PÄc divu gadu izstrÄdes ISC konsorcijs ir izlaidis pirmo stabilo BIND 9.18 DNS servera jaunÄs filiÄles versiju. Atbalsts 9.18.nozarei tiks nodroÅ”inÄts trÄ«s gadus lÄ«dz 2.gada 2025.ceturksnim pagarinÄtÄ atbalsta cikla ietvaros. Atbalsts filiÄlei 9.11 beigsies martÄ, bet filiÄlei 9.16 ā 2023. gada vidÅ«. Lai attÄ«stÄ«tu nÄkamÄs stabilÄs BIND versijas funkcionalitÄti, ir izveidota eksperimentÄlÄ filiÄle BIND 9.19.0.
BIND 9.18.0 izlaiÅ”ana ir ievÄrojama ar atbalsta ievieÅ”anu DNS, izmantojot HTTPS (DoH, DNS, izmantojot HTTPS) un DNS, izmantojot TLS (DoT, DNS, izmantojot TLS), kÄ arÄ« XoT (XFR-over-TLS) mehÄnismu. droÅ”ai DNS satura pÄrsÅ«tÄ«Å”anai.zonas starp serveriem (tiek atbalstÄ«tas gan nosÅ«tÄ«Å”anas, gan saÅemÅ”anas zonas caur XoT). Ar atbilstoÅ”iem iestatÄ«jumiem viens nosaukts process tagad var apkalpot ne tikai tradicionÄlos DNS vaicÄjumus, bet arÄ« vaicÄjumus, kas nosÅ«tÄ«ti, izmantojot DNS-over-HTTPS un DNS-over-TLS. Klientu atbalsts DNS-over-TLS ir iebÅ«vÄts dig utilÄ«tprogrammÄ, ko var izmantot, lai nosÅ«tÄ«tu pieprasÄ«jumus, izmantojot TLS, kad ir norÄdÄ«ts karodziÅÅ” "+tls".
DoH izmantotÄ HTTP/2 protokola ievieÅ”ana balstÄs uz nghttp2 bibliotÄkas izmantoÅ”anu, kas ir iekļauta kÄ izvÄles montÄžas atkarÄ«ba. DoH un DoT sertifikÄtus var nodroÅ”inÄt lietotÄjs vai Ä£enerÄt automÄtiski startÄÅ”anas laikÄ.
PieprasÄ«jumu apstrÄde, izmantojot DoH un DoT, ir iespÄjota, klausÄ«Å”anÄs direktÄ«vai pievienojot opcijas "http" un "tls". Lai atbalstÄ«tu neÅ”ifrÄtu DNS-over-HTTP, iestatÄ«jumos jÄnorÄda ātls noneā. AtslÄgas ir definÄtas sadaÄ¼Ä "tls". NoklusÄjuma tÄ«kla portus 853 DoT, 443 DoH un 80 DNS-over-HTTP var ignorÄt, izmantojot parametrus tls-port, https-port un http-port. PiemÄram:
tls local-tls { atslÄgas fails "/path/to/priv_key.pem"; cert-fails "/path/to/cert_chain.pem"; }; http local-http-serveris { galapunkti { "/dns-query"; }; }; opcijas { https-port 443; klausÄ«Å”anÄs ports 443 tls local-tls http myserver {jebkurÅ”;}; }
Viena no DoH ievieÅ”anas iezÄ«mÄm BIND ir iespÄja pÄrvietot TLS Å”ifrÄÅ”anas darbÄ«bas uz citu serveri, kas var bÅ«t nepiecieÅ”ama apstÄkļos, kad TLS sertifikÄti tiek glabÄti citÄ sistÄmÄ (piemÄram, infrastruktÅ«rÄ ar tÄ«mekļa serveriem) un uzturÄti. cits personÄls. Atbalsts neÅ”ifrÄtam DNS-over-HTTP tiek ieviests, lai vienkÄrÅ”otu atkļūdoÅ”anu un kÄ slÄnis pÄrsÅ«tÄ«Å”anai uz citu serveri iekÅ”ÄjÄ tÄ«klÄ (Å”ifrÄÅ”anas pÄrvietoÅ”anai uz atseviŔķu serveri). AttÄlÄ serverÄ« nginx var izmantot, lai Ä£enerÄtu TLS trafiku, lÄ«dzÄ«gi kÄ HTTPS saistÄ«Å”ana tiek organizÄta vietnÄm.
