ProHoster > Блог > ayelujara iroyin > Itusilẹ ti BIND DNS Server 9.18.0 pẹlu atilẹyin fun DNS-over-TLS ati DNS-over-HTTPS

Itusilẹ ti BIND DNS Server 9.18.0 pẹlu atilẹyin fun DNS-over-TLS ati DNS-over-HTTPS

Lẹhin ọdun meji ti idagbasoke, ISC consortium ti tu idasilẹ iduroṣinṣin akọkọ ti ẹka tuntun pataki ti olupin BIND 9.18 DNS. Atilẹyin fun ẹka 9.18 ni yoo pese fun ọdun mẹta titi di 2nd mẹẹdogun ti 2025 gẹgẹ bi apakan ti ọna atilẹyin ti o gbooro sii. Atilẹyin fun ẹka 9.11 yoo pari ni Oṣu Kẹta, ati atilẹyin fun ẹka 9.16 ni aarin-2023. Lati ṣe idagbasoke iṣẹ ṣiṣe ti ẹya iduroṣinṣin ti atẹle ti BIND, ẹka idanwo BIND 9.19.0 ti ṣe agbekalẹ.

Itusilẹ ti BIND 9.18.0 jẹ ohun akiyesi fun imuse ti atilẹyin fun DNS lori HTTPS (DoH, DNS lori HTTPS) ati DNS lori TLS (DoT, DNS lori TLS), bakanna bi ilana XoT (XFR-over-TLS) fun gbigbe ni aabo ti akoonu DNS. awọn agbegbe laarin awọn olupin (firanṣẹ ati gbigba awọn agbegbe nipasẹ XoT ni atilẹyin). Pẹlu awọn eto ti o yẹ, ilana ti a darukọ ẹyọkan le ṣe iranṣẹ kii ṣe awọn ibeere DNS ti aṣa nikan, ṣugbọn awọn ibeere ti a firanṣẹ pẹlu lilo DNS-over-HTTPS ati DNS-over-TLS. Atilẹyin alabara fun DNS-over-TLS ti wa ni itumọ sinu ohun elo iwo, eyiti o le ṣee lo lati firanṣẹ awọn ibeere lori TLS nigbati “+ tls” ti tọka si.

Imuse ilana HTTP/2 ti a lo ni DoH da lori lilo ile-ikawe nghttp2, eyiti o wa pẹlu igbẹkẹle apejọ yiyan. Awọn iwe-ẹri fun DoH ati DoT le jẹ ipese nipasẹ olumulo tabi ṣe ipilẹṣẹ laifọwọyi ni akoko ibẹrẹ.

Sisẹ ibeere nipa lilo DoH ati DoT ti ṣiṣẹ nipasẹ fifi “http” ati awọn aṣayan “tls” kun si itọsọna tẹtisi. Lati ṣe atilẹyin fun unencrypted DNS-over-HTTP, o yẹ ki o pato “tls ko si” ninu awọn eto. Awọn bọtini ti wa ni asọye ni apakan "tls". Awọn ibudo nẹtiwọọki aiyipada 853 fun DoT, 443 fun DoH ati 80 fun DNS-over-HTTP ni a le bori nipasẹ tls-port, https-port ati awọn paramita ibudo http. Fun apere:

tls local-tls {faili bọtini-bọtini "/path/to/priv_key.pem"; cert-file "/path/to/cert_chain.pem"; }; http local-http-server {awọn aaye ipari {"/ dns-query"; }; }; awọn aṣayan {https-ibudo 443; gbo-lori ibudo 443 tls local-tls http myserver {eyikeyi;}; }

