Saatos dua taun pangwangunan, konsorsium ISC parantos ngarilis sékrési stabil mimiti cabang énggal utama tina server DNS BIND 9.18. Dukungan pikeun cabang 9.18 bakal disayogikeun salami tilu taun dugi ka kuartal ka-2 2025 salaku bagian tina siklus dukungan anu diperpanjang. Dukungan pikeun cabang 9.11 bakal réngsé dina Maret, sareng dukungan pikeun cabang 9.16 dina pertengahan 2023. Pikeun ngembangkeun pungsionalitas versi stabil salajengna tina BIND, cabang eksperimen BIND 9.19.0 geus kabentuk.
Pelepasan BIND 9.18.0 kasohor pikeun palaksanaan dukungan pikeun DNS liwat HTTPS (DoH, DNS over HTTPS) sareng DNS over TLS (DoT, DNS over TLS), ogé mékanisme XoT (XFR-over-TLS). pikeun mindahkeun aman tina eusi DNS zona antara server (duanana ngirim jeung narima zona via XoT dirojong). Kalayan setélan anu cocog, prosés anu namina ayeuna tiasa ngalayanan sanés ngan ukur patarosan DNS tradisional, tapi ogé patarosan anu dikirim nganggo DNS-over-HTTPS sareng DNS-over-TLS. Pangrojong klien pikeun DNS-over-TLS diwangun kana utilitas dig, anu tiasa dianggo pikeun ngirim pamenta ngalangkungan TLS nalika bendera "+tls" ditetepkeun.
Palaksanaan protokol HTTP / 2 dipaké di DoH dumasar kana pamakéan perpustakaan nghttp2, nu kaasup salaku kagumantungan assembly pilihan. Sertipikat pikeun DoH sareng DoT tiasa disayogikeun ku pangguna atanapi dibangkitkeun sacara otomatis dina waktos ngamimitian.
Pamrosésan pamundut nganggo DoH sareng DoT diaktipkeun ku nambihan pilihan "http" sareng "tls" kana diréktif ngadangukeun. Pikeun ngadukung DNS-over-HTTP anu henteu énkripsi, anjeun kedah netepkeun "tls none" dina setélan. Konci ditetepkeun dina bagian "tls". Port jaringan standar 853 pikeun DoT, 443 pikeun DoH sareng 80 pikeun DNS-over-HTTP tiasa ditimpa ngaliwatan parameter tls-port, HTTPS-port sareng http-port. Salaku conto:
tls local-tls {konci-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http lokal-http-server {titik {"/dns-query"; }; }; pilihan { HTTPS-port 443; listen-on port 443 TLS local-tls http myserver {sagala;}; }
Salah sahiji fitur palaksanaan DoH di BIND nyaéta kamampuhan pikeun mindahkeun operasi enkripsi pikeun TLS ka server sejen, nu bisa jadi diperlukeun dina kondisi dimana sertipikat TLS disimpen dina sistem sejen (contona, dina infrastruktur kalawan web server) jeung dijaga. ku tanaga séjén. Rojongan pikeun DNS-over-HTTP anu henteu énkripsi dilaksanakeun pikeun nyederhanakeun debugging sareng salaku lapisan pikeun diteruskeun ka server anu sanés dina jaringan internal (pikeun mindahkeun énkripsi ka server anu misah). Dina server jauh, nginx bisa dipaké pikeun ngahasilkeun lalulintas TLS, sarupa kumaha HTTPS mengikat keur situs web.
Fitur séjén nyaéta integrasi DoH salaku angkutan umum anu tiasa dianggo henteu ngan ukur pikeun nanganan pamenta klien ka solver, tapi ogé nalika komunikasi antara server, nalika nransferkeun zona ku server DNS anu otoritatif, sareng nalika ngolah patarosan anu dirojong ku DNS anu sanés. angkutan.
Diantara kakurangan anu tiasa diimbuhan ku nganonaktipkeun ngawangun sareng DoH / DoT atanapi mindahkeun enkripsi ka server anu sanés, komplikasi umum dasar kode katingali - server HTTP anu diwangun sareng perpustakaan TLS ditambah, anu berpotensi ngandung. vulnerabilities sarta meta salaku vektor tambahan pikeun serangan. Ogé, nalika nganggo DoH, lalu lintas ningkat.
