ProHoster > Блог > rongo ipurangi > Tukunga o BIND DNS Server 9.18.0 me te tautoko mo DNS-over-TLS me DNS-over-HTTPS

Tukunga o BIND DNS Server 9.18.0 me te tautoko mo DNS-over-TLS me DNS-over-HTTPS

I muri i nga tau e rua o te whakawhanaketanga, kua tukuna e te ISC consortium te tuku tuatahi o tetahi peka hou nui o te tūmau DNS BIND 9.18. Ka tautokohia te peka 9.18 mo nga tau e toru tae noa ki te hauwha tuarua o 2 hei waahanga o te huringa tautoko roa. Ka mutu te tautoko mo te peka 2025 hei te marama o Maehe, me te tautoko mo te peka 9.11 hei waenganui o te tau 9.16. Hei whakawhanake i te mahi o te putanga pumau o BIND, kua hangaia he peka whakamatautau BIND 2023.

Ko te tukunga o BIND 9.18.0 he mea rongonui mo te whakatinanatanga o te tautoko mo DNS mo HTTPS (DoH, DNS mo HTTPS) me te DNS mo TLS (DoT, DNS mo TLS), me te XoT (XFR-over-TLS) tikanga. mo te whakawhiti haumaru o nga ihirangi DNS. nga rohe i waenga i nga tūmau (e tautokohia ana nga rohe tuku me te whiwhinga ma te XoT). Ma nga tautuhinga e tika ana, ka taea e tetahi tukanga whakaingoatia inaianei te mahi i nga patai DNS tuku iho, engari ka tukuna ano nga patai ma te whakamahi DNS-over-HTTPS me DNS-over-TLS. Ko te tautoko a te kiritaki mo DNS-over-TLS kua hangaia ki roto i te taputapu keri, ka taea te whakamahi ki te tuku tono ki runga TLS ina tohua te haki "+tls".

Ko te whakatinanatanga o te kawa HTTP/2 e whakamahia ana i te DoH e ahu mai ana i te whakamahinga o te whare pukapuka nghttp2, kua whakauruhia hei whakawhirinakitanga hui whiriwhiri. Ko nga Tiwhikete mo te DoH me te DoT ka taea e te kaiwhakamahi te whakarato, te whakaputa aunoa ranei i te wa whakaoho.

Ka taea te tukatuka tono ma te DoH me te DoT ma te taapiri i nga whiringa "http" me "tls" ki te tohutohu whakarongo. Hei tautoko i te DNS-over-HTTP kaore i whakamunatia, me tohu koe "kaore he" i roto i nga tautuhinga. Kua tautuhia nga taviri i te waahanga "tls". Ko nga tauranga whatunga taunoa 853 mo DoT, 443 mo DoH me te 80 mo DNS-over-HTTP ka taea te whakakore ma te tls-port, https-port me te http-port tawhā. Hei tauira:

tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; kōwhiringa { https-tauranga 443; whakarongo-i runga i te tauranga 443 tls local-tls http myserver {any;}; }

Ko tetahi o nga ahuatanga o te whakatinanatanga DoH i BIND ko te kaha ki te nuku i nga mahi whakamunatanga mo TLS ki tetahi atu tūmau, tera pea e tika ana i roto i nga ahuatanga kei te rongoa nga tiwhikete TLS i runga i tetahi atu punaha (hei tauira, i roto i te hanganga me nga tūmau tukutuku) me te pupuri. na etahi atu kaimahi. Ka whakatinanahia te tautoko mo te DNS-over-HTTP kaore i whakamunatia hei whakangawari i te patuiro me te paparanga mo te tuku whakamua ki tetahi atu tūmau i te whatunga o roto (mo te neke whakamunatanga ki te tūmau motuhake). I runga i te tūmau mamao, ka taea te whakamahi nginx ki te whakaputa i te hokohoko TLS, he rite ki te ahua o te herenga HTTPS mo nga paetukutuku.

Ko tetahi atu ahuatanga ko te whakaurunga o DoH hei waka whanui ka taea te whakamahi ehara i te mea ki te hapai i nga tono a te kiritaki ki te kaiwhakatau, engari i te wa e whakawhiti korero ana i waenga i nga kaitoro, i te wa e whakawhitia ana nga rohe e te tūmau DNS mana, me te tukatuka i nga patai e tautokohia ana e etahi atu DNS. kawe waka.

I roto i nga ngoikoretanga ka taea te utu ma te whakakore i te hanga me te DoH/DoT, te neke ranei te whakamunatanga ki tetahi atu tūmau, ka puta te raruraru whānui o te turanga waehere - ka taapirihia he tūmau HTTP me te whare pukapuka TLS, kei roto pea he whakaraeraetanga. me te mahi hei vector whakaeke taapiri. Ano, ina whakamahi DoH, ka piki haere nga waka.

