Aspekte të ndryshme të funksionimit të DNS janë prekur në mënyrë të përsëritur nga autori në disa prej tyre publikuar si pjesë e blogut. Në të njëjtën kohë, theksi kryesor ka qenë gjithmonë në rritjen e sigurisë së këtij shërbimi kyç të internetit.
Deri kohët e fundit, megjithë cenueshmërinë e dukshme të trafikut DNS, i cili ende, në pjesën më të madhe, transmetohet në mënyrë të qartë, ndaj veprimeve keqdashëse nga ana e ofruesve që kërkojnë të rrisin të ardhurat e tyre duke përfshirë reklamat në përmbajtje, agjencitë qeveritare të sigurisë dhe censurën, si dhe thjesht kriminelët, procesi , pavarësisht pranisë së teknologjive të ndryshme si DNSSEC/DANE, DNScrypt, DNS-mbi-TLS dhe DNS-mbi-HTTPS, u bllokua. Dhe nëse zgjidhjet e serverëve, dhe disa prej tyre kanë ekzistuar për një kohë mjaft të gjatë, janë gjerësisht të njohura dhe të disponueshme, mbështetja e tyre nga softueri i klientit lë shumë për të dëshiruar.
Për fat të mirë, situata po ndryshon. Në veçanti, zhvilluesit e shfletuesit popullor Firefox në lidhje me planet për të aktivizuar modalitetin e mbështetjes si parazgjedhje (DoH) së shpejti. Kjo duhet të ndihmojë në mbrojtjen e trafikut DNS të përdoruesit WWW nga kërcënimet e mësipërme, por mund të prezantojë potencialisht të reja.
1. Probleme me DNS-mbi HTTPS
Në pamje të parë, fillimi i prezantimit masiv të DNS-mbi-HTTPS në softuerin e internetit shkakton vetëm një reagim pozitiv. Sidoqoftë, djalli, siç thonë ata, është në detaje.
Problemi i parë që kufizon shtrirjen e përdorimit të gjerë të DoH është fokusi i tij vetëm në trafikun e internetit. Në të vërtetë, protokolli HTTP dhe versioni i tij aktual HTTP/2, mbi të cilin bazohet DoH, janë baza e WWW. Por interneti nuk është vetëm ueb. Ka shumë shërbime të njohura, të tilla si posta elektronike, mesazhe të ndryshme të çastit, sistemet e transferimit të skedarëve, transmetimi multimedial, etj., që nuk përdorin HTTP. Kështu, pavarësisht nga perceptimi nga shumë DoH si një ilaç, ai rezulton të jetë i pazbatueshëm pa përpjekje shtesë (dhe të panevojshme) për asgjë tjetër përveç teknologjive të shfletuesit. Nga rruga, DNS-over-TLS duket si një kandidat shumë më i denjë për këtë rol, i cili zbaton kapsulimin e trafikut standard DNS në protokollin standard të sigurt TLS.
Problemi i dytë, i cili është potencialisht shumë më domethënës se i pari, është braktisja aktuale e decentralizimit të qenësishëm të DNS nga dizajni në favor të përdorimit të një serveri të vetëm DoH të specifikuar në cilësimet e shfletuesit. Në veçanti, Mozilla sugjeron përdorimin e një shërbimi nga Cloudflare. Një shërbim i ngjashëm u lançua edhe nga figura të tjera të shquara të internetit, në veçanti Google. Rezulton se zbatimi i DNS-mbi-HTTPS në formën në të cilën propozohet aktualisht vetëm rrit varësinë e përdoruesve fundorë nga shërbimet më të mëdha. Nuk është sekret që informacioni që mund të sigurojë analiza e pyetjeve DNS mund të mbledhë edhe më shumë të dhëna rreth tij, si dhe të rrisë saktësinë dhe rëndësinë e tij.
