Ka mor'a lilemo tse peli tsa tsoelo-pele, ISC consortium e lokolitse tokollo ea pele e tsitsitseng ea lekala le lecha le leholo la BIND 9.18 DNS server. Tšehetso bakeng sa lekala la 9.18 e tla fanoa ka lilemo tse tharo ho fihlela kotara ea 2nd ea 2025 e le karolo ea potoloho e atolositsoeng ea tšehetso. Tšehetso bakeng sa lekala la 9.11 e tla fela ka March, ’me tšehetso ea lekala la 9.16 bohareng ba 2023. Ho nts'etsapele ts'ebetso ea mofuta o latelang o tsitsitseng oa BIND, lekala la liteko BIND 9.19.0 le thehiloe.
Ho lokolloa ha BIND 9.18.0 hoa hlokomeleha bakeng sa ts'ebetsong ea ts'ehetso ea DNS holim'a HTTPS (DoH, DNS over HTTPS) le DNS holim'a TLS (DoT, DNS over TLS), hammoho le mochine oa XoT (XFR-over-TLS) bakeng sa phetisetso e sireletsehileng ea litaba tsa DNS. libaka lipakeng tsa li-server (libaka tse romellang le tse amohelang ka XoT lia tšehetsoa). Ka litlhophiso tse nepahetseng, ts'ebetso e le 'ngoe e rehelletsoeng e ka se sebetse feela lipotso tsa setso tsa DNS, empa le lipotso tse rometsoeng ho sebelisoa DNS-over-HTTPS le DNS-over-TLS. Ts'ehetso ea bareki bakeng sa DNS-over-TLS e hahiloe ka har'a sesebelisoa sa ho cheka, se ka sebelisoang ho romela likopo ho feta TLS ha ho boletsoe "+tls" folakha.
Ho kenngwa tshebetsong ha HTTP/2 protocol e sebediswang ho DoH e itshetlehile hodima tshebediso ya laeborari ya nghttp2, e kenyelleditsweng e le boikgethelo ba ho itshetleha ka kopano. Litifikeiti tsa DoH le DoT li ka fanoa ke mosebelisi kapa tsa hlahisoa ka bo eona ka nako ea ho qala.
Ho kopa ts'ebetso o sebelisa DoH le DoT ho lumelloa ka ho kenyelletsa likhetho tsa "http" le "tls" taelong ea ho mamela. Ho ts'ehetsa DNS-over-HTTP e sa ngolisoang, o lokela ho hlakisa "tls none" litlhophisong. Linotlolo li hlalositsoe karolong ea "tls". Likou tsa marang-rang tsa 853 bakeng sa DoT, 443 bakeng sa DoH le 80 bakeng sa DNS-over-HTTP li ka tlosoa ka har'a tls-port, https-port le http-port parameters. Ka mohlala:
tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server { endpoints {"/dns-query"; }; }; dikgetho { https-port 443; mamela-ho port 443 tls local-tls http myserver {leha e le efe;}; }
E 'ngoe ea likarolo tsa ts'ebetso ea DoH ho BIND ke bokhoni ba ho tsamaisa ts'ebetso ea encryption bakeng sa TLS ho seva se seng, e ka bang bohlokoa maemong ao litifikeiti tsa TLS li bolokiloeng ho sistimi e ngoe (mohlala, lits'ebetsong tse nang le li-server) le ho hlokomeloa. ka basebetsi ba bang. Ts'ehetso bakeng sa DNS-over-HTTP e sa ngolisoang e kengoa ts'ebetsong ho nolofatsa mokhoa oa ho lokisa liphoso le joalo ka lera bakeng sa ho fetisetsa ho seva se seng ho marang-rang a ka hare (bakeng sa ho tsamaisa encryption ho seva se arohaneng). Ho seva se hole, nginx e ka sebelisoa ho hlahisa sephethephethe sa TLS, se ts'oanang le kamoo tlamo ea HTTPS e hlophisitsoeng bakeng sa liwebsaete.
Tšobotsi e 'ngoe ke ho kopanngoa ha DoH e le sepalangoang se akaretsang se ka sebelisoang eseng feela ho sebetsana le likōpo tsa bareki ho se rarollang, empa hape le ha ho buisana pakeng tsa li-server, ha ho fetisa libaka ka seva sa DNS se nang le matla, le ha ho sebetsana le lipotso leha e le life tse tšehetsoeng ke DNS tse ling. lipalangoang.
Har'a mefokolo e ka lefelloang ka ho tima moaho ka DoH/DoT kapa ho fetisetsa encryption ho seva e 'ngoe, pherekano e akaretsang ea motheo oa khoutu e ea hlahella - ho kenyellelitsoe seva ea HTTP le laeborari ea TLS, e ka bang le eona. bofokoli le ho sebetsa joalo ka li-vector tse eketsehileng bakeng sa litlhaselo. Hape, ha o sebelisa DoH, sephethephethe sea eketseha.
