BIND DNS endi HTTPS orqali eksperimental DNS-quvvatlashga ega

BIND DNS-server ishlab chiquvchilari namoyish etildi bir necha kun oldin eksperimental filialga qo'shilish 9.17, amalga oshirish qo'llab-quvvatlash texnologiyalar uchun server HTTPS orqali DNS (HTTPS orqali DoH, DNS) va TLS orqali DNS (TLS orqali DoT, DNS), shuningdek XFR.

DoH-da ishlatiladigan HTTP / 2 protokolini amalga oshirish nghttp2 kutubxonasidan foydalanishga asoslangan, bu bog'liqliklarga kiritilgan (kelajakda kutubxonani ixtiyoriy bog'liqliklarga o'tkazish rejalashtirilgan).

Tegishli konfiguratsiya bilan, bitta nomlangan jarayon endi nafaqat an'anaviy DNS so'rovlariga, balki DoH (HTTPS orqali DNS) va DoT (TLS orqali DNS) yordamida yuborilgan so'rovlarga ham xizmat qilishi mumkin.

HTTPS mijoz tomonidan qo'llab-quvvatlash (qazish) hali amalga oshirilmagan, kiruvchi va chiquvchi so'rovlar uchun XFR-over-TLS yordami mavjud.

DoH va DoT yordamida so'rovlarni qayta ishlash http va tls parametrlarini tinglash bo'yicha direktivaga qo'shish orqali yoqiladi. Shifrlanmagan HTTP orqali DNS-ni qo'llab-quvvatlash uchun siz konfiguratsiyada "tls none" ni belgilashingiz kerak. Kalitlar "tls" bo'limida aniqlanadi. DoT uchun 853, DoH uchun 443 va HTTP orqali DNS uchun standart tarmoq portlarini tls-port, https-port va http-port parametrlari orqali bekor qilish mumkin.

Xususiyatlar orasida BIND-da DOHni amalga oshirish, TLS uchun shifrlash operatsiyalarini boshqa serverga o'tkazish mumkinligi, Bu TLS sertifikatlarini saqlash boshqa tizimda (masalan, veb-serverlar joylashgan infratuzilma) amalga oshiriladigan va boshqa xodimlar ishtirok etadigan sharoitlarda zarur bo'lishi mumkin.

Qo'llab-quvvatlash Hata tuzatishni soddalashtirish uchun shifrlanmagan HTTP orqali DNS amalga oshiriladi va boshqa tarmoqda shifrlashni tashkil qilish mumkin bo'lgan ichki tarmoqqa yo'naltirish uchun qatlam sifatida. Masofaviy serverda nginx saytlar uchun HTTPS ulanishini tashkil qilish o'xshashligi bilan TLS trafigini yaratish uchun ishlatilishi mumkin.

Boshqa xususiyat - bu umumiy transport vositasi sifatida DoHni birlashtirish, bu nafaqat rezolyutsiyadagi mijoz so'rovlarini qayta ishlashda, balki serverlar o'rtasida ma'lumotlarni almashishda, vakolatli DNS-server yordamida zonalarni uzatishda va boshqa DNS-transportlar tomonidan qo'llab-quvvatlanadigan har qanday so'rovlarni qayta ishlashda ham foydalanish mumkin.

DoH / DoT bilan kompilyatsiyani o'chirib qo'yish yoki shifrlashni boshqa serverga ko'chirish orqali bartaraf etilishi mumkin bo'lgan kamchiliklar orasida kod bazasining umumiy murakkabligi ta'kidlangan- Kompozitsiyaga ichki HTTP-server va TLS kutubxonasi qo'shiladi, ular zaifliklarni o'z ichiga olishi va qo'shimcha hujum vektorlari vazifasini bajarishi mumkin. Bundan tashqari, DoH ishlatilganda, trafik ko'payadi.

Shuni unutmang HTTPS-dan ortiq DNS ma'lumotlarning tarqalishining oldini olish uchun foydali bo'lishi mumkinprovayderlarning DNS-serverlari orqali so'ralgan xost nomlari ustida ishlash, MITM hujumlariga qarshi kurashish va DNS-trafikni buzish, DNS-darajadagi blokirovkaga qarshi turish yoki DNS-serverlarga to'g'ridan-to'g'ri kirish imkoni bo'lmagan taqdirda ishni tashkil etish.

Ha, oddiy vaziyatda DNS so'rovlari to'g'ridan-to'g'ri yuboriladi tizim konfiguratsiyasida belgilangan DNS-serverlarga, keyin esa HTTPS orqali DNS, xostning IP-manzilini aniqlash bo'yicha so'rov u HTTPS trafigi ichiga kiritilgan va HTTP serveriga yuborilgan, unda hal qiluvchi veb-API orqali so'rovlarni qayta ishlaydi.

"TLS orqali DNS" "DNS dan HTTPS" dan farq qiladi, sertifikat tomonidan tasdiqlangan TLS sertifikatlari / SSL orqali xost tekshiruvi bilan TLS protokoli yordamida tashkil etilgan shifrlangan aloqa kanaliga o'ralgan standart DNS protokoli (odatda 853 tarmoq porti ishlatiladi). hokimiyat. 

Va nihoyat, bu zikr qilingan DoH 9.17.10 versiyasida sinov uchun mavjud va DoT-ni qo'llab-quvvatlash 9.17.7 dan beri mavjud bo'lib, barqarorlashgandan so'ng, DoT va DoH-ni qo'llab-quvvatlash 9.16 barqaror filialiga o'tadi.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.