BIND DNS agora ten soporte DNS experimental sobre HTTPS

Presentáronse os desenvolvedores do servidor DNS BIND hai varios días uníndose á rama experimental 9.17, a implementación de apoio de servidor para tecnoloxías DNS a través de HTTPS (DoH, DNS a través de HTTPS) e DNS sobre TLS (DoT, DNS sobre TLS), así como XFR.

A implementación do protocolo HTTP / 2 usado en DoH baséase no uso da biblioteca nghttp2, que está incluído nas dependencias de compilación (no futuro está previsto transferir a biblioteca ás dependencias opcionais).

Cunha configuración adecuada, un único proceso denominado agora pode atender non só as peticións DNS tradicionais, senón tamén as solicitudes enviadas usando DoH (DNS por HTTPS) e DoT (DNS por TLS).

A compatibilidade HTTPS (cliente) do lado do cliente aínda non está implementada, mentres que o soporte XFR-over-TLS está dispoñible para solicitudes entrantes e saíntes.

Procesando solicitudes usando DoH e DoT habilítase engadindo as opcións http e tls á directiva de escoita. Para admitir o DNS a través de HTTP sen cifrar, debes especificar "tls none" na configuración. As claves defínense na sección "tls". Os portos de rede estándar 853 para DoT, 443 para DoH e 80 para DNS a través de HTTP pódense anular a través dos parámetros tls-port, https-port e http-port.

Entre as características da implementación de DoH en BIND, nótase que é posible transferir operacións de cifrado para TLS a outro servidor, Isto pode ser necesario nas condicións nas que o almacenamento de certificados TLS realízase noutro sistema (por exemplo, nunha infraestrutura con servidores web) e está atendido por outro persoal.

Soporte para O DNS a través de HTTP sen cifrar está implementado para simplificar a depuración e como capa de reenvío na rede interna, en base á cal se pode organizar o cifrado noutro servidor. Nun servidor remoto, nginx pode usarse para xerar tráfico TLS, por analoxía coa forma en que se organiza o enlace HTTPS para os sitios.

Outra característica é a integración de DoH como transporte xeral, que se pode empregar non só para procesar solicitudes de clientes ao resolver, senón tamén para intercambiar datos entre servidores, transferir zonas mediante un servidor DNS autorizado e procesar calquera solicitude soportada por outros transportes DNS.

Entre as deficiencias que se poden compensar, desactivar a compilación con DoH / DoT ou mover o cifrado a outro servidor, resáltase a complicación xeral da base de código- Engádese á composición un servidor HTTP e unha biblioteca TLS que poden conter vulnerabilidades e actuar como vectores de ataque adicionais. Ademais, cando se usa DoH, o tráfico aumenta.

Debemos recordar iso DNS-over-HTTPS pode ser útil para evitar filtracións de informacióntraballar nos nomes de host solicitados a través dos servidores DNS dos provedores, combater os ataques MITM e falsificar o tráfico DNS, contrarrestar o bloqueo de nivel DNS ou organizar o traballo en caso de imposibilidade de acceso directo aos servidores DNS.

Si, nunha situación normal, as solicitudes de DNS envíanse directamente aos servidores DNS definidos na configuración do sistema, entón, no caso de DNS a través de HTTPS, a solicitude para determinar a dirección IP do host está encapsulado no tráfico HTTPS e enviado ao servidor HTTP, no que o resolver procesa as solicitudes a través da API web.

"DNS sobre TLS" diferénciase de "DNS sobre HTTPS" ao usar o protocolo DNS estándar (normalmente utilízase o porto de rede 853) envolto nunha canle de comunicación cifrada organizada mediante o protocolo TLS con validación de host a través de certificados TLS / SSL certificados por unha certificación. autoridade. 

Finalmente, menciónase que DoH está dispoñible para probalo na versión 9.17.10 e o soporte de DoT existe desde o 9.17.7, máis unha vez estabilizado, o soporte para DoT e DoH pasará á rama estable do 9.16.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.