A re hopoleng hore DNS-over-HTTPS e ka ba molemo bakeng sa ho thibela ho lutla ha tlhahisoleseling mabapi le mabitso a baamoheli ba kopiloeng ka li-server tsa DNS tsa bafani, ho loants'a litlhaselo tsa MITM le DNS traffic spoofing (mohlala, ha o hokela ho Wi-Fi ea sechaba), countering. ho thibela ho ea boemong ba DNS (DNS-over-HTTPS e ke ke ea nkela VPN sebaka sa ho thibela ho thibela ho sebelisoa boemong ba DPI) kapa bakeng sa ho hlophisa mosebetsi ha ho sa khonehe ho fihlella ka ho toba li-server tsa DNS (mohlala, ha u sebetsa ka proxy). Haeba maemong a tloaelehileng likopo tsa DNS li romelloa ka kotloloho ho li-server tsa DNS tse hlalositsoeng ho tlhophiso ea sistimi, joale molemong oa DNS-over-HTTPS kopo ea ho tseba hore na aterese ea IP ea moamoheli e kentsoe sephethephethe sa HTTPS ebe e romelloa ho seva sa HTTP. mohlahlobi o etsa likopo ka Web API.
"DNS over TLS" e fapane le "DNS over HTTPS" ts'ebelisong ea protocol e tloaelehileng ea DNS (ho sebelisoa hangata marang-rang a 853), a phuthetsoe ka mocha oa puisano o patiloeng o hlophisitsoeng ho sebelisoa protocol ea TLS e hlahlobang bonnete ba moamoheli ka litifikeiti tsa TLS/SSL tse netefalitsoeng. ka lefapha la setifikeiti. Tekanyetso e teng ea DNSSEC e sebelisa encryption feela ho netefatsa moreki le seva, empa ha e sireletse sephethephethe ho tsoa ho thibelo ebile ha e fane ka tiiso ea lekunutu la likopo.
Tse ling tse ncha tse ncha:
- E kentse tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer le udp-send-buffer setting ho beha boholo ba li-buffer tse sebelisoang ha u romela le ho amohela likōpo ka TCP le UDP. Ho li-server tse phathahaneng, li-buffer tse ntseng li eketseha tse kenang li tla thusa ho qoba hore lipakete li theohe nakong ea litlhoro tsa sephethephethe, 'me ho li fokotsa ho tla thusa ho tlosa ho koaloa ha memori ka likopo tsa khale.
- Sehlopha se secha sa li-logs "rpz-passthru" se ekelitsoe, e leng se u lumellang hore u arole ka thōko liketso tsa ho fetisetsa RPZ (Response Policy Zones).
- Karolong ea leano la likarabo, khetho ea "nsdname-wait-recurse" e kenyelitsoe, ha e behiloe ho "che", melao ea RPZ NSDNAME e sebelisoa feela haeba li-server tse nang le matla tse teng ka har'a cache li fumanoa bakeng sa kopo, ho seng joalo Molao oa RPZ NSDNAME o hlokomolohuoa, empa tlhahisoleseling e khutlisoa ka morao mme e sebetsa ho likopo tse latelang.
- Bakeng sa lirekoto tse nang le mefuta ea HTTPS le SVCB, ts'ebetso ea karolo ea "ADDITIONAL" e kentsoe tšebetsong.
- E ekelitsoe mefuta ea melao ea leano la ntlafatso - krb5-subdomain-self-rhs le ms-subdomain-self-rhs, e u lumellang ho fokotsa ntlafatso ea lirekoto tsa SRV le PTR. Li-block-policy blocks li boetse li eketsa bokhoni ba ho beha meeli ho palo ea lirekoto, motho ka mong bakeng sa mofuta o mong le o mong.
- Tlhahisoleseding e eketsehileng mabapi le protocol ea lipalangoang (UDP, TCP, TLS, HTTPS) le li-prefixes tsa DNS64 ho tlhahiso ea lisebelisoa tsa ho cheka. Bakeng sa merero ea ho lokisa liphoso, cheka e kentse bokhoni ba ho hlakisa sekhetho se itseng sa kopo (dig +qid= ).
- Tšehetso e ekelitsoeng bakeng sa laeborari ea OpenSSL 3.0.
- Ho rarolla mathata a karohano ea IP ha o sebetsana le melaetsa e meholo ea DNS e khethiloeng ke DNS Flag Day 2020, khoutu e lokisang boholo ba buffer ea EDNS ha ho se karabo kopong e tlositsoe ho mohatelli. Boholo ba buffer ea EDNS joale bo se bo behiloe ho sa feleng (edns-udp-size) bakeng sa likopo tsohle tse tsoang.
- Sistimi ea kaho e fetotsoe ho sebelisa motsoako oa autoconf, automake le libtool.
- Tšehetso ea lifaele tsa libaka ka sebopeho sa "mapa" (masterfile-format map) e khaotsoe. Basebelisi ba sebopeho sena ba khothaletsoa ho fetolela libaka hore e be sebopeho se tala ba sebelisa sesebelisoa se bitsoang-compilezone.
- Tšehetso bakeng sa bakhanni ba khale ba DLZ (Dynamically Loadable Zones) e khaotsoe, e nkeloe sebaka ke li-module tsa DLZ.
- Ho aha le ho tsamaisa tšehetso bakeng sa sethala sa Windows ho khaotsoe. Lekala la ho qetela le ka kengoang ho Windows ke BIND 9.16.
Source: opennet.ru