இரண்டு வருட வளர்ச்சிக்குப் பிறகு, BIND 9.18 DNS சேவையகத்தின் முக்கிய புதிய கிளையின் முதல் நிலையான வெளியீட்டை ISC கூட்டமைப்பு வெளியிட்டுள்ளது. கிளை 9.18க்கான ஆதரவு நீட்டிக்கப்பட்ட ஆதரவு சுழற்சியின் ஒரு பகுதியாக 2 இன் 2025வது காலாண்டு வரை மூன்று ஆண்டுகளுக்கு வழங்கப்படும். 9.11 கிளைக்கான ஆதரவு மார்ச் மாதத்தில் முடிவடையும், மேலும் 9.16 கிளைக்கான ஆதரவு 2023 ஆம் ஆண்டின் மத்தியில் இருக்கும். BIND இன் அடுத்த நிலையான பதிப்பின் செயல்பாட்டை உருவாக்க, BIND 9.19.0 என்ற சோதனைக் கிளை உருவாக்கப்பட்டது.
BIND 9.18.0 இன் வெளியீடு HTTPS (DoH, DNS மூலம் HTTPS) மற்றும் DNS மூலம் TLS (DoT, DNS மூலம் TLS) மற்றும் XoT (XFR-ஓவர்-TLS) பொறிமுறையின் மூலம் DNSக்கான ஆதரவை செயல்படுத்துவதில் குறிப்பிடத்தக்கது. DNS உள்ளடக்கத்தை பாதுகாப்பான இடமாற்றத்திற்காக சேவையகங்களுக்கிடையில் மண்டலங்கள் (XoT வழியாக அனுப்புதல் மற்றும் பெறுதல் ஆகிய இரண்டும் ஆதரிக்கப்படும்). பொருத்தமான அமைப்புகளுடன், பெயரிடப்பட்ட ஒரு செயல்முறையானது இப்போது பாரம்பரிய DNS வினவல்கள் மட்டுமின்றி, DNS-over-HTTPS மற்றும் DNS-over-TLS ஆகியவற்றைப் பயன்படுத்தி அனுப்பப்படும் வினவல்களையும் வழங்க முடியும். டிஎன்எஸ்-ஓவர்-டிஎல்எஸ்க்கான கிளையண்ட் ஆதரவு டிக் யூட்டிலிட்டியில் கட்டமைக்கப்பட்டுள்ளது, இது "+tls" கொடி குறிப்பிடப்படும்போது TLS வழியாக கோரிக்கைகளை அனுப்பப் பயன்படும்.
DoH இல் பயன்படுத்தப்படும் HTTP/2 நெறிமுறையின் செயலாக்கம் nghttp2 நூலகத்தின் பயன்பாட்டை அடிப்படையாகக் கொண்டது, இது ஒரு விருப்பமான சட்டசபை சார்புநிலையாக சேர்க்கப்பட்டுள்ளது. DoH மற்றும் DoTக்கான சான்றிதழ்கள் பயனரால் வழங்கப்படலாம் அல்லது தொடக்க நேரத்தில் தானாகவே உருவாக்கப்படும்.
