Wara sentejn ta 'żvilupp, il-konsorzju ISC ħareġ l-ewwel rilaxx stabbli ta' fergħa ġdida ewlenija tas-server DNS BIND 9.18. L-appoġġ għall-fergħa 9.18 se jiġi pprovdut għal tliet snin sat-2 kwart tal-2025 bħala parti minn ċiklu ta 'appoġġ estiż. L-appoġġ għall-fergħa 9.11 se jintemm f'Marzu, u l-appoġġ għall-fergħa 9.16 f'nofs l-2023. Biex tiżviluppa l-funzjonalità tal-verżjoni stabbli li jmiss ta 'BIND, ġiet iffurmata fergħa sperimentali BIND 9.19.0.
Ir-rilaxx ta 'BIND 9.18.0 huwa notevoli għall-implimentazzjoni ta' appoġġ għal DNS fuq HTTPS (DoH, DNS fuq HTTPS) u DNS fuq TLS (DoT, DNS fuq TLS), kif ukoll il-mekkaniżmu XoT (XFR-over-TLS) għat-trasferiment sikur tal-kontenut tad-DNS.żoni bejn is-servers (kemm żoni li jibagħtu kif ukoll li jirċievu permezz XoT huma appoġġjati). Bl-issettjar xieraq, proċess wieħed imsemmi issa jista 'jservi mhux biss mistoqsijiet DNS tradizzjonali, iżda wkoll mistoqsijiet mibgħuta bl-użu ta' DNS-over-HTTPS u DNS-over-TLS. L-appoġġ għall-klijenti għal DNS-over-TLS huwa mibni fl-utilità tat-tħaffir, li tista 'tintuża biex tibgħat talbiet fuq TLS meta tkun speċifikata l-bandiera "+ tls".
L-implimentazzjoni tal-protokoll HTTP/2 użat fid-DoH hija bbażata fuq l-użu tal-librerija nghttp2, li hija inkluża bħala dipendenza tal-assemblaġġ fakultattiva. Ċertifikati għal DoH u DoT jistgħu jiġu pprovduti mill-utent jew iġġenerati awtomatikament fil-ħin tal-istartjar.
L-ipproċessar tat-talbiet bl-użu tad-DoH u d-DoT huwa attivat billi żżid l-għażliet "http" u "tls" mad-direttiva ta' smigħ. Biex tappoġġja DNS-over-HTTP mhux kriptat, għandek tispeċifika "tls xejn" fis-settings. Iċ-ċwievet huma definiti fit-taqsima "tls". Il-portijiet tan-netwerk default 853 għal DoT, 443 għal DoH u 80 għal DNS-over-HTTP jistgħu jiġu sostitwiti permezz tal-parametri tls-port, https-port u http-port. Pereżempju:
tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; għażliet { https-port 443; listen-on port 443 tls lokali-tls http myserver {kull;}; }
Waħda mill-karatteristiċi tal-implimentazzjoni tad-DoH f'BIND hija l-abbiltà li tmexxi l-operazzjonijiet ta' kriptaġġ għal TLS għal server ieħor, li jista' jkun meħtieġ f'kundizzjonijiet fejn iċ-ċertifikati TLS huma maħżuna f'sistema oħra (pereżempju, f'infrastruttura b'servers tal-web) u miżmuma. minn persunal ieħor. L-appoġġ għal DNS-over-HTTP mhux encrypted huwa implimentat biex jissimplifika d-debugging u bħala saff biex jintbagħat lil server ieħor fuq in-netwerk intern (biex jiċċaqlaq encryption għal server separat). Fuq server remot, nginx jista 'jintuża biex jiġġenera traffiku TLS, simili għal kif l-irbit HTTPS huwa organizzat għall-websajts.
Karatteristika oħra hija l-integrazzjoni tad-DoH bħala trasport ġenerali li jista 'jintuża mhux biss biex jimmaniġġja t-talbiet tal-klijenti lis-solvent, iżda wkoll meta jikkomunika bejn is-servers, meta jittrasferixxu żoni minn server DNS awtorevoli, u meta tiġi pproċessata kwalunkwe mistoqsija appoġġata minn DNS oħra. trasporti.
Fost in-nuqqasijiet li jistgħu jiġu kkumpensati billi jiskonnettja l-bini b'DoH/DoT jew iċċaqlaq l-encryption għal server ieħor, tispikka l-kumplikazzjoni ġenerali tal-bażi tal-kodiċi - huma miżjuda server HTTP integrat u librerija TLS, li potenzjalment jista 'jkun fihom vulnerabbiltajiet u jaġixxu bħala vettori ta 'attakk addizzjonali. Ukoll, meta tuża DoH, it-traffiku jiżdied.
