Domēna frontēšana, pamatojoties uz TLS 1.3

Ievads

Mūsdienu korporatīvā satura filtrēšanas sistēmām no tādiem slaveniem ražotājiem kā Cisco, BlueCoat, FireEye ir diezgan daudz kopīga ar jaudīgākajiem līdziniekiem - DPI sistēmām, kuras tiek aktīvi ieviestas valsts līmenī. Abu darba būtība ir pārbaudīt ienākošo un izejošo interneta trafiku un, balstoties uz melnajiem/baltajiem sarakstiem, pieņemt lēmumu par interneta pieslēguma aizliegšanu. Un tā kā viņi abi savā darba pamatos paļaujas uz līdzīgiem principiem, arī to apiešanas metodēm būs daudz kopīga.

Viena no tehnoloģijām, kas ļauj diezgan efektīvi apiet gan DPI, gan korporatīvās sistēmas, ir domēna frontes tehnoloģija. Tās būtība ir tāda, ka mēs ejam uz bloķētu resursu, slēpjoties aiz cita, publiska domēna ar labu reputāciju, kuru acīmredzot nebloķēs neviena sistēma, piemēram, google.com.

Par šo tehnoloģiju jau ir rakstīts diezgan daudz rakstu un sniegti daudzi piemēri. Tomēr populārās un nesen apspriestās DNS-over-HTTPS un šifrētā SNI tehnoloģijas, kā arī jaunā TLS 1.3 protokola versija ļauj apsvērt citu domēna frontes iespēju.

Izpratne par tehnoloģiju

Pirmkārt, definēsim nedaudz pamatjēdzienus, lai ikvienam būtu izpratne par to, kas ir kas un kāpēc tas viss ir vajadzīgs. Pieminējām eSNI mehānismu, par kura darbību tiks runāts tālāk. eSNI (šifrēta servera nosaukuma indikācijas) mehānisms ir droša SNI versija, kas pieejama tikai TLS 1.3 protokolam. Galvenā ideja ir cita starpā šifrēt informāciju par to, uz kuru domēnu tiek nosūtīts pieprasījums.

Tagad apskatīsim, kā eSNI mehānisms darbojas praksē.

Pieņemsim, ka mums ir interneta resurss, kuru bloķē moderns DPI risinājums (ņemsim, piemēram, slaveno torrentu izsekotāju rutracker.nl). Mēģinot piekļūt torrentu izsekotāja vietnei, mēs redzam pakalpojumu sniedzēja standarta apakšnodaļu, kas norāda, ka resurss ir bloķēts:

RKN vietnē šis domēns faktiski ir norādīts pieturas sarakstos:

Kad vaicājat whois, jūs varat redzēt, ka pats domēns ir “paslēpts” aiz mākoņa nodrošinātāja Cloudflare.

Bet atšķirībā no RKN “speciālistiem” tehniski gudrāki darbinieki no Beeline (vai mācīja mūsu slavenā regulatora rūgtā pieredze) vietni muļķīgi neaizliedza pēc IP adreses, bet pievienoja domēna nosaukumu pieturas sarakstam. Varat to viegli pārbaudīt, ja aplūkojat, kādi citi domēni ir paslēpti aiz tās pašas IP adreses, apmeklējiet kādu no tiem un redzat, vai piekļuve nav bloķēta:

Kā tas notiek? Kā pakalpojumu sniedzēja DPI zina, kurā domēnā darbojas mana pārlūkprogramma, jo visi sakari notiek, izmantojot https protokolu, un mēs vēl neesam pamanījuši https sertifikātu aizstāšanu no Beeline? Vai viņš ir gaišreģis vai arī man seko?

Mēģināsim atbildēt uz šo jautājumu, aplūkojot trafiku caur wireshark

Ekrānuzņēmums parāda, ka vispirms pārlūkprogramma iegūst servera IP adresi, izmantojot DNS, pēc tam notiek standarta TCP rokasspiediens ar mērķa serveri un pēc tam pārlūkprogramma mēģina izveidot SSL savienojumu ar serveri. Lai to izdarītu, tas nosūta SSL Client Hello paketi, kas satur avota domēna nosaukumu skaidrā tekstā. Šis lauks ir nepieciešams Cloudflare priekšgala serverim, lai pareizi maršrutētu savienojumu. Šeit pakalpojumu sniedzējs DPI mūs pieķer, pārtraucot mūsu savienojumu. Tajā pašā laikā mēs nesaņemam no pakalpojumu sniedzēja nevienu ziņojumu, un mēs redzam standarta pārlūkprogrammas kļūdu, it kā vietne būtu atspējota vai vienkārši nedarbojas:

Tagad pārlūkprogrammā iespējosim eSNI mehānismu, kā rakstīts instrukcijās Firefox :
Lai to izdarītu, atveram Firefox konfigurācijas lapu about: config un aktivizējiet šādus iestatījumus:

network.trr.mode = 2;
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

Pēc tam mēs pārbaudīsim, vai Cloudflare vietnē iestatījumi darbojas pareizi. saite un vēlreiz izmēģināsim triku ar mūsu torrentu izsekotāju.

