BIND DNS artık HTTPS üzerinden deneysel DNS desteğine sahip

BIND DNS sunucusu geliştiricileri açıkladı birkaç gün önce deneysel şubeye katılmak 9.17uygulaması desteği teknolojiler için sunucu HTTPS üzerinden DNS (DoH, HTTPS üzerinden DNS) ve TLS üzerinden DNS (DoT, TLS üzerinden DNS) ve XFR.

DoH'da kullanılan HTTP / 2 protokolünün uygulanması nghttp2 kitaplığının kullanımına dayanmaktadır, yapı bağımlılıklarına dahil edilen (gelecekte kitaplığın isteğe bağlı bağımlılıklara aktarılması planlanmaktadır).

Doğru yapılandırmayla, tek bir adlandırılmış işlem artık yalnızca geleneksel DNS isteklerine değil, aynı zamanda DoH (HTTPS üzerinden DNS) ve DoT (TLS üzerinden DNS) kullanılarak gönderilen isteklere de hizmet verebilir.

HTTPS istemci tarafı desteği (dig) henüz uygulanmadı, TLS üzerinden XFR desteği ise gelen ve giden istekler için kullanılabilir.

DoH ve DoT kullanarak istekleri işleme dinleme direktifine http ve tls seçenekleri eklenerek etkinleştirilir. Şifrelenmemiş HTTP üzerinden DNS'yi desteklemek için, yapılandırmada "tls none" belirtmelisiniz. Anahtarlar "tls" bölümünde tanımlanmıştır. DoT için 853, DoH için 443 ve HTTP üzerinden DNS için 80 standart ağ bağlantı noktaları tls-port, https-port ve http-port parametreleri aracılığıyla geçersiz kılınabilir.

Özellikler arasında DoH uygulamasının BIND'de TLS için şifreleme işlemlerinin başka bir sunucuya aktarılmasının mümkün olduğu, Bu, TLS sertifikalarının saklanmasının başka bir sistemde yapıldığı (örneğin, web sunucuları olan bir altyapıda) ve başka personelin katıldığı durumlarda gerekli olabilir.

İçin destek Şifrelenmemiş HTTP üzerinden DNS, hata ayıklamayı basitleştirmek için uygulanır ve dahili ağ üzerinde yönlendirme için bir katman olarak, hangi temelde şifreleme başka bir sunucuda düzenlenebilmektedir. Uzak bir sunucuda nginx, siteler için HTTPS bağlamanın düzenlenme şekline benzer şekilde TLS trafiği oluşturmak için kullanılabilir.

Diğer bir özellik ise DoH'nin genel ulaşım olarak entegrasyonudur Yalnızca çözümleyiciye istemci isteklerini işlemek için değil, aynı zamanda sunucular arasında veri alışverişi yaparken, yetkili bir DNS sunucusu kullanarak bölgeler aktarırken ve diğer DNS aktarımları tarafından desteklenen herhangi bir isteği işlerken de kullanılabilir.

DoH / DoT ile derlemeyi devre dışı bırakarak veya şifrelemeyi başka bir sunucuya taşıyarak telafi edilebilecek eksiklikler arasında, kod tabanının genel karmaşıklığı vurgulanır- Bileşime, potansiyel olarak güvenlik açıkları içerebilen ve ek saldırı vektörleri olarak işlev görebilen yerleşik bir HTTP sunucusu ve TLS kitaplığı eklenir. Ayrıca DoH kullanıldığında trafik artar.

Bunu hatırlamak zorundasın HTTPS üzerinden DNS, bilgi sızıntılarını önlemek için yararlı olabilir.sağlayıcıların DNS sunucuları aracılığıyla istenen ana bilgisayar adları üzerinde çalışmak, MITM saldırılarıyla mücadele etmek ve DNS trafiğini karıştırmak, DNS düzeyinde engellemeye karşı koymak veya DNS sunucularına doğrudan erişimin imkansız olması durumunda işi organize etmek.

eğer normal bir durumda, DNS istekleri doğrudan gönderilir sistem yapılandırmasında tanımlanan DNS sunucularına, daha sonra HTTPS üzerinden DNS, ana bilgisayarın IP adresini belirleme talebi HTTPS trafiğinde kapsüllenir ve HTTP sunucusuna gönderilir, çözümleyicinin istekleri web API'si aracılığıyla işlediği.

"TLS üzerinden DNS", bir sertifika tarafından onaylanmış TLS sertifikaları / SSL aracılığıyla ana bilgisayar doğrulamasına sahip TLS protokolü kullanılarak düzenlenen şifreli bir iletişim kanalına sarılmış standart DNS protokolü (tipik olarak ağ bağlantı noktası 853 kullanılır) kullanılarak "HTTPS üzerinden DNS" den farklıdır. yetki. 

Son olarak bahsediliyor DoH, 9.17.10 sürümünde test edilebilir. ve DoT desteği 9.17.7'den beri var, artı stabilize edildikten sonra DoT ve DoH desteği 9.16 kararlı dalına taşınacak.


Makalenin içeriği şu ilkelerimize uygundur editoryal etik. Bir hata bildirmek için tıklayın burada.

İlk yorumu siz

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.