Hayu urang émut yén DNS-over-HTTPS tiasa mangpaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngaliwatan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS (contona, nalika nyambungkeun ka Wi-Fi umum), countering. blocking on di tingkat DNS (DNS-over-HTTPS teu bisa ngaganti VPN di bypassing meungpeuk dilaksanakeun di tingkat DPI) atawa pikeun pangatur pagawean lamun teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DNS-over-HTTPS pamundut pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana. nu resolver prosés requests via Web API.
"DNS over TLS" béda ti "DNS over HTTPS" dina ngagunakeun protokol DNS standar (port jaringan 853 biasana dipaké), dibungkus dina saluran komunikasi énkripsi diatur ngagunakeun protokol TLS kalawan validitas host mariksa ngaliwatan sertipikat TLS/SSL Certified. ku otoritas sertifikasi. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.
Sababaraha inovasi séjén:
- Ditambahkeun setelan tcp-narima-panyangga, tcp-kirim-panyangga, udp-narima-panyangga jeung udp-kirim-panyangga pikeun nyetel ukuran panyangga dipaké nalika ngirim jeung narima requests leuwih TCP jeung UDP. Dina server sibuk, ngaronjatkeun panyangga asup bakal nulungan nyegah pakét turun salila puncak lalulintas, sarta nurunna bakal mantuan meunang leupas tina clogging memori kalayan requests heubeul.
- A kategori log anyar "rpz-passthru" geus ditambahkeun, nu ngidinan Anjeun pikeun misah log RPZ (Zona Sarat jeung Kaayaan Tanggapan) lampah diteruskeun.
- Dina bagian réspon-kawijakan, pilihan "nsdname-wait-recurse" geus ditambahkeun, lamun disetel ka "henteu", aturan RPZ NSDNAME diterapkeun ngan lamun server ngaran otoritatif hadir dina cache nu kapanggih pikeun pamundut, disebutkeun Aturan RPZ NSDNAME teu dipaliré, tapi inpo nu dicandak dina latar tukang jeung lumaku pikeun requests saterusna.
- Pikeun rékaman sareng jinis HTTPS sareng SVCB, ngolah bagian "TAMBAHAN" parantos dilaksanakeun.
- Nambahkeun tipe aturan update-kawijakan custom - krb5-subdomain-self-rhs jeung ms-subdomain-self-rhs, nu ngidinan Anjeun pikeun ngawatesan apdet SRV na PTR rékaman. Blok update-kawijakan ogé nambahkeun kamampuhan pikeun nyetel wates dina jumlah rékaman, individual pikeun tiap jenis.
- Ditambahkeun inpormasi ngeunaan protokol angkutan (UDP, TCP, TLS, HTTPS) sareng awalan DNS64 kana kaluaran utilitas dig. Pikeun tujuan debugging, dig geus ditambahkeun kamampuhan pikeun nangtukeun hiji pamundut identifier husus (dig + qid= ).
- Ditambahkeun dukungan pikeun perpustakaan OpenSSL 3.0.
- Pikeun ngabéréskeun masalah sareng fragméntasi IP nalika ngolah pesen DNS ageung anu diidentipikasi ku DNS Flag Day 2020, kode anu nyaluyukeun ukuran panyangga EDNS nalika teu aya réspon kana pamundut parantos dipupus tina résolver. Ukuran panyangga EDNS ayeuna disetel ka konstan (edns-udp-size) pikeun sadaya pamundut kaluar.
- Sistem ngawangun parantos dialihkeun nganggo kombinasi autoconf, automake sareng libtool.
- Rojongan pikeun file zona dina format "peta" (peta format masterfile) parantos dileungitkeun. Pamaké format ieu dianjurkeun pikeun ngarobah zona kana format atah ngagunakeun utilitas ngaranna-compilezone.
- Rojongan pikeun supir DLZ (Dynamically Loadable Zones) anu lami parantos dileungitkeun, diganti ku modul DLZ.
- Ngawangun sareng ngajalankeun dukungan pikeun platform Windows parantos dileungitkeun. Cabang terakhir anu tiasa dipasang dina Windows nyaéta BIND 9.16.
sumber: opennet.ru