VÄl viena iezÄ«me ir DoH integrÄcija kÄ vispÄrÄjs transports, ko var izmantot ne tikai, lai apstrÄdÄtu klientu pieprasÄ«jumus atrisinÄtÄjam, bet arÄ« sazinoties starp serveriem, pÄrsÅ«tot zonas ar autoritatÄ«vu DNS serveri un apstrÄdÄjot jebkurus vaicÄjumus, kurus atbalsta cits DNS. pÄrvadÄjumi.
Starp trÅ«kumiem, ko var kompensÄt, atspÄjojot bÅ«vÄÅ”anu ar DoH/DoT vai pÄrceļot Å”ifrÄÅ”anu uz citu serveri, izceļas vispÄrÄjÄ koda bÄzes sarežģītÄ«ba - tiek pievienots iebÅ«vÄts HTTP serveris un TLS bibliotÄka, kas potenciÄli varÄtu saturÄt ievainojamÄ«bas. un darbojas kÄ papildu uzbrukuma vektori. TurklÄt, izmantojot DoH, palielinÄs satiksme.
AtgÄdinÄsim, ka DNS-over-HTTPS var bÅ«t noderÄ«ga, lai novÄrstu informÄcijas noplÅ«di par pieprasÄ«tajiem resursdatora nosaukumiem caur pakalpojumu sniedzÄju DNS serveriem, cÄ«nÄ«tos ar MITM uzbrukumiem un DNS trafika viltoÅ”anu (piemÄram, pieslÄdzoties publiskajam Wi-Fi), apkarotu bloÄ·ÄÅ”ana DNS lÄ«menÄ« (DNS-over-HTTPS nevar aizstÄt VPN, apejot bloÄ·ÄÅ”anu, kas ieviesta DPI lÄ«menÄ«) vai darba organizÄÅ”anai, ja nav iespÄjams tieÅ”i piekļūt DNS serveriem (piemÄram, strÄdÄjot caur starpniekserveri). Ja normÄlÄ situÄcijÄ DNS pieprasÄ«jumi tiek tieÅ”i nosÅ«tÄ«ti uz sistÄmas konfigurÄcijÄ definÄtajiem DNS serveriem, tad DNS-over-HTTPS gadÄ«jumÄ pieprasÄ«jums noteikt resursdatora IP adresi tiek iekapsulÄts HTTPS trafikÄ un nosÅ«tÄ«ts uz HTTP serveri, kur atrisinÄtÄjs apstrÄdÄ pieprasÄ«jumus, izmantojot Web API.
āDNS, izmantojot TLSā atŔķiras no āDNS, izmantojot HTTPSā, izmantojot standarta DNS protokolu (parasti tiek izmantots tÄ«kla ports 853), kas ir ietÄ«ts Å”ifrÄtÄ sakaru kanÄlÄ, kas organizÄts, izmantojot TLS protokolu ar resursdatora derÄ«guma pÄrbaudi, izmantojot sertificÄtus TLS/SSL sertifikÄtus. sertifikÄcijas iestÄde. EsoÅ”ais DNSSEC standarts izmanto Å”ifrÄÅ”anu tikai klienta un servera autentifikÄcijai, taÄu neaizsargÄ trafiku no pÄrtverÅ”anas un negarantÄ pieprasÄ«jumu konfidencialitÄti.
