ProHoster > Blog > vaovao amin'ny Internet > Ny fanohanana andrana ho an'ny DNS-over-HTTPS dia nampiana tao amin'ny server BIND DNS

Ny fanohanana andrana ho an'ny DNS-over-HTTPS dia nampiana tao amin'ny server BIND DNS

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ DNS-сСрвСра BIND сообщили ΠΎ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠΈ Π² ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½ΡƒΡŽ Π²Π΅Ρ‚ΠΊΡƒ 9.17 Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ сСрвСрной ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ Β«DNS ΠΏΠΎΠ²Π΅Ρ€Ρ… HTTPSΒ» (DoH, DNS over HTTPS) ΠΈ DNS ΠΏΠΎΠ²Π΅Ρ€Ρ… TLS (DoT, DNS over TLS), Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠ° XFR-over-TLS для бСзопасной ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ содСрТимого DNS-Π·ΠΎΠ½ ΠΌΠ΅ΠΆΠ΄Ρƒ сСрвСрами. DoH доступСн для тСстирования Π² выпускС 9.17.10, Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° DoT присутствуСт начиная с выпуска 9.17.7. ПослС стабилизации ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° DoT ΠΈ DoH Π±ΡƒΠ΄Π΅Ρ‚ бэкпортирована Π² ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½ΡƒΡŽ Π²Π΅Ρ‚ΠΊΡƒ 9.16.

РСализация ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° HTTP/2, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ Π² DoH, основана Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠΈ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ nghttp2, которая Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π° Π² число сборочных зависимостСй (Π² дальнСйшСм Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΡƒ планируСтся пСрСвСсти Π² число Π½Π΅ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… зависимостСй). ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‚ΡΡ ΠΊΠ°ΠΊ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ (TLS), Ρ‚Π°ΠΊ ΠΈ Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ соСдинСния ΠΏΠΎ HTTP/2. ΠŸΡ€ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… настройках ΠΎΠ΄ΠΈΠ½ процСсс named Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Π΅ DNS-запросы, Π½ΠΎ ΠΈ запросы, ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹Π΅ с использованиСм DoH (DNS-over-HTTPS) ΠΈ DoT (DNS-over-TLS). ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTPS Π½Π° сторонС ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° (dig) ΠΏΠΎΠΊΠ° Π½Π΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π°. ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° XFR-over-TLS доступна ΠΊΠ°ΠΊ для входящих, Ρ‚Π°ΠΊ ΠΈ для исходящих запросов.

ΠžΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° запросов с использованиСм DoH ΠΈ DoT Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Ρ‡Π΅Ρ€Π΅Π· Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΎΠΏΡ†ΠΈΠΉ http ΠΈ tls Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Π΅ listen-on. Для ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ DNS-over-HTTP Π² настройках слСдуСт ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Β«tls noneΒ». ΠšΠ»ΡŽΡ‡ΠΈ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‚ΡΡ Π² сСкции Β«tlsΒ». Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚Π½Ρ‹Π΅ сСтСвыС ΠΏΠΎΡ€Ρ‚Ρ‹ 853 для DoT, 443 для DoH ΠΈ 80 для DNS-over-HTTP ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Ρ‹ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ tls-port, https-port ΠΈ http-port. НапримСр: tls local-tls { key-file Β«/path/to/priv_key.pemΒ»; cert-file Β«/path/to/cert_chain.pemΒ»; }; http local-http-server { endpoints { Β«/dns-queryΒ»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

Из особСнностСй Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ DoH Π² BIND отмСчаСтся интСграция Π² качСствС ΠΎΠ±Ρ‰Π΅Π³ΠΎ транспорта, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ запросов ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΊ Ρ€Π΅Π·ΠΎΠ»Π²Π΅Ρ€Ρƒ, Π½ΠΎ ΠΈ ΠΏΡ€ΠΈ ΠΎΠ±ΠΌΠ΅Π½Π΅ Π΄Π°Π½Π½Ρ‹ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ сСрвСрами, ΠΏΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ Π·ΠΎΠ½ Π°Π²Ρ‚ΠΎΡ€ΠΈΡ‚Π΅Ρ‚Π½Ρ‹ΠΌ DNS-сСрвСром ΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Π»ΡŽΠ±Ρ‹Ρ… запросов, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ транспортами DNS.

Π”Ρ€ΡƒΠ³ΠΎΠΉ особСнности являСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ выноса ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ для TLS Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ сСрвСр, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ Π² условиях, ΠΊΠΎΠ³Π΄Π° Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ TLS-сСртификатов осущСствляСтся Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ систСмС (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² инфраструктурС с web-сСрвСрами) ΠΈ обслуТиваСтся Π΄Ρ€ΡƒΠ³ΠΈΠΌ пСрсоналом. ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ DNS-over-HTTP Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° для упрощСния ΠΎΡ‚Π»Π°Π΄ΠΊΠΈ ΠΈ ΠΊΠ°ΠΊ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ для проброса Π²ΠΎ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅ΠΉ сСти, Π½Π° Π±Π°Π·Π΅ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΌ сСрвСрС ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅. На выносном сСрвСрС для формирования TLS-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ nginx, ΠΏΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с Ρ‚Π΅ΠΌ, ΠΊΠ°ΠΊ организуСтся обвязка HTTPS для сайтов.

Aoka hotsaroantsika fa ny DNS-over-HTTPS dia mety ilaina amin'ny fisorohana ny fiparitahan'ny vaovao momba ny anaran'ny mpampiantrano nangatahana amin'ny alΓ lan'ny mpizara DNS an'ny mpamatsy, miady amin'ny fanafihana MITM sy ny fanodikodinana fifamoivoizana DNS (ohatra, rehefa mifandray amin'ny Wi-Fi ho an'ny daholobe), fanoherana. fanakanana amin'ny ambaratonga DNS (DNS-over-HTTPS dia tsy afaka manolo VPN amin'ny alΓ lan'ny fandalovana fanakanana ampiharina amin'ny ambaratonga DPI) na amin'ny fandaminana asa rehefa tsy azo atao ny miditra mivantana amin'ny mpizara DNS (ohatra, rehefa miasa amin'ny proxy). Raha amin'ny toe-javatra mahazatra, ny fangatahana DNS dia alefa mivantana any amin'ireo mpizara DNS voafaritra ao amin'ny rafitry ny rafitra, dia amin'ny tranga DNS-over-HTTPS ny fangatahana hamaritana ny adiresy IP mpampiantrano dia voarakitra ao amin'ny fifamoivoizana HTTPS ary alefa any amin'ny mpizara HTTP, izay ny solver dia manao fangatahana amin'ny alΓ lan'ny Web API.

Ny "DNS over TLS" dia tsy mitovy amin'ny "DNS over HTTPS" amin'ny fampiasana ny protocol DNS mahazatra (fampiasana matetika ny seranan-tserasera 853), nofonosina amin'ny fantsom-pifandraisana voatahiry voalamina amin'ny alΓ lan'ny protocol TLS miaraka amin'ny fanamarinana ny maha-marina ny mpampiantrano amin'ny alΓ lan'ny fanamarinana TLS/SSL voamarina. amin'ny alalan'ny fahefana fanamarinana. Ny fenitra DNSSEC efa misy dia mampiasa encryption fotsiny mba hanamarinana ny mpanjifa sy ny mpizara, fa tsy miaro ny fifamoivoizana amin'ny fisakanana ary tsy miantoka ny tsiambaratelon'ny fangatahana.

Source: opennet.ru

Add a comment