Ọkan ninu awọn ẹya ti imuse DoH ni BIND ni agbara lati gbe awọn iṣẹ fifi ẹnọ kọ nkan fun TLS si olupin miiran, eyiti o le jẹ pataki ni awọn ipo nibiti a ti fipamọ awọn iwe-ẹri TLS sori eto miiran (fun apẹẹrẹ, ninu awọn amayederun pẹlu awọn olupin wẹẹbu) ati ṣetọju nipasẹ miiran eniyan. Atilẹyin fun DNS-over-HTTP ti a ko paro ni imuse lati jẹ ki n ṣatunṣe aṣiṣe rọrun ati bi Layer fun fifiranṣẹ si olupin miiran lori nẹtiwọọki inu (fun gbigbe fifi ẹnọ kọ nkan si olupin lọtọ). Lori olupin latọna jijin, nginx le ṣee lo lati ṣe agbejade ijabọ TLS, ti o jọra si bii o ṣe ṣeto abuda HTTPS fun awọn oju opo wẹẹbu.

Ẹya miiran ni isọpọ ti DoH gẹgẹbi irinna gbogbogbo ti o le ṣee lo kii ṣe lati mu awọn ibeere alabara nikan si olupinnu, ṣugbọn tun nigba ibaraẹnisọrọ laarin awọn olupin, nigba gbigbe awọn agbegbe nipasẹ olupin DNS ti o ni aṣẹ, ati nigbati o ba n ṣiṣẹ awọn ibeere eyikeyi ti atilẹyin nipasẹ DNS miiran. awọn gbigbe.

Lara awọn ailagbara ti o le sanpada fun nipa didaṣe ikole pẹlu DoH/DoT tabi gbigbe fifi ẹnọ kọ nkan si olupin miiran, ilolu gbogbogbo ti ipilẹ koodu duro jade - olupin HTTP ti a ṣe sinu ati ile-ikawe TLS ti wa ni afikun, eyiti o le ni ninu. awọn ailagbara ati sise bi awọn apaniyan afikun fun awọn ikọlu. Paapaa, nigba lilo DoH, ijabọ n pọ si.

Jẹ ki a ranti pe DNS-over-HTTPS le wulo fun idilọwọ awọn n jo ti alaye nipa awọn orukọ agbalejo ti o beere nipasẹ awọn olupin DNS ti awọn olupese, koju awọn ikọlu MITM ati jija ijabọ DNS (fun apẹẹrẹ, nigbati o ba sopọ si Wi-Fi ti gbogbo eniyan), koju dina ni ipele DNS (DNS-over-HTTPS ko le rọpo VPN kan ni didi idinamọ ti a ṣe ni ipele DPI) tabi fun siseto iṣẹ nigbati ko ṣee ṣe lati wọle si awọn olupin DNS taara (fun apẹẹrẹ, nigba ṣiṣẹ nipasẹ aṣoju). Ti o ba wa ni ipo deede awọn ibeere DNS ni a firanṣẹ taara si awọn olupin DNS ti o ṣalaye ninu iṣeto eto, lẹhinna ninu ọran ti DNS-over-HTTPS ibeere lati pinnu adiresi IP agbalejo ti wa ni ifipamo ni ijabọ HTTPS ati firanṣẹ si olupin HTTP, nibiti awọn ibeere ilana ipinnu nipasẹ API Wẹẹbu.

“DNS lori TLS” yato si “DNS lori HTTPS” ni lilo boṣewa DNS Ilana (ibudo nẹtiwọki 853 nigbagbogbo lo), ti a we sinu ikanni ibaraẹnisọrọ ti paroko ti a ṣeto ni lilo ilana TLS pẹlu ṣiṣe ayẹwo ijẹrisi ogun nipasẹ awọn iwe-ẹri TLS/SSL nipasẹ aṣẹ iwe-ẹri. Boṣewa DNSSEC ti o wa tẹlẹ nlo fifi ẹnọ kọ nkan nikan lati jẹri alabara ati olupin, ṣugbọn ko daabobo ijabọ lati interception ati pe ko ṣe iṣeduro asiri awọn ibeere.

