BIND DNS эми HTTPS аркылуу эксперименталдык DNS колдоосуна ээ болду

BIND DNS серверин иштеп чыгуучулар ачыкка чыгышты бир нече күн мурун эксперименталдык филиалга кошулуу 9.17, ишке ашыруу колдоо технологиялар үчүн сервер HTTPS аркылуу DNS (HTHPS аркылуу DoH, DNS) жана TLS үстүнөн DNS (DoT, DNS TLS үстүнөн), ошондой эле XFR.

DoH колдонулган HTTP / 2 протоколун ишке ашыруу nghttp2 китепканасын пайдаланууга негизделген, түзүүнүн көзкарандылыгына кирген (келечекте китепкананы милдеттүү эмес көзкарандылыкка өткөрүү пландаштырылууда).

Туура конфигурация менен, аталган бир процесс эми салттуу DNS сурамдарын гана эмес, DoH (HTTPS аркылуу DNS) жана DoT (TLS үстүнөн DNS) аркылуу жөнөтүлгөн сурамдарды да тейлей алат.

HTTPS кардар тарабынан (казуу) колдоо азырынча ишке ашырыла элек, ал эми XFR үстүнөн TLS колдоосу кирүүчү жана чыккан сурамдар үчүн жеткиликтүү.

DoH жана DoT колдонуп сурамдарды иштеп чыгуу ал угуу директивасына http жана tls параметрлерин кошуу менен иштетилет. Шифрленбеген HTTP аркылуу DNSди колдоо үчүн, конфигурацияда "tls none" көрсөтүшүңүз керек. Ачкычтар "tls" бөлүмүндө аныкталат. Стандарттык тармак порттору DoT үчүн 853, DoH үчүн 443 жана HTTP аркылуу DNS үчүн 80 tls-port, https-port жана http-port параметрлери аркылуу жокко чыгарылышы мүмкүн.

Өзгөчөлүктөрүнүн арасында ДОГду BINDде ишке ашыруу, TLS үчүн шифрлөө иштерин башка серверге өткөрүп берүү мүмкүн экендиги белгиленди, Бул TLS сертификаттарын сактоо башка тутумда (мисалы, веб-серверлери бар инфраструктурада) жүргүзүлүп жаткан жана башка персонал катышкан шарттарда талап кылынышы мүмкүн.

Үчүн колдоо Мүчүлүштүктөрдү оңдоону жөндөө үчүн HTTP шифрленбеген DNS ишке ашырылат жана башка тармакта шифрлөөнү уюштурууга мүмкүн болгон ички тармакта экспедициялоочу катмар катары. Алыскы серверде nginx TLS трафигин түзүү үчүн колдонулушу мүмкүн, мисалы, сайттар үчүн HTTPS байланышы уюштурулган.

Дагы бир өзгөчөлүк - бул ДТны жалпы транспорт катары интеграциялоо, кардардын сурамдарын чечүүчүгө иштетүү үчүн гана эмес, ошондой эле серверлердин ортосунда маалымат алмашуу, авторитеттүү DNS серверин колдонуп зоналарды өткөрүп берүү жана башка DNS транспорттору колдогон бардык суроо-талаптарды иштеп чыгуу учурунда колдонсо болот.

DoH / DoT менен компиляцияны өчүрүү же шифрлөөнү башка серверге жылдыруу менен толуктала турган кемчиликтердин катарында, код базасынын жалпы татаалдыгы белгиленди- Курамга камтылган HTTP сервери жана TLS китепканасы кошулуп, ал аялуу жерлерди камтышы жана кошумча чабуул вектору катары иштеши мүмкүн. Ошондой эле, DoH колдонулганда, трафик көбөйөт.

Эске деп DNS-over-HTTPS маалыматтын чыгып кетишине жол бербөө үчүн пайдалуу болушу мүмкүнпровайдерлердин DNS серверлери аркылуу талап кылынган хосттордун аттары боюнча иштөө, MITM чабуулдары жана DNS трафикти бурмалоо, DNS деңгээлиндеги бөгөттөөгө каршы туруу же DNS серверлерине түз жетүү мүмкүнчүлүгү болбогон учурда ишти уюштуруу.

болсо, кадимки кырдаалда DNS сурамдары түздөн-түз жөнөтүлөт тутумдун конфигурациясында аныкталган DNS серверлерине, анда HTTPS аркылуу DNS, хосттун IP дарегин аныктоо өтүнүчү ал HTTPS трафигинде камтылып, HTTP серверине жөнөтүлөт, анда чечүүчү веб API аркылуу сурамдарды иштеп чыгат.

"TLS үстүнөн DNS" "DNS HTTPSтен" айырмаланып, сертификат менен күбөлөндүрүлгөн TLS сертификаттары / SSL аркылуу хост текшерүүсү менен TLS протоколу аркылуу уюштурулган шифрленген байланыш каналына оролгон стандарттык DNS протоколун (адатта, тармактык порт 853 колдонулат) колдонот. бийлик. 

Акыр-аягы, деп айтылган DoH версиясы 9.17.10 версиясында жеткиликтүү жана DoT колдоосу 9.17.7ден бери келе жатат, ага кошумча турукташкандан кийин DoT жана DoH колдоосу 9.16 туруктуу бутагына өтөт.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.