安全に転送するためのサーバー間のゾーン (XoT を介した送信ゾーンと受信ゾーンの両方がサポートされています)。 適切な設定を使用すると、単一の名前付きプロセスで従来の DNS クエリだけでなく、DNS-over-HTTPS および DNS-over-TLS を使用して送信されたクエリも処理できるようになります。 DNS-over-TLS のクライアント サポートは dig ユーティリティに組み込まれており、「+tls」フラグが指定されている場合に TLS 経由でリクエストを送信するために使用できます。

DoH で使用される HTTP/2 プロトコルの実装は、オプションのアセンブリ依存関係として含まれる nghttp2 ライブラリの使用に基づいています。 DoH および DoT の証明書は、ユーザーが提供することも、起動時に自動的に生成することもできます。

DoH および DoT を使用したリクエスト処理は、listen-on ディレクティブに「http」および「tls」オプションを追加することで有効になります。 暗号化されていない DNS-over-HTTP をサポートするには、設定で「tls none」を指定する必要があります。 キーは「tls」セクションで定義されます。 デフォルトのネットワーク ポート (DoT の場合は 853、DoH の場合は 443、DNS-over-HTTP の場合は 80) は、tls-port、https-port、および http-port パラメータを通じてオーバーライドできます。 例えば：

tls local-tls { キーファイル "/path/to/priv_key.pem"; 証明書ファイル "/path/to/cert_chain.pem"; }; http local-http-server { エンドポイント { "/dns-query"; }; }; オプション { https-ポート 443; リッスンオン ポート 443 tls local-tls http myserver {任意;}; }

BIND での DoH 実装の機能の XNUMX つは、TLS の暗号化操作を別のサーバーに移動できることです。これは、TLS 証明書が別のシステム (たとえば、Web サーバーのあるインフラストラクチャ) に保存され、維持されている状況で必要になる場合があります。他の職員による。 暗号化されていない DNS-over-HTTP のサポートは、デバッグを簡素化するため、および内部ネットワーク上の別のサーバーに転送するための層 (暗号化を別のサーバーに移動するため) として実装されています。 リモート サーバーでは、Web サイトで HTTPS バインディングを構成する方法と同様に、nginx を使用して TLS トラフィックを生成できます。

もう XNUMX つの機能は、リゾルバーへのクライアント要求を処理するためだけでなく、サーバー間の通信時、権威 DNS サーバーによるゾーン転送時、および他の DNS でサポートされているクエリの処理時にも使用できる一般的なトランスポートとして DoH を統合していることです。輸送します。

DoH/DoT でビルドを無効にするか、暗号化を別のサーバーに移動することで補うことができる欠点の中でも、コード ベースの一般的な複雑さが際立っています。組み込みの HTTP サーバーと TLS ライブラリが追加されており、これには潜在的に以下のものが含まれる可能性があります。脆弱性を発見し、追加の攻撃ベクトルとして機能します。 また、DoH を使用するとトラフィックが増加します。

DNS-over-HTTPS は、プロバイダーの DNS サーバーを介した要求されたホスト名に関する情報の漏洩を防止し、MITM 攻撃や DNS トラフィック スプーフィング (たとえば、公衆 Wi-Fi に接続する場合) と闘い、攻撃に対抗するのに役立つことを思い出してください。 DNS レベルでのブロック (DNS-over-HTTPS は、DPI レベルで実装されたブロックをバイパスする VPN に代わることはできません)、または DNS サーバーに直接アクセスできない場合 (プロキシ経由で作業する場合など) に作業を整理するために使用します。 通常の状況では、DNS リクエストがシステム構成で定義された DNS サーバーに直接送信される場合、DNS-over-HTTPS の場合、ホスト IP アドレスを決定するリクエストは HTTPS トラフィックにカプセル化されて HTTP サーバーに送信されます。リゾルバーは Web API 経由でリクエストを処理します。

「DNS over TLS」は、標準の DNS プロトコル (通常はネットワーク ポート 853 が使用されます) を使用する点で「DNS over HTTPS」とは異なり、TLS プロトコルを使用して組織された暗号化通信チャネルでラップされ、認証された TLS/SSL 証明書によるホストの有効性チェックが行われます。認証局による。 既存の DNSSEC 標準では、クライアントとサーバーの認証にのみ暗号化が使用されますが、トラフィックを傍受から保護したり、リクエストの機密性を保証したりすることはありません。

その他のイノベーション:

• TCP および UDP 経由でリクエストを送受信するときに使用されるバッファーのサイズを設定するための tcp-receive-buffer、tcp-send-buffer、udp-receive-buffer、および udp-send-buffer 設定を追加しました。 負荷の高いサーバーでは、受信バッファを増やすと、トラフィックのピーク時にパケットがドロップされるのを避けることができ、受信バッファを減らすと、古いリクエストによるメモリの詰まりを取り除くことができます。
• 新しいログ カテゴリ「rpz-passthru」が追加され、RPZ (レスポンス ポリシー ゾーン) 転送アクションを個別に記録できるようになりました。
• 応答ポリシー セクションに、「nsdname-wait-recurse」オプションが追加されました。「no」に設定すると、キャッシュ内に存在する権限のあるネーム サーバーがリクエストに対して見つかった場合にのみ RPZ NSDNAME ルールが適用されます。 RPZ NSDNAME ルールは無視されますが、情報はバックグラウンドで取得され、後続のリクエストに適用されます。
• HTTPS および SVCB タイプのレコードについては、「ADDITIONAL」セクションの処理が実装されました。
• カスタム更新ポリシー ルール タイプ - krb5-subdomain-self-rhs および ms-subdomain-self-rhs が追加されました。これにより、SRV および PTR レコードの更新を制限できます。 update-policy ブロックにより、タイプごとにレコード数の制限を設定する機能も追加されます。
• dig ユーティリティの出力に、トランスポート プロトコル (UDP、TCP、TLS、HTTPS) および DNS64 プレフィックスに関する情報を追加しました。 デバッグ目的で、dig には特定のリクエスト識別子 (dig +qid=) を指定する機能が追加されました。 ）。
• OpenSSL 3.0 ライブラリのサポートが追加されました。
• 2020 年の DNS Flag Day で特定された大規模な DNS メッセージを処理する際の IP フラグメンテーションの問題に対処するために、リクエストに対する応答がない場合に EDNS バッファ サイズを調整するコードがリゾルバーから削除されました。 EDNS バッファ サイズは、すべての発信リクエストに対して定数 (edns-udp-size) に設定されるようになりました。
• ビルド システムは、autoconf、automake、libtool の組み合わせを使用するように切り替えられました。
• 「マップ」形式のゾーン ファイル (マスターファイル形式のマップ) のサポートは廃止されました。 この形式のユーザーは、named-compilezone ユーティリティを使用してゾーンを raw 形式に変換することをお勧めします。
• 古い DLZ (Dynamically Loadable Zones) ドライバーのサポートは廃止され、DLZ モジュールに置き換えられました。
• Windows プラットフォームのビルドと実行のサポートは廃止されました。 Windows にインストールできる最後のブランチは BIND 9.16 です。

出所： オープンネット.ru