Daži citi jauninÄjumi:
- Pievienoti tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer un udp-send-buffer iestatÄ«jumi, lai iestatÄ«tu to buferu izmÄrus, kas tiek izmantoti, sÅ«tot un saÅemot pieprasÄ«jumus, izmantojot TCP un UDP. Noslogotos serveros ienÄkoÅ”o buferu palielinÄÅ”ana palÄ«dzÄs izvairÄ«ties no pakeÅ”u nomeÅ”anas trafika maksimuma laikÄ, un to samazinÄÅ”ana palÄ«dzÄs atbrÄ«voties no atmiÅas aizsÄrÄÅ”anas ar veciem pieprasÄ«jumiem.
- Pievienota jauna žurnÄla kategorija ārpz-passthruā, kas ļauj atseviŔķi reÄ£istrÄt RPZ (Response Policy Zones) pÄrsÅ«tÄ«Å”anas darbÄ«bas.
- SadaÄ¼Ä atbildes politika ir pievienota opcija ānsdname-wait-recurseā, ja iestatÄ«ta uz ānÄā, RPZ NSDNAME noteikumi tiek lietoti tikai tad, ja pieprasÄ«jumam tiek atrasti autoritatÄ«vi vÄrdu serveri, kas atrodas keÅ”atmiÅÄ, pretÄjÄ gadÄ«jumÄ RPZ NSDNAME noteikums tiek ignorÄts, bet informÄcija tiek izgÅ«ta fonÄ un attiecas uz turpmÄkajiem pieprasÄ«jumiem.
- Ierakstiem ar HTTPS un SVCB tipiem ir ieviesta sadaļas āPAPILDUSā apstrÄde.
- Pievienoti pielÄgoti atjauninÄÅ”anas politikas noteikumu veidi - krb5-subdomain-self-rhs un ms-subdomain-self-rhs, kas ļauj ierobežot SRV un PTR ierakstu atjauninÄÅ”anu. AtjauninÄÅ”anas politikas bloki pievieno arÄ« iespÄju iestatÄ«t ierakstu skaita ierobežojumus katram tipam atseviŔķi.
- Dig utilÄ«ta izvadei pievienota informÄcija par transporta protokolu (UDP, TCP, TLS, HTTPS) un DNS64 prefiksiem. AtkļūdoÅ”anas nolÅ«kos programmai dig ir pievienota iespÄja norÄdÄ«t konkrÄtu pieprasÄ«juma identifikatoru (dig +qid= ).
- Pievienots OpenSSL 3.0 bibliotÄkas atbalsts.
- Lai novÄrstu problÄmas, kas saistÄ«tas ar IP sadrumstalotÄ«bu, apstrÄdÄjot lielus DNS ziÅojumus, ko identificÄ DNS karoga diena 2020, no atrisinÄtÄja ir noÅemts kods, kas pielÄgo EDNS bufera lielumu, kad uz pieprasÄ«jumu netiek saÅemta atbilde. EDNS bufera lielums tagad ir iestatÄ«ts uz nemainÄ«gu (edns-udp-size) visiem izejoÅ”ajiem pieprasÄ«jumiem.
- BÅ«vsistÄma ir pÄrslÄgta uz autoconf, automake un libtool kombinÄciju.
- Zonu failu atbalsts ākartesā formÄtÄ (galvenÄ faila formÄta karte) ir pÄrtraukts. Å Ä« formÄta lietotÄjiem ieteicams pÄrveidot zonas neapstrÄdÄtÄ formÄtÄ, izmantojot utilÄ«tu named-compilezone.
- VecÄku DLZ (dinamiski ielÄdÄjamo zonu) draiveru atbalsts ir pÄrtraukts, tos aizstÄj ar DLZ moduļiem.
- Windows platformas izveides un palaiÅ”anas atbalsts ir pÄrtraukts. PÄdÄjÄ filiÄle, ko var instalÄt sistÄmÄ Windows, ir BIND 9.16.
Avots: opennet.ru