DNS-over-HTTPS에 대한 실험적 지원이 BIND DNS 서버에 추가되었습니다.

BIND DNS 서버 개발자는 보안을 위한 XFR-over-TLS 메커니즘뿐만 아니라 HTTPS를 통한 DNS(DoH, DNS over HTTPS) 및 TLS를 통한 DNS(DoT, DNS over TLS) 기술에 대한 서버 지원 추가를 발표했습니다. 서버 간에 DNS 영역의 내용을 전송합니다. DoH는 릴리스 9.17에서 테스트할 수 있으며 DoT 지원은 릴리스 9.17.10부터 제공되었습니다. 안정화 후 DoT 및 DoH 지원은 안정적인 9.17.7 분기로 백포트됩니다.

DoH에서 사용되는 HTTP/2 프로토콜의 구현은 어셈블리 종속성에 포함된 nghttp2 라이브러리의 사용을 기반으로 합니다(향후 라이브러리는 선택적 종속성 수로 이전될 예정입니다). 암호화된(TLS) 및 암호화되지 않은 HTTP/2 연결이 모두 지원됩니다. 적절한 설정을 사용하면 명명된 단일 프로세스가 이제 기존 DNS 쿼리뿐만 아니라 DoH(DNS-over-HTTPS) 및 DoT(DNS-over-TLS)를 사용하여 전송된 쿼리도 처리할 수 있습니다. 클라이언트측(dig)의 HTTPS 지원은 아직 구현되지 않았습니다. XFR-over-TLS 지원은 인바운드 및 아웃바운드 요청 모두에 사용할 수 있습니다.

DoH 및 DoT를 사용한 요청 처리는 Listen-on 지시문에 http 및 tls 옵션을 추가하여 활성화됩니다. 암호화되지 않은 DNS-over-HTTP를 지원하려면 설정에서 "tls none"을 지정해야 합니다. 키는 "tls" 섹션에 정의되어 있습니다. DoT의 경우 기본 네트워크 포트 853, DoH의 경우 443, DNS-over-HTTP의 경우 80은 tls-port, https-port 및 http-port 매개변수를 통해 재정의될 수 있습니다. 예: tls local-tls { key-file "/path/to/priv_key.pem"; 인증서 파일 "/path/to/cert_chain.pem"; }; http 로컬-http-서버 { 엔드포인트 { "/dns-query"; }; }; 옵션 { https-포트 443; 수신 대기 포트 443 tls local-tls http myserver {any;}; }

BIND의 DoH 구현 기능 중 통합은 확인자에 대한 클라이언트 요청을 처리하는 데 사용할 수 있을 뿐만 아니라 서버 간 데이터를 교환할 때, 권한 있는 DNS 서버로 영역을 전송할 때 사용할 수 있는 일반 전송으로 언급됩니다. 다른 DNS 전송에서 지원하는 요청을 처리할 때.

또 다른 기능은 TLS에 대한 암호화 작업을 다른 서버로 이동하는 기능입니다. 이는 TLS 인증서가 다른 시스템(예: 웹 서버가 있는 인프라)에 저장되고 다른 직원이 유지 관리하는 조건에서 필요할 수 있습니다. 암호화되지 않은 DNS-over-HTTP에 대한 지원은 디버깅을 단순화하고 암호화를 다른 서버에서 구성할 수 있는 기반으로 내부 네트워크의 전달을 위한 계층으로 구현됩니다. 원격 서버에서 nginx는 웹사이트에 대한 HTTPS 바인딩이 구성되는 방식과 유사하게 TLS 트래픽을 생성하는 데 사용될 수 있습니다.

DNS-over-HTTPS는 공급자의 DNS 서버를 통해 요청된 호스트 이름에 대한 정보 유출을 방지하고, MITM 공격 및 DNS 트래픽 스푸핑(예: 공용 Wi-Fi에 연결할 때)에 대응하는 데 유용할 수 있습니다. DNS 수준에서 차단(DNS-over-HTTPS는 DPI 수준에서 구현된 차단을 우회하는 VPN을 대체할 수 없음) 또는 DNS 서버에 직접 액세스할 수 없는 경우(예: 프록시를 통해 작업하는 경우) 작업을 구성하는 데 사용됩니다. 정상적인 상황에서 DNS 요청이 시스템 구성에 정의된 DNS 서버로 직접 전송되는 경우 DNS-over-HTTPS의 경우 호스트 IP 주소를 확인하기 위한 요청이 HTTPS 트래픽에 캡슐화되어 HTTP 서버로 전송됩니다. 확인자는 Web API를 통해 요청을 처리합니다.

"TLS를 통한 DNS"는 표준 DNS 프로토콜(일반적으로 네트워크 포트 853이 사용됨)을 사용한다는 점에서 "DNS over HTTPS"와 다르며, 인증된 TLS/SSL 인증서를 통한 호스트 유효성 검사와 함께 TLS 프로토콜을 사용하여 구성된 암호화된 통신 채널로 래핑됩니다. 인증 기관에 의해. 기존 DNSSEC 표준은 클라이언트와 서버를 인증하는 데에만 암호화를 사용하지만 트래픽을 가로채는 것을 방지하지 않으며 요청의 기밀성을 보장하지 않습니다.

출처 : opennet.ru