TLS 1.3 वर आधारित डोमेन फ्रंटिंग

परिचय

Cisco, BlueCoat, FireEye सारख्या प्रसिद्ध निर्मात्यांकडील आधुनिक कॉर्पोरेट सामग्री फिल्टरिंग सिस्टममध्ये त्यांच्या अधिक शक्तिशाली समकक्ष - DPI सिस्टीममध्ये बरेच साम्य आहे, जे राष्ट्रीय स्तरावर सक्रियपणे लागू केले जात आहेत. इनकमिंग आणि आउटगोइंग इंटरनेट ट्रॅफिकची तपासणी करणे आणि काळ्या/पांढऱ्या सूचीच्या आधारे, इंटरनेट कनेक्शनवर बंदी घालण्याचा निर्णय घेणे हे दोघांच्या कार्याचे सार आहे. आणि ते दोघेही त्यांच्या कामाच्या मूलभूत तत्त्वांवर समान तत्त्वांवर अवलंबून असल्याने, त्यांना टाळण्याच्या पद्धतींमध्ये देखील बरेच साम्य असेल.

एक तंत्रज्ञान जे तुम्हाला DPI आणि कॉर्पोरेट प्रणाली दोन्ही प्रभावीपणे बायपास करण्यास अनुमती देते ते डोमेन-फ्रंटिंग तंत्रज्ञान आहे. त्याचे सार हे आहे की आम्ही एका अवरोधित स्त्रोताकडे जातो, दुसर्‍याच्या मागे लपतो, चांगली प्रतिष्ठा असलेले सार्वजनिक डोमेन, जे स्पष्टपणे कोणत्याही सिस्टमद्वारे अवरोधित केले जाणार नाही, उदाहरणार्थ google.com.

या तंत्रज्ञानाबद्दल बरेच लेख आधीच लिहिले गेले आहेत आणि अनेक उदाहरणे दिली गेली आहेत. तथापि, लोकप्रिय आणि अलीकडे चर्चा केलेले DNS-over-HTTPS आणि एनक्रिप्टेड-SNI तंत्रज्ञान, तसेच TLS 1.3 प्रोटोकॉलची नवीन आवृत्ती, डोमेन फ्रंटिंगसाठी दुसर्‍या पर्यायाचा विचार करणे शक्य करते.

तंत्रज्ञान समजून घेणे

प्रथम, थोड्या मूलभूत संकल्पना परिभाषित करूया जेणेकरून प्रत्येकाला समजेल की कोण आहे आणि हे सर्व का आवश्यक आहे. आम्ही ईएसएनआय यंत्रणेचा उल्लेख केला आहे, ज्याच्या ऑपरेशनवर पुढे चर्चा केली जाईल. eSNI (एनक्रिप्टेड सर्व्हर नेम इंडिकेशन) यंत्रणा ही SNI ची सुरक्षित आवृत्ती आहे, जी फक्त TLS 1.3 प्रोटोकॉलसाठी उपलब्ध आहे. मुख्य कल्पना म्हणजे इतर गोष्टींबरोबरच विनंती कोणत्या डोमेनला पाठवली जाते याबद्दलची माहिती कूटबद्ध करणे.

आता eSNI यंत्रणा व्यवहारात कशी कार्य करते ते पाहू.

समजा आमच्याकडे एक इंटरनेट संसाधन आहे जे आधुनिक डीपीआय सोल्यूशनद्वारे अवरोधित केले आहे (उदाहरणार्थ, प्रसिद्ध टॉरेंट ट्रॅकर rutracker.nl घेऊ). जेव्हा आम्ही टॉरेंट ट्रॅकरच्या वेबसाइटवर प्रवेश करण्याचा प्रयत्न करतो, तेव्हा आम्हाला प्रदात्याचा मानक स्टब दिसतो की संसाधन अवरोधित केले आहे:

RKN वेबसाइटवर हे डोमेन प्रत्यक्षात स्टॉप लिस्टमध्ये सूचीबद्ध आहे:

तुम्ही whois वर क्वेरी करता, तेव्हा तुम्ही पाहू शकता की डोमेन स्वतः क्लाउड प्रदाता क्लाउडफ्लेअरच्या मागे "लपलेले" आहे.

