Екі жылдық дамудан кейін ISC консорциумы BIND 9.18 DNS серверінің негізгі жаңа тармағының бірінші тұрақты шығарылымын шығарды. 9.18 филиалына қолдау кеңейтілген қолдау циклінің бөлігі ретінде 2 жылдың 2025-тоқсанына дейін үш жылға беріледі. 9.11 филиалына қолдау көрсету наурыз айында аяқталады, ал 9.16 филиалына қолдау 2023 жылдың ортасында аяқталады. BIND келесі тұрақты нұсқасының функционалдығын дамыту үшін BIND 9.19.0 эксперименттік тармағы құрылды.
BIND 9.18.0 шығарылымы HTTPS арқылы DNS (DoH, HTTPS арқылы DNS) және TLS арқылы DNS (DoT, TLS арқылы DNS), сондай-ақ XoT (XFR-over-TLS) механизмін қолдауды жүзеге асыруымен ерекшеленеді. DNS мазмұнын қауіпсіз тасымалдау үшін серверлер арасындағы аймақтар (XoT арқылы жіберу және қабылдау аймақтарына қолдау көрсетіледі). Сәйкес параметрлермен бір атаулы процесс енді дәстүрлі DNS сұрауларына ғана емес, сонымен қатар DNS-over-HTTPS және DNS-over-TLS арқылы жіберілген сұрауларға да қызмет ете алады. DNS-over-TLS үшін клиенттік қолдау "+tls" жалаушасы көрсетілген кезде TLS арқылы сұрауларды жіберу үшін пайдаланылуы мүмкін dig утилитасына енгізілген.
DoH жүйесінде қолданылатын HTTP/2 протоколының орындалуы қосымша жинақ тәуелділігі ретінде қосылған nghttp2 кітапханасын пайдалануға негізделген. DoH және DoT сертификаттарын пайдаланушы ұсынуы немесе іске қосу кезінде автоматты түрде жасауы мүмкін.
DoH және DoT көмегімен сұрауды өңдеу тыңдау директивасына "http" және "tls" опцияларын қосу арқылы қосылады. Шифрланбаған DNS-over-HTTP-ге қолдау көрсету үшін параметрлерде «tls none» параметрін көрсету керек. Кілттер «tls» бөлімінде анықталған. DoT үшін 853, DoH үшін 443 және DNS-over-HTTP үшін 80 әдепкі желі порттарын tls-порт, https-порт және http-порт параметрлері арқылы қайта анықтауға болады. Мысалы:
tls local-tls { "/path/to/priv_key.pem" кілт файлы; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; опциялар { https-порт 443; тыңдау порты 443 tls local-tls http myserver {кез келген;}; }
BIND жүйесінде DoH енгізу ерекшеліктерінің бірі TLS сертификаттары басқа жүйеде (мысалы, веб-серверлері бар инфрақұрылымда) сақталған және қолдау көрсетілетін жағдайларда қажет болуы мүмкін басқа серверге TLS үшін шифрлау операцияларын жылжыту мүмкіндігі болып табылады. басқа персонал арқылы. Шифрланбаған DNS-over-HTTP қолдауы отладтауды жеңілдету үшін және ішкі желідегі басқа серверге қайта жіберу қабаты ретінде (шифрлауды бөлек серверге жылжыту үшін) жүзеге асырылады. Қашықтағы серверде nginx веб-сайттар үшін HTTPS байланыстыру қалай ұйымдастырылатынына ұқсас TLS трафигін жасау үшін пайдаланылуы мүмкін.
Тағы бір мүмкіндік - DoH-тің жалпы тасымалдау ретінде интеграциясы, ол тек шешушіге клиенттік сұрауларды өңдеу үшін ғана емес, сонымен қатар серверлер арасындағы байланыс кезінде, беделді DNS сервері арқылы аймақтарды тасымалдау кезінде және басқа DNS қолдайтын кез келген сұрауларды өңдеу кезінде пайдаланылуы мүмкін. тасымалдайды.
DoH/DoT көмегімен құрастыруды өшіру немесе шифрлауды басқа серверге жылжыту арқылы орнын толтыруға болатын кемшіліктердің ішінде кодтық базаның жалпы күрделілігі ерекшеленеді - кірістірілген HTTP сервері және TLS кітапханасы қосылған, ол ықтимал қамтуы мүмкін осалдықтар және шабуылдар үшін қосымша векторлар ретінде әрекет етеді. Сондай-ақ, DoH пайдалану кезінде трафик артады.
