ការចេញផ្សាយ BIND DNS Server 9.18.0 ជាមួយនឹងការគាំទ្រសម្រាប់ DNS-over-TLS និង DNS-over-HTTPS

បន្ទាប់ពីពីរឆ្នាំនៃការអភិវឌ្ឍន៍ សម្ព័ន្ធ ISC បានចេញផ្សាយការចេញផ្សាយប្រកបដោយស្ថេរភាពដំបូងនៃសាខាថ្មីដ៏សំខាន់នៃម៉ាស៊ីនមេ DNS BIND 9.18 ។ ការគាំទ្រសម្រាប់សាខា 9.18 នឹងត្រូវបានផ្តល់ជូនសម្រាប់រយៈពេល 2 ឆ្នាំរហូតដល់ត្រីមាសទី 2025 នៃឆ្នាំ 9.11 ដែលជាផ្នែកនៃវដ្តនៃការគាំទ្របន្ថែម។ ការគាំទ្រសម្រាប់សាខា 9.16 នឹងបញ្ចប់នៅខែមីនា ហើយការគាំទ្រសម្រាប់សាខា 2023 នៅពាក់កណ្តាលឆ្នាំ 9.19.0។ ដើម្បីអភិវឌ្ឍមុខងារនៃកំណែស្ថេរភាពបន្ទាប់នៃ BIND សាខាពិសោធន៍ BIND XNUMX ត្រូវបានបង្កើតឡើង។

ការចេញផ្សាយ BIND 9.18.0 គឺគួរឱ្យកត់សម្គាល់សម្រាប់ការអនុវត្តការគាំទ្រសម្រាប់ DNS លើ HTTPS (DoH, DNS over HTTPS) និង DNS លើ TLS (DoT, DNS over TLS) ក៏ដូចជាយន្តការ XoT (XFR-over-TLS) សម្រាប់ការផ្ទេរមាតិកា DNS ប្រកបដោយសុវត្ថិភាព។ តំបន់រវាងម៉ាស៊ីនមេ (ទាំងតំបន់ផ្ញើ និងទទួលតាមរយៈ XoT ត្រូវបានគាំទ្រ)។ ជាមួយនឹងការកំណត់សមស្រប ដំណើរការដែលមានឈ្មោះតែមួយឥឡូវនេះអាចបម្រើមិនត្រឹមតែសំណួរ DNS ប្រពៃណីប៉ុណ្ណោះទេ ថែមទាំងសំណួរដែលបានផ្ញើដោយប្រើ DNS-over-HTTPS និង DNS-over-TLS ផងដែរ។ ការគាំទ្រអតិថិជនសម្រាប់ DNS-over-TLS ត្រូវបានបង្កើតឡើងនៅក្នុងឧបករណ៍ជីក ដែលអាចត្រូវបានប្រើដើម្បីផ្ញើសំណើនៅលើ TLS នៅពេលដែលទង់ "+tls" ត្រូវបានបញ្ជាក់។

ការអនុវត្តពិធីការ HTTP/2 ដែលប្រើក្នុង DoH គឺផ្អែកលើការប្រើប្រាស់បណ្ណាល័យ nghttp2 ដែលត្រូវបានរួមបញ្ចូលជាជម្រើសអាស្រ័យការជួបប្រជុំគ្នា។ វិញ្ញាបនបត្រសម្រាប់ DoH និង DoT អាចត្រូវបានផ្តល់ដោយអ្នកប្រើប្រាស់ ឬបង្កើតដោយស្វ័យប្រវត្តិនៅពេលចាប់ផ្តើម។

ការស្នើសុំដំណើរការដោយប្រើ DoH និង DoT ត្រូវបានបើកដោយបន្ថែមជម្រើស "http" និង "tls" ទៅការណែនាំស្តាប់។ ដើម្បីគាំទ្រ DNS-over-HTTP ដែលមិនបានអ៊ិនគ្រីប អ្នកគួរតែបញ្ជាក់ “tls none” នៅក្នុងការកំណត់។ គ្រាប់ចុចត្រូវបានកំណត់នៅក្នុងផ្នែក "tls" ។ ច្រកបណ្តាញលំនាំដើម 853 សម្រាប់ DoT, 443 សម្រាប់ DoH និង 80 សម្រាប់ DNS-over-HTTP អាចត្រូវបានបដិសេធតាមរយៈប៉ារ៉ាម៉ែត្រ tls-port, https-port និង http-port ។ ឧទាហរណ៍:

tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; ជម្រើស { https-port 443; listen-on port 443 tls local-tls http myserver { any;}; }

