TLS 1.3 এর উপর ভিত্তি করে ডোমেন ফ্রন্টিং

ভূমিকা

Cisco, BlueCoat, FireEye-এর মতো বিখ্যাত নির্মাতাদের থেকে আধুনিক কর্পোরেট বিষয়বস্তু ফিল্টারিং সিস্টেমগুলি তাদের আরও শক্তিশালী প্রতিরূপ - DPI সিস্টেমগুলির সাথে বেশ মিল রয়েছে, যা জাতীয় স্তরে সক্রিয়ভাবে প্রয়োগ করা হচ্ছে। উভয়ের কাজের সারমর্ম হল ইনকামিং এবং আউটগোয়িং ইন্টারনেট ট্রাফিক পরিদর্শন করা এবং কালো/সাদা তালিকার উপর ভিত্তি করে ইন্টারনেট সংযোগ নিষিদ্ধ করার সিদ্ধান্ত নেওয়া। এবং যেহেতু তারা উভয়ই তাদের কাজের বুনিয়াদিতে একই নীতির উপর নির্ভর করে, তাই তাদের বাধা দেওয়ার পদ্ধতিতেও অনেক মিল থাকবে।

একটি প্রযুক্তি যা আপনাকে বেশ কার্যকরভাবে DPI এবং কর্পোরেট সিস্টেম উভয়কেই বাইপাস করতে দেয় তা হল ডোমেন-ফ্রন্টিং প্রযুক্তি। এর সারমর্ম হল যে আমরা একটি অবরুদ্ধ সম্পদে যাই, অন্যের পিছনে লুকিয়ে, একটি ভাল খ্যাতি সহ পাবলিক ডোমেইন, যা স্পষ্টতই কোনও সিস্টেম দ্বারা অবরুদ্ধ হবে না, উদাহরণস্বরূপ google.com।

এই প্রযুক্তি সম্পর্কে ইতিমধ্যে অনেক নিবন্ধ লেখা হয়েছে এবং অনেক উদাহরণ দেওয়া হয়েছে। যাইহোক, জনপ্রিয় এবং সম্প্রতি আলোচিত DNS-ওভার-HTTPS এবং এনক্রিপ্টেড-SNI প্রযুক্তি, সেইসাথে TLS 1.3 প্রোটোকলের নতুন সংস্করণ, ডোমেন ফ্রন্টিংয়ের জন্য অন্য বিকল্প বিবেচনা করা সম্ভব করে তোলে।

প্রযুক্তি বোঝা

প্রথমে, আসুন একটু মৌলিক ধারণা সংজ্ঞায়িত করা যাক যাতে প্রত্যেকে বুঝতে পারে কে কে এবং কেন এই সব প্রয়োজন। আমরা ইএসএনআই মেকানিজম উল্লেখ করেছি, যার ক্রিয়াকলাপ আরও আলোচনা করা হবে। eSNI (এনক্রিপ্ট করা সার্ভার নেম ইন্ডিকেশন) মেকানিজম হল SNI-এর একটি সুরক্ষিত সংস্করণ, শুধুমাত্র TLS 1.3 প্রোটোকলের জন্য উপলব্ধ। মূল ধারণাটি হল অন্যান্য জিনিসের মধ্যে, কোন ডোমেনে অনুরোধ পাঠানো হয়েছে সে সম্পর্কে তথ্য এনক্রিপ্ট করা।

এখন দেখা যাক কিভাবে ইএসএনআই মেকানিজম অনুশীলনে কাজ করে।

ধরা যাক আমাদের কাছে একটি ইন্টারনেট সংস্থান রয়েছে যা একটি আধুনিক DPI সমাধান দ্বারা অবরুদ্ধ (উদাহরণস্বরূপ, বিখ্যাত টরেন্ট ট্র্যাকার rutracker.nl ধরা যাক)। যখন আমরা একটি টরেন্ট ট্র্যাকারের ওয়েবসাইট অ্যাক্সেস করার চেষ্টা করি, তখন আমরা সরবরাহকারীর স্ট্যান্ডার্ড স্টাব দেখতে পাই যে সংস্থানটি ব্লক করা হয়েছে:

RKN ওয়েবসাইটে এই ডোমেনটি আসলে স্টপ তালিকায় তালিকাভুক্ত করা হয়েছে:

