BIND DNS hat no eksperimintele DNS-stipe oer HTTPS

De BIND DNS-serverûntwikkelders ûntbleate ferskate dagen lyn oanslute by de eksperimintele tûke 9.17, de útfiering fan stipe fan server foar technologyen DNS oer HTTPS (DoH, DNS oer HTTPS) en DNS oer TLS (DoT, DNS oer TLS), lykas XFR.

De ymplemintaasje fan it HTTP / 2-protokol dat wurdt brûkt yn DoH is basearre op it gebrûk fan 'e nghttp2-bibleteek, dy't is opnaam yn 'e bouwôfhinklikens (yn' e takomst is it pland de biblioteek oer te dragen nei de opsjonele ôfhinklikens).

Mei juste konfiguraasje kin in inkeld neamd proses no net allinich tradisjonele DNS-oanfragen betsjinje, mar ek fersiken ferstjoerd mei DoH (DNS oer HTTPS) en DoT (DNS oer TLS).

HTTPS-client-side-stipe (dig) is noch net ymplementearre, wylst XFR-over-TLS-stipe beskikber is foar ynkommende en útgeande fersiken.

Ferwurkjen fan fersiken mei DoH en DoT it is ynskeakele troch de http- en tls-opsjes ta te heakjen oan 'e harkjende rjochtline. Om DNS oer HTTP net kodeare te stypjen, moatte jo "tls none" yn 'e konfiguraasje oantsjutte. Kaaien wurde definieare yn 'e seksje "tls". De standert netwurkhavens 853 foar DoT, 443 foar DoH, en 80 foar DNS oer HTTP kinne wurde oerskreaun fia de parameter tls-poarte, https-poarte en http-poarte.

Under de funksjes fan 'e DoH-ymplemintaasje yn BIND, it wurdt opmurken dat it mooglik is kodearingsaksjes foar TLS oer te bringen nei in oare server, Dit kin nedich wêze yn omstannichheden wêr't de opslach fan TLS-sertifikaten wurdt dien op in oar systeem (bygelyks yn in ynfrastruktuer mei webservers) en wurdt bywenne troch oar personiel.

Stipe foar DNS oer HTTP net kodeare wurdt ymplementearre om debuggen te ferienfâldigjen en as in laach foar trochstjoeren op it ynterne netwurk, op basis wêrfan kodearring kin wurde regele op in oare server. Op in server op ôfstân kin nginx brûkt wurde om TLS-ferkear te generearjen, yn analogy mei de manier wêrop HTTPS-bining wurdt organisearre foar siden.

In oare funksje is de yntegraasje fan DoH as algemien transport, dat kin net allinich brûkt wurde om kliïntoanfragen nei de resolver te ferwurkjen, mar ek by it útwikseljen fan gegevens tusken servers, by it oerdragen fan sônes mei in autoritative DNS-server, en by it ferwurkjen fan alle oanfragen dy't stipe wurde troch oare DNS-transporten.

Under de tekoarten dy't kompenseare wurde kinne troch kompilaasje mei DoH / DoT út te skeakeljen of de fersifering te ferpleatsen nei in oare server, de algemiene komplikaasje fan 'e codebase wurdt markearre- In ynboude HTTP-server en TLS-bibleteek wurde tafoege oan 'e komposysje, dy't potensjeel kwetsberens kinne befetsje en as ekstra oanfalsfektoaren kinne fungearje. As DoH wurdt brûkt, nimt it ferkear ek ta.

Wy moatte dat ûnthâlde DNS-over-HTTPS kin nuttich wêze om ynformaasjelekken s te foarkommenwurkje oan frege hostnammen fia DNS-servers fan providers, bestriden fan MITM-oanfallen en spoof DNS-ferkear, tsjinwurkje fan DNS-nivo blokkearjen of om wurk te organisearjen yn gefal fan ûnmooglikheid fan direkte tagong ta DNS-servers.

Ja, yn in normale situaasje wurde DNS-oanfragen direkt stjoerd nei de DNS-servers definieare yn 'e systeemkonfiguraasje, dan, yn' t gefal fan DNS oer HTTPS, it fersyk om it IP-adres fan de host te bepalen it is ynkapsele yn HTTPS-ferkear en stjoerd nei de HTTP-tsjinner, wêryn de resolver fersiken ferwurket fia de web-API.

"DNS oer TLS" ferskilt fan "DNS oer HTTPS" troch it standert DNS-protokol te brûken (typysk wurdt netwurkpoarte 853 brûkt) ferpakt yn in fersifere kommunikaasjekanaal organisearre mei it TLS-protokol mei hostvalidaasje fia TLS-sertifikaten / SSL sertifisearre troch in sertifikaasje. autoriteit. 

Uteinlik wurdt dat neamd DoH is beskikber foar testen yn ferzje 9.17.10 en DoT-stipe bestiet sûnt 9.17.7, plus ien kear stabilisearre, stipe foar DoT en DoH sil ferhúzje nei de 9.16 stabile tûke.


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre.

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.