Эки жылдык өнүгүүдөн кийин, ISC консорциуму BIND 9.18 DNS серверинин негизги жаңы бутагынын биринчи туруктуу чыгарылышын чыгарды. 9.18 тармагын колдоо кеңейтилген колдоо циклинин алкагында 2-жылдын 2025-кварталына чейин үч жылга берилет. 9.11 бутагына колдоо март айында аяктайт, ал эми 9.16 бутагына колдоо 2023-жылдын ортосунда. BINDдин кийинки туруктуу версиясынын функционалдуулугун өнүктүрүү үчүн BIND 9.19.0 эксперименталдык бутагы түзүлдү.
BIND 9.18.0 чыгарылышы HTTPS (DoH, HTTPS үстүнөн DNS) жана TLS аркылуу DNS (DoT, TLS үстүнөн DNS), ошондой эле XoT (XFR-over-TLS) механизмин колдоону ишке ашыруу менен өзгөчөлөнөт. DNS мазмунун коопсуз өткөрүү үчүн. серверлер ортосундагы зоналар (XOT аркылуу жөнөтүүчү жана кабыл алуучу зоналар колдоого алынат). Тийиштүү орнотуулар менен, бир аталыштагы процесс азыр салттуу DNS сурамдарын гана эмес, DNS-over-HTTPS жана DNS-over-TLS аркылуу жөнөтүлгөн суроо-талаптарды да тейлей алат. DNS-over-TLS үчүн кардарды колдоо казуу утилитасына орнотулган, ал "+tls" желекчеси көрсөтүлгөндө TLS аркылуу суроо-талаптарды жөнөтүү үчүн колдонулушу мүмкүн.
DoHде колдонулган HTTP/2 протоколун ишке ашыруу nghttp2 китепканасын колдонууга негизделген, ал кошумча монтаждык көз карандылык катары камтылган. DoH жана DoT сертификаттары колдонуучу тарабынан берилиши мүмкүн же ишке киргизүү учурунда автоматтык түрдө түзүлүшү мүмкүн.
DoH жана DoT аркылуу суроо-талаптарды иштетүү "http" жана "tls" опцияларын угуу боюнча директивага кошуу менен иштетилет. Шифрленбеген DNS-over-HTTP колдоо үчүн, жөндөөлөрдөн "tls none" дегенди көрсөтүшүңүз керек. Ачкычтар "tls" бөлүмүндө аныкталган. Демейки тармак порттору DoT үчүн 853, DoH үчүн 443 жана DNS-over-HTTP үчүн 80 tls-порт, https-порт жана http-порт параметрлери аркылуу жокко чыгарылат. Мисалы:
tls local-tls { ачкыч-файл "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; опциялар { https-порт 443; угуу порту 443 tls local-tls http myserver {ар кандай;}; }
BINDде DoH ишке ашыруунун өзгөчөлүктөрүнүн бири TLS үчүн шифрлөө операцияларын башка серверге жылдыруу мүмкүнчүлүгү болуп саналат, ал TLS сертификаттары башка системада (мисалы, веб-серверлери бар инфраструктурада) сакталган жана сакталган шарттарда зарыл болушу мүмкүн. башка кызматкерлер тарабынан. Шифрленбеген DNS-over-HTTP колдоо мүчүлүштүктөрдү оңдоону жөнөкөйлөтүү үчүн жана ички тармактагы башка серверге багыттоо үчүн катмар катары ишке ашырылат (шифрлөөнү өзүнчө серверге жылдыруу үчүн). Алыскы серверде nginx веб-сайттар үчүн HTTPS туташуусу кандай уюштурулганына окшош, TLS трафигин түзүү үчүн колдонулушу мүмкүн.
Дагы бир өзгөчөлүк - бул DoHтин жалпы транспорт катары интеграциясы, аны чечүүчүгө кардардын суроо-талаптарын чечүү үчүн гана эмес, серверлер ортосундагы байланышта, авторитеттүү DNS сервери зоналарды өткөрүп жатканда жана башка DNS тарабынан колдоого алынган сурамдарды иштеп чыгууда да колдонсо болот. ташыйт.
DoH/DoT менен түзүүнү өчүрүү же шифрлөөнү башка серверге жылдыруу менен ордун толтурууга мүмкүн болгон кемчиликтердин арасында код базасынын жалпы татаалдыгы өзгөчөлөнүп турат - орнотулган HTTP сервери жана TLS китепканасы кошулган, ал кемчиликтерди камтышы мүмкүн. жана кошумча чабуул векторлору катары иштешет. Ошондой эле, DoH колдонгондо, трафик көбөйөт.