Voila. Mūsu iecienītākais izsekotājs tika atvērts bez VPN vai starpniekserveriem. Tagad apskatīsim satiksmes izgāztuvi Wireshark, lai redzētu, kas noticis.

Šoreiz ssl klienta hello pakotnē nav skaidri norādīts mērķa domēns, bet tā vietā pakotnē parādījās jauns lauks - encrypted_server_name - šeit ir ietverta rutracker.nl vērtība, un tikai cloudflare frontend serveris var to atšifrēt. lauks. Un ja tā, tad pakalpojumu sniedzējam DPI neatliek nekas cits kā mazgāt rokas un atļaut šādu trafiku. Citu šifrēšanas iespēju nav.

Tātad, mēs apskatījām, kā tehnoloģija darbojas pārlūkprogrammā. Tagad mēģināsim to attiecināt uz konkrētākām un interesantākām lietām. Un vispirms mēs iemācīsim to pašu loku izmantot eSNI darbam ar TLS 1.3, un tajā pašā laikā mēs redzēsim, kā darbojas pati eSNI balstītā domēna fronte.

Domēna frontēšana ar eSNI

Sakarā ar to, ka curl izmanto standarta openssl bibliotēku, lai izveidotu savienojumu, izmantojot https protokolu, vispirms mums ir jānodrošina eSNI atbalsts. Pagaidām openssl master filiālēs eSNI atbalsta nav, tāpēc mums ir jālejupielādē speciāla openssl filiāle, jāapkopo un jāinstalē.

Mēs klonējam repozitoriju no GitHub un kompilējam kā parasti:

$ git clone https://github.com/sftcd/openssl
$ cd openssl
$ ./config

$ make
$ cd esnistuff
$ make

Pēc tam mēs klonējam repozitoriju ar curl un konfigurējam tā kompilāciju, izmantojot mūsu apkopoto openssl bibliotēku:

$ cd $HOME/code
$ git clone https://github.com/niallor/curl.git curl-esni
$ cd curl-esni

$ export LD_LIBRARY_PATH=/opt/openssl
$ ./buildconf
$ LDFLAGS="-L/opt/openssl" ./configure --with-ssl=/opt/openssl --enable-esni --enable-debug

Šeit ir svarīgi pareizi norādīt visus direktorijus, kuros atrodas openssl (mūsu gadījumā tas ir /opt/openssl/), un pārliecināties, ka konfigurācijas process norit bez kļūdām.

Ja konfigurācija ir veiksmīga, mēs redzēsim rindu:

BRĪDINĀJUMS: esni ESNI ir iespējots, bet atzīmēts EKSPERIMENTĀLS. Lietojiet piesardzīgi!

$ make

Pēc veiksmīgas pakotnes izveidošanas mēs izmantosim īpašu bash failu no openssl, lai konfigurētu un palaistu curl. Ērtības labad kopēsim to uz direktoriju ar curl:

cp /opt/openssl/esnistuff/curl-esni 

un veiciet pārbaudes https pieprasījumu cloudflare serverim, vienlaikus ierakstot DNS un TLS paketes programmā Wireshark.

$ ESNI_COVER="www.hello-rkn.ru" ./curl-esni https://cloudflare.com/

Servera atbildē papildus lielai atkļūdošanas informācijai no openssl un curl mēs saņemsim HTTP atbildi ar kodu 301 no cloudflare.

HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 13:12:55 GMT
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Sun, 03 Nov 2019 14:12:55 GMT
< Location: https://www.cloudflare.com/

kas norāda, ka mūsu pieprasījums tika veiksmīgi piegādāts galamērķa serverim, uzklausīts un apstrādāts.

Tagad apskatīsim satiksmes dump in wireshark, t.i. ko šajā gadījumā redzēja pakalpojumu sniedzējs DPI.

