Sawise rong taun pembangunan, konsorsium ISC wis ngeculake rilis stabil pisanan saka cabang anyar utama server DNS BIND 9.18. Dhukungan kanggo cabang 9.18 bakal diwenehake sajrone telung taun nganti kuartal kaping 2 2025 minangka bagean saka siklus dhukungan lengkap. Dhukungan kanggo cabang 9.11 bakal rampung ing Maret, lan dhukungan kanggo cabang 9.16 ing pertengahan 2023. Kanggo ngembangake fungsi saka versi stabil sabanjure BIND, cabang eksperimen BIND 9.19.0 wis dibentuk.
Rilis BIND 9.18.0 misuwur amarga implementasine dhukungan kanggo DNS liwat HTTPS (DoH, DNS liwat HTTPS) lan DNS liwat TLS (DoT, DNS liwat TLS), uga mekanisme XoT (XFR-over-TLS) kanggo transfer aman isi DNS. zona antarane server (loro ngirim lan nampa zona liwat XoT didhukung). Kanthi setelan sing cocog, proses siji sing dijenengi saiki bisa nglayani ora mung pitakon DNS tradisional, nanging uga pitakon sing dikirim nggunakake DNS-over-HTTPS lan DNS-over-TLS. Dhukungan klien kanggo DNS-over-TLS dibangun ing sarana dig, sing bisa digunakake kanggo ngirim panjalukan liwat TLS nalika gendera "+tls" ditemtokake.
Implementasi protokol HTTP/2 sing digunakake ing DoH adhedhasar panggunaan perpustakaan nghttp2, sing kalebu minangka dependensi perakitan opsional. Sertifikat kanggo DoH lan DoT bisa diwenehake dening pangguna utawa digawe kanthi otomatis nalika wiwitan.
Proses panjalukan nggunakake DoH lan DoT diaktifake kanthi nambahake opsi "http" lan "tls" menyang arahan ngrungokake. Kanggo ndhukung DNS-over-HTTP sing ora dienkripsi, sampeyan kudu nemtokake "tls none" ing setelan kasebut. Tombol ditetepake ing bagean "tls". Port jaringan standar 853 kanggo DoT, 443 kanggo DoH lan 80 kanggo DNS-over-HTTP bisa diganti liwat paramèter tls-port, https-port lan http-port. Tuladhane:
tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; opsi { https-port 443; listen-on port 443 tls local-tls http myserver {apa wae;}; }
Salah sawijining fitur saka implementasi DoH ing BIND yaiku kemampuan kanggo mindhah operasi enkripsi kanggo TLS menyang server liyane, sing bisa uga dibutuhake ing kahanan nalika sertifikat TLS disimpen ing sistem liyane (contone, ing infrastruktur karo server web) lan dijaga. dening personel liyane. Dhukungan kanggo DNS-over-HTTP sing ora dienkripsi ditindakake kanggo nyederhanakake debugging lan minangka lapisan kanggo diterusake menyang server liyane ing jaringan internal (kanggo mindhah enkripsi menyang server sing kapisah). Ing server remot, nginx bisa digunakake kanggo ngasilake lalu lintas TLS, padha karo cara ikatan HTTPS diatur kanggo situs web.
Fitur liyane yaiku integrasi DoH minangka transportasi umum sing bisa digunakake ora mung kanggo nangani panjaluk klien menyang solver, nanging uga nalika komunikasi antarane server, nalika nransfer zona dening server DNS sing otoritatif, lan nalika ngolah pitakon apa wae sing didhukung dening DNS liyane. transportasi.
Antarane kekurangan sing bisa dikompensasi kanthi mateni mbangun karo DoH / DoT utawa mindhah enkripsi menyang server liyane, komplikasi umum saka basis kode katon - server HTTP sing dibangun lan perpustakaan TLS ditambahake, sing bisa uga ngemot. kerentanan lan tumindak minangka vektor tambahan kanggo serangan. Uga, nalika nggunakake DoH, lalu lintas mundhak.