DNS-over-HTTPS провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафик спуфингімен (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде) қарсы тұру үшін пайдалы болуы мүмкін екенін еске түсірейік. DNS деңгейінде блоктау қосу (DNS-over-HTTPS DPI деңгейінде іске асырылған бұғаттауды айналып өтуде VPN алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаған кезде жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйелік конфигурацияда анықталған DNS серверлеріне тікелей жіберілсе, HTTPS арқылы DNS болған жағдайда хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және HTTP серверіне жіберіледі. шешуші Web API арқылы сұрауларды өңдейді.
«TLS арқылы DNS» стандартты DNS протоколын (әдетте желі порты 853 пайдаланылады) пайдаланудағы «HTTPS арқылы DNS» жүйесінен ерекшеленеді, TLS протоколы арқылы ұйымдастырылған шифрланған байланыс арнасына оралған, сертификатталған TLS/SSL сертификаттары арқылы хосттың жарамдылығын тексереді. сертификаттау органымен. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Кейбір басқа инновациялар:
- TCP және UDP арқылы сұрауларды жіберу және алу кезінде пайдаланылатын буферлердің өлшемдерін орнату үшін tcp-қабылдау-буфер, tcp-жіберу-буфер, udp-қабылдау-буфер және udp-жіберу-буфер параметрлері қосылды. Бос емес серверлерде кіріс буферлерін ұлғайту трафик шыңдары кезінде пакеттердің түсіп қалуын болдырмауға көмектеседі, ал оларды азайту ескі сұраулармен жадтың бітелуінен құтылуға көмектеседі.
- Жаңа журнал санаты «rpz-passthru» қосылды, ол RPZ (Response Policy Zones) қайта жіберу әрекеттерін бөлек тіркеуге мүмкіндік береді.
- Жауап беру саясаты бөлімінде «nsdname-wait-recurse» опциясы қосылды, «жоқ» күйіне орнатылғанда RPZ NSDNAME ережелері сұрау үшін кэште бар беделді атау серверлері табылған жағдайда ғана қолданылады, әйтпесе RPZ NSDNAME ережесі еленбейді, бірақ ақпарат фондық режимде шығарылады және кейінгі сұрауларға қолданылады.
- HTTPS және SVCB түрлері бар жазбалар үшін «ҚОСЫМША» бөлімін өңдеу жүзеге асырылды.
- SRV және PTR жазбаларын жаңартуды шектеуге мүмкіндік беретін krb5-subdomain-self-rhs және ms-subdomain-self-rhs теңшелетін жаңарту-саясат ережесі түрлері қосылды. Жаңарту саясаты блоктары сонымен қатар әр түр үшін жеке жазбалар санына шектеу қою мүмкіндігін қосады.
- Көлік протоколы (UDP, TCP, TLS, HTTPS) және DNS64 префикстері туралы ақпарат қазу утилитасының шығысына қосылды. Түзету мақсаттары үшін dig арнайы сұрау идентификаторын көрсету мүмкіндігін қосты (dig +qid= ).
- OpenSSL 3.0 кітапханасына қолдау қосылды.
- DNS Flag Day 2020 анықтаған үлкен DNS хабарламаларын өңдеу кезінде IP фрагментациясына қатысты мәселелерді шешу үшін сұрауға жауап болмаған кезде EDNS буферінің өлшемін реттейтін код шешушіден жойылды. EDNS буферінің өлшемі енді барлық шығыс сұраулар үшін тұрақты (edns-udp-өлшемі) мәніне орнатылды.
- Құрастыру жүйесі autoconf, automake және libtool тіркесімін пайдалануға ауыстырылды.
- «Карта» пішіміндегі (мастерфайл форматындағы карта) аймақтық файлдарды қолдау тоқтатылды. Бұл пішімді пайдаланушыларға аталған-компиляция аймағы қызметтік бағдарламасын пайдаланып аймақтарды өңделмеген пішімге түрлендіру ұсынылады.
- Ескі DLZ (динамикалық жүктелетін аймақтар) драйверлеріне қолдау көрсету тоқтатылды, олардың орнына DLZ модульдері қойылды.
- Windows платформасын құру және іске қосу қолдауы тоқтатылды. Windows жүйесінде орнатуға болатын соңғы тармақ - BIND 9.16.
Ақпарат көзі: opennet.ru