Ejja nfakkru li DNS-over-HTTPS jista 'jkun utli għall-prevenzjoni ta' tnixxijiet ta 'informazzjoni dwar l-ismijiet tal-host mitluba permezz tas-servers DNS tal-fornituri, ġlieda kontra l-attakki MITM u spoofing tat-traffiku DNS (per eżempju, meta tikkonnettja ma' Wi-Fi pubbliku), ġlieda kontra imblukkar fuq il-livell DNS (DNS-over-HTTPS ma jistax jissostitwixxi VPN fil-bypassing tal-imblukkar implimentat fil-livell DPI) jew għall-organizzazzjoni tax-xogħol meta jkun impossibbli li taċċessa direttament servers DNS (pereżempju, meta taħdem permezz ta' proxy). Jekk f'sitwazzjoni normali talbiet DNS jintbagħtu direttament lil servers DNS definiti fil-konfigurazzjoni tas-sistema, allura fil-każ ta 'DNS-over-HTTPS it-talba biex jiġi ddeterminat l-indirizz IP ospitanti hija inkapsulata fit-traffiku HTTPS u mibgħuta lis-server HTTP, fejn is-solvent jipproċessa t-talbiet permezz tal-Web API.
"DNS fuq TLS" hija differenti minn "DNS fuq HTTPS" fl-użu tal-protokoll DNS standard (is-soltu jintuża l-port tan-netwerk 853), imgeżwer f'kanal ta' komunikazzjoni kriptat organizzat bl-użu tal-protokoll TLS b'verifika tal-validità tal-host permezz ta' ċertifikati TLS/SSL iċċertifikati minn awtorità ta' ċertifikazzjoni. L-istandard DNSSEC eżistenti juża l-kriptaġġ biss biex jawtentika l-klijent u s-server, iżda ma jipproteġix it-traffiku mill-interċettazzjoni u ma jiggarantixxix il-kunfidenzjalità tat-talbiet.
Xi innovazzjonijiet oħra:
- Miżjud tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer u udp-send-buffer biex jiġu stabbiliti d-daqsijiet tal-buffers użati meta jintbagħtu u jirċievu talbiet fuq TCP u UDP. Fuq servers okkupati, iż-żieda fil-buffers li deħlin tgħin biex tevita li l-pakketti jitwaqqgħu waqt il-qċaċet tat-traffiku, u t-tnaqqis tagħhom jgħin biex jeħles mill-imblukkar tal-memorja b'talbiet antiki.
- Ġiet miżjuda kategorija ġdida ta’ log “rpz-passthru”, li tippermettilek tirreġistra separatament l-azzjonijiet ta’ trażmissjoni RPZ (Żoni ta’ Politika ta’ Rispons).
- Fit-taqsima tal-politika tar-rispons, l-għażla "nsdname-wait-recurse" ġiet miżjuda, meta ssettjata għal "le", ir-regoli RPZ NSDNAME huma applikati biss jekk jinstabu servers tal-ismijiet awtorevoli preżenti fil-cache għat-talba, inkella l- Ir-regola RPZ NSDNAME hija injorata, iżda l-informazzjoni hija rkuprata fl-isfond u tapplika għal talbiet sussegwenti.
- Għal rekords bit-tipi HTTPS u SVCB, l-ipproċessar tat-taqsima "ADDIZZJONALI" ġie implimentat.
- Tipi ta' regoli ta' politika ta' aġġornament tad-dwana miżjuda - krb5-subdomain-self-rhs u ms-subdomain-self-rhs, li jippermettulek tillimita l-aġġornament tar-rekords SRV u PTR. Il-blokki tal-politika ta 'aġġornament iżidu wkoll il-kapaċità li jistabbilixxu limiti fuq in-numru ta' rekords, individwali għal kull tip.
- Informazzjoni miżjuda dwar il-protokoll tat-trasport (UDP, TCP, TLS, HTTPS) u prefissi DNS64 mal-output tal-utilità dig. Għal skopijiet ta' debugging, dig żied il-kapaċità li jispeċifika identifikatur ta' talba speċifika (dig +qid= ).
- Appoġġ miżjud għal-librerija OpenSSL 3.0.
- Biex jiġu indirizzati kwistjonijiet bil-frammentazzjoni tal-IP meta jiġu pproċessati messaġġi DNS kbar identifikati minn Jum il-Bandiera tad-DNS 2020, tneħħa kodiċi li jaġġusta d-daqs tal-buffer EDNS meta ma jkun hemm l-ebda tweġiba għal talba tneħħa mis-solvent. Id-daqs tal-buffer EDNS issa huwa ssettjat għal kostanti (edns-udp-size) għat-talbiet kollha ħerġin.
- Is-sistema tal-bini nbidlet għall-użu ta 'kombinazzjoni ta' autoconf, automake u libtool.
- L-appoġġ għall-fajls taż-żona fil-format "mappa" (mappa tal-format masterfile) twaqqaf. Utenti ta 'dan il-format huma rakkomandati li jikkonvertu żoni għall-format mhux maħdum bl-użu ta' l-utilità named-compilezone.
- L-appoġġ għal sewwieqa DLZ anzjani (Żoni li jistgħu jitgħabbew dinamikament) twaqqaf, mibdul b'moduli DLZ.
- L-appoġġ għall-bini u t-tħaddim tal-pjattaforma Windows twaqqaf. L-aħħar fergħa li tista 'tiġi installata fuq il-Windows hija BIND 9.16.
Sors: opennet.ru