İki yıllık geliştirme sürecinin ardından ISC konsorsiyumu, BIND 9.18 DNS sunucusunun yeni ve büyük bir dalının ilk kararlı sürümünü yayınladı. Şube 9.18'e yönelik destek, uzatılmış destek döngüsünün bir parçası olarak 2'in 2025. çeyreğine kadar üç yıl süreyle sağlanacak. 9.11 şubesine yönelik destek Mart ayında, 9.16 şubesine yönelik destek ise 2023 ortasında sona erecek. BIND'in bir sonraki kararlı sürümünün işlevselliğini geliştirmek için deneysel bir BIND 9.19.0 dalı oluşturuldu.
BIND 9.18.0'ın piyasaya sürülmesi, HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) ve TLS üzerinden DNS (DoT, TLS üzerinden DNS) desteğinin yanı sıra XoT (TLS üzerinden XFR) mekanizması desteğinin uygulanması açısından dikkate değerdir. DNS içeriğinin sunucular arasında güvenli aktarımı için bölgeler (XoT aracılığıyla hem gönderme hem de alma bölgeleri desteklenir). Uygun ayarlarla, tek bir adlandırılmış işlem artık yalnızca geleneksel DNS sorgularına değil, aynı zamanda DNS-over-HTTPS ve DNS-over-TLS kullanılarak gönderilen sorgulara da hizmet verebilir. TLS üzerinden DNS için istemci desteği, "+tls" bayrağı belirtildiğinde TLS üzerinden istek göndermek için kullanılabilen dig yardımcı programında yerleşiktir.
DoH'da kullanılan HTTP/2 protokolünün uygulanması, isteğe bağlı bir derleme bağımlılığı olarak dahil edilen nghttp2 kitaplığının kullanımına dayanmaktadır. DoH ve DoT sertifikaları kullanıcı tarafından sağlanabilir veya başlatma sırasında otomatik olarak oluşturulabilir.
DoH ve DoT kullanarak istek işleme, dinleme yönergesine "http" ve "tls" seçeneklerinin eklenmesiyle etkinleştirilir. Şifrelenmemiş DNS-over-HTTP'yi desteklemek için ayarlarda “tls none” seçeneğini belirtmelisiniz. Anahtarlar "tls" bölümünde tanımlanır. DoT için varsayılan ağ bağlantı noktaları 853, DoH için 443 ve DNS-over-HTTP için 80, tls-port, https-port ve http-port parametreleri aracılığıyla geçersiz kılınabilir. Örneğin:
tls local-tls { anahtar dosyası "/yol/giden/özel_anahtar.pem"; cert-file "/path/to/cert_chain.pem"; }; http yerel-http-sunucusu { uç noktalar { "/dns-query"; }; }; seçenekler { https-port 443; dinleme bağlantı noktası 443 tls local-tls http sunucum {any;}; }
BIND'deki DoH uygulamasının özelliklerinden biri, TLS sertifikalarının başka bir sistemde saklandığı (örneğin, web sunucularının bulunduğu bir altyapıda) ve muhafaza edildiği durumlarda gerekli olabilecek, TLS için şifreleme işlemlerini başka bir sunucuya taşıma yeteneğidir. diğer personel tarafından. Şifrelenmemiş HTTP üzerinden DNS desteği, hata ayıklamayı basitleştirmek ve dahili ağdaki başka bir sunucuya iletmek için bir katman olarak (şifrelemeyi ayrı bir sunucuya taşımak için) uygulanır. Uzak bir sunucuda, web siteleri için HTTPS bağlamanın düzenlenmesine benzer şekilde, nginx TLS trafiği oluşturmak için kullanılabilir.
Diğer bir özellik ise DoH'nin, yalnızca çözümleyiciye gelen istemci isteklerini işlemek için değil, aynı zamanda sunucular arasında iletişim kurarken, bölgeleri yetkili bir DNS sunucusu tarafından aktarırken ve diğer DNS tarafından desteklenen sorguları işlerken de kullanılabilecek genel bir aktarım olarak entegrasyonudur. taşır.
DoH/DoT ile derlemeyi devre dışı bırakarak veya şifrelemeyi başka bir sunucuya taşıyarak telafi edilebilecek eksiklikler arasında, kod tabanının genel komplikasyonu öne çıkıyor; potansiyel olarak güvenlik açıkları içerebilecek yerleşik bir HTTP sunucusu ve TLS kitaplığı eklendi ve ek saldırı vektörleri olarak hareket eder. Ayrıca DoH kullanıldığında trafik artar.
