La nouvelle branche stable de DNS BIND 9.18 est sortie

Darkcrizt

Minutes 4

Après deux ans de développement, ISC a publié la première version stable de une nouvelle branche majeure du serveur DNS BIND 9.18 qui sera pris en charge pendant trois ans jusqu'au deuxième trimestre 2025 dans le cadre d'un cycle de maintenance prolongé.

La prise en charge de la branche 9.11 prendra fin en mars et la branche 9.16 au milieu de 2023. Une branche expérimentale de BIND 9.19.0 a été formée pour développer des fonctionnalités pour la prochaine version stable de BIND.

Le lancement de BIND 9.18.0 se distingue par la mise en œuvre de la prise en charge des technologies DNS sur HTTPS (DoH, DNS sur HTTPS) et DNS sur TLS (DoT, DNS sur TLS), ainsi que le mécanisme XoT (XFR-over-TLS pour la transmission sécurisée du contenu DNS sur les zones TLS entre les serveurs (les zones d'envoi et de réception sont prises en charge via XoT).

Avec une configuration appropriée, un seul processus nommé peut désormais servir non seulement les requêtes DNS traditionnelles, mais aussi requêtes envoyées en utilisant DNS sur HTTPS et DNS sur TLS. La prise en charge du client DNS sur TLS est intégrée à l'utilitaire dig, qui peut être utilisé pour envoyer des requêtes sur TLS lorsque l'indicateur "+tls" est spécifié.

Parmi les caractéristiques de l'implémentation DoH dans BIND, met en évidence le possibilité de transférer les opérations de chiffrement pour TLS vers un autre serveur, ce qui peut être nécessaire dans des conditions où les certificats TLS sont stockés dans un autre système (par exemple, dans une infrastructure avec des serveurs Web) et gérés par d'autres membres du personnel. La prise en charge du DNS non chiffré sur HTTP est implémentée pour simplifier le débogage et en tant que couche de transfert vers un autre serveur sur le réseau interne (pour déplacer le chiffrement vers un serveur séparé). Sur un serveur distant, nginx peut être utilisé pour générer du trafic TLS, de la même manière que la liaison HTTPS est organisée pour les sites.

Principales nouveautés de DNS BIND 9.18

Dans cette nouvelle version qui est présentée, nous pouvons trouver que les paramètres ont été ajoutés tcp-receive-buffer, tcp-send-buffer, udp-receive-buffer et udp-send-buffer pour définir les tailles de tampon utilisées lors de l'envoi et de la réception de requêtes via TCP et UDP. Sur les serveurs occupés, l'augmentation des tampons entrants empêchera les pertes de paquets au moment des pics de trafic et les réduire aidera à éliminer le colmatage de la mémoire avec les anciennes requêtes.

Un autre changement qui ressort est que ajout d'une nouvelle catégorie de logs "rpz-passthru", qui permet d'enregistrer séparément les actions de transfert de RPZ (Response Policy Zones), en plus de ajout de l'option "nsdname-wait-recurse" à la section de la politique de réponse, lorsqu'il est défini sur "no", les règles RPZ NSDNAME sont appliquées uniquement si des serveurs de noms faisant autorité sont présents dans le cache pour la demande ; sinon, la règle RPZ NSDNAME est ignorée, mais les informations sont récupérées en arrière-plan et appliquées aux demandes suivantes.

Pour résoudre les problèmes de fragmentation IP lors du traitement de messages DNS volumineux, identifiés par l'initiative DNS Flag Day 2020, le code qui ajuste la taille du tampon EDNS dans le cas où une requête ne reçoit pas de réponse, elle a été supprimée du résolveur. La taille du tampon EDNS est maintenant définie comme constante (edns-udp-size) pour toutes les requêtes sortantes.

à côté suppression de la prise en charge des fichiers de zone au format "map" (carte au format fichier maître). Il est recommandé aux utilisateurs de ce format de convertir les zones au format brut à l'aide de l'utilitaire named-compilezone.

De l' autres changements qui se démarquent:

  • Pour les enregistrements de types HTTPS et SVCB, le traitement de la section « ADDITIONAL » est implémenté.
  • Ajout de types de politiques de mise à jour personnalisées (krb5-subdomain-self-rhs et ms-subdomain-self-rhs) pour limiter les mises à jour aux enregistrements SRV et PTR. Dans les blocs de politique de mise à jour, la possibilité de définir des limites sur le nombre d'enregistrements, distincts pour chaque type, a également été ajoutée.
  • Ajout d'informations sur le protocole de transport (UDP, TCP, TLS, HTTPS) et les préfixes DNS64 à la sortie de l'utilitaire dig.
  • Ajout de la prise en charge de la bibliothèque OpenSSL 3.0.
  • Le système de construction a été modifié pour utiliser autoconf, automake et libtool.
  • Suppression de la prise en charge des anciens contrôleurs DLZ (zones chargeables dynamiquement) et remplacement par des modules DLZ.
  • Suppression de la prise en charge de la construction et de l'exécution pour la plate-forme Windows. La dernière branche pouvant être installée sur Windows est BIND 9.16.

Enfin Si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.