លក្ខណៈពិសេសមួយនៃការអនុវត្ត DoH នៅក្នុង BIND គឺសមត្ថភាពក្នុងការផ្លាស់ទីប្រតិបត្តិការអ៊ិនគ្រីបសម្រាប់ TLS ទៅម៉ាស៊ីនមេផ្សេងទៀត ដែលប្រហែលជាចាំបាច់នៅក្នុងលក្ខខណ្ឌដែលវិញ្ញាបនបត្រ TLS ត្រូវបានរក្សាទុកនៅលើប្រព័ន្ធមួយផ្សេងទៀត (ឧទាហរណ៍នៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដែលមានម៉ាស៊ីនមេគេហទំព័រ) និងរក្សា។ ដោយបុគ្គលិកផ្សេងទៀត។ ការគាំទ្រសម្រាប់ DNS-over-HTTP ដែលមិនបានអ៊ិនគ្រីបត្រូវបានអនុវត្តដើម្បីសម្រួលការកែកំហុស និងជាស្រទាប់សម្រាប់បញ្ជូនបន្តទៅម៉ាស៊ីនមេផ្សេងទៀតនៅលើបណ្តាញខាងក្នុង (សម្រាប់ការផ្លាស់ប្តូរការអ៊ិនគ្រីបទៅម៉ាស៊ីនមេដាច់ដោយឡែក)។ នៅលើម៉ាស៊ីនមេពីចម្ងាយ nginx អាចត្រូវបានប្រើដើម្បីបង្កើតចរាចរ TLS ដែលស្រដៀងទៅនឹងរបៀបដែលការចង HTTPS ត្រូវបានរៀបចំសម្រាប់គេហទំព័រ។

លក្ខណៈពិសេសមួយទៀតគឺការរួមបញ្ចូល DoH ជាការដឹកជញ្ជូនទូទៅដែលអាចត្រូវបានប្រើមិនត្រឹមតែដើម្បីដោះស្រាយសំណើរបស់អតិថិជនទៅកាន់អ្នកដោះស្រាយប៉ុណ្ណោះទេ ប៉ុន្តែនៅពេលទំនាក់ទំនងរវាងម៉ាស៊ីនមេ នៅពេលផ្ទេរតំបន់ដោយម៉ាស៊ីនមេ DNS ដែលមានការអនុញ្ញាត និងនៅពេលដំណើរការសំណួរណាមួយដែលគាំទ្រដោយ DNS ផ្សេងទៀត។ ការដឹកជញ្ជូន។

ក្នុងចំណោមចំណុចខ្វះខាតដែលអាចត្រូវបានផ្តល់សំណងដោយការបិទការស្ថាបនាជាមួយ DoH/DoT ឬផ្លាស់ទីការអ៊ិនគ្រីបទៅម៉ាស៊ីនមេផ្សេងទៀត ភាពស្មុគស្មាញទូទៅនៃមូលដ្ឋានកូដគឺលេចធ្លោ - ម៉ាស៊ីនមេ HTTP និងបណ្ណាល័យ TLS ត្រូវបានបន្ថែមដែលអាចមានសក្តានុពល។ ភាពងាយរងគ្រោះ និងដើរតួជាវ៉ិចទ័របន្ថែមសម្រាប់ការវាយប្រហារ។ ដូចគ្នានេះផងដែរនៅពេលប្រើ DoH ចរាចរណ៍កើនឡើង។

