Utvecklarna av BIND DNS-servern tillkÀnnagav tillÀgget av serverstöd för teknologierna DNS över HTTPS (DoH, DNS över HTTPS) och DNS över TLS (DoT, DNS över TLS), samt XFR-over-TLS-mekanismen för sÀker överföra innehÄllet i DNS-zoner mellan servrar. DoH Àr tillgÀngligt för testning i release 9.17, och DoT-stöd har funnits sedan release 9.17.10. Efter stabilisering kommer DoT- och DoH-stöd att backporteras till den stabila 9.17.7-grenen.
Implementeringen av HTTP/2-protokollet som anvÀnds i DoH baseras pÄ anvÀndningen av nghttp2-biblioteket, som ingÄr bland assembly-beroendena (i framtiden planeras biblioteket att överföras till antalet valfria beroenden). BÄde krypterade (TLS) och okrypterade HTTP/2-anslutningar stöds. Med lÀmpliga instÀllningar kan en enda namngiven process nu inte bara betjÀna traditionella DNS-frÄgor, utan Àven frÄgor som skickas med DoH (DNS-over-HTTPS) och DoT (DNS-over-TLS). HTTPS-stöd pÄ klientsidan (dig) Àr Ànnu inte implementerat. XFR-over-TLS-stöd Àr tillgÀngligt för bÄde inkommande och utgÄende förfrÄgningar.
Bearbetning av förfrÄgningar med hjÀlp av DoH och DoT aktiveras genom att lÀgga till alternativen http och tls i lyssningsdirektivet. För att stödja okrypterad DNS-over-HTTP bör du ange "tls none" i instÀllningarna. Nycklar definieras i avsnittet "tls". StandardnÀtverksportarna 853 för DoT, 443 för DoH och 80 för DNS-over-HTTP kan ÄsidosÀttas genom parametrarna tls-port, https-port och http-port. Till exempel: tls local-tls { key-file "/path/to/priv_key.pem"; cert-fil "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; alternativ { https-port 443; lyssna pÄ port 443 tls local-tls http minserver {nÄgon;}; }
Bland funktionerna i DoH-implementeringen i BIND noteras integration som en allmÀn transport, som inte bara kan anvÀndas för att behandla klientförfrÄgningar till resolvern, utan ocksÄ vid utbyte av data mellan servrar, vid överföring av zoner av en auktoritativ DNS-server, och vid behandling av förfrÄgningar som stöds av andra DNS-transporter.
En annan funktion Àr möjligheten att flytta krypteringsoperationer för TLS till en annan server, vilket kan vara nödvÀndigt under förhÄllanden dÀr TLS-certifikat lagras pÄ ett annat system (till exempel i en infrastruktur med webbservrar) och underhÄlls av annan personal. Stöd för okrypterad DNS-over-HTTP Àr implementerat för att förenkla felsökning och som ett lager för vidarebefordran i det interna nÀtverket, pÄ basis av vilket kryptering kan organiseras pÄ en annan server. PÄ en fjÀrrserver kan nginx anvÀndas för att generera TLS-trafik, liknande hur HTTPS-bindning Àr organiserad för webbplatser.
LÄt oss pÄminna er om att DNS-över-HTTPS kan vara anvÀndbart för att förhindra lÀckage av information om begÀrda vÀrdnamn via leverantörers DNS-servrar, bekÀmpa MITM-attacker och DNS-trafiksubstitution (till exempel vid anslutning till offentligt Wi-Fi) och motstÄ blockering pÄ DNS-nivÄ (DNS-över-HTTPS kan inte ersÀtta VPN inom omrÄdet kringgÄende blockering implementerad pÄ DPI-nivÄ) eller för att organisera arbete i fall dÀr direkt Ätkomst till DNS-servrar Àr omöjlig (till exempel vid arbete via en proxy). Medan DNS-frÄgor i en normal situation skickas direkt till DNS-servrar som definierats i systemkonfigurationen, Àr begÀran om bestÀmning vid DNS-över-HTTPS IP-adresser VÀrden Àr inkapslad i HTTPS-trafik och skickas till en HTTP-server, dÀr resolvern bearbetar förfrÄgningar via webb-API:et.
"DNS över TLS" skiljer sig frÄn "DNS över HTTPS" i anvÀndningen av standard DNS-protokoll (nÀtverksport 853 anvÀnds vanligtvis), insvept i en krypterad kommunikationskanal organiserad med hjÀlp av TLS-protokollet med vÀrdvaliditetskontroll genom TLS/SSL-certifikat certifierade av en certifieringsmyndighet. Den befintliga DNSSEC-standarden anvÀnder endast kryptering för att autentisera klienten och servern, men skyddar inte trafik frÄn avlyssning och garanterar inte konfidentialitet för förfrÄgningar.
KĂ€lla: opennet.ru
