DNS-over-TLS နှင့် DNS-over-HTTPS အတွက် ပံ့ပိုးမှုဖြင့် BIND DNS ဆာဗာ 9.18.0 ကို ဖြန့်ချိသည်

ဖွံ့ဖြိုးတိုးတက်မှုနှစ်နှစ်အကြာတွင် ISC လုပ်ငန်းစုသည် BIND 9.18 DNS ဆာဗာ၏ အဓိကဌာနခွဲအသစ်တစ်ခု၏ ပထမဆုံးတည်ငြိမ်သောဖြန့်ချိမှုကို ထုတ်ပြန်ခဲ့သည်။ တိုးချဲ့ပံ့ပိုးမှုစက်ဝန်း၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် ဌာနခွဲ 9.18 ကို 2 ခုနှစ် ဒုတိယသုံးလပတ်အထိ သုံးနှစ်အထိ ပံ့ပိုးပေးမည်ဖြစ်သည်။ 2025 ဌာနခွဲအတွက် ပံ့ပိုးမှုသည် မတ်လတွင် ကုန်ဆုံးမည်ဖြစ်ပြီး 9.11 နှစ်လယ်တွင် 9.16 ဌာနခွဲအတွက် ပံ့ပိုးမှုပေးပါမည်။ BIND ၏ နောက်တည်ငြိမ်သောဗားရှင်း၏ လုပ်ဆောင်နိုင်စွမ်းကို ဖွံ့ဖြိုးတိုးတက်စေရန်၊ စမ်းသပ်ဆဲ BIND 2023 ကို ဖွဲ့စည်းထားပါသည်။

BIND 9.18.0 ၏ထွက်ရှိမှုသည် HTTPS (DoH၊ DNS over HTTPS) နှင့် TLS ကျော် DNS (DoT၊ DNS over TLS) နှင့် XoT (XFR-over-TLS) ယန္တရားတို့အပေါ် DNS အတွက် ပံ့ပိုးမှုအကောင်အထည်ဖော်မှုအတွက် မှတ်သားဖွယ်ရာဖြစ်သည်။ DNS အကြောင်းအရာများ၏ လုံခြုံသောလွှဲပြောင်းမှုအတွက်။ ဆာဗာများကြားဇုန်များ (XoT မှတစ်ဆင့် ပေးပို့ခြင်းနှင့် လက်ခံခြင်းဇုန်နှစ်ခုလုံးကို ပံ့ပိုးထားသည်)။ သင့်လျော်သောဆက်တင်များဖြင့်၊ အမည်ပေးထားသည့် လုပ်ငန်းစဉ်တစ်ခုသည် ယခုအခါ သမားရိုးကျ DNS စုံစမ်းမှုများသာမက DNS-over-HTTPS နှင့် DNS-over-TLS တို့ကို အသုံးပြု၍ ပေးပို့သည့်မေးခွန်းများကိုလည်း ဆောင်ရွက်ပေးနိုင်ပါသည်။ DNS-over-TLS အတွက် Client ပံ့ပိုးမှုအား "+tls" အလံကို သတ်မှတ်သောအခါ TLS မှ တောင်းဆိုချက်များကို ပေးပို့ရန်အတွက် အသုံးပြုနိုင်သည့် dig utility တွင် ထည့်သွင်းထားသည်။

DoH တွင်အသုံးပြုသည့် HTTP/2 ပရိုတိုကောကို အကောင်အထည်ဖော်ခြင်းသည် ရွေးချယ်နိုင်သော စည်းဝေးပွဲမှီခိုမှုတစ်ခုအဖြစ် ထည့်သွင်းထားသည့် nghttp2 စာကြည့်တိုက်အသုံးပြုမှုကို အခြေခံထားသည်။ DoH နှင့် DoT အတွက် လက်မှတ်များကို အသုံးပြုသူက ပေးဆောင်နိုင်သည် သို့မဟုတ် စတင်ချိန်၌ အလိုအလျောက်ထုတ်ပေးနိုင်သည်။

DoH နှင့် DoT တို့ကို အသုံးပြု၍ စီမံဆောင်ရွက်ပေးရန် တောင်းဆိုမှုကို "http" နှင့် "tls" ရွေးချယ်မှုများကို နားထောင်ခြင်းဆိုင်ရာ ညွှန်ကြားချက်တွင် ထည့်သွင်းခြင်းဖြင့် ဖွင့်ထားသည်။ ကုဒ်မထားသော DNS-over-HTTP ကို ​​ပံ့ပိုးရန်၊ ဆက်တင်များတွင် “tls none” ကို သတ်မှတ်သင့်သည်။ သော့များကို "tls" ကဏ္ဍတွင် သတ်မှတ်ထားသည်။ မူရင်းကွန်ရက် port များသည် DoT အတွက် 853၊ DoH အတွက် 443 နှင့် DNS-over-HTTP အတွက် 80 ကို tls-port၊ https-port နှင့် http-port ကန့်သတ်ဘောင်များမှတဆင့် လွှမ်းမိုးနိုင်သည်။ ဥပမာအားဖြင့်:

tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; ရွေးချယ်စရာများ { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