Elinga yen DNS-over-HTTPS bisa migunani kanggo nyegah bocor informasi babagan jeneng host sing dijaluk liwat server DNS panyedhiya, nglawan serangan MITM lan spoofing lalu lintas DNS (contone, nalika nyambung menyang Wi-Fi umum), countering. pamblokiran ing tingkat DNS (DNS-over-HTTPS ora bisa ngganti VPN ing bypassing pamblokiran sing dileksanakake ing tingkat DPI) utawa kanggo ngatur karya nalika ora bisa langsung ngakses server DNS (contone, nalika nggarap proxy). Yen ing kahanan normal, panyuwunan DNS langsung dikirim menyang server DNS sing ditetepake ing konfigurasi sistem, banjur ing kasus DNS-over-HTTPS, panjaluk kanggo nemtokake alamat IP inang wis encapsulated ing lalu lintas HTTPS lan dikirim menyang server HTTP, ngendi solver pangolahan panjalukan liwat Web API.
"DNS liwat TLS" beda karo "DNS liwat HTTPS" ing panggunaan protokol DNS standar (port jaringan 853 biasane digunakake), dibungkus saluran komunikasi sing dienkripsi sing diatur nggunakake protokol TLS kanthi mriksa validitas host liwat sertifikat TLS/SSL sing disertifikasi. dening wewenang sertifikasi. Standar DNSSEC sing ana nggunakake enkripsi mung kanggo otentikasi klien lan server, nanging ora nglindhungi lalu lintas saka interception lan ora njamin rahasia panjalukan.
Sawetara inovasi liyane:
- Ditambahake setelan tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer lan udp-send-buffer kanggo nyetel ukuran buffer sing digunakake nalika ngirim lan nampa panjalukan liwat TCP lan UDP. Ing server sibuk, nambah buffer mlebu bakal bantuan supaya paket dropped sak puncak lalu lintas, lan mudun bakal bantuan nyisihaken saka clogging memori karo panjalukan lawas.
- Kategori log anyar "rpz-passthru" wis ditambahake, sing ngidini sampeyan mlebu log RPZ (Zona Kebijakan Respons) kanthi kapisah.
- Ing bagean respon-kabijakan, opsi "nsdname-wait-recurse" wis ditambahake, nalika disetel menyang "ora", aturan RPZ NSDNAME mung ditrapake yen server jeneng resmi sing ana ing cache ditemokake kanggo panjaluk kasebut, yen ora, Aturan RPZ NSDNAME ora digatekake, nanging informasi kasebut dijupuk ing latar mburi lan ditrapake kanggo panjaluk sabanjure.
- Kanggo cathetan karo jinis HTTPS lan SVCB, pangolahan bagean "TAMBAHAN" wis dileksanakake.
- Nambahake jinis aturan nganyari-kabijakan khusus - krb5-subdomain-self-rhs lan ms-subdomain-self-rhs, sing ngidini sampeyan mbatesi nganyari rekaman SRV lan PTR. Blok nganyari-kabijakan uga nambah kemampuan kanggo nyetel watesan ing jumlah cathetan, individu kanggo saben jinis.
- Nambahake informasi babagan protokol transportasi (UDP, TCP, TLS, HTTPS) lan ater-ater DNS64 menyang output sarana dig. Kanggo tujuan debugging, dig wis nambahake kemampuan kanggo nemtokake pengenal panjalukan tartamtu (dig +qid= ).
- Dhukungan ditambahake kanggo perpustakaan OpenSSL 3.0.
- Kanggo ngatasi masalah karo fragmentasi IP nalika ngolah pesen DNS gedhe sing diidentifikasi dening DNS Flag Day 2020, kode sing nyetel ukuran buffer EDNS nalika ora ana respon kanggo panjalukan wis dibusak saka solver. Ukuran buffer EDNS saiki disetel dadi konstan (edns-udp-size) kanggo kabeh panjalukan sing metu.
- Sistem mbangun wis dialihake nggunakake kombinasi autoconf, automake lan libtool.
- Dhukungan kanggo file zona ing format "peta" (peta format masterfile) wis dihentikan. Pangguna format iki dianjurake kanggo ngowahi zona menyang format mentah nggunakake utilitas jenenge-compilezone.
- Dhukungan kanggo pembalap DLZ lawas (Zona sing Bisa Dimuat Secara Dinamis) wis mandheg, diganti karo modul DLZ.
- Mbangun lan mbukak dhukungan kanggo platform Windows wis mandheg. Cabang pungkasan sing bisa diinstal ing Windows yaiku BIND 9.16.
Source: opennet.ru