Verschidden Aspekter vun der DNS-Operatioun sinn schonn ëmmer erëm vum Auteur an enger Rei vu beréiert ginn
Bis viru kuerzem, trotz der offensichtlecher Schwachstelle vum DNS-Traffic, deen nach ëmmer, zum gréissten Deel, kloer iwwerdroe gëtt, op béiswëlleg Handlunge vun der Säit vun de Fournisseuren, déi hiert Akommes erhéigen andeems se Reklammen an Inhalter integréiert, Regierungssécherheetsagenturen an Zensur, wéi och einfach Krimineller, de Prozess
Glécklecherweis ännert sech d'Situatioun. Besonnesch d'Entwéckler vum populäre Firefox Browser
1. DNS-iwwer-HTTPS Problemer
Op den éischte Bléck verursaacht d'Startmass Aféierung vun DNS-iwwer-HTTPS an Internet Software nëmmen eng positiv Reaktioun. Wéi och ëmmer, den Däiwel, wéi se soen, ass an den Detailer.
Den éischte Problem deen den Ëmfang vun der verbreeter Notzung vum DoH limitéiert ass säi Fokus eleng op de Webverkéier. Tatsächlech sinn den HTTP-Protokoll a seng aktuell Versioun HTTP/2, op där DoH baséiert, d'Basis vum WWW. Awer den Internet ass net nëmmen de Web. Et gi vill populär Servicer, wéi E-Mail, verschidde Instant Messenger, Dateietransfersystemer, Multimedia Streaming, etc., déi net HTTP benotzen. Also, trotz der Perceptioun vu ville vun DoH als Panacea, stellt sech eraus datt et onapplicabel ass ouni zousätzlech (an onnéideg) Effort fir alles anescht wéi Browsertechnologien. Iwwregens, DNS-iwwer-TLS gesäit aus wéi e vill méi wiirdege Kandidat fir dës Roll, déi d'Verkapselung vum Standard DNS-Traffic am séchere Standard TLS-Protokoll implementéiert.
Deen zweete Problem, dee potenziell vill méi bedeitend ass wéi deen éischten, ass d'tatsächlech Verzicht vun der inherenter Dezentraliséierung vun DNS duerch Design zugonschte vun engem eenzegen DoH Server deen an de Browser Astellunge spezifizéiert ass. Besonnesch proposéiert Mozilla e Service vu Cloudflare ze benotzen. En ähnlechen Service gouf och vun anere prominenten Internetfiguren lancéiert, besonnesch Google. Et stellt sech eraus datt d'Ëmsetzung vun DNS-iwwer-HTTPS an der Form, an där se aktuell proposéiert gëtt, nëmmen d'Ofhängegkeet vun den Endbenotzer op de gréisste Servicer erhéicht. Et ass kee Geheimnis datt d'Informatioun, déi d'Analyse vun DNS-Ufroen ubidden kann, nach méi Daten doriwwer sammelen, souwéi seng Genauegkeet an Relevanz erhéijen.
An dëser Hisiicht war a bleift den Auteur Ënnerstëtzer vun der Masseimplementatioun net vun DNS-iwwer-HTTPS, mee vun DNS-iwwer-TLS zesumme mat DNSSEC/DANE als universell, sécher an net förderlech fir weider Zentraliséierung vum Internetmëttelen. fir d'Sécherheet vum DNS-Traffic ze garantéieren. Leider, aus offensichtleche Grënn, kann een net eng séier Aféierung vu Massenunterstëtzung fir DoH Alternativen an Client Software erwaarden, an et ass ëmmer nach d'Domain vu Sécherheetstechnologie-Enthusiaster.
Awer well mir elo DoH hunn, firwat net benotze nodeems se potenziell Iwwerwaachung vu Firmen duerch hir Serveren op eisen eegenen DNS-iwwer-HTTPS Server entkomm sinn?
2. DNS-iwwer-HTTPS Protokoll
Wann Dir de Standard kuckt
Geméiss dem Standard ginn nëmmen HTTP/2 an eng sécher TLS Verbindung ënnerstëtzt.
Eng DNS Ufro schécken kann mat de Standard GET a POST Methoden gemaach ginn. Am éischte Fall gëtt d'Ufro an eng base64URL-kodéiert String transforméiert, an am zweeten duerch de Kierper vun der POST Ufro a binärer Form. An dësem Fall gëtt e speziellen MIME-Datentyp während der DNS-Ufro an der Äntwert benotzt Applikatioun/dns-Message.
root@eprove:~ # curl -H 'accept: application/dns-message' 'https://my.domaint/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE' -v
* Trying 2001:100:200:300::400:443...