Në këtë drejtim, autori ishte dhe mbetet një mbështetës i zbatimit masiv jo të DNS-over-HTTPS, por i DNS-over-TLS së bashku me DNSSEC/DANE si një mjet universal, i sigurt dhe jo i favorshëm për centralizimin e mëtejshëm të internetit. për të garantuar sigurinë e trafikut DNS. Fatkeqësisht, për arsye të qarta, nuk mund të presim zbatim të shpejtë të mbështetjes masive për alternativat e DoH në softuerin e klientit dhe është ende domeni i entuziastëve të teknologjisë së sigurisë.
Por meqenëse tani kemi DoH, pse të mos e përdorim pasi i kemi shpëtuar mbikëqyrjes së mundshme nga korporatat përmes serverëve të tyre në serverin tonë DNS-mbi-HTTPS?
2. Protokolli DNS-mbi-HTTPS
Nëse shikoni standardin duke përshkruar protokollin DNS-mbi-HTTPS, mund të shihni se është, në fakt, një API në internet që ju lejon të kapsuloni një paketë standarde DNS në protokollin HTTP/2. Kjo zbatohet përmes titujve të veçantë HTTP, si dhe konvertimit të formatit binar të të dhënave të transmetuara DNS (shih. dhe dokumentet pasuese) në një formë që ju lejon t'i transmetoni dhe merrni ato, si dhe të punoni me meta të dhënat e nevojshme.
Sipas standardit, mbështetet vetëm HTTP/2 dhe një lidhje e sigurt TLS.
Dërgimi i një kërkese DNS mund të bëhet duke përdorur metodat standarde GET dhe POST. Në rastin e parë, kërkesa shndërrohet në një varg të koduar me bazë64URL, dhe në të dytin, përmes trupit të kërkesës POST në formë binare. Në këtë rast, një lloj i veçantë i të dhënave MIME përdoret gjatë kërkesës dhe përgjigjes DNS aplikacion/dns-mesazh.
root@eprove:~ # curl -H 'accept: application/dns-message' 'https://my.domaint/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE' -v
* Trying 2001:100:200:300::400:443...
* TCP_NODELAY set
* Connected to eprove.net (2001:100:200:300::400) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /usr/local/share/certs/ca-root-nss.crt
CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
* subject: CN=my.domain
* start date: Jul 22 00:07:13 2019 GMT
* expire date: Oct 20 00:07:13 2019 GMT
* subjectAltName: host "my.domain" matched cert's "my.domain"
* issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x801441000)
> GET /dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE HTTP/2
> Host: eprove.net
> User-Agent: curl/7.65.3
> accept: application/dns-message
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 200
< server: h2o/2.3.0-beta2
< content-type: application/dns-message
< cache-control: max-age=86274
< date: Thu, 12 Sep 2019 13:07:25 GMT
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< content-length: 45
<
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
* Failed writing body (0 != 45)
* stopped the pause stream!
* Connection #0 to host eprove.net left intactKushtojini vëmendje edhe titullit kontrolli i cache: në përgjigjen nga serveri i uebit. Në parametrin mosha maksimale përmban vlerën TTL për regjistrimin DNS që kthehet (ose vlerën minimale nëse një grup prej tyre po kthehet).
Bazuar në sa më sipër, funksionimi i një serveri DoH përbëhet nga disa faza.
- Merrni një kërkesë HTTP. Nëse kjo është një GET, atëherë deshifroni paketën nga kodimi base64URL.
- Dërgojeni këtë paketë te serveri DNS.
- Merrni një përgjigje nga serveri DNS
- Gjeni vlerën minimale TTL në të dhënat e marra.
- Kthejini një përgjigje klientit nëpërmjet HTTP.
3. Serveri juaj DNS-mbi-HTTPS
Mënyra më e thjeshtë, më e shpejtë dhe më efektive për të drejtuar serverin tuaj DNS-mbi-HTTPS është të përdorni një server në internet HTTP/2 , për të cilën autori ka shkruar tashmë shkurt (shih "").