परंतु RKN मधील "तज्ञ" विपरीत, Beeline मधील अधिक तांत्रिकदृष्ट्या जाणकार कर्मचार्‍यांनी (किंवा आमच्या प्रसिद्ध रेग्युलेटरच्या कटू अनुभवाने शिकवलेले) IP पत्त्याद्वारे साइटवर मूर्खपणाने बंदी घातली नाही, परंतु स्टॉप लिस्टमध्ये डोमेन नाव जोडले. समान IP पत्त्यामागे इतर कोणती डोमेन लपलेली आहेत हे पाहिल्यास, त्यापैकी एकाला भेट द्या आणि प्रवेश अवरोधित केलेला नाही हे पाहिल्यास आपण हे सहजपणे सत्यापित करू शकता:

हे कसे घडते? माझा ब्राउझर कोणता डोमेन चालू आहे हे प्रदात्याच्या डीपीआयला कसे कळते, कारण सर्व संप्रेषणे https प्रोटोकॉलद्वारे होतात आणि आम्हाला अद्याप बीलाइनकडून https प्रमाणपत्रे बदलणे लक्षात आले नाही? तो दावेदार आहे की माझे अनुसरण केले जात आहे?

वायरशार्कद्वारे होणारी वाहतूक पाहून या प्रश्नाचे उत्तर देण्याचा प्रयत्न करूया

स्क्रीनशॉट दर्शवितो की प्रथम ब्राउझर सर्व्हरचा IP पत्ता DNS द्वारे प्राप्त करतो, नंतर गंतव्य सर्व्हरसह मानक TCP हँडशेक होतो आणि नंतर ब्राउझर सर्व्हरसह SSL कनेक्शन स्थापित करण्याचा प्रयत्न करतो. हे करण्यासाठी, ते एक SSL क्लायंट हॅलो पॅकेट पाठवते, ज्यामध्ये स्त्रोत डोमेनचे नाव स्पष्ट मजकुरात असते. हे फील्ड कनेक्शन योग्यरित्या रूट करण्यासाठी क्लाउडफ्लेअर फ्रंटएंड सर्व्हरद्वारे आवश्यक आहे. इथेच प्रदाता DPI आम्हाला पकडतो, आमचे कनेक्शन तोडतो. त्याच वेळी, आम्हाला प्रदात्याकडून कोणताही स्टब प्राप्त होत नाही आणि आम्हाला मानक ब्राउझर त्रुटी दिसते जसे की साइट अक्षम केली आहे किंवा फक्त कार्य करत नाही:

आता ब्राउझरमध्ये ईएसएनआय यंत्रणा सक्षम करूया, जसे की सूचनांमध्ये लिहिले आहे फायरफॉक्स :
हे करण्यासाठी आम्ही फायरफॉक्स कॉन्फिगरेशन पृष्ठ उघडतो about: config आणि खालील सेटिंग्ज सक्रिय करा:

network.trr.mode = 2;
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

यानंतर, क्लाउडफ्लेअर वेबसाइटवर सेटिंग्ज योग्यरित्या कार्यरत आहेत की नाही हे आम्ही तपासू. दुवा आणि आमच्या टॉरेंट ट्रॅकरसह युक्ती पुन्हा वापरून पाहू.

व्होइला. आमचा आवडता ट्रॅकर कोणत्याही VPN किंवा प्रॉक्सी सर्व्हरशिवाय उघडला. आता काय झाले ते पाहण्यासाठी वायरशार्कमधील वाहतूक कोंडी पाहू.

यावेळी, ssl क्लायंट हॅलो पॅकेजमध्ये स्पष्टपणे गंतव्य डोमेन समाविष्ट नाही, परंतु त्याऐवजी, पॅकेजमध्ये एक नवीन फील्ड दिसले - encrypted_server_name - येथेच rutracker.nl चे मूल्य समाविष्ट आहे आणि फक्त क्लाउडफ्लेअर फ्रंटएंड सर्व्हर हे डिक्रिप्ट करू शकतो. फील्ड आणि तसे असल्यास, प्रदाता डीपीआयकडे हात धुवून अशा वाहतुकीस परवानगी देण्याशिवाय पर्याय नाही. एनक्रिप्शनसह इतर कोणतेही पर्याय नाहीत.

म्हणून, आम्ही ब्राउझरमध्ये तंत्रज्ञान कसे कार्य करते ते पाहिले. आता ते अधिक विशिष्ट आणि मनोरंजक गोष्टींवर लागू करण्याचा प्रयत्न करूया. आणि प्रथम, आम्ही समान कर्ल TLS 1.3 सह कार्य करण्यासाठी eSNI वापरण्यास शिकवू आणि त्याच वेळी eSNI-आधारित डोमेन फ्रंटिंग स्वतः कसे कार्य करते ते आम्ही पाहू.

eSNI सह डोमेन फ्रंटिंग

कर्ल https प्रोटोकॉलद्वारे कनेक्ट करण्यासाठी मानक openssl लायब्ररी वापरते या वस्तुस्थितीमुळे, सर्वप्रथम आम्हाला तेथे eSNI समर्थन प्रदान करणे आवश्यक आहे. अद्याप openssl मास्टर शाखांमध्ये eSNI समर्थन नाही, म्हणून आम्हाला एक विशेष openssl शाखा डाउनलोड करणे, संकलित करणे आणि स्थापित करणे आवश्यक आहे.

