BIND DNS servera izstrādātāji paziņoja par servera atbalsta pievienošanu DNS pār HTTPS (DoH, DNS over HTTPS) un DNS over TLS (DoT, DNS over TLS) tehnoloģijām, kā arī XFR-over-TLS mehānisma drošībai. DNS zonu satura pārsūtīšana starp serveriem. DoH ir pieejams testēšanai 9.17. laidumā, un DoT atbalsts ir pieejams kopš laidiena 9.17.10. Pēc stabilizācijas DoT un DoH atbalsts tiks pārsūtīts uz stabilo 9.17.7 filiāli.
DoH izmantotā HTTP/2 protokola realizācija ir balstīta uz nghttp2 bibliotēkas izmantošanu, kas iekļauta montāžas atkarībās (nākotnē bibliotēku plānots pārcelt uz izvēles atkarību skaitu). Tiek atbalstīti gan šifrēti (TLS), gan nešifrēti HTTP/2 savienojumi. Ar atbilstošiem iestatījumiem viens nosaukts process tagad var apkalpot ne tikai tradicionālos DNS vaicājumus, bet arī vaicājumus, kas nosūtīti, izmantojot DoH (DNS-over-HTTPS) un DoT (DNS-over-TLS). HTTPS atbalsts klienta pusē (dig) vēl nav ieviests. XFR-over-TLS atbalsts ir pieejams gan ienākošajiem, gan izejošajiem pieprasījumiem.
Pieprasījumu apstrāde, izmantojot DoH un DoT, ir iespējota, klausīšanās direktīvai pievienojot opcijas http un tls. Lai atbalstītu nešifrētu DNS-over-HTTP, iestatījumos jānorāda “tls none”. Atslēgas ir definētas sadaļā "tls". Noklusējuma tīkla portus 853 DoT, 443 DoH un 80 DNS-over-HTTP var ignorēt, izmantojot parametrus tls-port, https-port un http-port. Piemēram: tls local-tls { atslēgas fails "/path/to/priv_key.pem"; cert-fails "/path/to/cert_chain.pem"; }; http local-http-serveris { galapunkti { "/dns-query"; }; }; opcijas { https-port 443; klausīšanās ports 443 tls local-tls http myserver {jebkurš;}; }
Starp DoH ieviešanas iezīmēm BIND sistēmā integrācija tiek atzīmēta kā vispārējs transports, ko var izmantot ne tikai klientu pieprasījumu apstrādei atrisinātājam, bet arī datu apmaiņai starp serveriem, pārsūtot zonas ar autoritatīvu DNS serveri, un apstrādājot jebkurus pieprasījumus, ko atbalsta citi DNS transporti.
Vēl viena funkcija ir iespēja pārvietot TLS šifrēšanas darbības uz citu serveri, kas var būt nepieciešama apstākļos, kad TLS sertifikāti tiek glabāti citā sistēmā (piemēram, infrastruktūrā ar tīmekļa serveriem) un tos uztur cits personāls. Atbalsts nešifrētam DNS-over-HTTP tiek ieviests, lai vienkāršotu atkļūdošanu un kā slānis pārsūtīšanai iekšējā tīklā, uz kura pamata var organizēt šifrēšanu citā serverī. Attālā serverī nginx var izmantot, lai ģenerētu TLS trafiku, līdzīgi kā HTTPS saistīšana tiek organizēta vietnēm.
Atgādināsim, ka DNS-over-HTTPS var būt noderīga, lai novērstu informācijas noplūdi par pieprasītajiem resursdatora nosaukumiem caur pakalpojumu sniedzēju DNS serveriem, cīnītos ar MITM uzbrukumiem un DNS trafika viltošanu (piemēram, pieslēdzoties publiskajam Wi-Fi), apkarotu bloķēšana DNS līmenī (DNS-over-HTTPS nevar aizstāt VPN, apejot bloķēšanu, kas ieviesta DPI līmenī) vai darba organizēšanai, ja nav iespējams tieši piekļūt DNS serveriem (piemēram, strādājot caur starpniekserveri). Ja normālā situācijā DNS pieprasījumi tiek tieši nosūtīti uz sistēmas konfigurācijā definētajiem DNS serveriem, tad DNS-over-HTTPS gadījumā pieprasījums noteikt resursdatora IP adresi tiek iekapsulēts HTTPS trafikā un nosūtīts uz HTTP serveri, kur atrisinātājs apstrādā pieprasījumus, izmantojot Web API.
“DNS, izmantojot TLS” atšķiras no “DNS, izmantojot HTTPS”, izmantojot standarta DNS protokolu (parasti tiek izmantots tīkla ports 853), kas ir ietīts šifrētā sakaru kanālā, kas organizēts, izmantojot TLS protokolu ar resursdatora derīguma pārbaudi, izmantojot sertificētus TLS/SSL sertifikātus. sertifikācijas iestāde. Esošais DNSSEC standarts izmanto šifrēšanu tikai klienta un servera autentifikācijai, taču neaizsargā trafiku no pārtveršanas un negarantē pieprasījumu konfidencialitāti.
Avots: opennet.ru