Kjo zgjedhje mbështetet nga fakti se i gjithë kodi i serverit tuaj DoH mund të zbatohet plotësisht duke përdorur përkthyesin e integruar në vetë H2O . Përveç bibliotekave standarde, për të shkëmbyer të dhëna me serverin DNS, ju nevojitet biblioteka (mrbgem) Socket, e cila, për fat të mirë, tashmë është përfshirë në versionin aktual të zhvillimit të H2O 2.3.0-beta2 në portet e FreeBSD. Sidoqoftë, nuk është e vështirë ta shtoni atë në ndonjë version të mëparshëm duke klonuar depon te katalogu /deps para përpilimit.
root@beta:~ # uname -v
FreeBSD 12.0-RELEASE-p10 GENERIC
root@beta:~ # cd /usr/ports/www/h2o
root@beta:/usr/ports/www/h2o # make extract
===> License MIT BSD2CLAUSE accepted by the user
===> h2o-2.2.6 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by h2o-2.2.6 for building
===> Extracting for h2o-2.2.6.
=> SHA256 Checksum OK for h2o-h2o-v2.2.6_GH0.tar.gz.
===> h2o-2.2.6 depends on file: /usr/local/bin/ruby26 - found
root@beta:/usr/ports/www/h2o # cd work/h2o-2.2.6/deps/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # git clone https://github.com/iij/mruby-socket.git
Клонирование в «mruby-socket»…
remote: Enumerating objects: 385, done.
remote: Total 385 (delta 0), reused 0 (delta 0), pack-reused 385
Получение объектов: 100% (385/385), 98.02 KiB | 647.00 KiB/s, готово.
Определение изменений: 100% (208/208), готово.
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # ll
total 181
drwxr-xr-x 9 root wheel 18 12 авг. 16:09 brotli/
drwxr-xr-x 2 root wheel 4 12 авг. 16:09 cloexec/
drwxr-xr-x 2 root wheel 5 12 авг. 16:09 golombset/
drwxr-xr-x 4 root wheel 35 12 авг. 16:09 klib/
drwxr-xr-x 2 root wheel 5 12 авг. 16:09 libgkc/
drwxr-xr-x 4 root wheel 26 12 авг. 16:09 libyrmcds/
drwxr-xr-x 13 root wheel 32 12 авг. 16:09 mruby/
drwxr-xr-x 5 root wheel 11 12 авг. 16:09 mruby-digest/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-dir/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-env/
drwxr-xr-x 4 root wheel 9 12 авг. 16:09 mruby-errno/
drwxr-xr-x 5 root wheel 14 12 авг. 16:09 mruby-file-stat/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-iijson/
drwxr-xr-x 5 root wheel 11 12 авг. 16:09 mruby-input-stream/
drwxr-xr-x 6 root wheel 11 12 авг. 16:09 mruby-io/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-onig-regexp/
drwxr-xr-x 4 root wheel 10 12 авг. 16:09 mruby-pack/
drwxr-xr-x 5 root wheel 10 12 авг. 16:09 mruby-require/
drwxr-xr-x 6 root wheel 10 12 сент. 16:10 mruby-socket/
drwxr-xr-x 2 root wheel 9 12 авг. 16:09 neverbleed/
drwxr-xr-x 2 root wheel 13 12 авг. 16:09 picohttpparser/
drwxr-xr-x 2 root wheel 4 12 авг. 16:09 picotest/
drwxr-xr-x 9 root wheel 16 12 авг. 16:09 picotls/
drwxr-xr-x 4 root wheel 8 12 авг. 16:09 ssl-conservatory/
drwxr-xr-x 8 root wheel 18 12 авг. 16:09 yaml/
drwxr-xr-x 2 root wheel 8 12 авг. 16:09 yoml/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # cd ../../..
root@beta:/usr/ports/www/h2o # make install clean
...Konfigurimi i serverit në internet është përgjithësisht standard.
