BIND DNS енді HTTPS арқылы эксперименттік DNS қолдауына ие

BIND DNS серверін жасаушылар ашылды бірнеше күн бұрын экспериментальды филиалға қосу 9.17, жүзеге асыру қолдау технологиялар үшін сервер HTTPS арқылы DNS (HTTPS арқылы DoH, DNS) және TLS-тен жоғары DNS (DoT, DNS TLS үстінде), сондай-ақ XFR.

DoH-де қолданылатын HTTP / 2 протоколының орындалуы ол nghttp2 кітапханасын пайдалануға негізделген, тәуелділікке енетін (болашақта кітапхананы қосымша тәуелділікке ауыстыру жоспарланып отыр).

Тиісті конфигурация кезінде жалғыз аталған процесс тек дәстүрлі DNS сұраныстарына ғана емес, сонымен қатар DoH (HTTPS арқылы DNS) және DoT (TLS арқылы DNS) көмегімен жіберілген сұраныстарға да қызмет ете алады.

HTTPS клиенттік қолдау (dig) әлі іске асырылмаған, ал XFR-over-TLS қолдауы кіріс және шығыс сұраныстарында қол жетімді.

DoH және DoT көмегімен сұраныстарды өңдеу ол тыңдау директивасына http және tls параметрлерін қосу арқылы қосылады. Шифрланбаған HTTP арқылы DNS қолдау үшін конфигурацияда «tls none» көрсету керек. Кілттер «tls» бөлімінде анықталған. DoT үшін 853, DoH үшін 443 және HTTP арқылы DNS үшін стандартты желілік порттарды tls-port, https-port және http-port параметрлері арқылы қайта анықтауға болады.

Ерекшеліктер арасында BIND-де денсаулық сақтауды енгізу, TLS үшін шифрлау операцияларын басқа серверге жіберуге болатындығы атап көрсетілген, Бұл TLS сертификаттарын сақтау басқа жүйеде (мысалы, веб-серверлері бар инфрақұрылымда) жүзеге асырылатын және басқа қызметкерлер қатысатын жағдайларда қажет болуы мүмкін.

Қолдау Түзетуді жеңілдету үшін шифрланбаған HTTP арқылы DNS іске асырылады және басқа желіде шифрлауды ұйымдастыруға болатын ішкі желіге бағыттауға арналған қабат ретінде. Қашықтағы серверде nginx-ті TLS трафигін құру үшін сайттар үшін HTTPS байланыстыруды ұйымдастырумен ұқсас пайдалануға болады.

Тағы бір ерекшелік - бұл ДГ-ны жалпы көлік ретінде интеграциялау, ол тек клиенттің сұранысын шешушіге өңдеу үшін ғана емес, сонымен қатар серверлер арасында деректер алмасу кезінде, беделді DNS серверін пайдаланып аймақтарды беру және басқа DNS тасымалдаушылары қолдайтын кез келген сұраныстарды өңдеу кезінде де қолданыла алады.

DoH / DoT көмегімен компиляцияны өшіру немесе шифрлауды басқа серверге жылжыту арқылы жоюға болатын кемшіліктер арасында код базасының жалпы асқынуы бөлектелген- Құрамға кіріктірілген HTTP сервері мен TLS кітапханасы қосылады, олар әлсіздіктерді қамтуы мүмкін және қосымша шабуыл векторлары ретінде жұмыс істей алады. DoH қолданылған кезде трафик көбейеді.

Мұны есте сақтау керек HTTPS-тен жоғары DNS ақпарат ағып кетпеуі үшін пайдалы болуы мүмкінпровайдерлердің DNS серверлері арқылы сұралған хост атауында жұмыс істеу, MITM шабуылдары мен DNS трафигін бұзу, DNS деңгейіндегі бұғаттауға қарсы немесе DNS серверлеріне тікелей қол жеткізе алмаған жағдайда жұмысты ұйымдастыру.

Ия, қалыпты жағдайда DNS сұраныстары тікелей жіберіледі жүйелік конфигурацияда анықталған DNS серверлеріне, содан кейін жағдайда HTTPS арқылы DNS, хосттың IP-мекен-жайын анықтау туралы өтініш ол HTTPS трафигінде қамтылған және HTTP серверіне жіберілген, онда шешуші сұраныстарды веб-API арқылы өңдейді.

«TLS үстіндегі DNS» «DNS-HTTPS» -тен айырмашылығы сертификатпен куәландырылған TLS сертификаттары / SSL арқылы хост валидациясы бар TLS протоколы көмегімен ұйымдастырылған шифрланған байланыс каналына оралған стандартты DNS протоколын (әдетте 853 желілік порт қолданылады) қолданады. билік. 

Соңында бұл туралы айтылды DoH тестілеуге 9.17.10 нұсқасында қол жетімді және DoT-ны қолдау 9.17.7-ден бастап жүреді, тұрақталғаннан кейін DoT және DoH-ны қолдау 9.16 тұрақты тармағына ауысады.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.