BIND DNS har nu eksperimentel DNS-support via HTTPS

BIND DNS-serverudviklerne afsløret for flere dage siden tilslutning til den eksperimentelle gren 9.17, gennemførelsen af støtte til server til teknologier DNS over HTTPS (DoH, DNS over HTTPS) og DNS over TLS (DoT, DNS over TLS) samt XFR.

Implementeringen af ​​HTTP / 2-protokollen, der bruges i DoH er baseret på brugen af ​​nghttp2-biblioteket, som er inkluderet i buildafhængighederne (i fremtiden er det planlagt at overføre biblioteket til de valgfrie afhængigheder).

Med korrekt konfiguration kan en enkelt navngivet proces nu ikke kun servicere traditionelle DNS-anmodninger, men også anmodninger, der sendes ved hjælp af DoH (DNS over HTTPS) og DoT (DNS over TLS).

HTTPS-klientsidesupport (dig) er endnu ikke implementeret, mens XFR-over-TLS support er tilgængelig for indgående og udgående anmodninger.

Behandling af anmodninger ved hjælp af DoH og DoT det er aktiveret ved at tilføje indstillingerne http og tls til lytningsdirektivet. For at understøtte DNS over HTTP ukrypteret skal du angive "tls none" i konfigurationen. Nøgler er defineret i afsnittet "tls". Standardnetværksporte 853 til DoT, 443 til DoH og 80 til DNS over HTTP kan tilsidesættes gennem parametrene tls-port, https-port og http-port.

Blandt funktionerne af DoH-implementeringen i BIND, det bemærkes, at det er muligt at overføre krypteringsoperationer for TLS til en anden server, Dette kan være nødvendigt under forhold, hvor lagring af TLS-certifikater foregår på et andet system (for eksempel i en infrastruktur med webservere) og andet personale deltager i.

Støtte for DNS over HTTP ukrypteret er implementeret for at forenkle fejlretning og som et lag til videresendelse på det interne netværk, på basis af hvilket kryptering kan arrangeres på en anden server. På en ekstern server kan nginx bruges til at generere TLS-trafik, analogt med den måde, hvorpå HTTPS-binding er organiseret for websteder.

Et andet træk er integrationen af ​​DoH som en generel transport, som ikke kun kan bruges til at behandle klientanmodninger til opløseren, men også ved udveksling af data mellem servere, overførsel af zoner ved hjælp af en autoritativ DNS-server og behandling af anmodninger, der understøttes af andre DNS-transporter.

Blandt de mangler, der kan udlignes ved at deaktivere kompilering med DoH / DoT eller flytte krypteringen til en anden server, den generelle komplikation af kodebasen fremhæves- En indbygget HTTP-server og TLS-bibliotek føjes til kompositionen, som potentielt kan indeholde sårbarheder og fungere som yderligere angrebsvektorer. Når DoH bruges, øges trafikken også.

Du skal huske det DNS-over-HTTPS kan være nyttigt for at undgå informationslækagerarbejde på anmodede værtsnavne gennem udbyders DNS-servere, bekæmpe MITM-angreb og spoof DNS-trafik, modvirke blokering af DNS-niveau eller til at organisere arbejde i tilfælde af umulighed for direkte adgang til DNS-servere.

hvis, i en normal situation sendes DNS-anmodninger direkte til DNS-serverne defineret i systemkonfigurationen, så i tilfælde af DNS over HTTPS, anmodningen om at bestemme værtens IP-adresse det er indkapslet i HTTPS-trafik og sendt til HTTP-serveren, hvor resolveren behandler anmodninger via web-API'en.

"DNS over TLS" adskiller sig fra "DNS over HTTPS" ved hjælp af standard DNS-protokollen (der bruges typisk netværksport 853) indpakket i en krypteret kommunikationskanal organiseret ved hjælp af TLS-protokollen med værtsvalidering gennem TLS-certifikater / SSL certificeret af en certificering. myndighed. 

Endelig nævnes det DoH er tilgængelig til test i version 9.17.10 og DoT support har eksisteret siden 9.17.7, plus når stabiliseret, support til DoT og DoH vil flytte til den 9.16 stabile gren.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.