BIND DNS ಸರ್ವರ್ನ ಡೆವಲಪರ್ಗಳು DNS ಮೂಲಕ HTTPS (DoH, DNS ಮೂಲಕ HTTPS) ಮತ್ತು DNS ಮೂಲಕ TLS (DoT, DNS ಓವರ್ TLS) ತಂತ್ರಜ್ಞಾನಗಳಿಗೆ ಸರ್ವರ್ ಬೆಂಬಲವನ್ನು ಸೇರಿಸುವುದನ್ನು ಘೋಷಿಸಿದರು, ಜೊತೆಗೆ XFR-ಓವರ್-TLS ಕಾರ್ಯವಿಧಾನವನ್ನು ಸುರಕ್ಷಿತವಾಗಿರಿಸಿದ್ದಾರೆ. ಸರ್ವರ್ಗಳ ನಡುವೆ DNS ವಲಯಗಳ ವಿಷಯಗಳನ್ನು ವರ್ಗಾಯಿಸುವುದು. ಬಿಡುಗಡೆ 9.17 ರಲ್ಲಿ ಪರೀಕ್ಷೆಗಾಗಿ DoH ಲಭ್ಯವಿದೆ, ಮತ್ತು ಬಿಡುಗಡೆ 9.17.10 ರಿಂದ DoT ಬೆಂಬಲವಿದೆ. ಸ್ಥಿರೀಕರಣದ ನಂತರ, DoT ಮತ್ತು DoH ಬೆಂಬಲವನ್ನು ಸ್ಥಿರ 9.17.7 ಶಾಖೆಗೆ ಬ್ಯಾಕ್ಪೋರ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ.
DoH ನಲ್ಲಿ ಬಳಸಲಾದ HTTP/2 ಪ್ರೋಟೋಕಾಲ್ನ ಅನುಷ್ಠಾನವು nghttp2 ಲೈಬ್ರರಿಯ ಬಳಕೆಯನ್ನು ಆಧರಿಸಿದೆ, ಇದು ಅಸೆಂಬ್ಲಿ ಅವಲಂಬನೆಗಳ ನಡುವೆ ಸೇರಿಸಲ್ಪಟ್ಟಿದೆ (ಭವಿಷ್ಯದಲ್ಲಿ, ಗ್ರಂಥಾಲಯವನ್ನು ಐಚ್ಛಿಕ ಅವಲಂಬನೆಗಳ ಸಂಖ್ಯೆಗೆ ವರ್ಗಾಯಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ). ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ (TLS) ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ HTTP/2 ಸಂಪರ್ಕಗಳನ್ನು ಬೆಂಬಲಿಸಲಾಗುತ್ತದೆ. ಸೂಕ್ತವಾದ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ, ಒಂದೇ ಹೆಸರಿನ ಪ್ರಕ್ರಿಯೆಯು ಈಗ ಸಾಂಪ್ರದಾಯಿಕ DNS ಪ್ರಶ್ನೆಗಳನ್ನು ಮಾತ್ರವಲ್ಲದೆ DoH (DNS-over-HTTPS) ಮತ್ತು DoT (DNS-over-TLS) ಬಳಸಿಕೊಂಡು ಕಳುಹಿಸಲಾದ ಪ್ರಶ್ನೆಗಳನ್ನು ಸಹ ಪೂರೈಸುತ್ತದೆ. ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ (ಡಿಗ್) HTTPS ಬೆಂಬಲವನ್ನು ಇನ್ನೂ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿಲ್ಲ. XFR-over-TLS ಬೆಂಬಲವು ಒಳಬರುವ ಮತ್ತು ಹೊರಹೋಗುವ ವಿನಂತಿಗಳಿಗೆ ಲಭ್ಯವಿದೆ.