BIND ရှိ DoH အကောင်အထည်ဖော်မှု၏ အင်္ဂါရပ်များထဲမှတစ်ခုမှာ TLS အတွက် ကုဒ်ဝှက်ခြင်းလုပ်ငန်းဆောင်တာများကို အခြားဆာဗာတစ်ခုသို့ ရွှေ့နိုင်သည်၊ ၎င်းသည် TLS လက်မှတ်များကို အခြားစနစ်တစ်ခုတွင် သိမ်းဆည်းထားသည့် အခြေအနေများတွင် လိုအပ်နိုင်သည် (ဥပမာ၊ ဝဘ်ဆာဗာများပါရှိသော အခြေခံအဆောက်အဦတစ်ခုတွင်) နှင့် ထိန်းသိမ်းထားနိုင်သည် အခြားအမှုထမ်းအားဖြင့်။ ကုဒ်ဝှက်မထားသော DNS-over-HTTP အတွက် ပံ့ပိုးမှုသည် အမှားရှာပြင်ခြင်းကို ရိုးရှင်းလွယ်ကူစေရန်နှင့် အတွင်းပိုင်းကွန်ရက်ရှိ အခြားဆာဗာသို့ ထပ်ဆင့်ပေးပို့ခြင်းအတွက် အလွှာတစ်ခုအနေဖြင့် (ကုဒ်ဝှက်ခြင်းအား သီးခြားဆာဗာသို့ ရွှေ့ပြောင်းခြင်းအတွက်) ပံ့ပိုးပေးပါသည်။ ဝဘ်ဆိုက်များအတွက် HTTPS binding ကိုစီစဉ်ပုံနှင့်ဆင်တူသော TLS အသွားအလာကိုထုတ်လုပ်ရန် အဝေးထိန်းဆာဗာတွင် nginx ကိုအသုံးပြုနိုင်ပါသည်။

အခြားအင်္ဂါရပ်မှာ ဖြေရှင်းသူထံ client တောင်းဆိုမှုများကို ဖြေရှင်းပေးရန်အတွက်သာမက ဆာဗာများအကြား ဆက်သွယ်ခြင်း၊ တရားဝင် DNS ဆာဗာတစ်ခုမှ ဇုန်များကို လွှဲပြောင်းသည့်အခါနှင့် အခြားသော DNS မှပံ့ပိုးပေးသည့် မေးမြန်းချက်များကို လုပ်ဆောင်သည့်အခါတွင်လည်း အသုံးပြုနိုင်သည့် ယေဘုယျသယ်ယူပို့ဆောင်ရေးတစ်ခုအဖြစ် DoH ၏ ပေါင်းစပ်မှုကို အသုံးပြုနိုင်သည်။ သယ်ယူပို့ဆောင်ရေး။

DoH/DoT ဖြင့် တည်ဆောက်မှုကို ပိတ်ခြင်း သို့မဟုတ် ကုဒ်ဝှက်ခြင်းအား အခြားဆာဗာသို့ ရွှေ့ခြင်းဖြင့် လျော်ကြေးပေးနိုင်သည့် ချို့ယွင်းချက်များကြားတွင်၊ code base ၏ ယေဘုယျရှုပ်ထွေးမှုသည် ထင်ရှားသည် - built-in HTTP ဆာဗာနှင့် TLS စာကြည့်တိုက်ကို ပေါင်းထည့်ထားပြီး ဖြစ်နိုင်ချေရှိသော၊ အားနည်းချက်များနှင့် တိုက်ခိုက်မှုများအတွက် နောက်ဆက်တွဲ vector များအဖြစ် ဆောင်ရွက်သည်။ ထို့အပြင် DoH ကိုအသုံးပြုသောအခါ၊ အသွားအလာတိုးလာသည်။

