היבטים שונים של פעולת DNS כבר נגעו שוב ושוב על ידי המחבר במספר מאמרים פורסם במסגרת הבלוג. יחד עם זאת, הדגש העיקרי תמיד היה על שיפור האבטחה של שירות אינטרנט מפתח זה.

עד לאחרונה, למרות הפגיעות הברורה של תעבורת DNS, שעדיין, ברובה, מועברת בבהירות, לפעולות זדוניות מצד ספקים המבקשים להגדיל את הכנסתם על ידי הטמעת פרסום בתוכן, סוכנויות אבטחה ממשלתיות וצנזורה, כמו גם פשוט פושעים, התהליך חיזוק ההגנה שלו, למרות נוכחותן של טכנולוגיות שונות כגון DNSSEC/DANE, DNScrypt, DNS-over-TLS ו-DNS-over-HTTPS, נתקעה. ואם פתרונות שרת, וחלקם קיימים כבר די הרבה זמן, ידועים וזמינים, התמיכה שלהם מתוכנת לקוח משאירה הרבה מקום לרצון.

למרבה המזל, המצב משתנה. בפרט, מפתחי הדפדפן הפופולרי פיירפוקס נָקוּב על תוכניות להפעלת מצב תמיכה כברירת מחדל DNS-over-HTTPS (DoH) בקרוב. זה אמור לעזור להגן על תעבורת ה-DNS של משתמש ה-WWW מהאיומים שלעיל, אך עלול להציג איומים חדשים.

1. בעיות DNS-over-HTTPS

במבט ראשון, ההחדרה ההמונית המתחילה של DNS-over-HTTPS לתוכנת האינטרנט גורמת רק לתגובה חיובית. עם זאת, השטן, כמו שאומרים, נמצא בפרטים.

הבעיה הראשונה שמגבילה את היקף השימוש הנרחב של DoH היא ההתמקדות שלו אך ורק בתעבורת אינטרנט. ואכן, פרוטוקול ה-HTTP והגרסה הנוכחית שלו HTTP/2, שעליה מבוסס DoH, הם הבסיס ל-WWW. אבל האינטרנט הוא לא רק האינטרנט. ישנם הרבה שירותים פופולריים, כמו דואר אלקטרוני, מסרים מידיים שונים, מערכות העברת קבצים, הזרמת מולטימדיה וכו', שאינם משתמשים ב-HTTP. לפיכך, למרות התפיסה על ידי רבים של DoH כתרופה פלאיה, מתברר שזה לא ישים ללא מאמץ נוסף (ומיותר) עבור כל דבר אחר מלבד טכנולוגיות דפדפן. אגב, DNS-over-TLS נראה כמו מועמד הרבה יותר ראוי לתפקיד הזה, שמיישם את הקיבול של תעבורת DNS סטנדרטית בפרוטוקול TLS הסטנדרטי המאובטח.

הבעיה השנייה, שעשויה להיות הרבה יותר משמעותית מהראשונה, היא הנטישה בפועל של הביזור המובנה של DNS על ידי עיצוב לטובת שימוש בשרת DoH יחיד המצוין בהגדרות הדפדפן. במיוחד, מוזילה מציעה להשתמש בשירות של Cloudflare. שירות דומה הושק גם על ידי גורמים בולטים אחרים באינטרנט, בפרט גוגל. מסתבר שהטמעת DNS-over-HTTPS בצורה בה היא מוצעת כיום רק מגבירה את התלות של משתמשי הקצה בשירותים הגדולים ביותר. זה לא סוד שהמידע שניתוח שאילתות DNS יכול לספק יכול לאסוף עוד יותר נתונים לגביו, כמו גם להגביר את הדיוק והרלוונטיות שלו.

