ProHoster > Ibhulogi > iindaba ze-intanethi > Inkxaso yovavanyo ye-DNS-over-HTTPS yongezwe kwi-BIND DNS server

Inkxaso yovavanyo ye-DNS-over-HTTPS yongezwe kwi-BIND DNS server

Π Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ DNS-сСрвСра BIND сообщили ΠΎ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠΈ Π² ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½ΡƒΡŽ Π²Π΅Ρ‚ΠΊΡƒ 9.17 Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ сСрвСрной ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ Β«DNS ΠΏΠΎΠ²Π΅Ρ€Ρ… HTTPSΒ» (DoH, DNS over HTTPS) ΠΈ DNS ΠΏΠΎΠ²Π΅Ρ€Ρ… TLS (DoT, DNS over TLS), Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠ° XFR-over-TLS для бСзопасной ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ содСрТимого DNS-Π·ΠΎΠ½ ΠΌΠ΅ΠΆΠ΄Ρƒ сСрвСрами. DoH доступСн для тСстирования Π² выпускС 9.17.10, Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° DoT присутствуСт начиная с выпуска 9.17.7. ПослС стабилизации ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° DoT ΠΈ DoH Π±ΡƒΠ΄Π΅Ρ‚ бэкпортирована Π² ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½ΡƒΡŽ Π²Π΅Ρ‚ΠΊΡƒ 9.16.

РСализация ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° HTTP/2, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ Π² DoH, основана Π½Π° ΠΏΡ€ΠΈΠΌΠ΅Π½Π΅Π½ΠΈΠΈ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ nghttp2, которая Π²ΠΊΠ»ΡŽΡ‡Π΅Π½Π° Π² число сборочных зависимостСй (Π² дальнСйшСм Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΡƒ планируСтся пСрСвСсти Π² число Π½Π΅ΠΎΠ±ΡΠ·Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… зависимостСй). ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‚ΡΡ ΠΊΠ°ΠΊ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ (TLS), Ρ‚Π°ΠΊ ΠΈ Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ соСдинСния ΠΏΠΎ HTTP/2. ΠŸΡ€ΠΈ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… настройках ΠΎΠ΄ΠΈΠ½ процСсс named Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Ρ‚Ρ€Π°Π΄ΠΈΡ†ΠΈΠΎΠ½Π½Ρ‹Π΅ DNS-запросы, Π½ΠΎ ΠΈ запросы, ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹Π΅ с использованиСм DoH (DNS-over-HTTPS) ΠΈ DoT (DNS-over-TLS). ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° HTTPS Π½Π° сторонС ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° (dig) ΠΏΠΎΠΊΠ° Π½Π΅ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π°. ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° XFR-over-TLS доступна ΠΊΠ°ΠΊ для входящих, Ρ‚Π°ΠΊ ΠΈ для исходящих запросов.

ΠžΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ° запросов с использованиСм DoH ΠΈ DoT Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Ρ‡Π΅Ρ€Π΅Π· Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΈΠ΅ ΠΎΠΏΡ†ΠΈΠΉ http ΠΈ tls Π² Π΄ΠΈΡ€Π΅ΠΊΡ‚ΠΈΠ²Π΅ listen-on. Для ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ DNS-over-HTTP Π² настройках слСдуСт ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Β«tls noneΒ». ΠšΠ»ΡŽΡ‡ΠΈ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‚ΡΡ Π² сСкции Β«tlsΒ». Π‘Ρ‚Π°Π½Π΄Π°Ρ€Ρ‚Π½Ρ‹Π΅ сСтСвыС ΠΏΠΎΡ€Ρ‚Ρ‹ 853 для DoT, 443 для DoH ΠΈ 80 для DNS-over-HTTP ΠΌΠΎΠ³ΡƒΡ‚ Π±Ρ‹Ρ‚ΡŒ ΠΏΠ΅Ρ€Π΅ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Ρ‹ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€Ρ‹ tls-port, https-port ΠΈ http-port. НапримСр: tls local-tls { key-file Β«/path/to/priv_key.pemΒ»; cert-file Β«/path/to/cert_chain.pemΒ»; }; http local-http-server { endpoints { Β«/dns-queryΒ»; }; }; options { https-port 443; listen-on port 443 tls local-tls http myserver {any;}; }