* TCP_NODELAY set
* Connected to eprove.net (2001:100:200:300::400) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /usr/local/share/certs/ca-root-nss.crt
CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=my.domain
* start date: Jul 22 00:07:13 2019 GMT
* expire date: Oct 20 00:07:13 2019 GMT
* subjectAltName: host "my.domain" matched cert's "my.domain"
* issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x801441000)
> GET /dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE HTTP/2
> Host: eprove.net
> User-Agent: curl/7.65.3
> accept: application/dns-message
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 200
< server: h2o/2.3.0-beta2
< content-type: application/dns-message
< cache-control: max-age=86274
< date: Thu, 12 Sep 2019 13:07:25 GMT
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< content-length: 45
<
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
* Failed writing body (0 != 45)
* stopped the pause stream!
* Connection #0 to host eprove.net left intact
Opgepasst och op den Titel Cache-Kontroll: an der Äntwert vum Webserver. Am Parameter maximal Alter enthält den TTL-Wäert fir den DNS-Rekord, deen zréckgeet (oder de Minimumwäert wann e Set vun hinnen zréckgeet).
Baséierend op der uewendriwwer besteet de Fonctionnement vun engem DoH Server aus e puer Etappen.
- Kritt eng HTTP-Ufro. Wann dëst e GET ass, decodéiert de Paket vun der base64URL Kodéierung.
- Schéckt dëse Paket op den DNS-Server.
- Kritt eng Äntwert vum DNS Server
- Fannt de Minimum TTL Wäert an de kritt records.
- Zréck eng Äntwert op de Client iwwer HTTP.
3. Ären eegene DNS-iwwer-HTTPS Server
Deen einfachsten, schnellsten an effektivste Wee fir Ären eegenen DNS-iwwer-HTTPS Server ze lafen ass en HTTP/2 Webserver ze benotzen
Dëse Choix gëtt ënnerstëtzt vun der Tatsaach datt all de Code vun Ärem eegenen DoH Server komplett implementéiert ka ginn mam Dolmetscher integréiert an H2O selwer
root@beta:~ # uname -v
FreeBSD 12.0-RELEASE-p10 GENERIC
root@beta:~ # cd /usr/ports/www/h2o
root@beta:/usr/ports/www/h2o # make extract
===> License MIT BSD2CLAUSE accepted by the user
===> h2o-2.2.6 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by h2o-2.2.6 for building
===> Extracting for h2o-2.2.6.
=> SHA256 Checksum OK for h2o-h2o-v2.2.6_GH0.tar.gz.
===> h2o-2.2.6 depends on file: /usr/local/bin/ruby26 - found
root@beta:/usr/ports/www/h2o # cd work/h2o-2.2.6/deps/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # git clone https://github.com/iij/mruby-socket.git
Клонирование в «mruby-socket»…
remote: Enumerating objects: 385, done.
remote: Total 385 (delta 0), reused 0 (delta 0), pack-reused 385
Получение объектов: 100% (385/385), 98.02 KiB | 647.00 KiB/s, готово.
Определение изменений: 100% (208/208), готово.
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # ll
total 181
drwxr-xr-x 9 root wheel 18 12 авг. 16:09 brotli/
drwxr-xr-x 2 root wheel 4 12 авг. 16:09 cloexec/
drwxr-xr-x 2 root wheel 5 12 авг. 16:09 golombset/
drwxr-xr-x 4 root wheel 35 12 авг. 16:09 klib/
drwxr-xr-x 2 root wheel 5 12 авг. 16:09 libgkc/
drwxr-xr-x 4 root wheel 26 12 авг. 16:09 libyrmcds/
drwxr-xr-x 13 root wheel 32 12 авг. 16:09 mruby/
drwxr-xr-x 5 root wheel 11 12 авг. 16:09 mruby-digest/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-dir/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-env/
drwxr-xr-x 4 root wheel 9 12 авг. 16:09 mruby-errno/
drwxr-xr-x 5 root wheel 14 12 авг. 16:09 mruby-file-stat/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-iijson/
drwxr-xr-x 5 root wheel 11 12 авг. 16:09 mruby-input-stream/
drwxr-xr-x 6 root wheel 11 12 авг. 16:09 mruby-io/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-onig-regexp/
drwxr-xr-x 4 root wheel 10 12 авг. 16:09 mruby-pack/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-require/
drwxr-xr-x 6 root wheel 10 12 сент. 16:10 mruby-socket/
drwxr-xr-x 2 root wheel 9 12 авг. 16:09 neverbleed/
drwxr-xr-x 2 root wheel 13 12 авг. 16:09 picohttpparser/
drwxr-xr-x 2 root wheel 4 12 авг. 16:09 picotest/
drwxr-xr-x 9 root wheel 16 12 авг. 16:09 picotls/
drwxr-xr-x 4 root wheel 8 12 авг. 16:09 ssl-conservatory/
drwxr-xr-x 8 root wheel 18 12 авг. 16:09 yaml/
drwxr-xr-x 2 root wheel 8 12 авг. 16:09 yoml/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # cd ../../..
root@beta:/usr/ports/www/h2o # make install clean
...
