BIND DNS нь HTTPS дээр туршилтын DNS дэмжлэгтэй болсон

BIND DNS сервер хөгжүүлэгчдийг нээлээ хэд хоногийн өмнө туршилтын салбарт элсэх 9.17, хэрэгжүүлэх дэмжлэг технологийн хувьд сервер HTTPS дээрх DNS (HTTPS-ээр DoH, DNS) болон TLS дээрх DNS (DoT, DNS TLS over), түүнчлэн XFR.

Эрүүл мэндийн салбарт ашигладаг HTTP / 2 протоколыг хэрэгжүүлэх n nttp2 номын сангийн ашиглалтад суурилсан, хамаарлын хамааралд багтсан (ирээдүйд номын санг заавал хамааралтай хамааралд шилжүүлэхээр төлөвлөж байна).

Зохих тохиргооны дагуу ганц нэртэй процесс нь зөвхөн уламжлалт DNS хүсэлтүүд төдийгүй DoH (DNS HTTPS) болон DoT (TLS over DNS) ашиглан илгээсэн хүсэлтүүдэд үйлчилгээ үзүүлэх боломжтой боллоо.

HTTPS клиент талын дэмжлэг (dig) хараахан хэрэгжиж эхлээгүй байна, XFR-over-TLS дэмжлэг нь ирж буй болон гарч буй хүсэлтэд боломжтой байдаг.

DoH ба DoT ашиглан хүсэлт боловсруулах http болон tls сонголтуудыг сонсох зааварт нэмж оруулснаар идэвхжүүлдэг. Шифрлэгдээгүй HTTP дээр DNS-ийг дэмжихийн тулд тохиргоонд "tls none" -г зааж өгөх ёстой. Түлхүүрүүдийг "tls" хэсэгт тодорхойлсон болно. DoT-ийн 853, DoH-ийн 443, DNS-ийн HTTP стандарт сүлжээний портуудыг tls-port, https-port, http-port параметрүүдээр дамжуулан хүчингүй болгож болно.

Онцлог шинж чанаруудын дунд BIND дахь ЭМГ-ын хэрэгжилт, TLS-ийн шифрлэлтийн ажиллагааг өөр сервер рүү шилжүүлэх боломжтой гэж тэмдэглэсэн болно TLS сертификатын хадгалалтыг өөр систем дээр (жишээлбэл, вэб серверүүдтэй дэд бүтцэд) хийж, бусад ажилтнууд оролцдог нөхцөлд шаардлагатай байж магадгүй юм.

Дэмжлэг Шифрлээгүй HTTP дээрх DNS нь дибаг хийхийг хялбарчлахын тулд хэрэгждэг мөн дотоод сүлжээнд дамжуулах давхарга болгон, түүний үндсэн дээр шифрлэлтийг өөр сервер дээр зохион байгуулж болно. Алсын сервер дээр nginx-ийг TLS траффик үүсгэхэд ашиглаж болох бөгөөд сайтуудад HTTPS холболтыг зохион байгуулахтай адилтгаж болно.

Өөр нэг онцлог нь ДЭМБ-ийг ерөнхий тээвэр болгон нэгтгэх явдал юм. Энэ нь зөвхөн клиентийн хүсэлтийг шийдвэрлэгч рүү боловсруулахад төдийгүй серверүүд хооронд өгөгдөл солилцох, эрх бүхий DNS сервер ашиглан бүс дамжуулах, бусад DNS дамжуулалтыг дэмжсэн аливаа хүсэлтийг боловсруулахад ашиглаж болно.

DoH / DoT ашиглан хөрвүүлэлтийг идэвхгүй болгох эсвэл шифрлэлтийг өөр сервер рүү шилжүүлэх замаар нөхөж болох сул талуудын дунд кодын суурийн ерөнхий хүндрэлийг онцлон тэмдэглэв- Бүтээлд HTTP сервер болон TLS номын санг нэмж оруулсан бөгөөд энэ нь эмзэг байдлыг агуулж, халдлагын нэмэлт векторын үүрэг гүйцэтгэж болзошгүй юм. Мөн DoH-ийг ашиглахад замын хөдөлгөөн нэмэгддэг.

Та үүнийг санаж байх хэрэгтэй DNS-overTTPS нь мэдээлэл алдагдахаас зайлсхийхэд тустай байж болох юмүйлчилгээ үзүүлэгчдийн DNS серверүүдээр дамжуулан хүссэн хостын нэр дээр ажиллах, MITM халдлага, DNS траффиктай тэмцэх, DNS түвшний хоригийг эсэргүүцэх эсвэл DNS сервер рүү шууд нэвтрэх боломжгүй тохиолдолд ажил зохион байгуулах.

бол хэвийн нөхцөлд DNS хүсэлтийг шууд илгээдэг системийн тохиргоонд тодорхойлогдсон DNS серверүүд рүү, дараа нь HTTPS-ээр DNS, хостын IP хаягийг тодорхойлох хүсэлт үүнийг HTTPS траффикт багтааж, HTTP сервер рүү илгээдэг, шийдэл нь вэб API-ээр дамжуулан хүсэлтийг боловсруулдаг.

"DNS over TLS" нь "DNS over HTTPS" -ээс ялгаатай бөгөөд стандарт DNS протоколыг ашигладаг (ихэвчлэн сүлжээний порт 853 ашиглагддаг) TLS протокол ашиглан зохион байгуулалттай шифрлэгдсэн холбооны сувгаар ороож, сертификатаар баталгаажуулсан TLS гэрчилгээ / SSL-ээр дамжуулан. эрх мэдэл. 

Эцэст нь үүнийг дурдсан болно DoH хувилбарыг 9.17.10 хувилбар дээр туршиж үзэх боломжтой ба DoT дэмжлэг нь 9.17.7-ээс хойш үргэлжилж байгаа бөгөөд тогтворжсоны дараа DoT ба DoH-ийн дэмжлэг 9.16 тогтвортой салбар руу шилжих болно.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.