आम्ही GitHub वरून रेपॉजिटरी क्लोन करतो आणि नेहमीप्रमाणे संकलित करतो:

$ git clone https://github.com/sftcd/openssl
$ cd openssl
$ ./config

$ make
$ cd esnistuff
$ make

पुढे, आम्ही रेपॉजिटरी कर्लसह क्लोन करतो आणि आमच्या संकलित ओपनएसएसएल लायब्ररीचा वापर करून त्याचे संकलन कॉन्फिगर करतो:

$ cd $HOME/code
$ git clone https://github.com/niallor/curl.git curl-esni
$ cd curl-esni

$ export LD_LIBRARY_PATH=/opt/openssl
$ ./buildconf
$ LDFLAGS="-L/opt/openssl" ./configure --with-ssl=/opt/openssl --enable-esni --enable-debug

येथे सर्व डिरेक्टरी योग्यरित्या निर्दिष्ट करणे महत्वाचे आहे जेथे openssl स्थित आहे (आमच्या बाबतीत, हे /opt/openssl/ आहे) आणि कॉन्फिगरेशन प्रक्रिया त्रुटींशिवाय जात असल्याचे सुनिश्चित करा.

कॉन्फिगरेशन यशस्वी झाल्यास, आम्ही ओळ पाहू:

चेतावणी: esni ESNI सक्षम केले परंतु प्रायोगिक म्हणून चिन्हांकित केले. सावधगिरीने वापरा!

$ make

पॅकेज यशस्वीरित्या तयार केल्यानंतर, आम्ही कर्ल कॉन्फिगर आणि रन करण्यासाठी openssl वरून एक विशेष बॅश फाइल वापरू. सोयीसाठी कर्ल सह निर्देशिकेत कॉपी करूया:

cp /opt/openssl/esnistuff/curl-esni 

आणि एकाच वेळी वायरशार्कमध्ये DNS आणि TLS पॅकेट रेकॉर्ड करताना, क्लाउडफ्लेअर सर्व्हरला चाचणी https ची विनंती करा.

$ ESNI_COVER="www.hello-rkn.ru" ./curl-esni https://cloudflare.com/

सर्व्हरच्या प्रतिसादात, openssl आणि curl कडून भरपूर डीबगिंग माहिती व्यतिरिक्त, आम्हाला क्लाउडफ्लेअर कडून कोड 301 सह HTTP प्रतिसाद प्राप्त होईल.

HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 13:12:55 GMT
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Sun, 03 Nov 2019 14:12:55 GMT
< Location: https://www.cloudflare.com/

जे सूचित करते की आमची विनंती गंतव्य सर्व्हरवर यशस्वीरित्या वितरित केली गेली, ऐकली आणि प्रक्रिया केली.

आता वायरशार्कमधील ट्रॅफिक डंप पाहूया, म्हणजे. या प्रकरणात प्रदाता DPI ने काय पाहिले.

हे पाहिले जाऊ शकते की क्लाउडफ्लेअर सर्व्हरसाठी सार्वजनिक eSNI कीसाठी कर्ल प्रथम DNS सर्व्हरकडे वळले - _esni.cloudflare.com (पॅकेज क्रमांक 13) वर TXT DNS विनंती. त्यानंतर, openssl लायब्ररी वापरून, curl ने क्लाउडफ्लेअर सर्व्हरला TLS 1.3 विनंती पाठवली ज्यामध्ये SNI फील्ड मागील पायरीमध्ये (पॅकेट #22) मिळवलेल्या सार्वजनिक कीसह एनक्रिप्ट केले होते. परंतु, eSNI फील्ड व्यतिरिक्त, SSL-hello पॅकेटमध्ये नेहमीच्या - ओपन SNI सह फील्ड देखील समाविष्ट होते, जे आम्ही कोणत्याही क्रमाने निर्दिष्ट करू शकतो (या प्रकरणात - www.hello-rkn.ru).

क्लाउडफ्लेअर सर्व्हरद्वारे प्रक्रिया केल्यावर हे खुले SNI फील्ड कोणत्याही प्रकारे विचारात घेतले गेले नाही आणि केवळ प्रदाता DPI साठी मुखवटा म्हणून काम केले. क्लाउडफ्लेअर सर्व्हरने आमचे ssl-hello पॅकेट प्राप्त केले, eSNI डिक्रिप्ट केले, तेथून मूळ SNI काढले आणि काहीही झाले नसल्याप्रमाणे त्यावर प्रक्रिया केली (eSNI विकसित करताना नियोजित प्रमाणे सर्वकाही केले).