D'Webserver Konfiguratioun ass allgemeng Standard.
root@beta:/usr/ports/www/h2o # cd /usr/local/etc/h2o/
root@beta:/usr/local/etc/h2o # cat h2o.conf
# this sample config gives you a feel for how h2o can be used
# and a high-security configuration for TLS and HTTP headers
# see https://h2o.examp1e.net/ for detailed documentation
# and h2o --help for command-line options and settings
# v.20180207 (c)2018 by Max Kostikov http://kostikov.co e-mail: [email protected]
user: www
pid-file: /var/run/h2o.pid
access-log:
path: /var/log/h2o/h2o-access.log
format: "%h %v %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
error-log: /var/log/h2o/h2o-error.log
expires: off
compress: on
file.dirlisting: off
file.send-compressed: on
file.index: [ 'index.html', 'index.php' ]
listen:
port: 80
listen:
port: 443
ssl:
cipher-suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
cipher-preference: server
dh-file: /etc/ssl/dhparams.pem
certificate-file: /usr/local/etc/letsencrypt/live/eprove.net/fullchain.pem
key-file: /usr/local/etc/letsencrypt/live/my.domain/privkey.pem
hosts:
"*.my.domain":
paths: &go_tls
"/":
redirect:
status: 301
url: https://my.domain/
"my.domain:80":
paths: *go_tls
"my.domain:443":
header.add: "Strict-Transport-Security: max-age=15768000; includeSubDomains; preload"
paths:
"/dns-query":
mruby.handler-file: /usr/local/etc/h2o/h2odoh.rb
Déi eenzeg Ausnam ass den URL Handler /dns-query fir deen eisen DNS-iwwer-HTTPS Server, geschriwwen a mruby an duerch d'Handleroptioun genannt gëtt, tatsächlech verantwortlech ass mruby.handler-Datei.
root@beta:/usr/local/etc/h2o # cat h2odoh.rb
# H2O HTTP/2 web server as DNS-over-HTTP service
# v.20190908 (c)2018-2019 Max Kostikov https://kostikov.co e-mail: [email protected]
proc {|env|
if env['HTTP_ACCEPT'] == "application/dns-message"
case env['REQUEST_METHOD']
when "GET"
req = env['QUERY_STRING'].gsub(/^dns=/,'')
# base64URL decode
req = req.tr("-_", "+/")
if !req.end_with?("=") && req.length % 4 != 0
req = req.ljust((req.length + 3) & ~3, "=")
end
req = req.unpack1("m")
when "POST"
req = env['rack.input'].read
else
req = ""
end
if req.empty?
[400, { 'content-type' => 'text/plain' }, [ "Bad Request" ]]
else
# --- ask DNS server
sock = UDPSocket.new
sock.connect("localhost", 53)
sock.send(req, 0)
str = sock.recv(4096)
sock.close
# --- find lowest TTL in response
nans = str[6, 2].unpack1('n') # number of answers
if nans > 0 # no DNS failure
shift = 12
ttl = 0
while nans > 0
# process domain name compression
if str[shift].unpack1("C") < 192
shift = str.index("x00", shift) + 5
if ttl == 0 # skip question section
next
end
end
shift += 6
curttl = str[shift, 4].unpack1('N')
shift += str[shift + 4, 2].unpack1('n') + 6 # responce data size
if ttl == 0 or ttl > curttl
ttl = curttl
end
nans -= 1
end
cc = 'max-age=' + ttl.to_s
else
cc = 'no-cache'
end
[200, { 'content-type' => 'application/dns-message', 'content-length' => str.size, 'cache-control' => cc }, [ str ] ]
end
else
[415, { 'content-type' => 'text/plain' }, [ "Unsupported Media Type" ]]
end
}
Notéiert w.e.g. datt de lokale Caching-Server verantwortlech ass fir d'Veraarbechtung vun DNS-Päckchen, an dësem Fall
root@beta:/usr/local/etc/h2o # local-unbound verison
usage: local-unbound [options]
start unbound daemon DNS resolver.
