Након две године развоја, ИСЦ конзорцијум је објавио прво стабилно издање велике нове гране БИНД 9.18 ДНС сервера. Подршка за грану 9.18 биће обезбеђена три године до 2. квартала 2025. године као део продуженог циклуса подршке. Подршка за грану 9.11 ће се завршити у марту, а подршка за грану 9.16 средином 2023. године. Да би се развила функционалност следеће стабилне верзије БИНД-а, формирана је експериментална грана БИНД 9.19.0.
Издање БИНД 9.18.0 је значајно по имплементацији подршке за ДНС преко ХТТПС-а (ДоХ, ДНС преко ХТТПС) и ДНС преко ТЛС-а (ДоТ, ДНС преко ТЛС-а), као и КсоТ (КСФР-овер-ТЛС) механизма за сигуран пренос ДНС садржаја.зоне између сервера (подржане су и зоне за слање и пријем преко КсоТ-а). Са одговарајућим подешавањима, један именовани процес сада може да служи не само традиционалним ДНС упитима, већ и упитима послатим користећи ДНС-овер-ХТТПС и ДНС-овер-ТЛС. Клијентска подршка за ДНС-овер-ТЛС уграђена је у услужни програм диг, који се може користити за слање захтева преко ТЛС-а када је наведена заставица „+тлс“.
Имплементација ХТТП/2 протокола који се користи у ДоХ заснива се на коришћењу библиотеке нгхттп2, која је укључена као опциона зависност склопа. Сертификати за ДоХ и ДоТ може да обезбеди корисник или да се генеришу аутоматски у време покретања.
Обрада захтева помоћу ДоХ и ДоТ је омогућена додавањем опција „хттп“ и „тлс“ у директиву слушања. Да бисте подржали нешифровани ДНС-овер-ХТТП, требало би да наведете „тлс ноне“ у подешавањима. Кључеви су дефинисани у одељку "тлс". Подразумевани мрежни портови 853 за ДоТ, 443 за ДоХ и 80 за ДНС-овер-ХТТП могу се заменити преко параметара тлс-порт, хттпс-порт и хттп-порт. На пример:
тлс лоцал-тлс { кеи-филе "/патх/то/прив_кеи.пем"; церт-филе "/патх/то/церт_цхаин.пем"; }; хттп локални-хттп-сервер { крајње тачке { "/днс-куери"; }; }; опције { хттпс-порт 443; порт за слушање 443 тлс лоцал-тлс хттп мој сервер {ани;}; }
Једна од карактеристика ДоХ имплементације у БИНД-у је могућност премештања операција шифровања за ТЛС на други сервер, што може бити неопходно у условима када се ТЛС сертификати чувају на другом систему (на пример, у инфраструктури са веб серверима) и одржавају од стране другог особља. Подршка за нешифровани ДНС-овер-ХТТП је имплементирана да би се поједноставило отклањање грешака и као слој за прослеђивање на други сервер на интерној мрежи (за премештање шифровања на посебан сервер). На удаљеном серверу, нгинк се може користити за генерисање ТЛС саобраћаја, слично као што је организовано ХТТПС везивање за веб локације.
Још једна карактеристика је интеграција ДоХ-а као општег транспорта који се може користити не само за руковање клијентским захтевима ка разрешивачу, већ и приликом комуникације између сервера, приликом преноса зона од стране ауторитативног ДНС сервера и приликом обраде било каквих упита које подржава други ДНС. транспорти.
Међу недостацима који се могу надокнадити онемогућавањем градње са ДоХ/ДоТ или премештањем енкрипције на други сервер, истиче се општа компликација кодне базе – додају се уграђени ХТТП сервер и ТЛС библиотека, који би потенцијално могли да садрже рањивости и делују као додатни вектори за нападе. Такође, када се користи ДоХ, промет се повећава.