Var redzēt, ka curl vispirms vērsās pie DNS servera, lai iegūtu publisku eSNI atslēgu cloudflare serverim - TXT DNS pieprasījums uz _esni.cloudflare.com (pakete Nr. 13). Pēc tam, izmantojot openssl bibliotēku, curl nosūtīja TLS 1.3 pieprasījumu cloudflare serverim, kurā SNI lauks tika šifrēts ar publisko atslēgu, kas iegūta iepriekšējā darbībā (pakete #22). Bet, papildus laukam eSNI, SSL-hello paketē bija arī lauks ar parasto - atvērto SNI, kuru mēs varam norādīt jebkurā secībā (šajā gadījumā - www.hello-rkn.ru).

Šis atvērtais SNI lauks nekādā veidā netika ņemts vērā, kad to apstrādāja cloudflare serveri, un tas kalpoja tikai kā maska ​​nodrošinātāja DPI. Cloudflare serveris saņēma mūsu ssl-hello paketi, atšifrēja eSNI, izvilka no turienes sākotnējo SNI un apstrādāja to tā, it kā nekas nebūtu noticis (izstrādājot eSNI, tas visu darīja tieši tā, kā bija plānots).

Vienīgais, ko šajā gadījumā var uztvert no DPI viedokļa, ir primārais DNS pieprasījums vietnei _esni.cloudflare.com. Bet mēs padarījām DNS pieprasījumu atvērtu tikai tāpēc, lai parādītu, kā šis mehānisms darbojas no iekšpuses.

Lai beidzot izvilktu paklāju no zem DPI, mēs izmantojam jau minēto DNS-over-HTTPS mehānismu. Neliels paskaidrojums – DOH ir protokols, kas ļauj aizsargāties pret uzbrukuma starpnieku, nosūtot DNS pieprasījumu, izmantojot HTTPS.

Izpildīsim pieprasījumu vēlreiz, bet šoreiz publiskās eSNI atslēgas saņemsim caur https protokolu, nevis DNS:

ESNI_COVER="www.hello-rkn.ru" DOH_URL=https://mozilla.cloudflare-dns.com/dns-query ./curl-esni https://cloudflare.com/

Pieprasījuma trafika dump ir parādīts zemāk esošajā ekrānuzņēmumā:

Var redzēt, ka curl vispirms piekļūst mozilla.cloudflare-dns.com serverim, izmantojot DoH protokolu (https savienojums ar serveri 104.16.249.249), lai iegūtu no tiem publisko atslēgu vērtības SNI šifrēšanai un pēc tam galamērķim. serveris, kas slēpjas aiz domēna www.hello-rkn.ru.

Papildus iepriekš minētajam DoH atrisinātājam mozilla.cloudflare-dns.com mēs varam izmantot citus populārus DoH pakalpojumus, piemēram, no slavenās ļaunās korporācijas.
Izpildīsim šādu vaicājumu:

ESNI_COVER="www.kremlin.ru" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

Un mēs saņemam atbildi:

< HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 14:10:22 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: __cfduid=da0144d982437e77b0b37af7d00438b1a1572790222; expires=Mon, 02-Nov-20 14:10:22 GMT; path=/; domain=.rutracker.nl; HttpOnly; Secure
< Location: https://rutracker.nl/forum/index.php
< CF-Cache-Status: DYNAMIC
< Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
< Server: cloudflare
< CF-RAY: 52feee696f42d891-CPH

Šajā gadījumā mēs vērsāmies pie bloķētā rutracker.nl servera, izmantojot DoH solver dns.google (šeit nav drukas kļūdas, tagad slavenajai korporācijai ir savs pirmā līmeņa domēns) un piesedzāmies ar citu domēnu, kas ir stingri aizliegts visiem DPI bloķēt nāves sāpju gadījumā. Pamatojoties uz saņemto atbildi, varat saprast, ka mūsu pieprasījums tika veiksmīgi apstrādāts.

Kā papildu pārbaudi, vai pakalpojumu sniedzēja DPI reaģē uz atvērto SNI, ko mēs pārsūtām kā segumu, mēs varam veikt pieprasījumu rutracker.nl cita aizliegta resursa aizsegā, piemēram, cita “laba” torrentu izsekotāja aizsegā:

$ ESNI_COVER="rutor.info" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

No servera atbildi nesaņemsim, jo... mūsu pieprasījumu bloķēs DPI sistēma.

Īss secinājums pirmajai daļai

Tātad, mēs varējām demonstrēt eSNI funkcionalitāti, izmantojot openssl un curl, un pārbaudīt domēna frontes darbību, pamatojoties uz eSNI. Tādā pašā veidā mēs varam pielāgot savus iecienītākos rīkus, kas izmanto openssl bibliotēku, lai tie darbotos citu domēnu “aizsegā”. Plašāka informācija par to ir mūsu nākamajos rakstos.

Avots: www.habr.com