আপনি whois কে জিজ্ঞাসা করলে, আপনি দেখতে পাবেন যে ডোমেইনটি নিজেই ক্লাউড প্রদানকারী ক্লাউডফ্লেয়ারের পিছনে "লুকানো" রয়েছে।

কিন্তু RKN-এর "বিশেষজ্ঞদের" থেকে ভিন্ন, Beeline-এর আরও প্রযুক্তিগতভাবে জ্ঞানী কর্মচারীরা (বা আমাদের বিখ্যাত নিয়ন্ত্রকের তিক্ত অভিজ্ঞতার দ্বারা শেখানো) IP ঠিকানা দ্বারা সাইটটিকে নির্বোধভাবে নিষিদ্ধ করেনি, কিন্তু স্টপ লিস্টে ডোমেন নাম যুক্ত করেছে৷ আপনি সহজেই এটি যাচাই করতে পারেন যদি আপনি একই IP ঠিকানার পিছনে অন্যান্য ডোমেনগুলি লুকানো আছে তা দেখেন, তাদের মধ্যে একটিতে যান এবং দেখুন যে অ্যাক্সেস ব্লক করা হয়নি:

এটা কিভাবে হয়? কিভাবে প্রদানকারীর DPI জানতে পারে আমার ব্রাউজার কোন ডোমেনে আছে, যেহেতু সমস্ত যোগাযোগ https প্রোটোকলের মাধ্যমে হয় এবং আমরা এখনও Beeline থেকে https সার্টিফিকেটের প্রতিস্থাপন লক্ষ্য করিনি? সে কি দাবীদার নাকি আমাকে অনুসরণ করা হচ্ছে?

ওয়্যারশার্কের মাধ্যমে ট্রাফিক দেখে এই প্রশ্নের উত্তর দেওয়ার চেষ্টা করা যাক

স্ক্রিনশট দেখায় যে ব্রাউজারটি প্রথমে DNS এর মাধ্যমে সার্ভারের আইপি ঠিকানা পায়, তারপরে গন্তব্য সার্ভারের সাথে একটি স্ট্যান্ডার্ড TCP হ্যান্ডশেক ঘটে এবং তারপর ব্রাউজার সার্ভারের সাথে একটি SSL সংযোগ স্থাপন করার চেষ্টা করে। এটি করার জন্য, এটি একটি SSL ক্লায়েন্ট হ্যালো প্যাকেট পাঠায়, যা স্পষ্ট পাঠ্যে উত্স ডোমেনের নাম ধারণ করে। সংযোগটি সঠিকভাবে রুট করার জন্য ক্লাউডফ্লেয়ার ফ্রন্টএন্ড সার্ভারের দ্বারা এই ক্ষেত্রটি প্রয়োজন৷ এখানেই প্রোভাইডার ডিপিআই আমাদের ধরে, আমাদের সংযোগ ভেঙে দেয়। একই সময়ে, আমরা প্রদানকারীর কাছ থেকে কোনো স্টাব পাই না, এবং আমরা স্ট্যান্ডার্ড ব্রাউজার ত্রুটি দেখতে পাই যেন সাইটটি নিষ্ক্রিয় বা সহজভাবে কাজ করে না:

এখন ব্রাউজারে ইএসএনআই মেকানিজম সক্রিয় করা যাক, যেমন নির্দেশাবলীতে লেখা আছে ফায়ারফক্স :
এটি করার জন্য আমরা ফায়ারফক্স কনফিগারেশন পৃষ্ঠা খুলি সম্পর্কে: কনফিগ এবং নিম্নলিখিত সেটিংস সক্রিয় করুন:

network.trr.mode = 2;
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

এর পরে, আমরা ক্লাউডফ্লেয়ার ওয়েবসাইটে সেটিংস সঠিকভাবে কাজ করছে কিনা তা পরীক্ষা করব। লিংক এবং আমাদের টরেন্ট ট্র্যাকার দিয়ে কৌশলটি আবার চেষ্টা করা যাক।

ভয়লা। আমাদের প্রিয় ট্র্যাকার কোনো ভিপিএন বা প্রক্সি সার্ভার ছাড়াই খোলা হয়েছে। আসুন এখন ওয়্যারশার্কের ট্র্যাফিক ডাম্পের দিকে তাকাই কী হয়েছিল তা দেখতে।