ចូរយើងរំលឹកឡើងវិញថា DNS-over-HTTPS អាចមានប្រយោជន៍សម្រាប់ការការពារការលេចធ្លាយព័ត៌មានអំពីឈ្មោះម៉ាស៊ីនដែលបានស្នើសុំតាមរយៈម៉ាស៊ីនមេ DNS របស់អ្នកផ្តល់សេវា ប្រយុទ្ធប្រឆាំងនឹងការវាយប្រហារ MITM និងការក្លែងបន្លំចរាចរ DNS (ឧទាហរណ៍ នៅពេលភ្ជាប់ទៅ Wi-Fi សាធារណៈ) ប្រឆាំង ការទប់ស្កាត់នៅកម្រិត DNS (DNS-over-HTTPS មិនអាចជំនួស VPN ក្នុងការឆ្លងកាត់ការទប់ស្កាត់ដែលបានអនុវត្តនៅកម្រិត DPI) ឬសម្រាប់ការរៀបចំការងារនៅពេលដែលវាមិនអាចចូលប្រើម៉ាស៊ីនមេ DNS ដោយផ្ទាល់ (ឧទាហរណ៍ នៅពេលធ្វើការតាមរយៈប្រូកស៊ី)។ ប្រសិនបើនៅក្នុងស្ថានភាពធម្មតា សំណើ DNS ត្រូវបានផ្ញើដោយផ្ទាល់ទៅម៉ាស៊ីនមេ DNS ដែលកំណត់ក្នុងការកំណត់ប្រព័ន្ធ នោះក្នុងករណី DNS-over-HTTPS សំណើដើម្បីកំណត់អាសយដ្ឋាន IP របស់ម៉ាស៊ីនត្រូវបានរុំព័ទ្ធក្នុងចរាចរ HTTPS ហើយផ្ញើទៅម៉ាស៊ីនមេ HTTP ដែលជាកន្លែងដែល អ្នកដោះស្រាយដំណើរការសំណើតាមរយៈ Web API ។

“DNS over TLS” ខុសពី “DNS over HTTPS” ក្នុងការប្រើប្រាស់ពិធីការ DNS ស្តង់ដារ (ជាធម្មតាច្រកបណ្តាញ 853 ត្រូវបានប្រើ) រុំក្នុងបណ្តាញទំនាក់ទំនងដែលបានអ៊ិនគ្រីបដែលបានរៀបចំដោយប្រើពិធីការ TLS ជាមួយនឹងការត្រួតពិនិត្យសុពលភាពម៉ាស៊ីនតាមរយៈវិញ្ញាបនបត្រ TLS/SSL ដែលបានបញ្ជាក់ ដោយអាជ្ញាធរបញ្ជាក់។ ស្តង់ដារ DNSSEC ដែលមានស្រាប់ប្រើការអ៊ិនគ្រីបដើម្បីផ្ទៀងផ្ទាត់អតិថិជន និងម៉ាស៊ីនមេ ប៉ុន្តែមិនការពារចរាចរណ៍ពីការស្ទាក់ចាប់ និងមិនធានាការសម្ងាត់នៃសំណើ។

