כיצד להגן על האתר הציבורי שלך עם ESNI

שלום הבר, שמי איליה, אני עובד בצוות הפלטפורמה באקסנס. אנו מפתחים ומיישמים את רכיבי התשתית המרכזיים שבהם משתמשים צוותי פיתוח המוצרים שלנו.

במאמר זה, ברצוני לחלוק את הניסיון שלי ביישום טכנולוגיית SNI מוצפנת (ESNI) בתשתית של אתרים ציבוריים.

השימוש בטכנולוגיה זו יגביר את רמת האבטחה בעבודה עם אתר ציבורי ויעמוד בתקני אבטחה פנימיים שאומצו על ידי החברה.

קודם כל, אני רוצה לציין שהטכנולוגיה אינה סטנדרטית ועדיין נמצאת בטיוטה, אבל CloudFlare ומוזילה כבר תומכות בה (ב טיוטה 01). זה הניע אותנו לניסוי כזה.

קצת תיאוריה

ESNI הוא הרחבה לפרוטוקול TLS 1.3 המאפשר הצפנת SNI בהודעת לחיצת היד של TLS "Client Hello". כך נראה Client Hello עם תמיכת ESNI (במקום ה-SNI הרגיל אנו רואים את ESNI):

 כדי להשתמש ב-ESNI, אתה צריך שלושה רכיבים:

• DNS; 
• תמיכת לקוחות;
• תמיכה בצד השרת.

DNS

עליך להוסיף שתי רשומות DNS - Aו - TXT (רשומת ה-TXT מכילה את המפתח הציבורי שבעזרתו הלקוח יכול להצפין SNI) - ראה להלן. בנוסף, חייבת להיות תמיכה DoH (DNS על HTTPS) מכיוון שלקוחות זמינים (ראה להלן) אינם מאפשרים תמיכת ESNI ללא DoH. זה הגיוני, מכיוון ש-ESNI מרמזת על הצפנה של שם המשאב שאליו אנחנו ניגשים, כלומר, אין טעם לגשת ל-DNS דרך UDP. יתר על כן, השימוש DNSSEC מאפשר לך להגן מפני התקפות הרעלת מטמון בתרחיש זה.

זמין כרגע מספר ספקי DoH, ביניהם:

• CloudFlare
• OpenDNS
• Google

CloudFlare מצהיר (בדוק את הדפדפן שלי → SNI מוצפן → למידע נוסף) שהשרתים שלהם כבר תומכים ב-ESNI, כלומר, עבור שרתי CloudFlare ב-DNS יש לנו לפחות שתי רשומות - A ו-TXT. בדוגמה שלמטה אנו מבצעים שאילתות של Google DNS (על HTTPS): 

А כְּנִיסָה:

curl 'https://dns.google.com/resolve?name=www.cloudflare.com&type=A' 
-s -H 'accept: application/dns+json'
{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "www.cloudflare.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "www.cloudflare.com.",
      "type": 1,
      "TTL": 257,
      "data": "104.17.210.9"
    },
    {
      "name": "www.cloudflare.com.",
      "type": 1,
      "TTL": 257,
      "data": "104.17.209.9"
    }
  ]
}

TXT רשומה, הבקשה נוצרת על פי תבנית _esni.FQDN:

curl 'https://dns.google.com/resolve?name=_esni.www.cloudflare.com&type=TXT' 
-s -H 'accept: application/dns+json'
{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
    "name": "_esni.www.cloudflare.com.",
    "type": 16
    }
  ],
  "Answer": [
    {
    "name": "_esni.www.cloudflare.com.",
    "type": 16,
    "TTL": 1799,
    "data": ""/wEUgUKlACQAHQAg9SiAYQ9aUseUZr47HYHvF5jkt3aZ5802eAMJPhRz1QgAAhMBAQQAAAAAXtUmAAAAAABe3Q8AAAA=""
    }
  ],
  "Comment": "Response from 2400:cb00:2049:1::a29f:209."
}

אז, מנקודת מבט של DNS, עלינו להשתמש ב-DoH (רצוי עם DNSSEC) ולהוסיף שני ערכים. 

שירות לקוחות

אם אנחנו מדברים על דפדפנים, אז כרגע התמיכה מיושמת רק ב-Firefox. כאן להלן הוראות כיצד להפעיל את תמיכת ESNI ו-DoH ב-Firefox. לאחר הגדרת הדפדפן, אנו אמורים לראות משהו כזה:

קשר כדי לבדוק את הדפדפן.

כמובן, יש להשתמש ב-TLS 1.3 כדי לתמוך ב-ESNI, מכיוון ש-ESNI היא הרחבה ל-TLS 1.3.

לצורך בדיקת ה-backend עם תמיכת ESNI, הטמענו את הלקוח ב- go, אבל על כך בהמשך.

תמיכה בצד השרת

נכון לעכשיו, ESNI אינו נתמך על ידי שרתי אינטרנט כמו nginx/apache וכו', מכיוון שהם עובדים עם TLS דרך OpenSSL/BoringSSL, שאינם תומכים ב-ESNI באופן רשמי.

