DNS-ਓਵਰ-HTTPS ਲਈ ਪ੍ਰਯੋਗਾਤਮਕ ਸਮਰਥਨ BIND DNS ਸਰਵਰ ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ

Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий «DNS поверх HTTPS» (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.

Обработка запросов с использованием DoH и DoT включается через добавление опций http и tls в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать «tls none». Ключи определяются в секции «tls». Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например: tls local-tls { key-file «/path/to/priv_key.pem»; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { «/dns-query»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

Из особенностей реализации DoH в BIND отмечается интеграция в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.

Другой особенности является возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса во внутренней сети, на базе которого на другом сервере может быть организовано шифрование. На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.

ਸਾਨੂੰ ਯਾਦ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ DNS-ਓਵਰ-HTTPS ਪ੍ਰਦਾਤਾਵਾਂ ਦੇ DNS ਸਰਵਰਾਂ ਦੁਆਰਾ ਬੇਨਤੀ ਕੀਤੇ ਮੇਜ਼ਬਾਨ ਨਾਮਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਲੀਕ ਨੂੰ ਰੋਕਣ, MITM ਹਮਲਿਆਂ ਅਤੇ DNS ਟ੍ਰੈਫਿਕ ਸਪੂਫਿੰਗ (ਉਦਾਹਰਨ ਲਈ, ਜਨਤਕ Wi-Fi ਨਾਲ ਜੁੜਨ ਵੇਲੇ), ਕਾਊਂਟਰਿੰਗ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਉਪਯੋਗੀ ਹੋ ਸਕਦਾ ਹੈ। DNS ਪੱਧਰ 'ਤੇ ਬਲੌਕ ਕਰਨਾ (DNS-over-HTTPS DPI ਪੱਧਰ 'ਤੇ ਲਾਗੂ ਕੀਤੇ ਬਲਾਕਿੰਗ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਵਿੱਚ VPN ਨੂੰ ਨਹੀਂ ਬਦਲ ਸਕਦਾ ਹੈ) ਜਾਂ ਕੰਮ ਨੂੰ ਸੰਗਠਿਤ ਕਰਨ ਲਈ ਜਦੋਂ DNS ਸਰਵਰਾਂ ਤੱਕ ਸਿੱਧਾ ਪਹੁੰਚਣਾ ਅਸੰਭਵ ਹੁੰਦਾ ਹੈ (ਉਦਾਹਰਨ ਲਈ, ਜਦੋਂ ਇੱਕ ਪ੍ਰੌਕਸੀ ਦੁਆਰਾ ਕੰਮ ਕਰਨਾ)। ਜੇਕਰ ਇੱਕ ਆਮ ਸਥਿਤੀ ਵਿੱਚ DNS ਬੇਨਤੀਆਂ ਸਿੱਧੇ ਸਿਸਟਮ ਸੰਰਚਨਾ ਵਿੱਚ ਪਰਿਭਾਸ਼ਿਤ DNS ਸਰਵਰਾਂ ਨੂੰ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਤਾਂ DNS-ਓਵਰ-HTTPS ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਹੋਸਟ IP ਪਤੇ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਬੇਨਤੀ HTTPS ਟ੍ਰੈਫਿਕ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ HTTP ਸਰਵਰ ਨੂੰ ਭੇਜੀ ਜਾਂਦੀ ਹੈ, ਜਿੱਥੇ ਰੈਜ਼ੋਲਵਰ ਵੈੱਬ API ਰਾਹੀਂ ਬੇਨਤੀਆਂ ਦੀ ਪ੍ਰਕਿਰਿਆ ਕਰਦਾ ਹੈ।

"TLS ਉੱਤੇ DNS" ਮਿਆਰੀ DNS ਪ੍ਰੋਟੋਕੋਲ (ਨੈੱਟਵਰਕ ਪੋਰਟ 853 ਆਮ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ) ਦੀ ਵਰਤੋਂ ਵਿੱਚ "DNS ਓਵਰ HTTPS" ਤੋਂ ਵੱਖਰਾ ਹੈ, ਪ੍ਰਮਾਣਿਤ TLS/SSL ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੁਆਰਾ ਹੋਸਟ ਵੈਧਤਾ ਦੀ ਜਾਂਚ ਦੇ ਨਾਲ TLS ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਯੋਜਿਤ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਸੰਚਾਰ ਚੈਨਲ ਵਿੱਚ ਲਪੇਟਿਆ ਹੋਇਆ ਹੈ। ਇੱਕ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਦੁਆਰਾ। ਮੌਜੂਦਾ DNSSEC ਸਟੈਂਡਰਡ ਸਿਰਫ ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਪਰ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੁਕਾਵਟ ਤੋਂ ਨਹੀਂ ਬਚਾਉਂਦਾ ਹੈ ਅਤੇ ਬੇਨਤੀਆਂ ਦੀ ਗੁਪਤਤਾ ਦੀ ਗਰੰਟੀ ਨਹੀਂ ਦਿੰਦਾ ਹੈ।

ਸਰੋਤ: opennet.ru