The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В DNS-сервер BIND добавлена экспериментальная поддержка DNS-over-HTTPS

19.02.2021 11:16

Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. Поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.

Обработка запросов с использованием DoH и DoT включается через добавление опций http и tls в директиве listen-on. Для поддержки незашифрованного DNS-over-HTTP в настройках следует указать "tls none". Ключи определяются в секции "tls". Стандартные сетевые порты 853 для DoT, 443 для DoH и 80 для DNS-over-HTTP могут быть переопределены через параметры tls-port, https-port и http-port. Например:


   tls local-tls {
       key-file "/path/to/priv_key.pem";
       cert-file "/path/to/cert_chain.pem";
   };
   http local-http-server {
      endpoints { "/dns-query";  };
   };
   options {
      https-port 443;
      listen-on port 443 tls local-tls http myserver {any;};
   }

Из особенностей реализации DoH в BIND отмечается возможность выноса операций шифрования для TLS на другой сервер, что может понадобиться в условиях, когда хранение TLS-сертификатов осуществляется на другой системе (например, в инфраструктуре с web-серверами) и обслуживается другим персоналом. Поддержка незашифрованного DNS-over-HTTP реализована для упрощения отладки и как уровень для проброса во внутренней сети, на базе которого на другом сервере может быть организовано шифрование. На выносном сервере для формирования TLS-трафика может использоваться nginx, по аналогии с тем, как организуется обвязка HTTPS для сайтов.

Другой особенностью является интеграция DoH в качестве общего транспорта, который может применяться не только для обработки запросов клиентов к резолверу, но и при обмене данными между серверами, при передаче зон авторитетным DNS-сервером и при обработке любых запросов, поддерживаемых другими транспортами DNS.

Из недостатков, которые можно будет компенсировать отключением сборки с DoH/DoT или выносом шифрования на другой сервер, выделяется общее усложнение кодовой базы - в состав добавляется встроенный HTTP-сервер и TLS-библиотека, которые потенциально могут содержать уязвимости и выступать дополнительными векторами для атак. Также при использовании DoH увеличивается трафик.

Напомним, что DNS-over-HTTPS может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика (например, при подключении к публичным Wi-Fi), противостояния блокировкам на уровне DNS (DNS-over-HTTPS не может заменить VPN в области обхода блокировок, реализованных на уровне DPI) или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DNS-over-HTTPS запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.

"DNS over TLS" отличается от "DNS over HTTPS" применением штатного протокола DNS (обычно используется сетевой порт 853), завёрнутого в шифрованный канал связи, организованный при помощи протокола TLS с проверкой валидности хоста через TLS/SSL-сертификаты, заверенные удостоверяющим центром. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

  1. Главная ссылка к новости (https://www.isc.org/blogs/bind...)
  2. OpenNews: Изменение модели формирования релизов DNS-сервера BIND. BIND 9.18 отложен на следующий год
  3. OpenNews: Firefox 85 перейдёт на ECH для скрытия домена в HTTPS-трафике
  4. OpenNews: Cloudflare, Apple и Fastly представили сохраняющий конфиденциальность вариант DNS over HTTPS
  5. OpenNews: В Chrome для Android включена поддержка DNS-over-HTTPS
  6. OpenNews: Компания Mozilla представила третьего провайдера DNS-over-HTTPS для Firefox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54617-bind
Ключевые слова: bind, doh, crypt, tls
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Таненбаум (?), 11:22, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    вот и славно
     
  • 1.2, YetAnotherOnanym (ok), 12:09, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вооот, теперь и в коде, обеспечивающем DoH и DoT, тоже будут находить дыры.
     
     
  • 2.4, пох. (?), 13:26, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Естественно, поскольку это невменяемая блоатварь. Для того, впрочем, и брали.

    И да, вишенка на тортике - "когда-нибудь, может быть, мы эту зависимость от ненужно сделаем отключаемой".

     
     
  • 3.9, Онаним (?), 14:13, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    DoH - да, в определённой мере блоаттварь. DoT - не очень. Биндинги к OpenSSL особо не напрягают.
     
     
  • 4.11, пох. (?), 14:34, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Оба сорта одного и того же. Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл.

     
     
  • 5.26, AnonymPatient (?), 04:24, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл.