Подсетимо се да ДНС-овер-ХТТПС може бити користан за спречавање цурења информација о траженим именима хостова преко ДНС сервера провајдера, сузбијање МИТМ напада и лажирања ДНС саобраћаја (на пример, при повезивању на јавни Ви-Фи), сузбијање блокирање на ДНС нивоу (ДНС-овер-ХТТПС не може да замени ВПН у заобилажењу блокирања имплементираног на ДПИ нивоу) или за организовање посла када је немогуће директно приступити ДНС серверима (на пример, када се ради преко проксија). Ако се у нормалној ситуацији ДНС захтеви директно шаљу на ДНС сервере дефинисане у конфигурацији система, онда се у случају ДНС-овер-ХТТПС захтев за одређивање ИП адресе хоста инкапсулира у ХТТПС саобраћај и шаље на ХТТП сервер, где разрешивач обрађује захтеве преко Веб АПИ-ја.
„ДНС преко ТЛС-а“ се разликује од „ДНС-а преко ХТТПС-а“ по коришћењу стандардног ДНС протокола (обично се користи мрежни порт 853), умотаног у шифровани комуникациони канал организован коришћењем ТЛС протокола са провером ваљаности хоста преко ТЛС/ССЛ сертификата сертификованих од стране сертификационог тела. Постојећи ДНССЕЦ стандард користи шифровање само за аутентификацију клијента и сервера, али не штити саобраћај од пресретања и не гарантује поверљивост захтева.
Неке друге иновације:
- Додата су подешавања тцп-рецеиве-буффер, тцп-сенд-буффер, удп-рецеиве-буффер и удп-сенд-буффер за подешавање величина бафера који се користе приликом слања и примања захтева преко ТЦП и УДП. На заузетим серверима, повећање долазних бафера ће помоћи да се избегне испуштање пакета током шпица саобраћаја, а њихово смањење ће помоћи да се решите зачепљења меморије старим захтевима.
- Додата је нова категорија дневника „рпз-пасстхру“, која вам омогућава да засебно евидентирате акције прослеђивања РПЗ (Респонсе Полици Зонес).
- У одељку политике одговора, додата је опција „нсднаме-ваит-рецурсе“, када је подешено на „не“, правила РПЗ НСДНАМЕ се примењују само ако се пронађу ауторитативни сервери имена присутни у кешу за захтев, у супротном РПЗ НСДНАМЕ правило се занемарује, али информације се преузимају у позадини и примењују се на следеће захтеве.
- За записе са типовима ХТТПС и СВЦБ имплементирана је обрада одељка „ДОДАТНО“.
- Додати прилагођени типови правила политике ажурирања - крб5-субдомаин-селф-рхс и мс-субдомаин-селф-рхс, који вам омогућавају да ограничите ажурирање СРВ и ПТР записа. Блокови политике ажурирања такође додају могућност постављања ограничења броја записа, појединачних за сваки тип.
- Додате информације о транспортном протоколу (УДП, ТЦП, ТЛС, ХТТПС) и ДНС64 префиксима у излаз услужног програма диг. За потребе отклањања грешака, диг је додао могућност да наведе одређени идентификатор захтева (диг +кид= ).
- Додата подршка за ОпенССЛ 3.0 библиотеку.
- Да би се решили проблеми са фрагментацијом ИП-а приликом обраде великих ДНС порука које је идентификовао ДНС Флаг Даи 2020, код који прилагођава величину ЕДНС бафера када нема одговора на захтев је уклоњен из разрешивача. Величина ЕДНС бафера је сада подешена на константну (еднс-удп-сизе) за све одлазне захтеве.
- Систем изградње је пребачен на коришћење комбинације аутоцонф, аутомаке и либтоол.
- Подршка за датотеке зона у формату „мапа“ (мапа формата мастер фајла) је укинута. Корисницима овог формата се препоручује да конвертују зоне у необрађени формат помоћу услужног програма намед-цомпилезоне.
- Подршка за старије ДЛЗ (Динамицалли Лоадабле Зонес) драјвере је укинута и замењена је ДЛЗ модулима.
- Подршка за прављење и покретање за Виндовс платформу је укинута. Последња грана која се може инсталирати на Виндовс је БИНД 9.16.
Извор: опеннет.ру