De BIND DNS-serverontwikkelaars onthuld een aantal dagen geleden toetreden tot de experimentele tak 9.17, de implementatie van ondersteuning van server voor technologieën DNS via HTTPS (DoH, DNS via HTTPS) en DNS via TLS (DoT, DNS over TLS), evenals XFR.
De implementatie van het HTTP / 2-protocol dat wordt gebruikt in DoH is gebaseerd op het gebruik van de nghttp2-bibliotheek, die is opgenomen in de build-afhankelijkheden (in de toekomst is het de bedoeling om de bibliotheek over te dragen naar de optionele afhankelijkheden).
Met de juiste configuratie kan een proces met één naam nu niet alleen traditionele DNS-verzoeken verwerken, maar ook verzoeken die worden verzonden met DoH (DNS over HTTPS) en DoT (DNS over TLS).
HTTPS client-side ondersteuning (dig) is nog niet geïmplementeerd, terwijl XFR-over-TLS-ondersteuning beschikbaar is voor inkomende en uitgaande verzoeken.
Verzoeken verwerken met DoH en DoT het wordt mogelijk gemaakt door de opties http en tls toe te voegen aan de luisterinstructie. Om DNS over HTTP onversleuteld te ondersteunen, moet u "tls none" specificeren in de configuratie. Sleutels worden gedefinieerd in de sectie "tls". De standaard netwerkpoorten 853 voor DoT, 443 voor DoH en 80 voor DNS over HTTP kunnen worden overschreven via de parameters tls-port, https-port en http-port.
Onder de kenmerken van de implementatie van DoH in BIND, Opgemerkt wordt dat het mogelijk is om coderingsbewerkingen voor TLS over te dragen naar een andere server, Dit kan nodig zijn in omstandigheden waarin de opslag van TLS-certificaten gebeurt op een ander systeem (bijvoorbeeld in een infrastructuur met webservers) en wordt bijgewoond door ander personeel.
Ondersteuning voor DNS over HTTP onversleuteld is geïmplementeerd om foutopsporing te vereenvoudigen en als laag voor doorsturen op het interne netwerk, op basis waarvan encryptie op een andere server kan worden geregeld. Op een externe server kan nginx worden gebruikt om TLS-verkeer te genereren, naar analogie met de manier waarop HTTPS-binding voor sites is georganiseerd.
Een ander kenmerk is de integratie van DoH als algemeen transport, die niet alleen kan worden gebruikt om clientverzoeken aan de resolver te verwerken, maar ook bij het uitwisselen van gegevens tussen servers, het overdragen van zones met behulp van een gezaghebbende DNS-server en het verwerken van verzoeken die worden ondersteund door andere DNS-transporten.
Onder de tekortkomingen die kunnen worden gecompenseerd door compilatie met DoH / DoT uit te schakelen of de codering naar een andere server te verplaatsen, de algemene complicatie van de codebase wordt benadrukt- Een ingebouwde HTTP-server en TLS-bibliotheek worden aan de compositie toegevoegd, die mogelijk kwetsbaarheden kunnen bevatten en als extra aanvalsvectoren kunnen fungeren. Ook wanneer DoH wordt gebruikt, neemt het verkeer toe.
Dat moet je onthouden DNS-over-HTTPS kan handig zijn om informatielekken te voorkomenwerken aan gevraagde hostnamen via DNS-servers van providers, bestrijd MITM-aanvallen en spoof DNS-verkeer, ga blokkering op DNS-niveau tegen of organiseer werk in geval van onmogelijkheid van directe toegang tot DNS-servers.
Ja, in een normale situatie worden DNS-verzoeken rechtstreeks verzonden naar de DNS-servers die zijn gedefinieerd in de systeemconfiguratie, dan, in het geval van DNS via HTTPS, het verzoek om het IP-adres van de host te bepalen het is ingekapseld in HTTPS-verkeer en verzonden naar de HTTP-server, waarin de resolver verzoeken verwerkt via de web-API.
"DNS over TLS" verschilt van "DNS over HTTPS" door gebruik te maken van het standaard DNS-protocol (doorgaans wordt netwerkpoort 853 gebruikt) verpakt in een gecodeerd communicatiekanaal georganiseerd met behulp van het TLS-protocol met hostvalidatie via TLS-certificaten / SSL gecertificeerd door een certificering. Gezag.
Ten slotte wordt dat vermeld DoH is beschikbaar voor testen in versie 9.17.10 en DoT-ondersteuning bestaat al sinds 9.17.7, en eenmaal gestabiliseerd, zal ondersteuning voor DoT en DoH verhuizen naar de 9.16 stabiele tak.