Ikki yillik rivojlanishdan so'ng, ISC konsorsiumi BIND 9.18 DNS serverining asosiy yangi filialining birinchi barqaror versiyasini chiqardi. 9.18 filialini qo'llab-quvvatlash kengaytirilgan qo'llab-quvvatlash tsiklining bir qismi sifatida 2 yilning 2025-choragigacha uch yil davomida taqdim etiladi. 9.11 filialini qo'llab-quvvatlash mart oyida tugaydi va 9.16 filialini qo'llab-quvvatlash 2023 yil o'rtalarida tugaydi. BIND ning keyingi barqaror versiyasining funksionalligini rivojlantirish uchun BIND 9.19.0 eksperimental filiali yaratildi.
BIND 9.18.0 versiyasi HTTPS orqali DNS (DoH, HTTPS orqali DNS) va TLS orqali DNS (DoT, TLS orqali DNS), shuningdek XoT (XFR-over-TLS) mexanizmini qo'llab-quvvatlash bilan ajralib turadi. DNS kontentini xavfsiz uzatish uchun.serverlar orasidagi zonalar (XoT orqali yuborish va qabul qilish zonalari qo'llab-quvvatlanadi). Tegishli sozlamalar bilan bitta nomli jarayon endi nafaqat an'anaviy DNS so'rovlariga, balki DNS-over-HTTPS va DNS-over-TLS yordamida yuborilgan so'rovlarga ham xizmat qilishi mumkin. DNS-over-TLS uchun mijozlarni qo'llab-quvvatlash dig yordam dasturiga o'rnatilgan bo'lib, "+tls" bayrog'i ko'rsatilganda so'rovlarni TLS orqali yuborish uchun ishlatilishi mumkin.
DoH-da qo'llaniladigan HTTP/2 protokolini amalga oshirish ixtiyoriy yig'ilishga bog'liqlik sifatida kiritilgan nghttp2 kutubxonasidan foydalanishga asoslangan. DoH va DoT sertifikatlari foydalanuvchi tomonidan taqdim etilishi yoki ishga tushirish vaqtida avtomatik ravishda yaratilishi mumkin.
DoH va DoT yordamida so'rovni qayta ishlash tinglash direktivasiga "http" va "tls" parametrlarini qo'shish orqali yoqiladi. Shifrlanmagan DNS-over-HTTP-ni qo'llab-quvvatlash uchun sozlamalarda "tls none" ni belgilashingiz kerak. Kalitlar "tls" bo'limida aniqlanadi. Standart tarmoq portlari DoT uchun 853, DoH uchun 443 va DNS-over-HTTP uchun 80 tls-port, https-port va http-port parametrlari orqali bekor qilinishi mumkin. Masalan:
tls local-tls { key-fayl "/path/to/priv_key.pem"; sertifikat fayli "/path/to/cert_chain.pem"; }; http local-http-server { endpoints { "/dns-query"; }; }; variantlar { https-port 443; tinglash porti 443 tls local-tls http myserver {har qanday;}; }
BIND-da DoH-ni amalga oshirishning xususiyatlaridan biri bu TLS sertifikatlari boshqa tizimda (masalan, veb-serverlari bo'lgan infratuzilmada) saqlanadigan sharoitlarda zarur bo'lishi mumkin bo'lgan TLS uchun shifrlash operatsiyalarini boshqa serverga o'tkazish qobiliyatidir. boshqa xodimlar tomonidan. Shifrlanmagan DNS-over-HTTP-ni qo'llab-quvvatlash nosozliklarni tuzatishni soddalashtirish va ichki tarmoqdagi boshqa serverga yo'naltirish uchun qatlam sifatida (shifrlashni alohida serverga o'tkazish uchun) amalga oshiriladi. Masofaviy serverda nginx-dan veb-saytlar uchun HTTPS ulanishi qanday tashkil qilinganiga o'xshab, TLS trafigini yaratish uchun foydalanish mumkin.
Yana bir xususiyat - DoH-ning umumiy transport sifatida integratsiyasi bo'lib, u nafaqat hal qiluvchiga mijoz so'rovlarini bajarish uchun, balki serverlar o'rtasida aloqa qilishda, nufuzli DNS serveri tomonidan zonalarni uzatishda va boshqa DNS tomonidan qo'llab-quvvatlanadigan har qanday so'rovlarni qayta ishlashda ham foydalanish mumkin. transportlar.
DoH/DoT yordamida tuzilishni o'chirib qo'yish yoki shifrlashni boshqa serverga o'tkazish orqali qoplanishi mumkin bo'lgan kamchiliklar orasida kod bazasining umumiy murakkabligi ajralib turadi - o'rnatilgan HTTP serveri va TLS kutubxonasi qo'shilgan, ular potentsial bo'lishi mumkin zaifliklar va hujumlar uchun qo'shimcha vektor sifatida ishlaydi. Bundan tashqari, DoH-dan foydalanganda trafik ko'payadi.