Diẹ ninu awọn imotuntun miiran:

  • Ṣafikun tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer ati udp-send-buffer eto lati ṣeto awọn iwọn ti awọn buffers ti a lo nigbati fifiranṣẹ ati gbigba awọn ibeere lori TCP ati UDP. Lori awọn olupin ti o nšišẹ, jijẹ awọn buffers ti nwọle yoo ṣe iranlọwọ yago fun awọn apo-iwe silẹ lakoko awọn oke opopona, ati idinku wọn yoo ṣe iranlọwọ lati yọkuro idilọ iranti pẹlu awọn ibeere atijọ.
  • Ẹka akọọlẹ tuntun “rpz-passthru” ti ṣafikun, eyiti o fun ọ laaye lati wọle lọtọ RPZ (Awọn agbegbe Afihan Idahun) awọn iṣe fifiranšẹ.
  • Ni apakan esi-eto imulo, aṣayan “nsdname-wait-recurse” ti ṣafikun, nigbati o ba ṣeto si “Bẹẹkọ”, awọn ofin RPZ NSDNAME ni a lo nikan ti awọn olupin orukọ ti o ni aṣẹ ti o wa ninu kaṣe ni a rii fun ibeere naa, bibẹẹkọ Ofin RPZ NSDNAME ko bikita, ṣugbọn alaye naa ti gba pada ni abẹlẹ o kan si awọn ibeere ti o tẹle.
  • Fun awọn igbasilẹ pẹlu HTTPS ati awọn oriṣi SVCB, sisẹ ti apakan “ADDITIONAL” ti ni imuse.
  • Awọn iru ofin imudojuiwọn aṣa ti a ṣafikun - krb5-subdomain-self-rhs ati ms-subdomain-self-rhs, eyiti o gba ọ laaye lati ṣe idinwo imudojuiwọn ti SRV ati awọn igbasilẹ PTR. Awọn bulọọki-imudojuiwọn tun ṣafikun agbara lati ṣeto awọn opin lori nọmba awọn igbasilẹ, ẹni kọọkan fun iru kọọkan.
  • Alaye ti a ṣafikun nipa ilana gbigbe (UDP, TCP, TLS, HTTPS) ati awọn ami-iṣaaju DNS64 si iṣelọpọ ti ohun elo iwo. Fun awọn idi ti n ṣatunṣe aṣiṣe, digi ti ṣafikun agbara lati ṣe idanimọ ibeere kan pato (dig +qid= ).
  • Atilẹyin ti a ṣafikun fun ile-ikawe OpenSSL 3.0.
  • Lati koju awọn ọran pẹlu pipin IP nigba ṣiṣe awọn ifiranṣẹ DNS nla ti a damọ nipasẹ Ọjọ Flag DNS 2020, koodu ti o ṣatunṣe iwọn ifipamọ EDNS nigbati ko si idahun si ibeere kan ti yọkuro kuro ni ipinnu. Iwọn ifipamọ EDNS ti ṣeto si igbagbogbo (edns-udp-size) fun gbogbo awọn ibeere ti njade.
  • Eto kikọ ti yipada si lilo apapo ti autoconf, adaṣe ati libtool.
  • Atilẹyin fun awọn faili agbegbe ni ọna kika “maapu” ( maapu ọna kika-masterfile) ti dawọ duro. Awọn olumulo ọna kika yii ni a gbaniyanju lati yi awọn agbegbe pada si ọna kika aise nipa lilo ohun elo ti a npè ni-compilezone.
  • Atilẹyin fun awọn awakọ DLZ agbalagba (Awọn agbegbe Ikojọpọ Yiyiyi) ti dawọ duro, rọpo nipasẹ awọn modulu DLZ.
  • Kọ ati ṣiṣe atilẹyin fun Syeed Windows ti dawọ duro. Ẹka ti o kẹhin ti o le fi sori ẹrọ lori Windows jẹ BIND 9.16.

orisun: opennet.ru

Fi ọrọìwòye kun