BIND DNS serverio kūrėjai paskelbė apie serverio palaikymą DNS per HTTPS (DoH, DNS per HTTPS) ir DNS per TLS (DoT, DNS per TLS) technologijas, taip pat XFR-over-TLS mechanizmą saugiam. DNS zonų turinio perkėlimas tarp serverių. DoH galima išbandyti 9.17 versijoje, o DoT palaikymas teikiamas nuo 9.17.10 leidimo. Po stabilizavimo DoT ir DoH palaikymas bus grąžintas į stabilų 9.17.7 šaką.
DoH naudojamo HTTP/2 protokolo įgyvendinimas pagrįstas nghttp2 bibliotekos naudojimu, kuri yra įtraukta į surinkimo priklausomybes (ateityje biblioteką planuojama perkelti į pasirenkamų priklausomybių skaičių). Palaikomi ir šifruoti (TLS), ir nešifruoti HTTP/2 ryšiai. Su atitinkamais parametrais vienas pavadintas procesas dabar gali aptarnauti ne tik tradicines DNS užklausas, bet ir užklausas, siunčiamas naudojant DoH (DNS-over-HTTPS) ir DoT (DNS-over-TLS). HTTPS palaikymas kliento pusėje (dig) dar neįdiegtas. XFR-over-TLS palaikymas galimas tiek gaunamoms, tiek siunčiamoms užklausoms.
Užklausų apdorojimas naudojant DoH ir DoT įgalinamas įtraukus http ir tls parinktis prie klausymosi direktyvos. Norėdami palaikyti nešifruotą DNS per HTTP, nustatymuose turėtumėte nurodyti „tls none“. Raktai apibrėžti skiltyje „tls“. Numatytuosius tinklo prievadus 853 DoT, 443 DoH ir 80 DNS-over-HTTP galima nepaisyti naudojant tls-port, https-port ir http-port parametrus. Pavyzdžiui: tls local-tls { key-file "/path/to/priv_key.pem"; sertifikato failas "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; parinktys { https-port 443; klausymosi prievadas 443 tls local-tls http myserver {bet koks;}; }
Tarp DoH diegimo BIND ypatybių pažymima, kad integracija yra bendras transportavimas, kuris gali būti naudojamas ne tik apdoroti klientų užklausas sprendėjui, bet ir keičiantis duomenimis tarp serverių, kai autoritetingas DNS serveris perduoda zonas ir apdorojant bet kokias užklausas, palaikomas kitų DNS transportų.
Kita ypatybė – galimybė perkelti TLS šifravimo operacijas į kitą serverį, o tai gali prireikti tokiomis sąlygomis, kai TLS sertifikatai yra saugomi kitoje sistemoje (pavyzdžiui, infrastruktūroje su žiniatinklio serveriais) ir prižiūrimi kitų darbuotojų. Nešifruoto DNS per HTTP palaikymas įdiegtas siekiant supaprastinti derinimą ir kaip persiuntimo sluoksnis vidiniame tinkle, kurio pagrindu galima organizuoti šifravimą kitame serveryje. Nuotoliniame serveryje nginx gali būti naudojamas generuoti TLS srautą, panašiai kaip HTTPS susiejimas organizuojamas svetainėms.
Prisiminkime, kad DNS per HTTPS gali būti naudingas siekiant užkirsti kelią informacijos nutekėjimui apie prašomus pagrindinio kompiuterio pavadinimus per teikėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu (pavyzdžiui, prisijungiant prie viešojo Wi-Fi), kovojant su blokavimas DNS lygiu (DNS-over-HTTPS negali pakeisti VPN apeinant blokavimą, įdiegtą DPI lygiu) arba organizuoti darbus, kai neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, dirbant per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos siunčiamos tiesiogiai į sistemos konfigūracijoje nurodytus DNS serverius, tai DNS-over-HTTPS atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra įtraukiama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendėjas apdoroja užklausas per žiniatinklio API.
„DNS per TLS“ skiriasi nuo „DNS per HTTPS“ tuo, kad naudojamas standartinis DNS protokolas (dažniausiai naudojamas tinklo prievadas 853), įvyniotas į užšifruotą ryšio kanalą, organizuotą naudojant TLS protokolą su pagrindinio kompiuterio galiojimo tikrinimu naudojant TLS/SSL sertifikatus. sertifikavimo institucija. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Šaltinis: opennet.ru