Из особСнностСй Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ DoH Π² BIND отмСчаСтся интСграция Π² качСствС ΠΎΠ±Ρ‰Π΅Π³ΠΎ транспорта, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ для ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ запросов ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ² ΠΊ Ρ€Π΅Π·ΠΎΠ»Π²Π΅Ρ€Ρƒ, Π½ΠΎ ΠΈ ΠΏΡ€ΠΈ ΠΎΠ±ΠΌΠ΅Π½Π΅ Π΄Π°Π½Π½Ρ‹ΠΌΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ сСрвСрами, ΠΏΡ€ΠΈ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ Π·ΠΎΠ½ Π°Π²Ρ‚ΠΎΡ€ΠΈΡ‚Π΅Ρ‚Π½Ρ‹ΠΌ DNS-сСрвСром ΠΈ ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Π»ΡŽΠ±Ρ‹Ρ… запросов, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΡ‹Ρ… Π΄Ρ€ΡƒΠ³ΠΈΠΌΠΈ транспортами DNS.

Π”Ρ€ΡƒΠ³ΠΎΠΉ особСнности являСтся Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ выноса ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ для TLS Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ сСрвСр, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡ‚ΡŒΡΡ Π² условиях, ΠΊΠΎΠ³Π΄Π° Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ TLS-сСртификатов осущСствляСтся Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΉ систСмС (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π² инфраструктурС с web-сСрвСрами) ΠΈ обслуТиваСтся Π΄Ρ€ΡƒΠ³ΠΈΠΌ пСрсоналом. ΠŸΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π½Π΅Π·Π°ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ DNS-over-HTTP Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° для упрощСния ΠΎΡ‚Π»Π°Π΄ΠΊΠΈ ΠΈ ΠΊΠ°ΠΊ ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ для проброса Π²ΠΎ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅ΠΉ сСти, Π½Π° Π±Π°Π·Π΅ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ Π½Π° Π΄Ρ€ΡƒΠ³ΠΎΠΌ сСрвСрС ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅. На выносном сСрвСрС для формирования TLS-Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ° ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ nginx, ΠΏΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с Ρ‚Π΅ΠΌ, ΠΊΠ°ΠΊ организуСтся обвязка HTTPS для сайтов.

Masikhumbule ukuba i-DNS-over-HTTPS inokuba luncedo ekuthinteleni ukuvuza kolwazi malunga namagama aceliwe abamba ngomncedisi we-DNS wababoneleli, ukulwa nokuhlaselwa kwe-MITM kunye ne-DNS traffic spoofing (umzekelo, xa udibanisa kwi-Wi-Fi yoluntu), ukubala. ukuvimba kwinqanaba le-DNS (i-DNS-over-HTTPS ayinakuthatha indawo ye-VPN kwi-blocking blocking ephunyezwe kwinqanaba le-DPI) okanye ukulungelelanisa umsebenzi xa kungenakwenzeka ukufikelela ngokuthe ngqo kwiiseva ze-DNS (umzekelo, xa usebenza nge-proxy). Ukuba kwimeko yesiqhelo izicelo ze-DNS zithunyelwa ngokuthe ngqo kwiiseva ze-DNS ezichazwe kuqwalaselo lwenkqubo, ngoko kwimeko ye-DNS-over-HTTPS isicelo sokumisela idilesi ye-IP yomkhosi ifakwe kwi-traffic ye-HTTPS kwaye ithunyelwe kumncedisi we-HTTP, apho umsombululi uqhuba izicelo ngeWeb API.

"I-DNS phezu kwe-TLS" yahlukile kwi-"DNS phezu kwe-HTTPS" ekusetyenzisweni kweprotocol ye-DNS eqhelekileyo (i-network port 853 idla ngokusetyenziswa), isongelwe kwisitishi sonxibelelwano esifihliweyo esicwangciswe kusetyenziswa iprothokholi ye-TLS kunye nokuqinisekisa ukuba ngumamkeli ngezatifikethi ze-TLS/SSL eziqinisekisiweyo. ngugunyaziwe woqinisekiso. Umgangatho okhoyo we-DNSSEC usebenzisa i-encryption kuphela ukuqinisekisa umxhasi kunye neseva, kodwa ayikhuseli i-traffic kwi-interception kwaye ayiqinisekisi ubumfihlo bezicelo.

umthombo: opennet.ru

Yongeza izimvo