DoH மற்றும் DoT ஐப் பயன்படுத்தி கோரிக்கை செயலாக்கம் "http" மற்றும் "tls" விருப்பங்களை கேட்க-ஆன் கட்டளையில் சேர்ப்பதன் மூலம் இயக்கப்படுகிறது. மறைகுறியாக்கப்படாத DNS-over-HTTP ஐ ஆதரிக்க, நீங்கள் அமைப்புகளில் "tls எதுவும் இல்லை" என்பதைக் குறிப்பிட வேண்டும். விசைகள் "tls" பிரிவில் வரையறுக்கப்பட்டுள்ளன. tls-port, https-port மற்றும் http-port அளவுருக்கள் மூலம் DoTக்கான இயல்புநிலை நெட்வொர்க் போர்ட்கள் 853, DoHக்கு 443 மற்றும் DNS-over-HTTP க்கு 80 ஆகியவை மேலெழுதப்படலாம். உதாரணத்திற்கு:
tls local-tls {key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http உள்ளூர்-http-server { endpoints { "/dns-query"; }; }; விருப்பங்கள் { https-port 443; Listen-on port 443 tls local-tls http myserver {any;}; }
BIND இல் DoH செயல்படுத்தலின் அம்சங்களில் ஒன்று TLSக்கான குறியாக்க செயல்பாடுகளை மற்றொரு சேவையகத்திற்கு நகர்த்தும் திறன் ஆகும், இது TLS சான்றிதழ்கள் மற்றொரு கணினியில் சேமிக்கப்படும் (உதாரணமாக, இணைய சேவையகங்கள் உள்ள உள்கட்டமைப்பில்) மற்றும் பராமரிக்கப்படும் சூழ்நிலைகளில் அவசியமாக இருக்கலாம். மற்ற பணியாளர்களால். மறைகுறியாக்கப்படாத டிஎன்எஸ்-ஓவர்-எச்டிடிபிக்கான ஆதரவு பிழைத்திருத்தத்தை எளிதாக்கவும் மற்றும் உள் நெட்வொர்க்கில் உள்ள மற்றொரு சேவையகத்திற்கு அனுப்புவதற்கான ஒரு அடுக்காகவும் செயல்படுத்தப்படுகிறது (குறியாக்கத்தை தனி சேவையகத்திற்கு நகர்த்துவதற்கு). ரிமோட் சர்வரில், இணையதளங்களுக்கு HTTPS பிணைப்பு எவ்வாறு ஒழுங்கமைக்கப்படுகிறது என்பதைப் போலவே, TLS ட்ராஃபிக்கை உருவாக்க nginxஐப் பயன்படுத்தலாம்.
மற்றொரு அம்சம் என்னவென்றால், DoH ஐ ஒரு பொதுவான போக்குவரமாக ஒருங்கிணைப்பது, இது தீர்வுக்கான கிளையன்ட் கோரிக்கைகளை கையாள்வதற்கு மட்டுமல்லாமல், சேவையகங்களுக்கு இடையே தொடர்பு கொள்ளும்போதும், ஒரு அதிகாரபூர்வமான DNS சேவையகத்தால் மண்டலங்களை மாற்றும் போது மற்றும் பிற DNS ஆல் ஆதரிக்கப்படும் வினவல்களை செயலாக்கும்போதும் பயன்படுத்தப்படலாம். போக்குவரத்து.
DoH/DoT மூலம் உருவாக்கத்தை முடக்குவதன் மூலம் அல்லது மற்றொரு சேவையகத்திற்கு குறியாக்கத்தை நகர்த்துவதன் மூலம் ஈடுசெய்யக்கூடிய குறைபாடுகளில், குறியீடு அடிப்படையின் பொதுவான சிக்கல் தனித்து நிற்கிறது - உள்ளமைக்கப்பட்ட HTTP சேவையகம் மற்றும் TLS நூலகம் சேர்க்கப்பட்டுள்ளது. பாதிப்புகள் மற்றும் தாக்குதல்களுக்கு கூடுதல் திசையன்களாக செயல்படுகின்றன. மேலும், DoH ஐப் பயன்படுத்தும் போது, போக்குவரத்து அதிகரிக்கிறது.
வழங்குநர்களின் DNS சேவையகங்கள் மூலம் கோரப்பட்ட ஹோஸ்ட் பெயர்கள் பற்றிய தகவல் கசிவைத் தடுக்கவும், MITM தாக்குதல்கள் மற்றும் DNS டிராஃபிக் ஸ்பூஃபிங்கை எதிர்த்துப் போராடவும் (எடுத்துக்காட்டாக, பொது வைஃபையுடன் இணைக்கும்போது), எதிர்கொள்வதற்கு DNS-over-HTTPS பயனுள்ளதாக இருக்கும் என்பதை நினைவில் கொள்வோம். டிஎன்எஸ் மட்டத்தில் தடுப்பது (டிபிஐ மட்டத்தில் செயல்படுத்தப்படும் தடுப்பைத் தவிர்ப்பதில் டிஎன்எஸ்-ஓவர்-எச்டிடிபிஎஸ் VPN ஐ மாற்ற முடியாது) அல்லது டிஎன்எஸ் சேவையகங்களை நேரடியாக அணுக முடியாதபோது (உதாரணமாக, ப்ராக்ஸி மூலம் பணிபுரியும் போது) வேலைகளை ஒழுங்கமைத்தல். ஒரு சாதாரண சூழ்நிலையில் DNS கோரிக்கைகள் கணினி கட்டமைப்பில் வரையறுக்கப்பட்ட DNS சேவையகங்களுக்கு நேரடியாக அனுப்பப்பட்டால், DNS-over-HTTPS விஷயத்தில் ஹோஸ்ட் ஐபி முகவரியைக் கண்டறியும் கோரிக்கை HTTPS டிராஃபிக்கில் இணைக்கப்பட்டு HTTP சேவையகத்திற்கு அனுப்பப்படும். வலை API வழியாக கோரிக்கைகளை தீர்த்து வைக்கிறது.
TLS/SSL சான்றிதழ்கள் சான்றளிக்கப்பட்ட ஹோஸ்ட் செல்லுபடியாக்கத்துடன் TLS நெறிமுறையைப் பயன்படுத்தி ஒழுங்கமைக்கப்பட்ட மறைகுறியாக்கப்பட்ட தகவல்தொடர்பு சேனலில் மூடப்பட்ட நிலையான DNS நெறிமுறையின் பயன்பாட்டில் "DNS ஓவர் TLS" என்பது "HTTPS வழியாக DNS" இலிருந்து வேறுபடுகிறது. ஒரு சான்றிதழ் அதிகாரத்தால். தற்போதுள்ள DNSSEC தரநிலையானது கிளையன்ட் மற்றும் சர்வரை அங்கீகரிக்க மட்டுமே குறியாக்கத்தைப் பயன்படுத்துகிறது, ஆனால் குறுக்கீடுகளிலிருந்து போக்குவரத்தைப் பாதுகாக்காது மற்றும் கோரிக்கைகளின் ரகசியத்தன்மைக்கு உத்தரவாதம் அளிக்காது.
வேறு சில புதுமைகள்:
- TCP மற்றும் UDP மூலம் கோரிக்கைகளை அனுப்பும்போதும் பெறும்போதும் பயன்படுத்தப்படும் இடையகங்களின் அளவை அமைக்க tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer மற்றும் udp-send-buffer அமைப்புகள் சேர்க்கப்பட்டது. பிஸியான சர்வர்களில், இன்கமிங் பஃபர்களை அதிகரிப்பது ட்ராஃபிக் உச்சத்தின் போது பாக்கெட்டுகள் கைவிடப்படுவதைத் தவிர்க்க உதவும், மேலும் அவற்றைக் குறைப்பது பழைய கோரிக்கைகளின் நினைவக அடைப்பை அகற்ற உதவும்.
- "rpz-passthru" என்ற புதிய பதிவு வகை சேர்க்கப்பட்டுள்ளது, இது RPZ (Response Policy Zones) பகிர்தல் செயல்களை தனித்தனியாக பதிவு செய்ய உங்களை அனுமதிக்கிறது.
- பதில்-கொள்கை பிரிவில், "nsdname-wait-recurse" விருப்பம் சேர்க்கப்பட்டது, "இல்லை" என அமைக்கப்படும் போது, கோரிக்கைக்காக தற்காலிக சேமிப்பில் உள்ள அதிகாரப்பூர்வ பெயர் சேவையகங்கள் கண்டறியப்பட்டால் மட்டுமே RPZ NSDNAME விதிகள் பயன்படுத்தப்படும், இல்லையெனில் RPZ NSDNAME விதி புறக்கணிக்கப்பட்டது, ஆனால் தகவல் பின்னணியில் மீட்டெடுக்கப்பட்டு, அடுத்தடுத்த கோரிக்கைகளுக்குப் பொருந்தும்.
- HTTPS மற்றும் SVCB வகைகளைக் கொண்ட பதிவுகளுக்கு, "கூடுதல்" பிரிவின் செயலாக்கம் செயல்படுத்தப்பட்டது.
- தனிப்பயன் புதுப்பித்தல்-கொள்கை விதி வகைகள் சேர்க்கப்பட்டது - krb5-subdomain-self-rhs மற்றும் ms-subdomain-self-rhs, இது SRV மற்றும் PTR பதிவுகளின் புதுப்பிப்பைக் கட்டுப்படுத்த உங்களை அனுமதிக்கிறது. புதுப்பிப்பு-கொள்கை தொகுதிகள் ஒவ்வொரு வகைக்கும் தனித்தனியாக பதிவுகளின் எண்ணிக்கையில் வரம்புகளை அமைக்கும் திறனையும் சேர்க்கிறது.
- டிரான்ஸ்போர்ட் புரோட்டோகால் (UDP, TCP, TLS, HTTPS) மற்றும் DNS64 முன்னொட்டுகள் பற்றிய தகவல் டிக் பயன்பாட்டின் வெளியீட்டில் சேர்க்கப்பட்டது. பிழைத்திருத்த நோக்கங்களுக்காக, குறிப்பிட்ட கோரிக்கை அடையாளங்காட்டியைக் குறிப்பிடும் திறனை dig சேர்த்துள்ளது (dig +qid= )
- OpenSSL 3.0 நூலகத்திற்கான ஆதரவு சேர்க்கப்பட்டது.
- DNS கொடி நாள் 2020 இல் அடையாளம் காணப்பட்ட பெரிய DNS செய்திகளைச் செயலாக்கும் போது IP துண்டு துண்டாக உள்ள சிக்கல்களைத் தீர்க்க, கோரிக்கைக்கு எந்தப் பதிலும் இல்லாதபோது EDNS இடையக அளவைச் சரிசெய்யும் குறியீடு தீர்விலிருந்து அகற்றப்பட்டது. EDNS இடையக அளவு இப்போது அனைத்து வெளிச்செல்லும் கோரிக்கைகளுக்கும் மாறிலியாக (edns-udp-size) அமைக்கப்பட்டுள்ளது.
- உருவாக்க அமைப்பு autoconf, automake மற்றும் libtool ஆகியவற்றின் கலவையைப் பயன்படுத்துவதற்கு மாற்றப்பட்டது.
- "வரைபடம்" வடிவத்தில் (masterfile-format map) மண்டலக் கோப்புகளுக்கான ஆதரவு நிறுத்தப்பட்டது. இந்த வடிவமைப்பின் பயனர்கள் பெயரிடப்பட்ட தொகுக்கப்பட்ட பயன்பாட்டைப் பயன்படுத்தி மண்டலங்களை மூல வடிவத்திற்கு மாற்ற பரிந்துரைக்கப்படுகிறார்கள்.
- பழைய DLZ (Dynamically Loadable Zones) இயக்கிகளுக்கான ஆதரவு நிறுத்தப்பட்டது, அதற்கு பதிலாக DLZ தொகுதிகள்.
- விண்டோஸ் இயங்குதளத்திற்கான பில்ட் மற்றும் ரன் ஆதரவு நிறுத்தப்பட்டது. விண்டோஸில் நிறுவக்கூடிய கடைசி கிளை BIND 9.16 ஆகும்.
ஆதாரம்: opennet.ru