ಕೇಳಲು-ಆನ್ ನಿರ್ದೇಶನಕ್ಕೆ http ಮತ್ತು tls ಆಯ್ಕೆಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ DoH ಮತ್ತು DoT ಬಳಸಿಕೊಂಡು ವಿನಂತಿ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ. ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ DNS-over-HTTP ಅನ್ನು ಬೆಂಬಲಿಸಲು, ನೀವು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ "tls ಯಾವುದೂ ಇಲ್ಲ" ಎಂದು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು. ಕೀಗಳನ್ನು "tls" ವಿಭಾಗದಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ. ಡೀಫಾಲ್ಟ್ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗಳು DoT ಗಾಗಿ 853, DoH ಗೆ 443 ಮತ್ತು DNS-ಓವರ್-HTTP ಗಾಗಿ 80 ಅನ್ನು tls-port, https-port ಮತ್ತು http-port ಪ್ಯಾರಾಮೀಟರ್ಗಳ ಮೂಲಕ ಅತಿಕ್ರಮಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ: tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http ಲೋಕಲ್-http-server { endpoints { "/dns-query"; }; }; ಆಯ್ಕೆಗಳು { https-port 443; ಆಲಿಸಿ-ಆನ್ ಪೋರ್ಟ್ 443 tls ಸ್ಥಳೀಯ-tls http myserver {ಯಾವುದೇ;}; }
BIND ನಲ್ಲಿನ DoH ಅನುಷ್ಠಾನದ ವೈಶಿಷ್ಟ್ಯಗಳಲ್ಲಿ, ಏಕೀಕರಣವನ್ನು ಸಾಮಾನ್ಯ ಸಾರಿಗೆ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಕ್ಲೈಂಟ್ ವಿನಂತಿಗಳನ್ನು ಪರಿಹರಿಸುವವರಿಗೆ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಮಾತ್ರವಲ್ಲದೆ ಸರ್ವರ್ಗಳ ನಡುವೆ ಡೇಟಾವನ್ನು ವಿನಿಮಯ ಮಾಡುವಾಗ, ಅಧಿಕೃತ DNS ಸರ್ವರ್ನಿಂದ ವಲಯಗಳನ್ನು ವರ್ಗಾಯಿಸುವಾಗ ಮತ್ತು ಇತರ DNS ಸಾರಿಗೆಗಳಿಂದ ಬೆಂಬಲಿತವಾದ ಯಾವುದೇ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ.
ಮತ್ತೊಂದು ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ TLS ಗಾಗಿ ಗೂಢಲಿಪೀಕರಣ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ಮತ್ತೊಂದು ಸರ್ವರ್ಗೆ ಚಲಿಸುವ ಸಾಮರ್ಥ್ಯ, ಇದು TLS ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತೊಂದು ಸಿಸ್ಟಮ್ನಲ್ಲಿ (ಉದಾಹರಣೆಗೆ, ವೆಬ್ ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ) ಸಂಗ್ರಹಿಸುವ ಮತ್ತು ಇತರ ಸಿಬ್ಬಂದಿ ನಿರ್ವಹಿಸುವ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಅಗತ್ಯವಾಗಬಹುದು. ಡೀಬಗ್ ಮಾಡುವಿಕೆಯನ್ನು ಸರಳಗೊಳಿಸಲು ಮತ್ತು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಫಾರ್ವರ್ಡ್ ಮಾಡಲು ಲೇಯರ್ ಆಗಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡದ DNS-ಓವರ್-HTTP ಗಾಗಿ ಬೆಂಬಲವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ, ಅದರ ಆಧಾರದ ಮೇಲೆ ಮತ್ತೊಂದು ಸರ್ವರ್ನಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಆಯೋಜಿಸಬಹುದು. ರಿಮೋಟ್ ಸರ್ವರ್ನಲ್ಲಿ, ವೆಬ್ಸೈಟ್ಗಳಿಗಾಗಿ HTTPS ಬೈಂಡಿಂಗ್ ಅನ್ನು ಹೇಗೆ ಆಯೋಜಿಸಲಾಗಿದೆಯೋ ಅದೇ ರೀತಿಯಲ್ಲಿ TLS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಉತ್ಪಾದಿಸಲು nginx ಅನ್ನು ಬಳಸಬಹುದು.
