DNS-over-HTTPS साठी प्रायोगिक समर्थन BIND DNS सर्व्हरमध्ये जोडले गेले आहे

BIND DNS सर्व्हरच्या विकसकांनी DNS वर HTTPS (DoH, DNS प्रती HTTPS) आणि DNS प्रती TLS (DoT, DNS over TLS) तसेच सुरक्षिततेसाठी XFR-ओव्हर-TLS यंत्रणेसाठी सर्व्हर समर्थन जोडण्याची घोषणा केली. सर्व्हर दरम्यान DNS झोनची सामग्री हस्तांतरित करणे. DoH रिलीझ 9.17 मध्ये चाचणीसाठी उपलब्ध आहे, आणि DoT समर्थन 9.17.10 रिलीझ पासून उपस्थित आहे. स्थिरीकरणानंतर, DoT आणि DoH समर्थन स्थिर 9.17.7 शाखेत बॅकपोर्ट केले जाईल.

DoH मध्ये वापरल्या जाणार्‍या HTTP/2 प्रोटोकॉलची अंमलबजावणी nghttp2 लायब्ररीच्या वापरावर आधारित आहे, जी असेंबली अवलंबनांमध्ये समाविष्ट आहे (भविष्यात, लायब्ररी वैकल्पिक अवलंबनांच्या संख्येवर हस्तांतरित करण्याची योजना आहे). एनक्रिप्टेड (TLS) आणि एनक्रिप्ट न केलेले HTTP/2 कनेक्शन दोन्ही समर्थित आहेत. योग्य सेटिंग्जसह, एकच नावाची प्रक्रिया आता केवळ पारंपारिक DNS क्वेरीच नाही तर DoH (DNS-over-HTTPS) आणि DoT (DNS-over-TLS) वापरून पाठवलेल्या क्वेरी देखील देऊ शकते. क्लायंट साइड (खोदणे) वर HTTPS समर्थन अद्याप लागू केलेले नाही. XFR-ओव्हर-TLS समर्थन इनबाउंड आणि आउटबाउंड दोन्ही विनंत्यांसाठी उपलब्ध आहे.

DoH आणि DoT वापरून विनंती प्रक्रिया ऐकण्यासाठी-ऑन निर्देशामध्ये http आणि tls पर्याय जोडून सक्षम केले आहे. एन्क्रिप्ट न केलेल्या DNS-over-HTTP ला सपोर्ट करण्यासाठी, तुम्ही सेटिंग्जमध्ये "tls none" निर्दिष्ट केले पाहिजे. की "tls" विभागात परिभाषित केल्या आहेत. डीफॉल्ट नेटवर्क पोर्ट 853 DoT साठी, 443 DoH साठी आणि 80 DNS-over-HTTP साठी tls-port, https-port आणि http-port पॅरामीटर्सद्वारे ओव्हरराइड केले जाऊ शकतात. उदाहरणार्थ: tls local-tls { key-file "/path/to/priv_key.pem"; प्रमाणपत्र-फाइल "/path/to/cert_chain.pem"; }; http स्थानिक-http-सर्व्हर { एंडपॉइंट्स { "/dns-query"; }; }; पर्याय { https-पोर्ट 443; लिसन-ऑन पोर्ट 443 tls local-tls http myserver {any;}; }

BIND मधील DoH अंमलबजावणीच्या वैशिष्ट्यांपैकी, एकीकरण सामान्य वाहतूक म्हणून नोंदवले जाते, ज्याचा वापर केवळ क्लायंटच्या विनंतीवर प्रक्रिया करण्यासाठीच नव्हे तर सर्व्हर दरम्यान डेटाची देवाणघेवाण करताना, अधिकृत DNS सर्व्हरद्वारे झोन हस्तांतरित करताना आणि इतर DNS वाहतूक द्वारे समर्थित कोणत्याही विनंतीवर प्रक्रिया करताना.