DNS-over-HTTPS သည် ဝန်ဆောင်မှုပေးသူများ၏ DNS ဆာဗာများမှတစ်ဆင့် တောင်းဆိုထားသော လက်ခံသူအမည်များအကြောင်း အချက်အလက်ပေါက်ကြားမှုကို တားဆီးရန်အတွက် အသုံးဝင်နိုင်သည်ကို သတိရပါစို့၊ MITM တိုက်ခိုက်မှုနှင့် DNS traffic spoofing (ဥပမာ၊ အများသူငှာ Wi-Fi သို့ ချိတ်ဆက်သည့်အခါ)၊ တန်ပြန်ခြင်း DNS အဆင့်တွင် ပိတ်ဆို့ခြင်း (DNS-over-HTTPS သည် DPI အဆင့်တွင် လုပ်ဆောင်ခဲ့သော ပိတ်ဆို့ခြင်းကို ကျော်ဖြတ်ခြင်းတွင် VPN ကို အစားထိုး၍မရပါ) သို့မဟုတ် DNS ဆာဗာများကို တိုက်ရိုက်ဝင်ရောက်ရန် မဖြစ်နိုင်သည့်အခါ (ဥပမာ၊ ပရောက်စီတစ်ခုမှ လုပ်ဆောင်နေသည့်အခါ) အလုပ်စီစဉ်ခြင်းအတွက်။ ပုံမှန်အခြေအနေတွင် DNS တောင်းဆိုမှုများကို စနစ်ဖွဲ့စည်းပုံတွင် သတ်မှတ်ထားသည့် DNS ဆာဗာများသို့ တိုက်ရိုက်ပေးပို့ပါက၊ DNS-over-HTTPS ၏ကိစ္စတွင်၊ လက်ခံသူ IP လိပ်စာကို ဆုံးဖြတ်ရန် တောင်းဆိုချက်သည် HTTPS အသွားအလာတွင် ထုပ်ပိုးထားပြီး HTTP ဆာဗာသို့ ပေးပို့သည်။ ဖြေရှင်းသူသည် ဝဘ် API မှတစ်ဆင့် တောင်းဆိုမှုများကို လုပ်ဆောင်သည်။

"DNS over TLS" သည် စံ DNS ပရိုတိုကောကို အသုံးပြုရာတွင် "DNS over HTTPS" နှင့် ကွဲပြားသည် (ကွန်ရက် ပေါက် 853 ကို အများအားဖြင့် အသုံးပြုသည်)၊ TLS/SSL ပရိုတိုကောကို အသုံးပြု၍ စီစဉ်ဖွဲ့စည်းထားသော ကုဒ်ဝှက်ထားသော ဆက်သွယ်ရေးချန်နယ်တွင် ထုပ်ပိုးထားသည့် အိမ်ရှင်တရားဝင်စစ်ဆေးခြင်း TLS/SSL လက်မှတ်များမှတဆင့် လက်ခံစစ်ဆေးခြင်း အသိအမှတ်ပြု အခွင့်အာဏာဖြင့် ရှိပြီးသား DNSSEC စံနှုန်းသည် ကလိုင်းယင့်နှင့် ဆာဗာကို စစ်မှန်ကြောင်းသက်သေပြရန်အတွက် ကုဒ်ဝှက်စနစ်ကိုသာ အသုံးပြုသော်လည်း ကြားဖြတ်ဝင်ရောက်ခြင်းမှ ကာကွယ်ခြင်းမရှိသည့်အပြင် တောင်းဆိုမှုများ၏လျှို့ဝှက်မှုကို အာမခံမပေးပေ။