    1500, UDP - понимаю проблемы, но

    есть же SCTP, слабосоображающие, нет (тут матюг) лезут еще со своей текство-портянкой HTTP, прочим json'om

    замусорили своими костылями всю RR TXT, корпoративные редиски;
    WiKi мультииерoглифную туда(TXT) еще вкорячить, слов нет, (и тут матюг) лица по комитетам сидят - стандартиризаторы (матюк легкой степени), полнейшая мешанина бинарно-текстовая по факту

    там еще npm и прочий js не планирют прикручиват в BIND9 ?

     
  • 5.31, crypt (ok), 10:40, 21/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    тоже вижу это как минус. так со всем айти происходит, к сожалению. это еще чудо, что из-за большой инерции у нас сохраняются базовые IP протоколы. из плюсов: может, DDoSить через DNS будут меньше.
     
     
  • 6.32, пациентович (?), 15:44, 21/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > из плюсов: может, DDoSить через DNS будут меньше.

    Какие, *ть плюсы - тут куча матюков...

    Завернут DNS службу через всех "облачных" *ов(МАТЮГ 100500 ЛЕВЕЛА),
    а в ПРЕДЕЛЕ  ХОТЯТ СДЕЛАТЬ ТАК - что за каждый !!! DNS запрос будете ОТСТЕГИВАТЬ И ОТКАШЛИВАТЬ
    Будет вам ПОЛНЕЙШИЙ DnsAAS - куда ЭТИ УБЛАЧНЫЕ PEДИСКИ( МАТЮГ 100500 ЛЕВЕЛА)  ЗАТACКИВАЮТ

    С НАСТУПАЮЩИМ ДИВНЫМ НОВЫМ ИНТЕНРЕТОМ

    - КРЕДИТ ЗАПРОСОВ ДЛЯ ВАШЕГО ДОМЕНА В ЭТОМ МЕСЯЦЕ ИСЧЕРПАН, ПОПОЛНИТЕ БАЛАНС
    - ДОПОЛНИТЕЛЬНО ВАМ НАДО ПРОДЛИТЬ ВРЕМЯ ДЕСТВМЯ SSL-СЕРТИФИКАТА ДЛЯ ВАШЕГО ДОМЕНА

    P.S.:
    Походу и РЕБЯТA с УOЛЛ-CTРИТА и их дочерние структуры ПОДОФИГЕЛИ - cyкa,
    к чему не прикaсаются - ВСЕ МАРЕКТ ПЫТАЮТСЯ ПРЕВРАТИТЬ

    БАНKCТЕРЫ - ВООБЩЕ БЕРЕГА ПОТЕРЯЛИ

     
     
  • 7.35, пациентович (?), 16:05, 21/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ЕЩЕ ДОПОЛНЮ,

    Примечaние, для модераторов - все мною сказаное - в ЗДРАВОМ рассудке и ТРЕЗВОЙ памяти

    MАТЬ, MAТЬ, MAТЬ - мало того,
    что весь HTTP и прочий WEB загадили повальным SSL и прочим JS,
    всю инфрaструктуру хотят ОБМЕНЕТИЗИРОВАТЬ & ( и всмысле)ЗAГAДИТЬ

    СЛОВ НЕТ - ТОРГАШИ ХРЕНОВЫ

     
  • 6.36, пох. (?), 20:11, 22/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > из плюсов: может, DDoSить через DNS будут меньше.

    учитывая что ддосить теперь будут с адресов гугля прекрасным http3 - да, меньше, кому нах сдался тот мамонтов кал в dns, который еще и половина васянов позаблокирует без разбора (ведь ихнему 1.1.1.1 ничего работать не помешает).


    Дайте другой глобус, этому п-ц уже почти наступил.

     

  • 1.3, Аноним (3), 12:39, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Переписать на Rust! Make Bind great again
     
     
  • 2.5, Сейд (ok), 13:32, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/bluejekyll/trust-dns
     
  • 2.6, Rustishishka (?), 14:01, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Rust не гарантирует отсутствие UB
     
  • 2.14, YetAnotherOnanym (ok), 17:07, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Make Bind bound again

    Не благодари.