ការច្នៃប្រឌិតផ្សេងទៀតមួយចំនួន៖

• បានបន្ថែមការកំណត់ tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer និង udp-send-buffer ដើម្បីកំណត់ទំហំសតិបណ្ដោះអាសន្នដែលប្រើនៅពេលផ្ញើ និងទទួលសំណើលើ TCP និង UDP។ នៅលើម៉ាស៊ីនមេដែលមមាញឹក ការបង្កើនសតិបណ្ដោះអាសន្នចូលនឹងជួយជៀសវាងការទម្លាក់កញ្ចប់ព័ត៌មានក្នុងអំឡុងពេលចរាចរណ៍កំពូល ហើយការបន្ថយពួកវានឹងជួយកម្ចាត់ការស្ទះអង្គចងចាំជាមួយនឹងសំណើចាស់។
• ប្រភេទកំណត់ហេតុថ្មី "rpz-passthru" ត្រូវបានបន្ថែម ដែលអនុញ្ញាតឱ្យអ្នកកត់ត្រាសកម្មភាពបញ្ជូនបន្ត RPZ (តំបន់គោលនយោបាយឆ្លើយតប) ដាច់ដោយឡែក។
• នៅក្នុងផ្នែកឆ្លើយតប-គោលនយោបាយ ជម្រើស "nsdname-wait-recurse" ត្រូវបានបន្ថែម នៅពេលកំណត់ទៅជា "ទេ" ច្បាប់ RPZ NSDNAME ត្រូវបានអនុវត្តលុះត្រាតែម៉ាស៊ីនមេឈ្មោះដែលមានការអនុញ្ញាតនៅក្នុងឃ្លាំងសម្ងាត់ត្រូវបានរកឃើញសម្រាប់ការស្នើសុំ បើមិនដូច្នោះទេ ច្បាប់ RPZ NSDNAME មិនត្រូវបានអើពើទេ ប៉ុន្តែព័ត៌មានត្រូវបានទាញយកនៅផ្ទៃខាងក្រោយ ហើយអនុវត្តចំពោះសំណើជាបន្តបន្ទាប់។
• សម្រាប់កំណត់ត្រាដែលមានប្រភេទ HTTPS និង SVCB ដំណើរការនៃផ្នែក "បន្ថែម" ត្រូវបានអនុវត្ត។
• បានបន្ថែមប្រភេទច្បាប់ធ្វើបច្ចុប្បន្នភាពផ្ទាល់ខ្លួន - krb5-subdomain-self-rhs និង ms-subdomain-self-rhs ដែលអនុញ្ញាតឱ្យអ្នកកំណត់ការធ្វើបច្ចុប្បន្នភាពនៃកំណត់ត្រា SRV និង PTR ។ ប្លុកគោលនយោបាយធ្វើឱ្យទាន់សម័យក៏បន្ថែមសមត្ថភាពក្នុងការកំណត់ដែនកំណត់លើចំនួនកំណត់ត្រាបុគ្គលសម្រាប់ប្រភេទនីមួយៗ។
• បានបន្ថែមព័ត៌មានអំពីពិធីការដឹកជញ្ជូន (UDP, TCP, TLS, HTTPS) និងបុព្វបទ DNS64 ទៅនឹងលទ្ធផលនៃឧបករណ៍ជីក។ សម្រាប់គោលបំណងបំបាត់កំហុស ជីកបានបន្ថែមសមត្ថភាពក្នុងការបញ្ជាក់អត្តសញ្ញាណសំណើជាក់លាក់មួយ (dig +qid=) ។
• បានបន្ថែមការគាំទ្រសម្រាប់បណ្ណាល័យ OpenSSL 3.0 ។
• ដើម្បីដោះស្រាយបញ្ហាជាមួយការបែងចែក IP នៅពេលដំណើរការសារ DNS ធំដែលកំណត់ដោយ DNS Flag Day 2020 លេខកូដដែលកែតម្រូវទំហំសតិបណ្ដោះអាសន្ន EDNS នៅពេលដែលមិនមានការឆ្លើយតបចំពោះសំណើមួយត្រូវបានដកចេញពីអ្នកដោះស្រាយ។ ទំហំផ្ទុក EDNS ឥឡូវនេះត្រូវបានកំណត់ជាថេរ (edns-udp-size) សម្រាប់សំណើដែលចេញទាំងអស់។
• ប្រព័ន្ធស្ថាបនាត្រូវបានប្តូរទៅដោយប្រើការរួមបញ្ចូលគ្នានៃ autoconf, automake និង libtool ។
• ការគាំទ្រសម្រាប់ឯកសារតំបន់ក្នុងទម្រង់ "ផែនទី" (ផែនទីទ្រង់ទ្រាយឯកសារមេ) ត្រូវបានបញ្ឈប់។ អ្នក​ប្រើ​ទម្រង់​នេះ​ត្រូវ​បាន​ផ្ដល់​អនុសាសន៍​ឱ្យ​បំប្លែង​តំបន់​ទៅ​ជា​ទម្រង់​ឆៅ​ដោយ​ប្រើ​ឧបករណ៍​ប្រើប្រាស់​ដែល​មាន​ឈ្មោះ​-compilezone។
• ការគាំទ្រសម្រាប់កម្មវិធីបញ្ជា DLZ ចាស់ (តំបន់ដែលអាចផ្ទុកបាន) ត្រូវបានបញ្ឈប់ ជំនួសដោយម៉ូឌុល DLZ ។
• បង្កើត និងដំណើរការការគាំទ្រសម្រាប់វេទិកាវីនដូត្រូវបានបញ្ឈប់។ សាខាចុងក្រោយដែលអាចដំឡើងនៅលើ Windows គឺ BIND 9.16 ។

ប្រភព: opennet.ru