BIND DNS hiện có hỗ trợ DNS thử nghiệm qua HTTPS

Các nhà phát triển máy chủ DNS BIND đã công bố vài ngày trước gia nhập nhánh thực nghiệm 9.17, việc thực hiện hỗ trợ cho máy chủ cho công nghệ DNS qua HTTPS (DoH, DNS qua HTTPS) và DNS qua TLS (DoT, DNS qua TLS), cũng như XFR.

Việc triển khai giao thức HTTP / 2 được sử dụng trong DoH dựa trên việc sử dụng thư viện nghttp2, được bao gồm trong các phụ thuộc xây dựng (trong tương lai, người ta có kế hoạch chuyển thư viện sang các phụ thuộc tùy chọn).

Với cấu hình phù hợp, một quy trình được đặt tên duy nhất giờ đây có thể phục vụ không chỉ các yêu cầu DNS truyền thống mà còn cả các yêu cầu được gửi bằng DoH (DNS qua HTTPS) và DoT (DNS qua TLS).

Hỗ trợ phía máy khách HTTPS (đào) chưa được triển khai, trong khi hỗ trợ XFR-over-TLS có sẵn cho các yêu cầu gửi đến và gửi đi.

Xử lý yêu cầu bằng DoH và DoT nó được kích hoạt bằng cách thêm các tùy chọn http và tls vào chỉ thị lắng nghe. Để hỗ trợ DNS qua HTTP không được mã hóa, bạn phải chỉ định "tls none" trong cấu hình. Các phím được định nghĩa trong phần "tls". Các cổng mạng tiêu chuẩn 853 cho DoT, 443 cho DoH và 80 cho DNS qua HTTP có thể được ghi đè thông qua các tham số tls-port, https-port và http-port.

Trong số các tính năng về việc thực hiện DoH trong BIND, lưu ý rằng có thể chuyển các hoạt động mã hóa cho TLS sang một máy chủ khác, Điều này có thể cần thiết trong các điều kiện mà việc lưu trữ chứng chỉ TLS được thực hiện trên một hệ thống khác (ví dụ: trong cơ sở hạ tầng có máy chủ web) và có sự tham gia của các nhân viên khác.

Hỗ trợ cho DNS qua HTTP không được mã hóa được triển khai để đơn giản hóa việc gỡ lỗi và như một lớp để chuyển tiếp trên mạng nội bộ, trên cơ sở đó mã hóa có thể được sắp xếp trên một máy chủ khác. Trên máy chủ từ xa, nginx có thể được sử dụng để tạo lưu lượng truy cập TLS, tương tự như cách tổ chức liên kết HTTPS cho các trang web.

Một tính năng khác là tích hợp DoH như một phương tiện vận chuyển chung, có thể được sử dụng không chỉ để xử lý các yêu cầu của máy khách tới trình phân giải mà còn khi trao đổi dữ liệu giữa các máy chủ, chuyển vùng bằng máy chủ DNS có thẩm quyền và xử lý bất kỳ yêu cầu nào được hỗ trợ bởi các phương tiện truyền tải DNS khác.

Trong số những thiếu sót có thể được bù đắp bằng cách tắt tính năng biên dịch với DoH / DoT hoặc chuyển mã hóa sang máy chủ khác, sự phức tạp chung của cơ sở mã được đánh dấu- Máy chủ HTTP tích hợp sẵn và thư viện TLS được thêm vào thành phần, có thể có khả năng chứa các lỗ hổng và hoạt động như các vectơ tấn công bổ sung. Ngoài ra, khi DoH được sử dụng, lưu lượng truy cập tăng lên.

Chúng ta phải nhớ rằng DNS-over-HTTPS có thể hữu ích để tránh rò rỉ thông tin shoạt động trên các tên máy chủ được yêu cầu thông qua máy chủ DNS của nhà cung cấp, chống lại các cuộc tấn công MITM và giả mạo lưu lượng DNS, chống lại việc chặn cấp DNS hoặc để tổ chức công việc trong trường hợp không thể truy cập trực tiếp vào máy chủ DNS.

Vâng, trong tình huống bình thường, các yêu cầu DNS được gửi trực tiếp đến các máy chủ DNS được xác định trong cấu hình hệ thống, sau đó, trong trường hợp DNS qua HTTPS, yêu cầu xác định địa chỉ IP của máy chủ nó được đóng gói trong lưu lượng HTTPS và được gửi đến máy chủ HTTP, trong đó trình phân giải xử lý các yêu cầu thông qua API web.

"DNS qua TLS" khác với "DNS qua HTTPS" bằng cách sử dụng giao thức DNS tiêu chuẩn (thường sử dụng cổng mạng 853) được bao bọc trong một kênh giao tiếp được mã hóa được tổ chức bằng giao thức TLS với xác thực máy chủ thông qua chứng chỉ TLS / SSL được chứng nhận bởi một chứng chỉ. thẩm quyền. 

Cuối cùng, nó được đề cập rằng DoH có sẵn để thử nghiệm trong phiên bản 9.17.10 và hỗ trợ DoT đã có từ 9.17.7, cộng với khi đã ổn định, hỗ trợ cho DoT và DoH sẽ chuyển sang nhánh ổn định 9.16.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.