בהקשר זה, המחבר היה ונשאר תומך ביישום ההמוני לא של DNS-over-HTTPS, אלא של DNS-over-TLS יחד עם DNSSEC/DANE כאמצעי אוניברסלי, מאובטח ואינו תורם לריכוזיות נוספת של אמצעי האינטרנט. להבטחת אבטחת תעבורת DNS. לרוע המזל, מסיבות ברורות, אי אפשר לצפות להחדרה מהירה של תמיכה המונית בחלופות DoH לתוכנת הלקוח, וזה עדיין נחלתם של חובבי טכנולוגיית אבטחה.

אבל מכיוון שיש לנו כעת DoH, מדוע שלא נשתמש בו לאחר שנמלט ממעקב פוטנציאלי של תאגידים דרך השרתים שלהם לשרת ה-DNS-over-HTTPS שלנו?

2. פרוטוקול DNS-over-HTTPS

אם מסתכלים על הסטנדרט RFC8484 כשמתארים את פרוטוקול ה-DNS-over-HTTPS, אתה יכול לראות שזהו, למעשה, API אינטרנט המאפשר לך לכלול חבילת DNS סטנדרטית בפרוטוקול HTTP/2. זה מיושם באמצעות כותרות HTTP מיוחדות, כמו גם המרה של הפורמט הבינארי של נתוני DNS משודרים (ראה. RFC1035 ומסמכים הבאים) לטופס המאפשר לך לשדר ולקבל אותם, כמו גם לעבוד עם המטא-נתונים הדרושים.

לפי התקן, רק HTTP/2 וחיבור TLS מאובטח נתמכים.

שליחת בקשת DNS יכולה להתבצע באמצעות שיטות GET ו-POST הסטנדרטיות. במקרה הראשון, הבקשה עוברת טרנספורמציה למחרוזת מקודדת base64URL, ובמקרה השני, דרך גוף בקשת ה-POST בצורה בינארית. במקרה זה, נעשה שימוש בסוג נתוני MIME מיוחד במהלך בקשת ה-DNS והתגובה application/dns-message.

root@eprove:~ # curl -H 'accept: application/dns-message' 'https://my.domaint/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE' -v
*   Trying 2001:100:200:300::400:443...
* TCP_NODELAY set
* Connected to eprove.net (2001:100:200:300::400) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=my.domain
*  start date: Jul 22 00:07:13 2019 GMT
*  expire date: Oct 20 00:07:13 2019 GMT
*  subjectAltName: host "my.domain" matched cert's "my.domain"
*  issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x801441000)
> GET /dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE HTTP/2
> Host: eprove.net
> User-Agent: curl/7.65.3
> accept: application/dns-message
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 200
< server: h2o/2.3.0-beta2
< content-type: application/dns-message
< cache-control: max-age=86274
< date: Thu, 12 Sep 2019 13:07:25 GMT
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< content-length: 45
<
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
* Failed writing body (0 != 45)
* stopped the pause stream!
* Connection #0 to host eprove.net left intact

שימו לב גם לכותרת בקרת מטמון: בתגובה משרת האינטרנט. בפרמטר גיל מקסימלי מכיל את ערך TTL עבור רשומת ה-DNS המוחזרת (או את הערך המינימלי אם קבוצה מהם מוחזרת).

בהתבסס על האמור לעיל, התפקוד של שרת DoH מורכב ממספר שלבים.

• קבל בקשת HTTP. אם זה GET אז פענח את החבילה מקידוד base64URL.
• שלח חבילה זו לשרת ה-DNS.
• קבל תגובה משרת ה-DNS
• מצא את ערך ה-TTL המינימלי ברשומות שהתקבלו.
• החזר תגובה ללקוח באמצעות HTTP.

3. שרת DNS-over-HTTPS משלך

הדרך הפשוטה, המהירה והיעילה ביותר להפעיל שרת DNS-over-HTTPS משלך היא להשתמש בשרת אינטרנט HTTP/2 H2O, שעליו כבר כתב המחבר בקצרה (ראה "שרת אינטרנט H2O בעל ביצועים גבוהים").

בחירה זו נתמכת על ידי העובדה שניתן ליישם את כל הקוד של שרת DoH משלך באמצעות המתורגמן המשולב ב-H2O עצמו מרובי. בנוסף לספריות הסטנדרטיות, כדי להחליף נתונים עם שרת ה-DNS, אתה צריך את ספריית (mrbgem) Socket, אשר, למרבה המזל, כבר כלולה בגרסת הפיתוח הנוכחית של H2O 2.3.0-beta2 מתנה ביציאות FreeBSD. עם זאת, לא קשה להוסיף אותו לכל גרסה קודמת על ידי שיבוט המאגר ספריות שקעים לקטלוג /deps לפני הידור.

root@beta:~ # uname -v
FreeBSD 12.0-RELEASE-p10 GENERIC
root@beta:~ # cd /usr/ports/www/h2o
root@beta:/usr/ports/www/h2o # make extract
===>  License MIT BSD2CLAUSE accepted by the user
===>   h2o-2.2.6 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by h2o-2.2.6 for building
===>  Extracting for h2o-2.2.6.
=> SHA256 Checksum OK for h2o-h2o-v2.2.6_GH0.tar.gz.
===>   h2o-2.2.6 depends on file: /usr/local/bin/ruby26 - found
root@beta:/usr/ports/www/h2o # cd work/h2o-2.2.6/deps/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # git clone https://github.com/iij/mruby-socket.git
Клонирование в «mruby-socket»…
remote: Enumerating objects: 385, done.
remote: Total 385 (delta 0), reused 0 (delta 0), pack-reused 385
Получение объектов: 100% (385/385), 98.02 KiB | 647.00 KiB/s, готово.
Определение изменений: 100% (208/208), готово.
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # ll
total 181
drwxr-xr-x   9 root  wheel  18 12 авг.  16:09 brotli/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 cloexec/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 golombset/
drwxr-xr-x   4 root  wheel  35 12 авг.  16:09 klib/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 libgkc/
drwxr-xr-x   4 root  wheel  26 12 авг.  16:09 libyrmcds/
drwxr-xr-x  13 root  wheel  32 12 авг.  16:09 mruby/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-digest/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-dir/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-env/
drwxr-xr-x   4 root  wheel   9 12 авг.  16:09 mruby-errno/
drwxr-xr-x   5 root  wheel  14 12 авг.  16:09 mruby-file-stat/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-iijson/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-input-stream/
drwxr-xr-x   6 root  wheel  11 12 авг.  16:09 mruby-io/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-onig-regexp/
drwxr-xr-x   4 root  wheel  10 12 авг.  16:09 mruby-pack/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-require/
drwxr-xr-x   6 root  wheel  10 12 сент. 16:10 mruby-socket/
drwxr-xr-x   2 root  wheel   9 12 авг.  16:09 neverbleed/
drwxr-xr-x   2 root  wheel  13 12 авг.  16:09 picohttpparser/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 picotest/
drwxr-xr-x   9 root  wheel  16 12 авг.  16:09 picotls/
drwxr-xr-x   4 root  wheel   8 12 авг.  16:09 ssl-conservatory/
drwxr-xr-x   8 root  wheel  18 12 авг.  16:09 yaml/
drwxr-xr-x   2 root  wheel   8 12 авг.  16:09 yoml/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # cd ../../..
root@beta:/usr/ports/www/h2o # make install clean
...

תצורת שרת האינטרנט היא בדרך כלל סטנדרטית.

root@beta:/usr/ports/www/h2o #  cd /usr/local/etc/h2o/
root@beta:/usr/local/etc/h2o # cat h2o.conf
# this sample config gives you a feel for how h2o can be used
# and a high-security configuration for TLS and HTTP headers
# see https://h2o.examp1e.net/ for detailed documentation
# and h2o --help for command-line options and settings

# v.20180207 (c)2018 by Max Kostikov http://kostikov.co e-mail: [email protected]

user: www
pid-file: /var/run/h2o.pid
access-log:
    path: /var/log/h2o/h2o-access.log
    format: "%h %v %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
error-log: /var/log/h2o/h2o-error.log

expires: off
compress: on
file.dirlisting: off
file.send-compressed: on

file.index: [ 'index.html', 'index.php' ]

listen:
    port: 80
listen:
    port: 443
    ssl:
        cipher-suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
        cipher-preference: server
        dh-file: /etc/ssl/dhparams.pem
        certificate-file: /usr/local/etc/letsencrypt/live/eprove.net/fullchain.pem
        key-file: /usr/local/etc/letsencrypt/live/my.domain/privkey.pem

hosts:
    "*.my.domain":
        paths: &go_tls
            "/":
                redirect:
                    status: 301
                    url: https://my.domain/
    "my.domain:80":
        paths: *go_tls
    "my.domain:443":
        header.add: "Strict-Transport-Security: max-age=15768000; includeSubDomains; preload"
        paths:
            "/dns-query":
               mruby.handler-file: /usr/local/etc/h2o/h2odoh.rb

החריג היחיד הוא המטפל ב-URL /dns-query ששרת ה-DNS-over-HTTPS שלנו, שנכתב ב-mruby ונקרא דרך אפשרות המטפל, אחראי לו למעשה mruby.handler-file.

root@beta:/usr/local/etc/h2o # cat h2odoh.rb
# H2O HTTP/2 web server as DNS-over-HTTP service
# v.20190908 (c)2018-2019 Max Kostikov https://kostikov.co e-mail: [email protected]

proc {|env|
    if env['HTTP_ACCEPT'] == "application/dns-message"
        case env['REQUEST_METHOD']
            when "GET"
                req = env['QUERY_STRING'].gsub(/^dns=/,'')
                # base64URL decode
                req = req.tr("-_", "+/")
                if !req.end_with?("=") && req.length % 4 != 0
                    req = req.ljust((req.length + 3) & ~3, "=")
                end
                req = req.unpack1("m")
            when "POST"
                req = env['rack.input'].read
            else
                req = ""
        end
        if req.empty?
            [400, { 'content-type' => 'text/plain' }, [ "Bad Request" ]]
        else
            # --- ask DNS server
            sock = UDPSocket.new
            sock.connect("localhost", 53)
            sock.send(req, 0)
            str = sock.recv(4096)
            sock.close
            # --- find lowest TTL in response
            nans = str[6, 2].unpack1('n') # number of answers
            if nans > 0 # no DNS failure
                shift = 12
                ttl = 0
                while nans > 0
                    # process domain name compression
                    if str[shift].unpack1("C") < 192
                        shift = str.index("x00", shift) + 5
                        if ttl == 0 # skip question section
                            next
                        end
                    end
                    shift += 6
                    curttl = str[shift, 4].unpack1('N')
                    shift += str[shift + 4, 2].unpack1('n') + 6 # responce data size
                    if ttl == 0 or ttl > curttl
                        ttl = curttl
                    end
                    nans -= 1
                 end
                 cc = 'max-age=' + ttl.to_s
            else
                 cc = 'no-cache'
            end
            [200, { 'content-type' => 'application/dns-message', 'content-length' => str.size, 'cache-control' => cc }, [ str ] ]
        end
    else
        [415, { 'content-type' => 'text/plain' }, [ "Unsupported Media Type" ]]
    end
}

שים לב ששרת המטמון המקומי אחראי לעיבוד מנות DNS, במקרה זה unbound מהפצת FreeBSD הסטנדרטית. מבחינה ביטחונית זהו הפתרון האופטימלי. עם זאת, שום דבר לא מונע ממך להחליף localhost לכתובת DNS אחרת שבה אתה מתכוון להשתמש.