Eslatib o'tamiz, DNS-over-HTTPS so'ralgan xost nomlari haqidagi ma'lumotlarning provayderlarning DNS serverlari orqali sizib chiqishining oldini olish, MITM hujumlari va DNS trafigini buzish (masalan, umumiy Wi-Fi tarmog'iga ulanishda) bilan kurashish, ularga qarshi kurashish uchun foydali bo'lishi mumkin. DNS darajasida bloklash (HTTPS orqali DNS DPI darajasida amalga oshirilgan bloklashni chetlab o'tishda VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmaganda ishni tashkil qilish uchun (masalan, proksi-server orqali ishlashda). Agar oddiy holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DNS-over-HTTPS bo'lsa, host IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi. hal qiluvchi so'rovlarni Web API orqali qayta ishlaydi.
“TLS orqali DNS” standart DNS protokolidan foydalanishda (odatda tarmoq porti 853 ishlatiladi), TLS/SSL sertifikatlari orqali xostning haqiqiyligini tekshirish bilan TLS protokoli yordamida tashkil etilgan shifrlangan aloqa kanaliga oʻralgan holda “HTTPS orqali DNS”dan farq qiladi. sertifikatlashtirish organi tomonidan. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Boshqa ba'zi yangiliklar:
- TCP va UDP orqali so‘rovlarni jo‘natish va qabul qilishda foydalaniladigan buferlarning o‘lchamlarini belgilash uchun tcp-qabul-bufer, tcp-send-bufer, udp-qabul-bufer va udp-send-bufer sozlamalari qo‘shildi. Band bo'lgan serverlarda kiruvchi buferlarni ko'paytirish trafikning eng yuqori cho'qqilarida paketlarni tashlab ketmaslikka yordam beradi va ularni kamaytirish eski so'rovlar bilan xotira tiqilib qolishidan xalos bo'lishga yordam beradi.
- Yangi "rpz-passthru" jurnali toifasi qo'shildi, bu sizga RPZ (Response Policy Zones) yo'naltirish harakatlarini alohida qayd etish imkonini beradi.
- Javob siyosati bo'limida "nsdname-wait-recurse" opsiyasi qo'shildi, "no" ga o'rnatilganda RPZ NSDNAME qoidalari so'rov uchun keshda mavjud bo'lgan vakolatli nom serverlari topilgan taqdirdagina qo'llaniladi, aks holda RPZ NSDNAME qoidasi e'tiborga olinmaydi, lekin ma'lumotlar fonda olinadi va keyingi so'rovlar uchun amal qiladi.
- HTTPS va SVCB turlari bo'lgan yozuvlar uchun "QO'SHIMCHA" bo'limiga ishlov berish amalga oshirildi.
- SRV va PTR yozuvlarini yangilashni cheklash imkonini beruvchi krb5-subdomain-self-rhs va ms-subdomain-self-rhs - maxsus yangilash siyosati qoida turlari qo'shildi. Yangilash siyosati bloklari, shuningdek, har bir tur uchun individual bo'lgan yozuvlar soniga cheklovlar o'rnatish imkoniyatini qo'shadi.
- Qazish yordam dasturining chiqishiga transport protokoli (UDP, TCP, TLS, HTTPS) va DNS64 prefikslari haqida ma'lumot qo'shildi. Nosozliklarni tuzatish uchun dig ma'lum bir so'rov identifikatorini ko'rsatish imkoniyatini qo'shdi (dig +qid= ).
- OpenSSL 3.0 kutubxonasini qo'llab-quvvatlash qo'shildi.
- DNS Flag Day 2020 tomonidan aniqlangan katta DNS xabarlarini qayta ishlashda IP boʻlinishi bilan bogʻliq muammolarni hal qilish uchun soʻrovga javob boʻlmaganda EDNS buferi hajmini sozlovchi kod hal qiluvchidan olib tashlandi. EDNS bufer hajmi endi barcha chiquvchi so'rovlar uchun doimiy (edns-udp-size)ga o'rnatiladi.
- Qurilish tizimi autoconf, automake va libtool kombinatsiyasidan foydalanishga o'tkazildi.
- “Xarita” formatidagi (masterfayl formatidagi xarita) zona fayllarini qo‘llab-quvvatlash to‘xtatildi. Ushbu format foydalanuvchilariga nomli-compilezone yordam dasturidan foydalanib, zonalarni xom formatga aylantirish tavsiya etiladi.
- Eski DLZ (Dynamically Loadable Zones) drayverlarini qo'llab-quvvatlash to'xtatildi, ularning o'rniga DLZ modullari almashtirildi.
- Windows platformasi uchun yaratish va ishga tushirishni qo‘llab-quvvatlash to‘xtatildi. Windows-ga o'rnatilishi mumkin bo'lgan oxirgi filial BIND 9.16.
Manba: opennet.ru