     

  • 1.7, Онаним (?), 14:09, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Накотец-то.
    Одним биндом охватить всё - это просто праздник какой-то.
     
     
  • 2.8, Онаним (?), 14:10, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А то, что поддерживает работу за балансировщиком - и вообще прекрасно.
     
  • 2.10, Онаним (?), 14:15, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Верифицируемый TLS для передачи зон - вообще прекрасно, можно будет VPN местами разобрать.
     

  • 1.12, Ssss (?), 15:11, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Есть нормальный DNS over TLS, нет, надо было эту хрень over HTTPS делать
     
     
  • 2.16, Сейд (ok), 18:28, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у меня на работе открыт только 443 порт.
     
     
  • 3.20, Аноним (-), 19:47, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перепишем же на расте весь днс пару раз во славу твоего открытого 443го порта на работе.
     
  • 3.27, Аноним (27), 11:42, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Значит на х нужен такой работодатель.
     
     
  • 4.29, Сейд (ok), 12:54, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я там не за Интернет, а за зарплату работаю.
     
  • 2.25, пох. (?), 23:33, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А чего в нем нормального-то? Такой же лютейший трэш и п-ц...

    http/2 хотя бы рано или поздно доведут до рабочего вида (поскольку этим занимается не isc). А там - надежды никакой.

     

  • 1.13, th3m3 (ok), 15:26, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А как скоро завезут ECH (Encrypted Client Hello)? А то Mozilla в Firefox резко на него перешла, теперь заблоченные сайты опять нужно на прокси насаживать.
     
  • 1.15, msgod (ok), 17:54, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И в каких операционных системах системный резольвер поддерживает эти дох и дот?

    На браузеропомойки плевать. Давайте на уровне системного резольвера.

     
     
  • 2.17, depo (?), 19:08, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Давайте на уровне системного резольвера.

    Ну давайте. С криокамеры только вылез?

    https://shivering-isles.com/Configure-DoT-on-systemd-resolved

    https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy

    https://github.com/testdasi/pihole-dot-doh

    https://www.bentasker.co.uk/documentation/linux/407-building-and-running-your-

    https://www.nginx.com/blog/using-nginx-as-dot-doh-gateway/

     
     
  • 3.21, msgod (ok), 20:03, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И что из этого является системным ресольвером?
    GetHostByName из libc? Не не слышали.
    Ну и гнушники пошли ныне.
    Уже мокрописьки считают частью системы
     
  • 2.18, Аноним (18), 19:09, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    системдос
     
  • 2.24, Stax (ok), 22:54, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В самой распространенной в мире ОС - поддерживает на уровне системного: https://www.bleepingcomputer.com/news/security/microsoft-adds-windows-10-dns-o пользовательский релиз вошло начиная с 2004)

    А что касается линукса, так как бы NSS поверх systemd-resolved (nss-resolve) уже не первый год в glibc. Пропишите "hosts:          mymachines resolve [!UNAVAIL=return] files myhostname" в nsswitch.conf и DNS over HTTP в systemd-resoled и все будет как пожелаете. С точки зрения pluggable архитектуры NSS нет никакой разницы, используете ли вы libnss_resolve или libnss_dns.

     

  • 1.19, Х (?), 19:20, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В РКН еще не добавили альфа-поддержку блокировки этого счастья?
     
     
  • 2.23, Pahanivo (ok), 21:57, 19/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Блокировку чего-то "over HTTPS" приказать то можно, вот только сделать ... ))
     
     
  • 3.28, Аноним (27), 11:44, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В НурСултанСтане же сделали.
     
     
  • 4.39, Pahanivo (ok), 14:04, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В НурСултанСтане же сделали.

    Анальным зондом с подменой сертификата?

     
  • 2.30, Dima1 (?), 23:46, 20/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    только в США добавили. Тым мало того, что просто так банят сотни тысяч аккаунтов, так уже стали целые страны блокировать. Ты отстал от жизни.
     

  • 1.22, Аноним (22), 20:19, 19/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    BIND впереди планеты всей!
     
     
  • 2.37, пох. (?), 20:13, 22/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > BIND впереди планеты всей!

    это зад.

     

  • 1.38, Аноним (38), 11:09, 25/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Встроенный http-сервер - это сильно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру