저자는 DNS 운영의 다양한 측면을 이미 여러 번 반복해서 다루었습니다. 조항 블로그의 일부로 게시되었습니다. 동시에 이 핵심 인터넷 서비스의 보안을 향상시키는 데 항상 중점을 두었습니다.

최근까지 대부분의 경우 여전히 명확하게 전송되는 DNS 트래픽의 명백한 취약성에도 불구하고 콘텐츠, 정부 보안 기관 및 검열에 광고를 삽입하여 수입을 늘리려는 공급자 측의 악의적인 행위에 대해 단순히 범죄자뿐만 아니라 그 과정도 보호 강화, DNSSEC/DANE, DNScrypt, DNS-over-TLS 및 DNS-over-HTTPS와 같은 다양한 기술이 있음에도 불구하고 정체되었습니다. 그리고 서버 솔루션과 그 중 일부가 꽤 오랫동안 존재해왔고 널리 알려져 있고 사용 가능하다면 클라이언트 소프트웨어의 지원이 많이 부족합니다.

다행히도 상황은 변하고 있습니다. 특히 인기 있는 Firefox 브라우저 개발자는 정해진 기본적으로 지원 모드를 활성화할 계획에 대해 DNS를 통한 HTTPS (DoH) 곧. 이는 위의 위협으로부터 WWW 사용자의 DNS 트래픽을 보호하는 데 도움이 되지만 잠재적으로 새로운 위협이 발생할 수도 있습니다.

1. DNS-over-HTTPS 문제

언뜻 보면 DNS-over-HTTPS가 인터넷 소프트웨어에 대량 도입되기 시작한 것은 긍정적인 반응만을 불러일으킵니다. 그러나 악마는 디테일에 있다고 합니다.

DoH의 광범위한 사용 범위를 제한하는 첫 번째 문제는 DoH가 웹 트래픽에만 초점을 맞추고 있다는 것입니다. 실제로 DoH의 기반이 되는 HTTP 프로토콜과 현재 버전인 HTTP/2는 WWW의 기반입니다. 하지만 인터넷은 단순한 웹이 아닙니다. 이메일, 다양한 인스턴트 메신저, 파일 전송 시스템, 멀티미디어 스트리밍 등과 같이 HTTP를 사용하지 않는 인기 있는 서비스가 많이 있습니다. 따라서 많은 DoH가 만병통치약으로 인식하고 있음에도 불구하고 브라우저 기술 이외의 추가적인 (그리고 불필요한) 노력 없이는 적용할 수 없는 것으로 나타났습니다. 그런데 DNS-over-TLS는 보안 표준 TLS 프로토콜에서 표준 DNS 트래픽의 캡슐화를 구현하는 이 역할에 훨씬 더 가치 있는 후보처럼 보입니다.

첫 번째 문제보다 잠재적으로 훨씬 더 심각한 두 번째 문제는 브라우저 설정에 지정된 단일 DoH 서버를 사용하기 위해 설계상 DNS의 본질적인 분산화를 실제로 포기한다는 것입니다. 특히 Mozilla는 Cloudflare의 서비스 사용을 제안합니다. 다른 저명한 인터넷 인물, 특히 Google에서도 유사한 서비스를 시작했습니다. 현재 제안된 형태의 DNS-over-HTTPS 구현은 최대 서비스에 대한 최종 사용자의 의존도를 증가시키는 것으로 나타났습니다. DNS 쿼리 분석을 통해 제공되는 정보를 통해 더 많은 데이터를 수집할 수 있을 뿐만 아니라 정확성과 관련성을 높일 수 있다는 것은 비밀이 아닙니다.

이와 관련하여 저자는 DNS-over-HTTPS가 아니라 DNSSEC/DANE과 함께 DNS-over-TLS의 대량 구현을 보편적이고 안전하며 인터넷 수단의 추가 중앙 집중화에 도움이 되지 않는 대량 구현의 지지자였으며 지금도 그렇습니다. DNS 트래픽의 보안을 보장합니다. 불행하게도 분명한 이유로 DoH 대안에 대한 대규모 지원이 클라이언트 소프트웨어에 신속하게 도입될 것이라고는 기대할 수 없으며 이는 여전히 보안 기술 애호가들의 영역입니다.

하지만 이제 DoH가 생겼으니, 기업의 서버를 통해 기업의 잠재적인 감시를 피해 우리 자체 DNS-over-HTTPS 서버로 DoH를 사용하는 것은 어떨까요?

2. DNS-over-HTTPS 프로토콜

기준으로 보면 RFC8484 DNS-over-HTTPS 프로토콜을 설명하면 이것이 실제로 HTTP/2 프로토콜에 표준 DNS 패키지를 캡슐화할 수 있는 웹 API라는 것을 알 수 있습니다. 이는 특수 HTTP 헤더와 전송된 DNS 데이터의 바이너리 형식 변환을 통해 구현됩니다(참조: RFC1035 및 후속 문서)를 전송 및 수신할 수 있을 뿐만 아니라 필요한 메타데이터로 작업할 수 있는 형식으로 변환됩니다.

표준에 따르면 HTTP/2 및 보안 TLS 연결만 지원됩니다.

표준 GET 및 POST 메서드를 사용하여 DNS 요청을 보낼 수 있습니다. 첫 번째 경우 요청은 base64URL 인코딩 문자열로 변환되고, 두 번째 경우에는 바이너리 형식의 POST 요청 본문을 통해 변환됩니다. 이 경우 DNS 요청 및 응답 중에 특별한 MIME 데이터 유형이 사용됩니다. 애플리케이션/DNS-메시지.

root@eprove:~ # curl -H 'accept: application/dns-message' 'https://my.domaint/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE' -v
*   Trying 2001:100:200:300::400:443...
* TCP_NODELAY set
* Connected to eprove.net (2001:100:200:300::400) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=my.domain
*  start date: Jul 22 00:07:13 2019 GMT
*  expire date: Oct 20 00:07:13 2019 GMT
*  subjectAltName: host "my.domain" matched cert's "my.domain"
*  issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x801441000)
> GET /dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE HTTP/2
> Host: eprove.net
> User-Agent: curl/7.65.3
> accept: application/dns-message
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 200
< server: h2o/2.3.0-beta2
< content-type: application/dns-message
< cache-control: max-age=86274
< date: Thu, 12 Sep 2019 13:07:25 GMT
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< content-length: 45
<
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
* Failed writing body (0 != 45)
* stopped the pause stream!
* Connection #0 to host eprove.net left intact

제목도 주목해주세요 캐시 제어: 웹 서버의 응답에서. 매개변수에서 최대 연령 반환되는 DNS 레코드에 대한 TTL 값(또는 해당 레코드 집합이 반환되는 경우 최소값)을 포함합니다.

위 내용을 기반으로 DoH 서버의 기능은 여러 단계로 구성됩니다.

HTTP 요청을 받습니다. GET인 경우 base64URL 인코딩에서 패킷을 디코딩합니다.
이 패킷을 DNS 서버로 보냅니다.
DNS 서버로부터 응답 받기
수신된 레코드에서 최소 TTL 값을 찾습니다.
HTTP를 통해 클라이언트에 응답을 반환합니다.

3. 자신만의 DNS-over-HTTPS 서버

자체 DNS-over-HTTPS 서버를 실행하는 가장 간단하고 빠르며 효과적인 방법은 HTTP/2 웹 서버를 사용하는 것입니다. H2O, 저자가 이미 간략하게 작성한 내용입니다 (“고성능 H2O 웹 서버").

이 선택은 H2O 자체에 통합된 인터프리터를 사용하여 DoH 서버의 모든 코드를 완벽하게 구현할 수 있다는 사실에 의해 뒷받침됩니다. 므루비. 표준 라이브러리 외에도 DNS 서버와 데이터를 교환하려면 (mrbgem) 소켓 라이브러리가 필요합니다. 다행스럽게도 이 라이브러리는 H2O 2.3.0-beta2의 현재 개발 버전에 이미 포함되어 있습니다. 현재의 FreeBSD 포트에서. 하지만 저장소를 복제하여 이전 버전에 추가하는 것은 어렵지 않습니다. 소켓 라이브러리 카탈로그에 /뎁스 컴파일 전.

root@beta:~ # uname -v
FreeBSD 12.0-RELEASE-p10 GENERIC
root@beta:~ # cd /usr/ports/www/h2o
root@beta:/usr/ports/www/h2o # make extract
===>  License MIT BSD2CLAUSE accepted by the user
===>   h2o-2.2.6 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by h2o-2.2.6 for building
===>  Extracting for h2o-2.2.6.
=> SHA256 Checksum OK for h2o-h2o-v2.2.6_GH0.tar.gz.
===>   h2o-2.2.6 depends on file: /usr/local/bin/ruby26 - found
root@beta:/usr/ports/www/h2o # cd work/h2o-2.2.6/deps/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # git clone https://github.com/iij/mruby-socket.git
Клонирование в «mruby-socket»…
remote: Enumerating objects: 385, done.
remote: Total 385 (delta 0), reused 0 (delta 0), pack-reused 385
Получение объектов: 100% (385/385), 98.02 KiB | 647.00 KiB/s, готово.
Определение изменений: 100% (208/208), готово.
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # ll
total 181
drwxr-xr-x   9 root  wheel  18 12 авг.  16:09 brotli/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 cloexec/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 golombset/
drwxr-xr-x   4 root  wheel  35 12 авг.  16:09 klib/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 libgkc/
drwxr-xr-x   4 root  wheel  26 12 авг.  16:09 libyrmcds/
drwxr-xr-x  13 root  wheel  32 12 авг.  16:09 mruby/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-digest/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-dir/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-env/
drwxr-xr-x   4 root  wheel   9 12 авг.  16:09 mruby-errno/
drwxr-xr-x   5 root  wheel  14 12 авг.  16:09 mruby-file-stat/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-iijson/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-input-stream/
drwxr-xr-x   6 root  wheel  11 12 авг.  16:09 mruby-io/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-onig-regexp/
drwxr-xr-x   4 root  wheel  10 12 авг.  16:09 mruby-pack/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-require/
drwxr-xr-x   6 root  wheel  10 12 сент. 16:10 mruby-socket/
drwxr-xr-x   2 root  wheel   9 12 авг.  16:09 neverbleed/
drwxr-xr-x   2 root  wheel  13 12 авг.  16:09 picohttpparser/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 picotest/
drwxr-xr-x   9 root  wheel  16 12 авг.  16:09 picotls/
drwxr-xr-x   4 root  wheel   8 12 авг.  16:09 ssl-conservatory/
drwxr-xr-x   8 root  wheel  18 12 авг.  16:09 yaml/
drwxr-xr-x   2 root  wheel   8 12 авг.  16:09 yoml/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # cd ../../..
root@beta:/usr/ports/www/h2o # make install clean
...

웹 서버 구성은 일반적으로 표준입니다.

root@beta:/usr/ports/www/h2o #  cd /usr/local/etc/h2o/
root@beta:/usr/local/etc/h2o # cat h2o.conf
# this sample config gives you a feel for how h2o can be used
# and a high-security configuration for TLS and HTTP headers
# see https://h2o.examp1e.net/ for detailed documentation
# and h2o --help for command-line options and settings

# v.20180207 (c)2018 by Max Kostikov http://kostikov.co e-mail: [email protected]

user: www
pid-file: /var/run/h2o.pid
access-log:
    path: /var/log/h2o/h2o-access.log
    format: "%h %v %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
error-log: /var/log/h2o/h2o-error.log

expires: off
compress: on
file.dirlisting: off
file.send-compressed: on

file.index: [ 'index.html', 'index.php' ]

listen:
    port: 80
listen:
    port: 443
    ssl:
        cipher-suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
        cipher-preference: server
        dh-file: /etc/ssl/dhparams.pem
        certificate-file: /usr/local/etc/letsencrypt/live/eprove.net/fullchain.pem
        key-file: /usr/local/etc/letsencrypt/live/my.domain/privkey.pem

hosts:
    "*.my.domain":
        paths: &go_tls
            "/":
                redirect:
                    status: 301
                    url: https://my.domain/
    "my.domain:80":
        paths: *go_tls
    "my.domain:443":
        header.add: "Strict-Transport-Security: max-age=15768000; includeSubDomains; preload"
        paths:
            "/dns-query":
               mruby.handler-file: /usr/local/etc/h2o/h2odoh.rb

유일한 예외는 URL 처리기입니다. /dns-쿼리 mruby로 작성되고 핸들러 옵션을 통해 호출되는 DNS-over-HTTPS 서버가 실제로 책임을 지는 부분입니다. mruby.handler 파일.

root@beta:/usr/local/etc/h2o # cat h2odoh.rb
# H2O HTTP/2 web server as DNS-over-HTTP service
# v.20190908 (c)2018-2019 Max Kostikov https://kostikov.co e-mail: [email protected]

proc {|env|
    if env['HTTP_ACCEPT'] == "application/dns-message"
        case env['REQUEST_METHOD']
            when "GET"
                req = env['QUERY_STRING'].gsub(/^dns=/,'')
                # base64URL decode
                req = req.tr("-_", "+/")
                if !req.end_with?("=") && req.length % 4 != 0
                    req = req.ljust((req.length + 3) & ~3, "=")
                end
                req = req.unpack1("m")
            when "POST"
                req = env['rack.input'].read
            else
                req = ""
        end
        if req.empty?
            [400, { 'content-type' => 'text/plain' }, [ "Bad Request" ]]
        else
            # --- ask DNS server
            sock = UDPSocket.new
            sock.connect("localhost", 53)
            sock.send(req, 0)
            str = sock.recv(4096)
            sock.close
            # --- find lowest TTL in response
            nans = str[6, 2].unpack1('n') # number of answers
            if nans > 0 # no DNS failure
                shift = 12
                ttl = 0
                while nans > 0
                    # process domain name compression
                    if str[shift].unpack1("C") < 192
                        shift = str.index("x00", shift) + 5
                        if ttl == 0 # skip question section
                            next
                        end
                    end
                    shift += 6
                    curttl = str[shift, 4].unpack1('N')
                    shift += str[shift + 4, 2].unpack1('n') + 6 # responce data size
                    if ttl == 0 or ttl > curttl
                        ttl = curttl
                    end
                    nans -= 1
                 end
                 cc = 'max-age=' + ttl.to_s
            else
                 cc = 'no-cache'
            end
            [200, { 'content-type' => 'application/dns-message', 'content-length' => str.size, 'cache-control' => cc }, [ str ] ]
        end
    else
        [415, { 'content-type' => 'text/plain' }, [ "Unsupported Media Type" ]]
    end
}

이 경우 로컬 캐싱 서버는 DNS 패킷 처리를 담당합니다. 매여 있지 않은 표준 FreeBSD 배포판에서. 보안 관점에서 보면 이것이 최적의 솔루션입니다. 그러나 교체를 방해하는 것은 없습니다. 로컬 호스트 사용하려는 다른 DNS 주소로.

root@beta:/usr/local/etc/h2o # local-unbound verison
usage:  local-unbound [options]
        start unbound daemon DNS resolver.
-h      this help
-c file config file to read instead of /var/unbound/unbound.conf
        file format is described in unbound.conf(5).
-d      do not fork into the background.
-p      do not create a pidfile.
-v      verbose (more times to increase verbosity)
Version 1.8.1
linked libs: mini-event internal (it uses select), OpenSSL 1.1.1a-freebsd  20 Nov 2018
linked modules: dns64 respip validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to [email protected]
root@eprove:/usr/local/etc/h2o # sockstat -46 | grep unbound
unbound  local-unbo 69749 3  udp6   ::1:53                *:*
unbound  local-unbo 69749 4  tcp6   ::1:53                *:*
unbound  local-unbo 69749 5  udp4   127.0.0.1:53          *:*
unbound  local-unbo 69749 6  tcp4   127.0.0.1:53          *:*

남은 것은 H2O를 다시 시작하고 그 결과가 무엇인지 확인하는 것입니다.

root@beta:/usr/local/etc/h2o # service h2o restart
Stopping h2o.
Waiting for PIDS: 69871.
Starting h2o.
start_server (pid:70532) starting now...

4. 테스트

그럼 다시 테스트 요청을 보내고 유틸리티를 이용하여 네트워크 트래픽을 살펴보며 결과를 확인해 보겠습니다. TCP 덤프.

root@beta/usr/local/etc/h2o # curl -H 'accept: application/dns-message' 'https://my.domain/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE'
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
...
root@beta:~ # tcpdump -n -i lo0 udp port 53 -xx -XX -vv
tcpdump: listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
16:32:40.420831 IP (tos 0x0, ttl 64, id 37575, offset 0, flags [none], proto UDP (17), length 57, bad cksum 0 (->e9ea)!)
    127.0.0.1.21070 > 127.0.0.1.53: [bad udp cksum 0xfe38 -> 0x33e3!] 43981+ A? example.com. (29)
        0x0000:  0200 0000 4500 0039 92c7 0000 4011 0000  ....E..9....@...
        0x0010:  7f00 0001 7f00 0001 524e 0035 0025 fe38  ........RN.5.%.8
        0x0020:  abcd 0100 0001 0000 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01         mple.com.....
16:32:40.796507 IP (tos 0x0, ttl 64, id 37590, offset 0, flags [none], proto UDP (17), length 73, bad cksum 0 (->e9cb)!)
    127.0.0.1.53 > 127.0.0.1.21070: [bad udp cksum 0xfe48 -> 0x43fa!] 43981 q: A? example.com. 1/0/0 example.com. A 93.184.216.34 (45)
        0x0000:  0200 0000 4500 0049 92d6 0000 4011 0000  ....E..I....@...
        0x0010:  7f00 0001 7f00 0001 0035 524e 0035 fe48  .........5RN.5.H
        0x0020:  abcd 8180 0001 0001 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01c0 0c00  mple.com........
        0x0040:  0100 0100 0151 8000 045d b8d8 22         .....Q...].."
^C
2 packets captured
23 packets received by filter
0 packets dropped by kernel

출력은 요청이 주소를 확인하는 방법을 보여줍니다. example.com DNS 서버에서 수신되어 성공적으로 처리되었습니다.

이제 남은 것은 Firefox 브라우저에서 서버를 활성화하는 것입니다. 이렇게 하려면 구성 페이지에서 여러 설정을 변경해야 합니다. 정보 : 설정.

첫째, 이는 브라우저가 DNS 정보를 요청하는 API의 주소입니다. 네트워크.trr.uri. 또한 DNS에 액세스하지 않고 브라우저 자체를 사용하여 안전한 IP 확인을 위해 이 URL에서 도메인 IP를 지정하는 것이 좋습니다. network.trr.bootstrap주소. 그리고 마지막으로 매개변수 자체 네트워크.trr.모드 DoH 사용도 포함됩니다. 값을 "3"으로 설정하면 브라우저는 이름 확인을 위해 DNS-over-HTTPS만 사용하게 되며, 보다 안정적이고 안전한 "2"는 DoH에 우선순위를 부여하고 표준 DNS 조회를 대체 옵션으로 남겨둡니다.

5. 이익!

기사가 도움이 되었나요? 그렇다면 부끄러워하지 말고 기부폼(아래)을 통해 돈으로 후원해 주세요.

출처 : habr.com

DNS-over-HTTPS 서버를 높입니다.

1. DNS-over-HTTPS 문제

2. DNS-over-HTTPS 프로토콜

3. 자신만의 DNS-over-HTTPS 서버

4. 테스트

5. 이익!

코멘트를 추가 답장을 취소