এইবার, ssl ক্লায়েন্ট হ্যালো প্যাকেজে স্পষ্টভাবে গন্তব্য ডোমেন নেই, তবে পরিবর্তে, প্যাকেজে একটি নতুন ক্ষেত্র উপস্থিত হয়েছে - encrypted_server_name - এখানেই rutracker.nl এর মান রয়েছে এবং শুধুমাত্র ক্লাউডফ্লেয়ার ফ্রন্টএন্ড সার্ভার এটিকে ডিক্রিপ্ট করতে পারে ক্ষেত্র এবং যদি তাই হয়, তাহলে সরবরাহকারী ডিপিআই-এর হাত ধুয়ে এই ধরনের যানবাহনের অনুমতি দেওয়া ছাড়া আর কোন উপায় নেই। এনক্রিপশন সহ অন্য কোন বিকল্প নেই।

সুতরাং, আমরা দেখেছি কিভাবে প্রযুক্তিটি ব্রাউজারে কাজ করে। এখন আরো নির্দিষ্ট এবং আকর্ষণীয় জিনিস এটি প্রয়োগ করার চেষ্টা করা যাক. এবং প্রথমে, আমরা একই কার্ল টিএলএস 1.3 এর সাথে কাজ করার জন্য eSNI ব্যবহার করতে শেখাব, এবং একই সাথে আমরা দেখব কিভাবে eSNI-ভিত্তিক ডোমেন ফ্রন্টিং নিজেই কাজ করে।

eSNI সহ ডোমেন ফ্রন্টিং

কার্ল https প্রোটোকলের মাধ্যমে সংযোগ করার জন্য স্ট্যান্ডার্ড openssl লাইব্রেরি ব্যবহার করার কারণে, প্রথমে আমাদের সেখানে eSNI সমর্থন প্রদান করতে হবে। ওপেনএসএল মাস্টার শাখায় এখনও কোনো ইএসএনআই সমর্থন নেই, তাই আমাদের একটি বিশেষ ওপেনএসএল শাখা ডাউনলোড করতে হবে, কম্পাইল করে ইনস্টল করতে হবে।

আমরা GitHub থেকে সংগ্রহস্থল ক্লোন করি এবং যথারীতি কম্পাইল করি:

$ git clone https://github.com/sftcd/openssl
$ cd openssl
$ ./config

$ make
$ cd esnistuff
$ make

এর পরে, আমরা কার্ল দিয়ে সংগ্রহস্থল ক্লোন করি এবং আমাদের সংকলিত openssl লাইব্রেরি ব্যবহার করে এর সংকলন কনফিগার করি:

$ cd $HOME/code
$ git clone https://github.com/niallor/curl.git curl-esni
$ cd curl-esni

$ export LD_LIBRARY_PATH=/opt/openssl
$ ./buildconf
$ LDFLAGS="-L/opt/openssl" ./configure --with-ssl=/opt/openssl --enable-esni --enable-debug

এখানে openssl অবস্থিত যেখানে সমস্ত ডিরেক্টরি সঠিকভাবে উল্লেখ করা গুরুত্বপূর্ণ (আমাদের ক্ষেত্রে, এটি /opt/openssl/) এবং নিশ্চিত করুন যে কনফিগারেশন প্রক্রিয়াটি ত্রুটি ছাড়াই চলে।

কনফিগারেশন সফল হলে, আমরা লাইনটি দেখতে পাব:

সতর্কতা: esni ESNI সক্রিয় কিন্তু পরীক্ষামূলক হিসেবে চিহ্নিত৷ সতর্কতার সাথে ব্যবহার করুন!