HTTPS üzerinden DNS'nin, talep edilen ana bilgisayar adları hakkındaki bilgilerin sağlayıcıların DNS sunucuları üzerinden sızmasını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, genel Wi-Fi'ye bağlanırken), karşı saldırıları engellemek için yararlı olabileceğini hatırlayalım. DNS düzeyinde engelleme (HTTPS üzerinden DNS, DPI düzeyinde uygulanan engellemeyi atlarken bir VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişmenin imkansız olduğu durumlarda (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normal bir durumda DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirse, HTTPS üzerinden DNS durumunda, ana bilgisayar IP adresini belirleme isteği HTTPS trafiğinde kapsüllenir ve HTTP sunucusuna gönderilir; burada çözümleyici istekleri Web API aracılığıyla işler.
"TLS üzerinden DNS", sertifikalı TLS/SSL sertifikaları aracılığıyla ana bilgisayar geçerliliği kontrolü ile TLS protokolü kullanılarak düzenlenen şifreli bir iletişim kanalına sarılmış standart DNS protokolünün (genellikle ağ bağlantı noktası 853 kullanılır) kullanımı açısından "HTTPS üzerinden DNS"den farklıdır. bir sertifika yetkilisi tarafından. Mevcut DNSSEC standardı şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Diğer bazı yenilikler:
- TCP ve UDP üzerinden istek gönderip alırken kullanılan arabelleklerin boyutlarını ayarlamak için tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer ve udp-send-buffer ayarları eklendi. Meşgul sunucularda, gelen arabelleklerin arttırılması, trafiğin yoğun olduğu zamanlarda paketlerin düşmesini engellemeye yardımcı olur ve bunların azaltılması, eski istekler nedeniyle hafızanın tıkanmasından kurtulmaya yardımcı olur.
- RPZ (Yanıt Politikası Bölgeleri) iletme eylemlerini ayrı ayrı kaydetmenize olanak tanıyan yeni bir günlük kategorisi "rpz-passthru" eklendi.
- Yanıt politikası bölümünde “nsdname-wait-recurse” seçeneği eklendi, “no” olarak ayarlandığında RPZ NSDNAME kuralları yalnızca istek için önbellekte bulunan yetkili ad sunucuları bulunursa uygulanır, aksi takdirde RPZ NSDNAME kuralları uygulanır. RPZ NSDNAME kuralı yok sayılır ancak bilgiler arka planda alınır ve sonraki isteklere uygulanır.
- HTTPS ve SVCB tipindeki kayıtlar için “EK” bölümünün işlenmesi uygulanmıştır.
- SRV ve PTR kayıtlarının güncellenmesini sınırlamanıza olanak tanıyan özel güncelleme politikası kural türleri eklendi - krb5-subdomain-self-rhs ve ms-subdomain-self-rhs. Güncelleme politikası blokları ayrıca her tür için ayrı ayrı kayıt sayısına sınır koyma olanağı da sağlar.
- Dig yardımcı programının çıktısına aktarım protokolü (UDP, TCP, TLS, HTTPS) ve DNS64 önekleri hakkında bilgi eklendi. Hata ayıklama amacıyla dig, belirli bir istek tanımlayıcısını belirtme yeteneğini ekledi (dig +qid= ).
- OpenSSL 3.0 kitaplığı için destek eklendi.
- DNS Bayrak Günü 2020 tarafından tanımlanan büyük DNS mesajlarını işlerken IP parçalanmasıyla ilgili sorunları çözmek için, bir isteğe yanıt olmadığında EDNS arabellek boyutunu ayarlayan kod çözümleyiciden kaldırıldı. EDNS arabellek boyutu artık tüm giden istekler için sabit (edns-udp-size) olarak ayarlanmıştır.
- Derleme sistemi, autoconf, automake ve libtool'un bir kombinasyonunu kullanmaya değiştirildi.
- “Harita” formatındaki (ana dosya formatındaki harita) bölge dosyalarına yönelik destek durdurulmuştur. Bu formatın kullanıcılarının, adlandırılmış-compilezone yardımcı programını kullanarak bölgeleri ham formata dönüştürmeleri önerilir.
- Eski DLZ (Dinamik Olarak Yüklenebilir Bölgeler) sürücülerine yönelik destek durduruldu ve yerini DLZ modülleri aldı.
- Windows platformu için derleme ve çalıştırma desteği durduruldu. Windows'a kurulabilecek son dal BIND 9.16'dır.
Kaynak: opennet.ru