Pangrojong ékspérimén pikeun DNS-over-HTTPS parantos ditambahkeun kana server DNS BIND

Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий «DNS поверх HTTPS» (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.

Обработка запросов с использованием DoH и DoT включается через добавление опций http и tls в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать «tls none». Ключи определяются в секции «tls». Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например: tls local-tls { key-file «/path/to/priv_key.pem»; cert-file «/path/to/cert_chain.pem»; }; http local-http-server { endpoints { «/dns-query»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

Из особенностей реализации DoH в BIND отмечается интеграция в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.

Другой особенности является возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса во внутренней сети, на базе которого на другом сервере может быть организовано шифрование. На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.

Hayu urang émut yén DNS-over-HTTPS tiasa mangpaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngaliwatan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS (contona, nalika nyambungkeun ka Wi-Fi umum), countering. blocking on di tingkat DNS (DNS-over-HTTPS teu bisa ngaganti VPN di bypassing meungpeuk dilaksanakeun di tingkat DPI) atawa pikeun pangatur pagawean lamun teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DNS-over-HTTPS pamundut pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana. nu resolver prosés requests via Web API.

"DNS over TLS" béda ti "DNS over HTTPS" dina ngagunakeun protokol DNS standar (port jaringan 853 biasana dipaké), dibungkus dina saluran komunikasi énkripsi diatur ngagunakeun protokol TLS kalawan validitas host mariksa ngaliwatan sertipikat TLS/SSL Certified. ku otoritas sertifikasi. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.

sumber: opennet.ru

Tambahkeun komentar