לכן, החלטנו ליצור רכיב חזיתי משלנו (ESNI reverse proxy), אשר יתמוך בסיום TLS 1.3 עם תעבורת ESNI ו-proxy HTTP(S) ל-upstream, שאינו תומך ב-ESNI. זה מאפשר שימוש בטכנולוגיה בתשתית שכבר קיימת, מבלי לשנות את המרכיבים העיקריים – כלומר, שימוש בשרתי אינטרנט קיימים שאינם תומכים ב-ESNI. 

לשם הבהירות, הנה תרשים:

אני מציין שהפרוקסי תוכנן עם היכולת לסיים חיבור TLS ללא ESNI, כדי לתמוך בלקוחות ללא ESNI. כמו כן, פרוטוקול התקשורת במעלה הזרם יכול להיות HTTP או HTTPS עם גרסת TLS נמוכה מ-1.3 (אם במעלה הזרם אינו תומך ב-1.3). תכנית זו מעניקה גמישות מרבית.

יישום תמיכת ESNI על go השאלנו ממנו CloudFlare. אני רוצה לציין מיד שהיישום עצמו הוא די לא טריוויאלי, מכיוון שהוא כרוך בשינויים בספרייה הסטנדרטית crypto/tls ולכן דורש "תיקון" GOROOT לפני ההרכבה.

כדי ליצור מפתחות ESNI השתמשנו esnitool (גם פרי יצירתו של CloudFlare). מפתחות אלה משמשים להצפנה/פענוח SNI.
בדקנו את המבנה באמצעות go 1.13 ב-Linux (Debian, Alpine) ו-MacOS. 

כמה מילים על תכונות תפעוליות

פרוקסי הפוך של ESNI מספק מדדים בפורמט של Prometheus, כגון rps, חביון במעלה הזרם וקודי תגובה, לחיצות יד של TLS נכשלות/מוצלחות ומשך לחיצת יד של TLS. במבט ראשון, זה נראה מספיק כדי להעריך כיצד ה-proxy מטפל בתעבורה. 

ביצענו גם בדיקות עומס לפני השימוש. תוצאות למטה:

wrk -t50 -c1000 -d360s 'https://esni-rev-proxy.npw:443' --timeout 15s
Running 6m test @ https://esni-rev-proxy.npw:443
  50 threads and 1000 connections
  Thread Stats   Avg      Stdev     Max   +/- Stdev
    Latency     1.77s     1.21s    7.20s    65.43%
    Req/Sec    13.78      8.84   140.00     83.70%
  206357 requests in 6.00m, 6.08GB read
Requests/sec:    573.07
Transfer/sec:     17.28MB 

ביצענו בדיקות עומס איכותיות בלבד כדי להשוות את הסכימה באמצעות פרוקסי הפוך של ESNI וללא. "שפכנו" תעבורה מקומית על מנת למנוע "הפרעות" ברכיבי ביניים.

אז, עם תמיכה ב-ESNI ו-proxy ל-upstream מ-HTTP, קיבלנו כ-550 rps ממופע אחד, עם צריכת ה-CPU/RAM הממוצעת של ESNI הפוך פרוקסי:

• 80% שימוש במעבד (4 vCPU, מארחים של 4 GB RAM, לינוקס)
• 130 MB Mem RSS

לשם השוואה, RPS עבור אותו nginx במעלה הזרם ללא סיום TLS (פרוטוקול HTTP) הוא ~ 1100:

wrk -t50 -c1000 -d360s 'http://lb.npw:80' –-timeout 15s
Running 6m test @ http://lb.npw:80
  50 threads and 1000 connections
  Thread Stats   Avg      Stdev     Max   +/- Stdev
    Latency     1.11s     2.30s   15.00s    90.94%
    Req/Sec    23.25     13.55   282.00     79.25%
  393093 requests in 6.00m, 11.35GB read
  Socket errors: connect 0, read 0, write 0, timeout 9555
  Non-2xx or 3xx responses: 8111
Requests/sec:   1091.62
Transfer/sec:     32.27MB 

נוכחותם של פסקי זמן מצביעה על מחסור במשאבים (השתמשנו ב-4 vCPUs, מארחים של 4 GB RAM, לינוקס), ולמעשה פוטנציאל ה-RPS גבוה יותר (קיבלנו נתונים של עד 2700 RPS על משאבים חזקים יותר).

לסיכום, אני מציין שטכנולוגיית ESNI נראית די מבטיחה. יש עדיין הרבה שאלות פתוחות, למשל, הבעיות של אחסון מפתח ה-ESNI הציבורי ב-DNS ומפתחות ESNI סיבוביים - נושאים אלו נידונים באופן פעיל, והגרסה העדכנית ביותר של טיוטת ESNI (בזמן כתיבת שורות אלה) כבר נמצאת 7.

מקור: www.habr.com