-h this help
-c file config file to read instead of /var/unbound/unbound.conf
file format is described in unbound.conf(5).
-d do not fork into the background.
-p do not create a pidfile.
-v verbose (more times to increase verbosity)
Version 1.8.1
linked libs: mini-event internal (it uses select), OpenSSL 1.1.1a-freebsd 20 Nov 2018
linked modules: dns64 respip validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to [email protected]
root@eprove:/usr/local/etc/h2o # sockstat -46 | grep unbound
unbound local-unbo 69749 3 udp6 ::1:53 *:*
unbound local-unbo 69749 4 tcp6 ::1:53 *:*
unbound local-unbo 69749 5 udp4 127.0.0.1:53 *:*
unbound local-unbo 69749 6 tcp4 127.0.0.1:53 *:*
Alles wat bleift ass H2O nei ze starten a kucken wat dovunner kënnt.
root@beta:/usr/local/etc/h2o # service h2o restart
Stopping h2o.
Waiting for PIDS: 69871.
Starting h2o.
start_server (pid:70532) starting now...
4. Testen
Also, loosst eis d'Resultater iwwerpréiwen andeems Dir eng Testufro nach eng Kéier schéckt an den Netzverkéier mam Utility kuckt tcpdump.
root@beta/usr/local/etc/h2o # curl -H 'accept: application/dns-message' 'https://my.domain/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE'
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
...
root@beta:~ # tcpdump -n -i lo0 udp port 53 -xx -XX -vv
tcpdump: listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
16:32:40.420831 IP (tos 0x0, ttl 64, id 37575, offset 0, flags [none], proto UDP (17), length 57, bad cksum 0 (->e9ea)!)
127.0.0.1.21070 > 127.0.0.1.53: [bad udp cksum 0xfe38 -> 0x33e3!] 43981+ A? example.com. (29)
0x0000: 0200 0000 4500 0039 92c7 0000 4011 0000 ....E..9....@...
0x0010: 7f00 0001 7f00 0001 524e 0035 0025 fe38 ........RN.5.%.8
0x0020: abcd 0100 0001 0000 0000 0000 0765 7861 .............exa
0x0030: 6d70 6c65 0363 6f6d 0000 0100 01 mple.com.....
16:32:40.796507 IP (tos 0x0, ttl 64, id 37590, offset 0, flags [none], proto UDP (17), length 73, bad cksum 0 (->e9cb)!)
127.0.0.1.53 > 127.0.0.1.21070: [bad udp cksum 0xfe48 -> 0x43fa!] 43981 q: A? example.com. 1/0/0 example.com. A 93.184.216.34 (45)
0x0000: 0200 0000 4500 0049 92d6 0000 4011 0000 ....E..I....@...
0x0010: 7f00 0001 7f00 0001 0035 524e 0035 fe48 .........5RN.5.H
0x0020: abcd 8180 0001 0001 0000 0000 0765 7861 .............exa
0x0030: 6d70 6c65 0363 6f6d 0000 0100 01c0 0c00 mple.com........
0x0040: 0100 0100 0151 8000 045d b8d8 22 .....Q...].."
^C
2 packets captured
23 packets received by filter
0 packets dropped by kernel
D'Ausgab weist wéi d'Ufro fir d'Adress ze léisen example.com gouf vum DNS-Server opgeholl an erfollegräich veraarbecht.
Elo bleift et just eise Server am Firefox Browser ze aktivéieren. Fir dëst ze maachen, musst Dir verschidden Astellungen op de Konfiguratiounssäiten änneren iwwer: config.
Als éischt ass dëst d'Adress vun eiser API op där de Browser DNS Informatioun ufrot network.trr.uri. Et ass och recommandéiert d'Domain IP vun dëser URL ze spezifizéieren fir eng sécher IP Resolutioun mam Browser selwer ouni Zougang zu DNS an network.trr.bootstrapAddress. An endlech, de Parameter selwer network.trr.mode dorënner d'Benotzung vun DoH. De Wäert op "3" ze setzen wäert de Browser forcéieren exklusiv DNS-iwwer-HTTPS fir Nummresolutioun ze benotzen, während déi méi zouverléisseg a sécher "2" Prioritéit fir DoH ginn, a léisst de Standard DNS Lookup als Réckfalloptioun.
5. GEWËNN!
War den Artikel hëllefräich? Da sidd w.e.g. net schei an ënnerstëtzen mat Suen duerch den Donformular (ënnen).
Source: will.com