दुसरे वैशिष्ट्य म्हणजे TLS साठी एनक्रिप्शन ऑपरेशन्स दुसर्‍या सर्व्हरवर हलविण्याची क्षमता, जी TLS प्रमाणपत्रे दुसर्‍या सिस्टमवर (उदाहरणार्थ, वेब सर्व्हरसह इन्फ्रास्ट्रक्चरमध्ये) संग्रहित केली जातात आणि इतर कर्मचार्‍यांद्वारे राखली जातात अशा परिस्थितीत आवश्यक असू शकतात. एन्क्रिप्ट न केलेल्या DNS-over-HTTP साठी समर्थन डीबगिंग सुलभ करण्यासाठी आणि अंतर्गत नेटवर्कमध्ये फॉरवर्ड करण्यासाठी एक स्तर म्हणून लागू केले आहे, ज्याच्या आधारावर एनक्रिप्शन दुसर्या सर्व्हरवर आयोजित केले जाऊ शकते. रिमोट सर्व्हरवर, nginx चा वापर TLS ट्रॅफिक व्युत्पन्न करण्यासाठी केला जाऊ शकतो, जसे की वेबसाइट्ससाठी HTTPS बंधनकारक व्यवस्था केली जाते.

आपण हे लक्षात ठेवूया की डीएनएस-ओव्हर-एचटीटीपीएस प्रदात्यांच्या DNS सर्व्हरद्वारे विनंती केलेल्या होस्टच्या नावांची माहिती लीक रोखण्यासाठी, एमआयटीएम हल्ल्यांचा सामना करण्यासाठी आणि डीएनएस ट्रॅफिक स्पूफिंग (उदाहरणार्थ, सार्वजनिक वाय-फायशी कनेक्ट करताना), काउंटरिंगसाठी उपयुक्त ठरू शकते. डीएनएस स्तरावर ब्लॉक करणे (डीपीआय स्तरावर लागू केलेल्या बायपास ब्लॉकिंगमध्ये डीएनएस-ओव्हर-एचटीटीपीएस व्हीपीएन बदलू शकत नाही) किंवा डीएनएस सर्व्हरवर थेट प्रवेश करणे अशक्य असताना काम आयोजित करण्यासाठी (उदाहरणार्थ, प्रॉक्सीद्वारे काम करताना). जर सामान्य स्थितीत डीएनएस विनंत्या थेट सिस्टम कॉन्फिगरेशनमध्ये परिभाषित केलेल्या डीएनएस सर्व्हरवर पाठवल्या गेल्या असतील, तर डीएनएस-ओव्हर-एचटीटीपीएसच्या बाबतीत होस्ट आयपी पत्ता निर्धारित करण्याची विनंती HTTPS रहदारीमध्ये एन्कॅप्स्युलेट केली जाते आणि HTTP सर्व्हरला पाठविली जाते, जेथे रिझोल्व्हर वेब API द्वारे विनंतीवर प्रक्रिया करतो.

प्रमाणित DNS प्रोटोकॉल (नेटवर्क पोर्ट 853 सहसा वापरला जातो) च्या वापरामध्ये “TLS वर DNS” “DNS over HTTPS” पेक्षा वेगळे आहे, TLS/SSL प्रमाणपत्राद्वारे प्रमाणित केलेल्या होस्ट वैधता तपासणीसह TLS प्रोटोकॉल वापरून आयोजित केलेल्या एनक्रिप्टेड कम्युनिकेशन चॅनेलमध्ये गुंडाळलेले आहे. प्रमाणन प्राधिकरणाद्वारे. विद्यमान DNSSEC मानक केवळ क्लायंट आणि सर्व्हरचे प्रमाणीकरण करण्यासाठी एन्क्रिप्शन वापरते, परंतु ट्रॅफिकला व्यत्यय येण्यापासून संरक्षण देत नाही आणि विनंत्यांच्या गोपनीयतेची हमी देत ​​नाही.

स्त्रोत: opennet.ru