DPI दृष्टिकोनातून या प्रकरणात पकडली जाऊ शकणारी एकमेव गोष्ट म्हणजे _esni.cloudflare.com वर प्राथमिक DNS विनंती. परंतु ही यंत्रणा आतून कशी कार्य करते हे दाखवण्यासाठी आम्ही DNS विनंती उघडली.

शेवटी DPI मधून गालिचा बाहेर काढण्यासाठी, आम्ही आधीच नमूद केलेली DNS-over-HTTPS यंत्रणा वापरतो. थोडे स्पष्टीकरण - DOH हा एक प्रोटोकॉल आहे जो तुम्हाला HTTPS वर DNS विनंती पाठवून मध्यभागी माणसाच्या हल्ल्यापासून संरक्षण करण्यास अनुमती देतो.

चला विनंती पुन्हा कार्यान्वित करू, परंतु यावेळी आम्हाला https प्रोटोकॉलद्वारे सार्वजनिक eSNI की प्राप्त होतील, DNS नाही:

ESNI_COVER="www.hello-rkn.ru" DOH_URL=https://mozilla.cloudflare-dns.com/dns-query ./curl-esni https://cloudflare.com/

विनंती ट्रॅफिक डंप खालील स्क्रीनशॉटमध्ये दर्शविले आहे:

हे पाहिले जाऊ शकते की कर्ल प्रथम mozilla.cloudflare-dns.com सर्व्हरवर DoH प्रोटोकॉलद्वारे प्रवेश करते (सर्व्हर 104.16.249.249 चे https कनेक्शन) त्यांच्याकडून SNI एन्क्रिप्शनसाठी सार्वजनिक की ची मूल्ये प्राप्त करण्यासाठी आणि नंतर गंतव्यस्थानापर्यंत. सर्व्हर, डोमेनच्या मागे लपलेले www.hello-rkn.ru.

वरील DoH रिझोल्व्हर mozilla.cloudflare-dns.com व्यतिरिक्त, आम्ही इतर लोकप्रिय DoH सेवा वापरू शकतो, उदाहरणार्थ, प्रसिद्ध वाईट कॉर्पोरेशनकडून.
चला खालील क्वेरी चालवू:

ESNI_COVER="www.kremlin.ru" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

आणि आम्हाला उत्तर मिळते:

< HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 14:10:22 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: __cfduid=da0144d982437e77b0b37af7d00438b1a1572790222; expires=Mon, 02-Nov-20 14:10:22 GMT; path=/; domain=.rutracker.nl; HttpOnly; Secure
< Location: https://rutracker.nl/forum/index.php
< CF-Cache-Status: DYNAMIC
< Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
< Server: cloudflare
< CF-RAY: 52feee696f42d891-CPH

या प्रकरणात, आम्ही DoH रिझोल्व्हर dns.google वापरून ब्लॉक केलेल्या rutracker.nl सर्व्हरकडे वळलो (येथे कोणताही टायपो नाही, आता प्रसिद्ध कॉर्पोरेशनचे स्वतःचे प्रथम-स्तरीय डोमेन आहे) आणि आम्ही स्वतःला दुसर्या डोमेनसह कव्हर केले, जे कठोरपणे सर्व डीपीआयना मृत्यूच्या वेदनाखाली अवरोधित करणे प्रतिबंधित आहे. मिळालेल्या प्रतिसादाच्या आधारे, तुम्ही समजू शकता की आमच्या विनंतीवर यशस्वीरित्या प्रक्रिया करण्यात आली आहे.

आम्ही कव्हर म्हणून प्रसारित केलेल्या खुल्या SNI ला प्रदात्याचा DPI प्रतिसाद देतो याची अतिरिक्त तपासणी म्हणून, आम्ही rutracker.nl ला काही इतर प्रतिबंधित स्त्रोतांच्या वेषात विनंती करू शकतो, उदाहरणार्थ, दुसरा “चांगला” टोरेंट ट्रॅकर:

$ ESNI_COVER="rutor.info" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

आम्हाला सर्व्हरकडून प्रतिसाद मिळणार नाही, कारण... आमची विनंती DPI प्रणालीद्वारे अवरोधित केली जाईल.

पहिल्या भागाचा एक छोटासा निष्कर्ष

त्यामुळे, आम्ही openssl आणि curl वापरून eSNI ची कार्यक्षमता प्रदर्शित करू शकलो आणि eSNI वर आधारित डोमेन फ्रंटिंगच्या ऑपरेशनची चाचणी करू शकलो. त्याच प्रकारे, आम्ही इतर डोमेनच्या "वेषात" कार्य करण्यासाठी openssl लायब्ररी वापरणारी आमची आवडती साधने जुळवून घेऊ शकतो. आमच्या पुढील लेखांमध्ये याबद्दल अधिक तपशील.

स्त्रोत: www.habr.com