$ make

সফলভাবে প্যাকেজটি তৈরি করার পর, আমরা কার্ল কনফিগার এবং রান করার জন্য openssl থেকে একটি বিশেষ ব্যাশ ফাইল ব্যবহার করব। সুবিধার জন্য এটি কার্ল সহ ডিরেক্টরিতে অনুলিপি করা যাক:

cp /opt/openssl/esnistuff/curl-esni 

এবং ক্লাউডফ্লেয়ার সার্ভারে একটি পরীক্ষা https অনুরোধ করুন, একই সাথে Wireshark-এ DNS এবং TLS প্যাকেট রেকর্ড করার সময়।

$ ESNI_COVER="www.hello-rkn.ru" ./curl-esni https://cloudflare.com/

সার্ভার প্রতিক্রিয়াতে, openssl এবং curl থেকে প্রচুর ডিবাগিং তথ্য ছাড়াও, আমরা ক্লাউডফ্লেয়ার থেকে কোড 301 সহ একটি HTTP প্রতিক্রিয়া পাব।

HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 13:12:55 GMT
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Sun, 03 Nov 2019 14:12:55 GMT
< Location: https://www.cloudflare.com/

যা নির্দেশ করে যে আমাদের অনুরোধটি সফলভাবে গন্তব্য সার্ভারে পৌঁছে দেওয়া হয়েছে, শোনা এবং প্রক্রিয়া করা হয়েছে৷

এখন ওয়্যারশার্কের ট্রাফিক ডাম্পের দিকে নজর দেওয়া যাক, অর্থাৎ এই ক্ষেত্রে সরবরাহকারী ডিপিআই কী দেখেছে।

এটা দেখা যায় যে ক্লাউডফ্লেয়ার সার্ভারের জন্য একটি সর্বজনীন eSNI কী-এর জন্য কার্ল প্রথমে DNS সার্ভারে পরিণত হয়েছিল - _esni.cloudflare.com-এ একটি TXT DNS অনুরোধ (প্যাকেজ নং 13)। তারপর, openssl লাইব্রেরি ব্যবহার করে, curl Cloudflare সার্ভারে একটি TLS 1.3 অনুরোধ পাঠিয়েছে যেখানে SNI ক্ষেত্রটি পূর্ববর্তী ধাপে প্রাপ্ত সর্বজনীন কী দিয়ে এনক্রিপ্ট করা হয়েছে (প্যাকেট #22)। কিন্তু, ইএসএনআই ক্ষেত্র ছাড়াও, এসএসএল-হ্যালো প্যাকেটে স্বাভাবিক - খোলা এসএনআই সহ একটি ক্ষেত্র অন্তর্ভুক্ত রয়েছে, যা আমরা যে কোনও ক্রমে নির্দিষ্ট করতে পারি (এই ক্ষেত্রে - www.hello-rkn.ru).

ক্লাউডফ্লেয়ার সার্ভার দ্বারা প্রক্রিয়া করার সময় এই খোলা SNI ক্ষেত্রটি কোনোভাবেই বিবেচনায় নেওয়া হয়নি এবং শুধুমাত্র প্রদানকারী DPI-এর জন্য একটি মুখোশ হিসাবে পরিবেশন করা হয়েছিল। ক্লাউডফ্লেয়ার সার্ভার আমাদের এসএসএল-হ্যালো প্যাকেট পেয়েছে, ইএসএনআই ডিক্রিপ্ট করেছে, সেখান থেকে আসল এসএনআই বের করেছে এবং এটি এমনভাবে প্রক্রিয়া করেছে যেন কিছুই ঘটেনি (ইএসএনআই বিকাশ করার সময় এটি পরিকল্পনা অনুযায়ী সবকিছু করেছে)।

DPI দৃষ্টিকোণ থেকে এই ক্ষেত্রে একমাত্র যে জিনিসটি ধরা যেতে পারে তা হল _esni.cloudflare.com-এ প্রাথমিক DNS অনুরোধ। কিন্তু আমরা ডিএনএস অনুরোধটি খোলা করেছি শুধুমাত্র দেখানোর জন্য যে এই প্রক্রিয়াটি ভিতরে থেকে কীভাবে কাজ করে।

অবশেষে ডিপিআই-এর অধীনে থেকে পাটি বের করার জন্য, আমরা ইতিমধ্যে উল্লিখিত DNS-ওভার-HTTPS মেকানিজম ব্যবহার করি। একটু ব্যাখ্যা - DOH হল একটি প্রোটোকল যা আপনাকে HTTPS-এ একটি DNS অনুরোধ পাঠিয়ে মধ্যম আক্রমণ থেকে রক্ষা করতে দেয়।

আসুন আবার অনুরোধটি কার্যকর করি, কিন্তু এইবার আমরা https প্রোটোকলের মাধ্যমে পাবলিক eSNI কীগুলি পাব, DNS নয়:

