BIND DNS sunucusunun geliştiricileri, HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) ve TLS üzerinden DNS (DoT, TLS üzerinden DNS) teknolojilerinin yanı sıra güvenlik için XFR-over-TLS mekanizması için sunucu desteğinin eklendiğini duyurdu. DNS bölgelerinin içeriklerinin sunucular arasında aktarılması. DoH, 9.17 sürümünde test için mevcuttur ve DoT desteği, 9.17.10 sürümünden beri mevcuttur. Stabilizasyondan sonra DoT ve DoH desteği, stabil 9.17.7 şubesine desteklenecektir.
DoH'da kullanılan HTTP/2 protokolünün uygulanması, derleme bağımlılıkları arasında yer alan nghttp2 kütüphanesinin kullanımına dayanmaktadır (ileride kütüphanenin isteğe bağlı bağımlılık sayısına aktarılması planlanmaktadır). Hem şifreli (TLS) hem de şifresiz HTTP/2 bağlantıları desteklenir. Uygun ayarlarla, tek bir adlandırılmış işlem artık yalnızca geleneksel DNS sorgularını değil, aynı zamanda DoH (DNS-over-HTTPS) ve DoT (DNS-over-TLS) kullanılarak gönderilen sorguları da sunabilir. İstemci tarafında HTTPS desteği (dig) henüz uygulanmamıştır. TLS üzerinden XFR desteği hem gelen hem de giden istekler için mevcuttur.
DoH ve DoT kullanarak istek işleme, dinleme yönergesine http ve tls seçenekleri eklenerek etkinleştirilir. Şifrelenmemiş DNS-over-HTTP'yi desteklemek için ayarlarda "tls none" seçeneğini belirtmelisiniz. Anahtarlar "tls" bölümünde tanımlanır. DoT için varsayılan ağ bağlantı noktaları 853, DoH için 443 ve DNS-over-HTTP için 80, tls-port, https-port ve http-port parametreleri aracılığıyla geçersiz kılınabilir. Örneğin: tls local-tls { key-file "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http yerel-http-sunucusu { uç noktalar { "/dns-query"; }; }; seçenekler { https-port 443; dinleme bağlantı noktası 443 tls local-tls http sunucum {any;}; }
BIND'deki DoH uygulamasının özellikleri arasında entegrasyon, yalnızca istemci isteklerini çözümleyiciye işlemek için değil, aynı zamanda sunucular arasında veri alışverişi yaparken, bölgeleri yetkili bir DNS sunucusu tarafından aktarırken kullanılabilecek genel bir aktarım olarak belirtilmektedir. diğer DNS aktarımları tarafından desteklenen istekleri işlerken.
Diğer bir özellik ise TLS sertifikalarının başka bir sistemde saklandığı (örneğin web sunucularının bulunduğu bir altyapıda) ve bakımının başka personel tarafından yapıldığı durumlarda gerekli olabilecek TLS'ye yönelik şifreleme işlemlerini başka bir sunucuya taşıyabilme yeteneğidir. Şifrelenmemiş HTTP üzerinden DNS desteği, hata ayıklamayı basitleştirmek ve şifrelemenin başka bir sunucuda düzenlenebileceği temel alınarak dahili ağda iletme katmanı olarak uygulanır. Uzak bir sunucuda, web siteleri için HTTPS bağlamanın düzenlenmesine benzer şekilde, nginx TLS trafiği oluşturmak için kullanılabilir.
HTTPS üzerinden DNS'nin, talep edilen ana bilgisayar adları hakkındaki bilgilerin sağlayıcıların DNS sunucuları üzerinden sızmasını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, genel Wi-Fi'ye bağlanırken), karşı saldırıları engellemek için yararlı olabileceğini hatırlayalım. DNS düzeyinde engelleme (HTTPS üzerinden DNS, DPI düzeyinde uygulanan engellemeyi atlarken bir VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişmenin imkansız olduğu durumlarda (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normal bir durumda DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirse, HTTPS üzerinden DNS durumunda, ana bilgisayar IP adresini belirleme isteği HTTPS trafiğinde kapsüllenir ve HTTP sunucusuna gönderilir; burada çözümleyici istekleri Web API aracılığıyla işler.
"TLS üzerinden DNS", sertifikalı TLS/SSL sertifikaları aracılığıyla ana bilgisayar geçerliliği kontrolü ile TLS protokolü kullanılarak düzenlenen şifreli bir iletişim kanalına sarılmış standart DNS protokolünün (genellikle ağ bağlantı noktası 853 kullanılır) kullanımı açısından "HTTPS üzerinden DNS"den farklıdır. bir sertifika yetkilisi tarafından. Mevcut DNSSEC standardı şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Kaynak: opennet.ru