အခြားသော ဆန်းသစ်တီထွင်မှုအချို့

• TCP နှင့် UDP တို့မှ တောင်းဆိုချက်များကို ပေးပို့ခြင်းနှင့် လက်ခံရာတွင် အသုံးပြုသည့် ကြားခံအရွယ်အစားများကို သတ်မှတ်ရန် tcp-receive-buffer၊ tcp-send-buffer၊ udp-receive-buffer နှင့် udp-send-buffer ဆက်တင်များ။ အလုပ်များသောဆာဗာများတွင်၊ အဝင်အထွက်ကြားခံများကို တိုးမြှင့်ခြင်းသည် ယာဉ်အသွားအလာ အမြင့်ဆုံးကာလတွင် ပက်ခ်များကို ကျဆင်းသွားအောင် ကူညီပေးမည်ဖြစ်ပြီး ၎င်းတို့ကို လျှော့ချခြင်းဖြင့် တောင်းဆိုချက်ဟောင်းများဖြင့် မှတ်ဉာဏ်ပိတ်ဆို့ခြင်းကို ဖယ်ရှားရန် ကူညီပေးပါမည်။
• မှတ်တမ်းအမျိုးအစားအသစ် “rpz-passthru” ကိုထည့်သွင်းထားပြီး၊ သင်သည် RPZ (တုံ့ပြန်မှုမူဝါဒဇုန်များ) ထပ်ဆင့်လုပ်ဆောင်မှုများကို သီးခြားစီမှတ်တမ်းယူနိုင်စေမည်ဖြစ်သည်။
• တုံ့ပြန်မှုမူဝါဒကဏ္ဍတွင်၊ "nsdname-wait-recurse" option ကို "no" ဟုသတ်မှတ်သောအခါ၊ RPZ NSDNAME စည်းမျဉ်းများကို တောင်းဆိုချက်အတွက် ကက်ရှ်တွင်ပါရှိသော တရားဝင်အမည်ဆာဗာများကို တွေ့ရှိမှသာ အသုံးချမည်၊ သို့မဟုတ်ပါက၊ RPZ NSDNAME စည်းမျဉ်းကို လျစ်လျူရှုထားသော်လည်း အချက်အလက်ကို နောက်ခံတွင် ပြန်လည်ရယူပြီး နောက်ဆက်တွဲ တောင်းဆိုမှုများနှင့် သက်ဆိုင်ပါသည်။
• HTTPS နှင့် SVCB အမျိုးအစားများပါရှိသော မှတ်တမ်းများအတွက်၊ "နောက်ထပ်" ကဏ္ဍကို လုပ်ဆောင်ခြင်းအား လုပ်ဆောင်ပြီးဖြစ်သည်။
• SRV နှင့် PTR မှတ်တမ်းများ၏ အပ်ဒိတ်များကို ကန့်သတ်ခွင့်ပြုသည့် စိတ်ကြိုက်အပ်ဒိတ်-မူဝါဒ စည်းမျဉ်းအမျိုးအစားများ - krb5-subdomain-self-rhs နှင့် ms-subdomain-self-rhs၊ အပ်ဒိတ်-ပေါ်လစီလုပ်ကွက်များသည် အမျိုးအစားတစ်ခုစီအတွက် တစ်ဦးချင်း၊ မှတ်တမ်းအရေအတွက်အပေါ် ကန့်သတ်ချက်များကိုလည်း ထည့်သွင်းနိုင်သည်။
• သယ်ယူပို့ဆောင်ရေးပရိုတိုကော (UDP၊ TCP၊ TLS၊ HTTPS) နှင့် dig utility ၏အထွက်တွင် DNS64 ရှေ့စာတွဲများအကြောင်း အချက်အလက်များ ထည့်ထားသည်။ အမှားရှာပြင်ခြင်း ရည်ရွယ်ချက်များအတွက်၊ dig သည် တိကျသော တောင်းဆိုမှု identifier ကို သတ်မှတ်ပေးနိုင်သည် (dig +qid= )
• OpenSSL 3.0 ဒစ်ဂျစ်တိုက်အတွက် ပံ့ပိုးမှု ထပ်ထည့်ထားသည်။
• DNS Flag Day 2020 မှသတ်မှတ်ထားသော ကြီးမားသော DNS မက်ဆေ့ဂျ်များကို လုပ်ဆောင်သောအခါ IP ကွဲကွဲပြားပြားပြဿနာများကို ဖြေရှင်းရန်အတွက်၊ တောင်းဆိုချက်တစ်ခုအား တုံ့ပြန်မှုမရှိသည့်အခါ EDNS ကြားခံအရွယ်အစားကို ချိန်ညှိသောကုဒ်ကို ဖြေရှင်းသူမှ ဖယ်ရှားလိုက်ပါသည်။ EDNS ကြားခံအရွယ်အစားကို ယခုထွက်နေသော တောင်းဆိုချက်အားလုံးအတွက် စဉ်ဆက်မပြတ် (edns-udp-size) အဖြစ် သတ်မှတ်ထားသည်။
• တည်ဆောက်မှုစနစ်ကို autoconf၊ automake နှင့် libtool ပေါင်းစပ်အသုံးပြု၍ ပြောင်းလဲထားသည်။
• “မြေပုံ” ဖော်မတ် (မာစတာဖိုင်-ဖော်မတ်မြေပုံ) ရှိဇုန်ဖိုင်များအတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပါပြီ။ ဤဖော်မတ်၏အသုံးပြုသူများသည် အမည်-compilezone အသုံးဝင်မှုကို အသုံးပြု၍ ဇုန်များကို အကြမ်းဖော်မတ်အဖြစ် ပြောင်းရန် အကြံပြုထားသည်။
• အသက်ကြီးသော DLZ (Dynamically Loadable Zones) ဒရိုက်ဘာများအတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပြီး DLZ modules များဖြင့် အစားထိုးခဲ့သည်။
• Windows ပလပ်ဖောင်းအတွက် တည်ဆောက်ခြင်းနှင့် လုပ်ဆောင်ခြင်းဆိုင်ရာ ပံ့ပိုးမှုအား ရပ်ဆိုင်းလိုက်ပါပြီ။ Windows တွင် ထည့်သွင်းနိုင်သော နောက်ဆုံးအခွဲမှာ BIND 9.16 ဖြစ်သည်။

source: opennet.ru