BIND DNS سرور کے ڈویلپرز نے DNS پر HTTPS (DoH, DNS over HTTPS) اور DNS پر TLS (DoT, DNS over TLS) کے ساتھ ساتھ محفوظ کے لیے XFR-over-TLS میکانزم کے لیے سرور سپورٹ کے اضافے کا اعلان کیا۔ DNS زونز کے مواد کو سرورز کے درمیان منتقل کرنا۔ DoH ریلیز 9.17 میں جانچ کے لیے دستیاب ہے، اور DoT سپورٹ ریلیز 9.17.10 کے بعد سے موجود ہے۔ استحکام کے بعد، DoT اور DoH سپورٹ کو مستحکم 9.17.7 برانچ میں واپس کر دیا جائے گا۔
DoH میں استعمال ہونے والے HTTP/2 پروٹوکول کا نفاذ nghttp2 لائبریری کے استعمال پر مبنی ہے، جو اسمبلی کے انحصار میں شامل ہے (مستقبل میں، لائبریری کو اختیاری انحصار کی تعداد میں منتقل کرنے کا منصوبہ ہے)۔ دونوں انکرپٹڈ (TLS) اور غیر مرموز HTTP/2 کنکشن تعاون یافتہ ہیں۔ مناسب ترتیبات کے ساتھ، ایک واحد نام کا عمل اب نہ صرف روایتی DNS سوالات بلکہ DoH (DNS-over-HTTPS) اور DoT (DNS-over-TLS) کا استعمال کرتے ہوئے بھیجے گئے سوالات بھی پیش کر سکتا ہے۔ کلائنٹ سائڈ (dig) پر HTTPS سپورٹ ابھی تک نافذ نہیں ہوا ہے۔ XFR-over-TLS تعاون ان باؤنڈ اور آؤٹ باؤنڈ دونوں درخواستوں کے لیے دستیاب ہے۔
DoH اور DoT کا استعمال کرتے ہوئے درخواست کی پروسیسنگ کو سننے کی ہدایت میں HTTP اور tls کے اختیارات شامل کرکے فعال کیا جاتا ہے۔ غیر خفیہ کردہ DNS-over-HTTP کو سپورٹ کرنے کے لیے، آپ کو سیٹنگز میں "tls none" کی وضاحت کرنی چاہیے۔ کلیدوں کی وضاحت "tls" سیکشن میں کی گئی ہے۔ ڈیفالٹ نیٹ ورک پورٹس 853 DoT کے لیے، 443 DoH کے لیے اور 80 DNS-over-HTTP کے لیے tls-port، https-port اور HTTP-port پیرامیٹرز کے ذریعے اوور رائڈ کیے جا سکتے ہیں۔ مثال کے طور پر: tls local-tls { key-file "/path/to/priv_key.pem"؛ cert-file "/path/to/cert_chain.pem"؛ }; http لوکل-http-سرور { اختتامی پوائنٹس { "/dns-query"؛ }; }; اختیارات { https-port 443؛ سننے پر پورٹ 443 tls local-tls HTTP myserver {any;}; }
BIND میں DoH کے نفاذ کی خصوصیات میں سے، انضمام کو ایک عام نقل و حمل کے طور پر نوٹ کیا جاتا ہے، جو نہ صرف کلائنٹ کی درخواستوں کو حل کرنے کے لیے استعمال کیا جا سکتا ہے، بلکہ سرورز کے درمیان ڈیٹا کا تبادلہ کرتے وقت، ایک مستند DNS سرور کے ذریعے زون کی منتقلی کے وقت، اور دیگر DNS ٹرانسپورٹ کے ذریعے سپورٹ کردہ کسی بھی درخواست پر کارروائی کرتے وقت
ایک اور خصوصیت TLS کے لیے انکرپشن آپریشنز کو دوسرے سرور میں منتقل کرنے کی صلاحیت ہے، جو ان حالات میں ضروری ہو سکتی ہے جہاں TLS سرٹیفکیٹس کو کسی دوسرے سسٹم پر محفوظ کیا جاتا ہے (مثال کے طور پر، ویب سرورز کے ساتھ انفراسٹرکچر میں) اور دوسرے عملے کے ذریعے برقرار رکھا جاتا ہے۔ غیر انکرپٹڈ DNS-over-HTTP کے لیے سپورٹ ڈیبگنگ کو آسان بنانے اور اندرونی نیٹ ورک میں فارورڈنگ کے لیے ایک پرت کے طور پر لاگو کیا جاتا ہے، جس کی بنیاد پر کسی دوسرے سرور پر انکرپشن کو منظم کیا جا سکتا ہے۔ ریموٹ سرور پر، nginx کو TLS ٹریفک پیدا کرنے کے لیے استعمال کیا جا سکتا ہے، جیسا کہ ویب سائٹس کے لیے HTTPS بائنڈنگ کو منظم کیا جاتا ہے۔
ہمیں یاد کرنا چاہیے کہ DNS-over-HTTPS فراہم کنندگان کے DNS سرورز کے ذریعے درخواست کردہ میزبان ناموں کے بارے میں معلومات کے لیک ہونے کو روکنے، MITM حملوں اور DNS ٹریفک سپوفنگ (مثال کے طور پر، عوامی وائی فائی سے منسلک ہونے پر) کا مقابلہ کرنے کے لیے کارآمد ثابت ہو سکتا ہے۔ DNS سطح پر بلاک کرنا (DNS-over-HTTPS DPI سطح پر لاگو ہونے والی بلاکنگ کو نظرانداز کرنے میں VPN کی جگہ نہیں لے سکتا) یا کام کو منظم کرنے کے لیے جب DNS سرورز تک براہ راست رسائی ناممکن ہو (مثال کے طور پر، جب پراکسی کے ذریعے کام کرنا)۔ اگر عام صورت حال میں ڈی این ایس کی درخواستیں سسٹم کنفیگریشن میں بیان کردہ ڈی این ایس سرورز کو براہ راست بھیجی جاتی ہیں، تو DNS-اوور-HTTPS کی صورت میں میزبان IP ایڈریس کا تعین کرنے کی درخواست HTTPS ٹریفک میں سمیٹی جاتی ہے اور HTTP سرور کو بھیجی جاتی ہے، جہاں حل کرنے والا ویب API کے ذریعے درخواستوں پر کارروائی کرتا ہے۔
معیاری DNS پروٹوکول (نیٹ ورک پورٹ 853 عام طور پر استعمال کیا جاتا ہے) کے استعمال میں "DNS اوور TLS" "DNS over HTTPS" سے مختلف ہے، TLS/SSL سرٹیفکیٹس کے ذریعے میزبان کی درستگی کی جانچ کے ساتھ TLS پروٹوکول کا استعمال کرتے ہوئے منظم کردہ ایک خفیہ مواصلاتی چینل میں لپیٹا جاتا ہے۔ ایک سرٹیفیکیشن اتھارٹی کی طرف سے. موجودہ DNSSEC معیار صرف کلائنٹ اور سرور کی توثیق کرنے کے لیے خفیہ کاری کا استعمال کرتا ہے، لیکن ٹریفک کو رکاوٹ سے محفوظ نہیں رکھتا اور درخواستوں کی رازداری کی ضمانت نہیں دیتا۔
ماخذ: opennet.ru