root@beta:/usr/ports/www/h2o # cd /usr/local/etc/h2o/
root@beta:/usr/local/etc/h2o # cat h2o.conf
# this sample config gives you a feel for how h2o can be used
# and a high-security configuration for TLS and HTTP headers
# see https://h2o.examp1e.net/ for detailed documentation
# and h2o --help for command-line options and settings
# v.20180207 (c)2018 by Max Kostikov http://kostikov.co e-mail: [email protected]
user: www
pid-file: /var/run/h2o.pid
access-log:
path: /var/log/h2o/h2o-access.log
format: "%h %v %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
error-log: /var/log/h2o/h2o-error.log
expires: off
compress: on
file.dirlisting: off
file.send-compressed: on
file.index: [ 'index.html', 'index.php' ]
listen:
port: 80
listen:
port: 443
ssl:
cipher-suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
cipher-preference: server
dh-file: /etc/ssl/dhparams.pem
certificate-file: /usr/local/etc/letsencrypt/live/eprove.net/fullchain.pem
key-file: /usr/local/etc/letsencrypt/live/my.domain/privkey.pem
hosts:
"*.my.domain":
paths: &go_tls
"/":
redirect:
status: 301
url: https://my.domain/
"my.domain:80":
paths: *go_tls
"my.domain:443":
header.add: "Strict-Transport-Security: max-age=15768000; includeSubDomains; preload"
paths:
"/dns-query":
mruby.handler-file: /usr/local/etc/h2o/h2odoh.rbPërjashtimi i vetëm është trajtuesi i URL-së /dns-query për të cilin, në fakt, është përgjegjës serveri ynë DNS-mbi-HTTPS, i shkruar në mruby dhe i thirrur përmes opsionit mbajtës mruby.handler-file.
root@beta:/usr/local/etc/h2o # cat h2odoh.rb
# H2O HTTP/2 web server as DNS-over-HTTP service
# v.20190908 (c)2018-2019 Max Kostikov https://kostikov.co e-mail: [email protected]
proc {|env|
if env['HTTP_ACCEPT'] == "application/dns-message"
case env['REQUEST_METHOD']
when "GET"
req = env['QUERY_STRING'].gsub(/^dns=/,'')
# base64URL decode
req = req.tr("-_", "+/")
if !req.end_with?("=") && req.length % 4 != 0
req = req.ljust((req.length + 3) & ~3, "=")
end
req = req.unpack1("m")
when "POST"
req = env['rack.input'].read
else
req = ""
end
if req.empty?
[400, { 'content-type' => 'text/plain' }, [ "Bad Request" ]]
else
# --- ask DNS server
sock = UDPSocket.new
sock.connect("localhost", 53)
sock.send(req, 0)
str = sock.recv(4096)
sock.close
# --- find lowest TTL in response
nans = str[6, 2].unpack1('n') # number of answers
if nans > 0 # no DNS failure
shift = 12
ttl = 0
while nans > 0
# process domain name compression
if str[shift].unpack1("C") < 192
shift = str.index("x00", shift) + 5
if ttl == 0 # skip question section
next
end
end
shift += 6
curttl = str[shift, 4].unpack1('N')
shift += str[shift + 4, 2].unpack1('n') + 6 # responce data size
if ttl == 0 or ttl > curttl
ttl = curttl
end
nans -= 1
end
cc = 'max-age=' + ttl.to_s
else
cc = 'no-cache'
end
[200, { 'content-type' => 'application/dns-message', 'content-length' => str.size, 'cache-control' => cc }, [ str ] ]
end
else
[415, { 'content-type' => 'text/plain' }, [ "Unsupported Media Type" ]]
end
}Ju lutemi vini re se serveri lokal i memorizimit është përgjegjës për përpunimin e paketave DNS, në këtë rast nga shpërndarja standarde FreeBSD. Nga pikëpamja e sigurisë, kjo është zgjidhja optimale. Sidoqoftë, asgjë nuk ju pengon të zëvendësoni localhost në një adresë tjetër DNS që keni ndërmend të përdorni.
root@beta:/usr/local/etc/h2o # local-unbound verison
usage: local-unbound [options]
start unbound daemon DNS resolver.
-h this help
-c file config file to read instead of /var/unbound/unbound.conf
file format is described in unbound.conf(5).
-d do not fork into the background.
-p do not create a pidfile.