root@beta:/usr/local/etc/h2o # local-unbound verison
usage:  local-unbound [options]
        start unbound daemon DNS resolver.
-h      this help
-c file config file to read instead of /var/unbound/unbound.conf
        file format is described in unbound.conf(5).
-d      do not fork into the background.
-p      do not create a pidfile.
-v      verbose (more times to increase verbosity)
Version 1.8.1
linked libs: mini-event internal (it uses select), OpenSSL 1.1.1a-freebsd  20 Nov 2018
linked modules: dns64 respip validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to [email protected]
root@eprove:/usr/local/etc/h2o # sockstat -46 | grep unbound
unbound  local-unbo 69749 3  udp6   ::1:53                *:*
unbound  local-unbo 69749 4  tcp6   ::1:53                *:*
unbound  local-unbo 69749 5  udp4   127.0.0.1:53          *:*
unbound  local-unbo 69749 6  tcp4   127.0.0.1:53          *:*

כל מה שנותר הוא להפעיל מחדש את H2O ולראות מה יוצא מזה.

root@beta:/usr/local/etc/h2o # service h2o restart
Stopping h2o.
Waiting for PIDS: 69871.
Starting h2o.
start_server (pid:70532) starting now...

4. בדיקה

אז בואו נבדוק את התוצאות על ידי שליחת בקשת בדיקה שוב ותסתכל על תעבורת הרשת באמצעות כלי השירות tcpdump.

root@beta/usr/local/etc/h2o # curl -H 'accept: application/dns-message' 'https://my.domain/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE'
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
...
root@beta:~ # tcpdump -n -i lo0 udp port 53 -xx -XX -vv
tcpdump: listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
16:32:40.420831 IP (tos 0x0, ttl 64, id 37575, offset 0, flags [none], proto UDP (17), length 57, bad cksum 0 (->e9ea)!)
    127.0.0.1.21070 > 127.0.0.1.53: [bad udp cksum 0xfe38 -> 0x33e3!] 43981+ A? example.com. (29)
        0x0000:  0200 0000 4500 0039 92c7 0000 4011 0000  ....E..9....@...
        0x0010:  7f00 0001 7f00 0001 524e 0035 0025 fe38  ........RN.5.%.8
        0x0020:  abcd 0100 0001 0000 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01         mple.com.....
16:32:40.796507 IP (tos 0x0, ttl 64, id 37590, offset 0, flags [none], proto UDP (17), length 73, bad cksum 0 (->e9cb)!)
    127.0.0.1.53 > 127.0.0.1.21070: [bad udp cksum 0xfe48 -> 0x43fa!] 43981 q: A? example.com. 1/0/0 example.com. A 93.184.216.34 (45)
        0x0000:  0200 0000 4500 0049 92d6 0000 4011 0000  ....E..I....@...
        0x0010:  7f00 0001 7f00 0001 0035 524e 0035 fe48  .........5RN.5.H
        0x0020:  abcd 8180 0001 0001 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01c0 0c00  mple.com........
        0x0040:  0100 0100 0151 8000 045d b8d8 22         .....Q...].."
^C
2 packets captured
23 packets received by filter
0 packets dropped by kernel

הפלט מראה כיצד הבקשה לפתור את הכתובת example.com התקבל ועובד בהצלחה על ידי שרת ה-DNS.

כעת כל שנותר הוא להפעיל את השרת שלנו בדפדפן Firefox. לשם כך, עליך לשנות מספר הגדרות בדפי התצורה about: config.

ראשית, זו הכתובת של ה-API שלנו שבה הדפדפן יבקש מידע DNS network.trr.uri. כמו כן, מומלץ לציין את כתובת ה-IP של הדומיין מכתובת אתר זו עבור רזולוציית IP מאובטחת באמצעות הדפדפן עצמו מבלי לגשת ל-DNS ב network.trr.bootstrapAddress. ולבסוף, הפרמטר עצמו network.trr.mode כולל השימוש ב-DoH. הגדרת הערך ל-"3" תאלץ את הדפדפן להשתמש אך ורק ב-DNS-over-HTTPS לפתרון שמות, בעוד שה-"2" האמין והמאובטח יותר ייתן עדיפות ל-DoH, וישאיר את בדיקת ה-DNS הרגילה כאפשרות חזרה.

5. רווח!

האם המאמר היה מועיל? אז נא לא להתבייש ולתמוך בכסף באמצעות טופס התרומה (למטה).

מקור: www.habr.com