Kia maumahara tatou ka taea e DNS-over-HTTPS te whai hua mo te aukati i te pakaru o nga korero mo nga ingoa kaihautu i tonoa mai i nga kaiwhakarato DNS o nga kaiwhakarato, te whakaeke i nga whakaeke MITM me te tinihanga hokohoko DNS (hei tauira, i te wa e hono ana ki te Wi-Fi tūmatanui). te aukati i runga i te taumata DNS (kaore e taea e DNS-over-HTTPS te whakakapi i te VPN ki te aukati i te aukati kua whakatinanahia i te taumata DPI) mo te whakarite mahi ranei ina kore e taea te uru tika ki nga tūmau DNS (hei tauira, i te wa e mahi ana ma te takawaenga). Mena i roto i nga ahuatanga noa ka tukuna atu nga tono DNS ki nga kaiwhakarato DNS kua tautuhia i roto i te whirihoranga punaha, na mo te DNS-over-HTTPS ko te tono ki te whakatau i te wahitau IP kaihautu ka whakauruhia ki roto i te hokohoko HTTPS ka tukuna ki te tūmau HTTP, kei hea. ka tukatukahia e te kaiwhakarite nga tono ma te API Tukutuku.

He rereke te "DNS over TLS" i te "DNS over HTTPS" ki te whakamahi i te kawa DNS paerewa (te nuinga o te wa e whakamahia ana te tauranga whatunga 853), he mea takai ki te hongere korero whakamunatia kua whakaritea ma te whakamahi i te kawa TLS me te tirotiro i te mana o te kaihautu ma nga tiwhikete TLS/SSL kua whakamanahia. na te mana tohu. Ko te paerewa DNSSEC o naianei e whakamahi ana i te whakamunatanga hei whakamotuhēhē i te kiritaki me te tūmau, engari karekau e tiaki i nga waka mai i te haukoti me te kore e whakamana i te noho muna o nga tono.

Ko etahi atu mea hou:

  • Kua taapirihia nga tautuhinga tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer me te udp-send-buffer ki te tautuhi i nga rahi o nga kaitarai e whakamahia ana i te wa e tuku ana me te whiwhi tono mo TCP me te UDP. I runga i nga kaitoro pukumahi, ko te whakanui ake i nga kaitarai taumai ka awhina i te aukati i nga paatete i te wa e piki haere ana nga waka, me te whakaheke i aua mea ka awhina i te aukati i nga mahara ki nga tono tawhito.
  • He waahanga rangitaki hou "rpz-passthru" kua taapirihia, ka taea e koe te tuhi wehe i nga mahi whakamua a RPZ (Rohe Kaupapa Whakautu).
  • I roto i te waahanga kaupapa here-whakautu, kua taapirihia te whiringa "nsdname-wait-recurse", ka tohua ki te "kao", ka whakamahia nga ture RPZ NSDNAME mena ka kitea nga ingoa ingoa whaimana kei roto i te keteroki mo te tono, ki te kore te Ka warewarehia te ture RPZ NSDNAME, engari ka tikina nga korero ki muri ka pa ki nga tono o muri mai.
  • Mo nga rekoata me nga momo HTTPS me te SVCB, kua whakatinanahia te tukatuka o te waahanga "ADDITIONAL".
  • Kua taapirihia nga momo ture whakahou-kaupapa - krb5-subdomain-self-rhs me ms-subdomain-self-rhs, e taea ai e koe te whakaiti i te whakahou o nga rekoata SRV me PTR. Ka taapirihia e nga poraka kaupapa here-whakahou te kaha ki te whakarite rohe mo te maha o nga rekoata, takitahi mo ia momo.
  • Kua taapirihia nga korero mo te kawa kawe (UDP, TCP, TLS, HTTPS) me nga prefix DNS64 ki te putanga o te taputapu keri. Mo nga kaupapa patuiro, kua taapirihia e keri te kaha ki te tautuhi i tetahi kaitautuhi tono motuhake (keri +qid= ).
  • He tautoko taapiri mo te whare pukapuka OpenSSL 3.0.
  • Hei whakatika i nga take mo te wehewehe IP i te wa e tukatuka ana i nga karere DNS nui kua tautuhia e DNS Flag Day 2020, ko te waehere e whakatika ana i te rahi o te EDNS karekau he whakautu ki tetahi tono kua tangohia mai i te kaiwhakatau. Kua tautuhia te rahi o te buffer EDNS ki te tuturu (edns-udp-size) mo nga tono puta katoa.
  • Kua hurihia te punaha hanga ki te whakamahi i te whakakotahitanga o te autoconf, automake me te libtool.
  • Ko te tautoko mo nga konae rohe kei te whakatakotoranga "mahere" (mahere-whakaahua-matua) kua whakamutua. E taunaki ana nga kaiwhakamahi o tenei whakatakotoranga ki te huri i nga rohe ki te whakatakotoranga mata ma te whakamahi i te whaipainga-compilezone.
  • Ko te tautoko mo nga taraiwa DLZ tawhito (Dynamically Loadable Zones) kua whakakorehia, kua whakakapihia e nga waahanga DLZ.
  • Kua whakakorehia te hanga me te whakahaere i te tautoko mo te papaaho Windows. Ko te peka whakamutunga ka taea te whakauru ki runga Windows ko BIND 9.16.

Source: opennet.ru

Tāpiri i te kōrero