BIND DNS სერვერს დაემატა DNS-over-HTTPS-ის ექსპერიმენტული მხარდაჭერა

BIND DNS სერვერის დეველოპერებმა განაცხადეს სერვერის მხარდაჭერის დამატება DNS-ზე HTTPS-ზე (DoH, DNS over HTTPS) და DNS-ზე TLS (DoT, DNS over TLS) ტექნოლოგიებისთვის, ასევე XFR-over-TLS მექანიზმის უსაფრთხოებისთვის. სერვერებს შორის DNS ზონების შინაარსის გადატანა. DoH ხელმისაწვდომია ტესტირებისთვის 9.17 გამოშვებაში და DoT მხარდაჭერა არსებობს 9.17.10 გამოშვების შემდეგ. სტაბილიზაციის შემდეგ, DoT და DoH მხარდაჭერა დაბრუნდება სტაბილურ 9.17.7 ფილიალში.

DoH-ში გამოყენებული HTTP/2 პროტოკოლის დანერგვა ეფუძნება nghttp2 ბიბლიოთეკის გამოყენებას, რომელიც შედის ასამბლეის დამოკიდებულებებში (მომავალში იგეგმება ბიბლიოთეკის არჩევითი დამოკიდებულებების რაოდენობაზე გადატანა). მხარდაჭერილია ორივე დაშიფრული (TLS) და დაშიფრული HTTP/2 კავშირები. შესაბამისი პარამეტრებით, ერთი დასახელებული პროცესი ახლა შეიძლება მოემსახუროს არა მხოლოდ ტრადიციულ DNS შეკითხვებს, არამედ DoH (DNS-over-HTTPS) და DoT (DNS-over-TLS) გამოყენებით გაგზავნილ შეკითხვებს. HTTPS მხარდაჭერა კლიენტის მხარეს (dig) ჯერ არ არის დანერგილი. XFR-over-TLS მხარდაჭერა ხელმისაწვდომია როგორც შემომავალი, ასევე გამავალი მოთხოვნებისთვის.

მოთხოვნის დამუშავება DoH და DoT გამოყენებით ჩართულია http და tls ვარიანტების დამატებით მოსმენის დირექტივაში. დაშიფრული DNS-ზე-HTTP-ის მხარდასაჭერად, პარამეტრებში უნდა მიუთითოთ „tls none“. გასაღებები განისაზღვრება "tls" განყოფილებაში. ქსელის ნაგულისხმევი პორტები 853 DoT-ისთვის, 443 DoH-სთვის და 80 DNS-over-HTTP-ისთვის შეიძლება გადაიცვალოს tls-port, https-port და http-port პარამეტრების მეშვეობით. მაგალითად: tls local-tls { key-file "/path/to/priv_key.pem"; cert-ფაილი "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; პარამეტრები { https-პორტი 443; მოსმენის პორტი 443 tls local-tls http myserver {any;}; }

BIND-ში DoH განხორციელების მახასიათებლებს შორის, ინტეგრაცია აღინიშნება, როგორც ზოგადი ტრანსპორტი, რომელიც შეიძლება გამოყენებულ იქნას არა მხოლოდ კლიენტის მოთხოვნების გადამწყვეტისთვის, არამედ სერვერებს შორის მონაცემთა გაცვლისას, ავტორიტეტული DNS სერვერის მიერ ზონების გადაცემისას და სხვა DNS ტრანსპორტით მხარდაჭერილი ნებისმიერი მოთხოვნის დამუშავებისას.

სხვა მახასიათებელია TLS-ისთვის დაშიფვრის ოპერაციების სხვა სერვერზე გადატანის შესაძლებლობა, რაც შეიძლება საჭირო იყოს იმ პირობებში, როდესაც TLS სერთიფიკატები ინახება სხვა სისტემაში (მაგალითად, ინფრასტრუქტურაში ვებ სერვერებით) და ინახება სხვა პერსონალის მიერ. დაშიფრული DNS-ზე-HTTP-ის მხარდაჭერა ხორციელდება გამართვის გასამარტივებლად და როგორც შიდა ქსელში გადამისამართების ფენა, რომლის საფუძველზეც შესაძლებელია დაშიფვრის ორგანიზება სხვა სერვერზე. დისტანციურ სერვერზე, nginx შეიძლება გამოყენებულ იქნას TLS ტრაფიკის გენერირებისთვის, ისევე, როგორც HTTPS სავალდებულოა ორგანიზებული ვებსაიტებისთვის.

შეგახსენებთ, რომ DNS-over-HTTPS შეიძლება სასარგებლო იყოს პროვაიდერების DNS სერვერების მეშვეობით მოთხოვნილი ჰოსტების სახელების შესახებ ინფორმაციის გაჟონვის თავიდან ასაცილებლად, MITM შეტევებისა და DNS ტრაფიკის გაყალბების წინააღმდეგ (მაგალითად, საჯარო Wi-Fi-თან დაკავშირებისას), დაპირისპირება. დაბლოკვა DNS დონეზე (DNS-over-HTTPS ვერ ჩაანაცვლებს VPN-ს DPI დონეზე განხორციელებული ბლოკირების გვერდის ავლით) ან სამუშაოს ორგანიზებისთვის, როდესაც შეუძლებელია პირდაპირ DNS სერვერებზე წვდომა (მაგალითად, პროქსის მეშვეობით მუშაობისას). თუ ნორმალურ სიტუაციაში DNS მოთხოვნები პირდაპირ იგზავნება DNS სერვერებზე, რომლებიც განსაზღვრულია სისტემის კონფიგურაციაში, მაშინ DNS-ზე-HTTPS-ის შემთხვევაში, ჰოსტის IP მისამართის განსაზღვრის მოთხოვნა ინკაპსულირებულია HTTPS ტრაფიკში და იგზავნება HTTP სერვერზე, სადაც. გადამწყვეტი ამუშავებს მოთხოვნებს ვებ API-ით.

„DNS TLS-ზე“ განსხვავდება „DNS-ზე HTTPS“-ისგან სტანდარტული DNS პროტოკოლის გამოყენებით (ჩვეულებრივ გამოიყენება ქსელის პორტი 853), რომელიც შეფუთულია დაშიფრული საკომუნიკაციო არხით, რომელიც ორგანიზებულია TLS პროტოკოლის გამოყენებით ჰოსტის მოქმედების შემოწმებით დამოწმებული TLS/SSL სერთიფიკატებით. სერტიფიცირების ორგანოს მიერ. არსებული DNSSEC სტანდარტი იყენებს დაშიფვრას მხოლოდ კლიენტისა და სერვერის ავთენტიფიკაციისთვის, მაგრამ არ იცავს ტრაფიკს თვალთვალისგან და არ იძლევა მოთხოვნის კონფიდენციალურობის გარანტიას.

წყარო: opennet.ru