-v verbose (more times to increase verbosity)
Version 1.8.1
linked libs: mini-event internal (it uses select), OpenSSL 1.1.1a-freebsd 20 Nov 2018
linked modules: dns64 respip validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to [email protected]
root@eprove:/usr/local/etc/h2o # sockstat -46 | grep unbound
unbound local-unbo 69749 3 udp6 ::1:53 *:*
unbound local-unbo 69749 4 tcp6 ::1:53 *:*
unbound local-unbo 69749 5 udp4 127.0.0.1:53 *:*
unbound local-unbo 69749 6 tcp4 127.0.0.1:53 *:*Gjithçka që mbetet është të rindizni H2O dhe të shihni se çfarë do të ndodhë prej tij.
root@beta:/usr/local/etc/h2o # service h2o restart
Stopping h2o.
Waiting for PIDS: 69871.
Starting h2o.
start_server (pid:70532) starting now...4. Testimi
Pra, le të kontrollojmë rezultatet duke dërguar përsëri një kërkesë testimi dhe duke parë trafikun e rrjetit duke përdorur programin tcpdump.
root@beta/usr/local/etc/h2o # curl -H 'accept: application/dns-message' 'https://my.domain/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE'
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
...
root@beta:~ # tcpdump -n -i lo0 udp port 53 -xx -XX -vv
tcpdump: listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
16:32:40.420831 IP (tos 0x0, ttl 64, id 37575, offset 0, flags [none], proto UDP (17), length 57, bad cksum 0 (->e9ea)!)
127.0.0.1.21070 > 127.0.0.1.53: [bad udp cksum 0xfe38 -> 0x33e3!] 43981+ A? example.com. (29)
0x0000: 0200 0000 4500 0039 92c7 0000 4011 0000 ....E..9....@...
0x0010: 7f00 0001 7f00 0001 524e 0035 0025 fe38 ........RN.5.%.8
0x0020: abcd 0100 0001 0000 0000 0000 0765 7861 .............exa
0x0030: 6d70 6c65 0363 6f6d 0000 0100 01 mple.com.....
16:32:40.796507 IP (tos 0x0, ttl 64, id 37590, offset 0, flags [none], proto UDP (17), length 73, bad cksum 0 (->e9cb)!)
127.0.0.1.53 > 127.0.0.1.21070: [bad udp cksum 0xfe48 -> 0x43fa!] 43981 q: A? example.com. 1/0/0 example.com. A 93.184.216.34 (45)
0x0000: 0200 0000 4500 0049 92d6 0000 4011 0000 ....E..I....@...
0x0010: 7f00 0001 7f00 0001 0035 524e 0035 fe48 .........5RN.5.H
0x0020: abcd 8180 0001 0001 0000 0000 0765 7861 .............exa
0x0030: 6d70 6c65 0363 6f6d 0000 0100 01c0 0c00 mple.com........
0x0040: 0100 0100 0151 8000 045d b8d8 22 .....Q...].."
^C
2 packets captured
23 packets received by filter
0 packets dropped by kernelDalja tregon se si kërkesa për të zgjidhur adresën example.com u mor dhe u përpunua me sukses nga serveri DNS.
Tani mbetet vetëm të aktivizojmë serverin tonë në shfletuesin Firefox. Për ta bërë këtë, duhet të ndryshoni disa cilësime në faqet e konfigurimit about: config.
Së pari, kjo është adresa e API-së tonë në të cilën shfletuesi do të kërkojë informacione DNS rrjeti.trr.uri. Rekomandohet gjithashtu të specifikoni IP-në e domenit nga kjo URL për zgjidhje të sigurt të IP-së duke përdorur vetë shfletuesin pa hyrë në DNS në network.trr.bootstrapAdresa. Dhe së fundi, vetë parametri rrjeti.trr.mode duke përfshirë përdorimin e DH. Vendosja e vlerës në "3" do ta detyrojë shfletuesin të përdorë ekskluzivisht DNS-mbi-HTTPS për zgjidhjen e emrit, ndërsa "2" më i besueshëm dhe më i sigurt do t'i japë përparësi DoH, duke e lënë kërkimin standard të DNS si një opsion kthimi.
5. FITIMI!
Ishte artikulli i dobishëm? Atëherë ju lutemi mos kini turp dhe mbështeteni me para përmes formularit të dhurimit (më poshtë).
Burimi: www.habr.com