ಪೂರೈಕೆದಾರರ DNS ಸರ್ವರ್ಗಳ ಮೂಲಕ ವಿನಂತಿಸಿದ ಹೋಸ್ಟ್ ಹೆಸರುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಸೋರಿಕೆಯನ್ನು ತಡೆಗಟ್ಟಲು, MITM ದಾಳಿಗಳು ಮತ್ತು DNS ಟ್ರಾಫಿಕ್ ವಂಚನೆಯನ್ನು ಎದುರಿಸಲು (ಉದಾಹರಣೆಗೆ, ಸಾರ್ವಜನಿಕ Wi-Fi ಗೆ ಸಂಪರ್ಕಿಸುವಾಗ) ಎದುರಿಸಲು DNS-over-HTTPS ಉಪಯುಕ್ತವಾಗಿದೆ ಎಂಬುದನ್ನು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ. ಡಿಎನ್ಎಸ್ ಮಟ್ಟದಲ್ಲಿ ನಿರ್ಬಂಧಿಸುವುದು (ಡಿಪಿಐ ಮಟ್ಟದಲ್ಲಿ ಅಳವಡಿಸಲಾದ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುವಲ್ಲಿ ಡಿಎನ್ಎಸ್-ಓವರ್-ಎಚ್ಟಿಟಿಪಿಎಸ್ VPN ಅನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ) ಅಥವಾ ಡಿಎನ್ಎಸ್ ಸರ್ವರ್ಗಳನ್ನು ನೇರವಾಗಿ ಪ್ರವೇಶಿಸಲು ಅಸಾಧ್ಯವಾದಾಗ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸಲು (ಉದಾಹರಣೆಗೆ, ಪ್ರಾಕ್ಸಿ ಮೂಲಕ ಕೆಲಸ ಮಾಡುವಾಗ). ಸಾಮಾನ್ಯ ಪರಿಸ್ಥಿತಿಯಲ್ಲಿ DNS ವಿನಂತಿಗಳನ್ನು ನೇರವಾಗಿ ಸಿಸ್ಟಮ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ DNS ಸರ್ವರ್ಗಳಿಗೆ ಕಳುಹಿಸಿದರೆ, DNS-over-HTTPS ಸಂದರ್ಭದಲ್ಲಿ ಹೋಸ್ಟ್ IP ವಿಳಾಸವನ್ನು ನಿರ್ಧರಿಸುವ ವಿನಂತಿಯನ್ನು HTTPS ಟ್ರಾಫಿಕ್ನಲ್ಲಿ ಸುತ್ತುವರಿಯಲಾಗುತ್ತದೆ ಮತ್ತು HTTP ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ, ಅಲ್ಲಿ ಪರಿಹಾರಕವು ವೆಬ್ API ಮೂಲಕ ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುತ್ತದೆ.
ಪ್ರಮಾಣಿತ DNS ಪ್ರೋಟೋಕಾಲ್ (ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ 853 ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ), TLS/SSL ಪ್ರಮಾಣಪತ್ರಗಳ ಮೂಲಕ ಹೋಸ್ಟ್ ಸಿಂಧುತ್ವವನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಆಯೋಜಿಸಲಾದ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂವಹನ ಚಾನಲ್ನಲ್ಲಿ ಸುತ್ತುವ ಪ್ರಮಾಣಿತ DNS ಪ್ರೋಟೋಕಾಲ್ನ ಬಳಕೆಯಲ್ಲಿ "DNS ಓವರ್ TLS" ಗಿಂತ ಭಿನ್ನವಾಗಿದೆ. ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ. ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ DNSSEC ಮಾನದಂಡವು ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಅನ್ನು ದೃಢೀಕರಿಸಲು ಮಾತ್ರ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಆದರೆ ಪ್ರತಿಬಂಧದಿಂದ ಸಂಚಾರವನ್ನು ರಕ್ಷಿಸುವುದಿಲ್ಲ ಮತ್ತು ವಿನಂತಿಗಳ ಗೌಪ್ಯತೆಯನ್ನು ಖಾತರಿಪಡಿಸುವುದಿಲ್ಲ.
ಮೂಲ: opennet.ru