BIND DNS agora tem suporte experimental de DNS por HTTPS

Os desenvolvedores do servidor DNS BIND revelaram vários dias atrás juntando-se ao ramo experimental 9.17, A implementação de apoio de servidor para tecnologias DNS sobre HTTPS (DoH, DNS sobre HTTPS) e DNS sobre TLS (DoT, DNS sobre TLS), bem como XFR.

A implementação do protocolo HTTP / 2 usado no DoH é baseado no uso da biblioteca nghttp2, que está incluído nas dependências de construção (no futuro, está planejado transferir a biblioteca para as dependências opcionais).

Com a configuração adequada, um único processo nomeado agora pode atender não apenas às solicitações DNS tradicionais, mas também às solicitações enviadas usando DoH (DNS sobre HTTPS) e DoT (DNS sobre TLS).

O suporte do lado do cliente HTTPS (dig) ainda não foi implementado, enquanto o suporte XFR-over-TLS está disponível para solicitações de entrada e saída.

Processamento de solicitações usando DoH e DoT ele é habilitado adicionando as opções http e tls à diretiva de escuta. Para suportar DNS sobre HTTP não criptografado, você deve especificar "tls none" na configuração. As chaves são definidas na seção "tls". As portas de rede padrão 853 para DoT, 443 para DoH e 80 para DNS sobre HTTP podem ser substituídas por meio dos parâmetros tls-port, https-port e http-port.

Entre as características da implementação DoH no BIND, observa-se que é possível transferir operações de criptografia para TLS para outro servidor, Isso pode ser necessário em condições onde o armazenamento de certificados TLS é feito em outro sistema (por exemplo, em uma infraestrutura com servidores web) e é atendido por outro pessoal.

Suporte para DNS sobre HTTP não criptografado é implementado para simplificar a depuração e como uma camada de encaminhamento na rede interna, com base na qual a criptografia pode ser organizada em outro servidor. Em um servidor remoto, o nginx pode ser usado para gerar tráfego TLS, por analogia com a forma como a ligação HTTPS é organizada para sites.

Outro recurso é a integração do DoH como um transporte geral, que pode ser usado não apenas para processar solicitações de cliente para o resolvedor, mas também ao trocar dados entre servidores, ao transferir zonas usando um servidor DNS autoritativo e ao processar quaisquer solicitações suportadas por outros transportes DNS.

Entre as deficiências que podem ser superadas desativando a compilação com DoH / DoT ou movendo a criptografia para outro servidor, a complicação geral da base de código é destacada- Um servidor HTTP embutido e uma biblioteca TLS são adicionados à composição, o que pode conter vulnerabilidades e atuar como vetores de ataque adicionais. Além disso, quando o DoH é usado, o tráfego aumenta.

Você tem que lembrar que DNS-over-HTTPS pode ser útil para evitar vazamentos de informações.trabalhar em nomes de host solicitados por meio de servidores DNS de provedores, combater ataques MITM e spoof de tráfego DNS, neutralizar o bloqueio de nível de DNS ou organizar o trabalho em caso de impossibilidade de acesso direto aos servidores DNS.

Sim, em uma situação normal, as solicitações de DNS são enviadas diretamente aos servidores DNS definidos na configuração do sistema, então, no caso de DNS sobre HTTPS, a solicitação para determinar o endereço IP do host é encapsulado no tráfego HTTPS e enviado ao servidor HTTP, em que o resolvedor processa solicitações por meio da API da web.

"DNS sobre TLS" difere de "DNS sobre HTTPS" por usar o protocolo DNS padrão (normalmente a porta de rede 853 é usada) envolvido em um canal de comunicação criptografado organizado usando o protocolo TLS com validação de host por meio de certificados TLS / SSL certificados por uma certificação. autoridade. 

Finalmente, é mencionado que DoH está disponível para teste na versão 9.17.10 e o suporte DoT existe desde 9.17.7, além de que, uma vez estabilizado, o suporte para DoT e DoH será movido para o branch estável 9.16.


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.