ESNI_COVER="www.hello-rkn.ru" DOH_URL=https://mozilla.cloudflare-dns.com/dns-query ./curl-esni https://cloudflare.com/

অনুরোধ ট্রাফিক ডাম্প নীচের স্ক্রিনশটে দেখানো হয়েছে:

এটি দেখা যায় যে কার্ল প্রথমে DoH প্রোটোকলের মাধ্যমে mozilla.cloudflare-dns.com সার্ভারে প্রবেশ করে (সার্ভার 104.16.249.249 এর সাথে https সংযোগ) তাদের কাছ থেকে SNI এনক্রিপশনের জন্য পাবলিক কীগুলির মানগুলি পেতে এবং তারপরে গন্তব্যে সার্ভার, ডোমেনের পিছনে লুকিয়ে আছে www.hello-rkn.ru.

উপরের DoH সমাধানকারী mozilla.cloudflare-dns.com ছাড়াও, আমরা অন্যান্য জনপ্রিয় DoH পরিষেবাগুলি ব্যবহার করতে পারি, উদাহরণস্বরূপ, বিখ্যাত মন্দ কর্পোরেশন থেকে।
আসুন নিম্নলিখিত প্রশ্নটি চালাই:

ESNI_COVER="www.kremlin.ru" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

এবং আমরা উত্তর পাই:

< HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 14:10:22 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: __cfduid=da0144d982437e77b0b37af7d00438b1a1572790222; expires=Mon, 02-Nov-20 14:10:22 GMT; path=/; domain=.rutracker.nl; HttpOnly; Secure
< Location: https://rutracker.nl/forum/index.php
< CF-Cache-Status: DYNAMIC
< Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
< Server: cloudflare
< CF-RAY: 52feee696f42d891-CPH

এই ক্ষেত্রে, আমরা DoH সমাধানকারী dns.google ব্যবহার করে ব্লক করা rutracker.nl সার্ভারের দিকে ঘুরেছি (এখানে কোনও টাইপো নেই, এখন বিখ্যাত কর্পোরেশনের নিজস্ব প্রথম-স্তরের ডোমেন রয়েছে) এবং নিজেদেরকে অন্য ডোমেন দিয়ে আচ্ছাদিত করেছি, যা কঠোরভাবে সমস্ত ডিপিআই-এর জন্য মৃত্যুর যন্ত্রণার মধ্যে ব্লক করা নিষিদ্ধ। প্রাপ্ত প্রতিক্রিয়ার উপর ভিত্তি করে, আপনি বুঝতে পারেন যে আমাদের অনুরোধ সফলভাবে প্রক্রিয়া করা হয়েছে।

একটি অতিরিক্ত চেক হিসাবে যে প্রদানকারীর DPI খোলা SNI-তে সাড়া দেয়, যা আমরা একটি কভার হিসাবে প্রেরণ করি, আমরা rutracker.nl এর কাছে অনুরোধ করতে পারি অন্য কিছু নিষিদ্ধ সংস্থানের আড়ালে, উদাহরণস্বরূপ, আরেকটি "ভাল" টরেন্ট ট্র্যাকার:

$ ESNI_COVER="rutor.info" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

আমরা সার্ভার থেকে একটি প্রতিক্রিয়া পাব না, কারণ... আমাদের অনুরোধ ডিপিআই সিস্টেম দ্বারা ব্লক করা হবে।

প্রথম অংশের একটি সংক্ষিপ্ত উপসংহার

সুতরাং, আমরা openssl এবং curl ব্যবহার করে eSNI-এর কার্যকারিতা প্রদর্শন করতে সক্ষম হয়েছি এবং eSNI-এর উপর ভিত্তি করে ডোমেন ফ্রন্টিংয়ের অপারেশন পরীক্ষা করতে পেরেছি। একইভাবে, আমরা অন্যান্য ডোমেনের "ছদ্মবেশে" কাজ করার জন্য ওপেনএসএল লাইব্রেরি ব্যবহার করে আমাদের প্রিয় সরঞ্জামগুলিকে মানিয়ে নিতে পারি। আমাদের পরবর্তী নিবন্ধে এই সম্পর্কে আরো বিস্তারিত.

উত্স: www.habr.com