DNS-over-HTTPS провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафиктин спуфингине (мисалы, коомдук Wi-Fiга туташуу учурунда) каршы күрөшүү үчүн пайдалуу болушу мүмкүн экенин эске сала кетели. DNS деңгээлинде бөгөттөө (DNS-over-HTTPS DPI деңгээлинде ишке ашырылган бөгөттөөлөрдү кыйгап өтүүдө VPNди алмаштыра албайт) же DNS серверлерине түздөн-түз кирүү мүмкүн болбогондо ишти уюштуруу үчүн (мисалы, прокси аркылуу иштөөдө). Эгерде кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, DNS-over-HTTPS учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде капсулдалат жана HTTP серверине жөнөтүлөт. чечүүчү суроо-талаптарды Web API аркылуу иштетет.
"TLS үстүнөн DNS" стандарттуу DNS протоколун (тармак порту 853 көбүнчө колдонулат) колдонууда "HTTPS үстүнөн DNS" менен айырмаланат, TLS протоколу аркылуу уюштурулган шифрленген байланыш каналына оролгон, TLS/SSL сертификаттары аркылуу хосттун жарактуулугун текшерүү. күбөлүк берүүчү орган тарабынан. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
Кээ бир башка инновациялар:
- TCP жана UDP аркылуу суроо-талаптарды жөнөтүүдө жана кабыл алууда колдонулган буферлердин өлчөмдөрүн коюу үчүн tcp-кабыл-буфер, tcp-жөнөт-буфер, udp-кабыл-буфер жана udp-жөнөт-буфер орнотуулары кошулду. Бош эмес серверлерде, кирүүчү буферлерди көбөйтүү трафиктин эң жогорку чегинде пакеттердин түшүп калышын болтурбоого жардам берет, ал эми аларды азайтуу эски суроо-талаптар менен эс тутумдун бүтөлүүсүнөн арылууга жардам берет.
- Жаңы журнал категориясы "rpz-passthru" кошулду, ал сизге RPZ (Response Policy Zones) багыттоо аракеттерин өзүнчө журналга алууга мүмкүндүк берет.
- Жооп-саясат бөлүмүндө "nsdname-wait-recurse" опциясы кошулду, "жок" деп коюлганда, RPZ NSDNAME эрежелери сурам үчүн кэште бар авторитеттүү ат серверлери табылганда гана колдонулат, антпесе RPZ NSDNAME эрежеси этибарга алынбайт, бирок маалымат фондо чыгарылып, кийинки суроо-талаптарга колдонулат.
- HTTPS жана SVCB түрлөрү бар жазуулар үчүн "КОШУМЧА" бөлүмүн иштетүү ишке ашырылган.
- Кошулган ыңгайлаштырылган жаңыртуу саясатынын эрежесинин түрлөрү - krb5-subdomain-self-rhs жана ms-subdomain-self-rhs, алар SRV жана PTR жазууларынын жаңыртууларын чектөөгө мүмкүндүк берет. Жаңыртуу саясаты блоктору ошондой эле ар бир түр үчүн жекече жазуулардын санына чектөө коюу мүмкүнчүлүгүн кошот.
- Транспорттук протокол (UDP, TCP, TLS, HTTPS) жана DNS64 префикстери жөнүндө маалымат казуу программасынын чыгышына кошулду. Мүчүлүштүктөрдү оңдоо максатында, dig белгилүү бир суроо идентификаторун көрсөтүү мүмкүнчүлүгүн кошту (dig +qid=).
- OpenSSL 3.0 китепканасын колдоо кошулду.
- DNS Flag Day 2020 тарабынан аныкталган чоң DNS билдирүүлөрүн иштетүүдө IP фрагментациясына байланыштуу маселелерди чечүү үчүн, суроо-талапка жооп болбогондо EDNS буферинин өлчөмүн тууралай турган код чечүүчүдөн алынып салынды. EDNS буферинин өлчөмү азыр бардык чыгуучу суроо-талаптар үчүн туруктуу (edns-udp-size) болуп коюлду.
- Куруу системасы autoconf, automake жана libtool айкалышын колдонууга которулду.
- "Карта" форматындагы (мастерфайл форматындагы карта) зоналык файлдарды колдоо токтотулду. Бул форматтын колдонуучуларына аталган-compilezone утилитасын колдонуу менен аймактарды чийки форматка айландыруу сунушталат.
- Эски DLZ (Динамикалык жүктөө зоналары) драйверлерин колдоо токтотулуп, анын ордуна DLZ модулдары орнотулду.
- Windows платформасын куруу жана иштетүү колдоо токтотулду. Windows орнотула турган акыркы бутак BIND 9.16.
Source: opennet.ru