fix, güvenlik, internet, ipucu, Kategorilenmemiş, Linux

DNS Sunucusunda TLS Üzerinden DNS ve HTTPS Üzerinden DNS’yi Yapılandırma

DNS istemcilerinin kullandığı UDP veya TCP protokollerinin, veri trafiğinin izinsiz dinlenmeye yatkın olması nedeniyle, Man in the Middle (MitM) saldırıları ve internet sansürü bulunan bir çok ülkede ISS’ler tarafından sıklıkla istismar edilmektedir. Yeni TLS üzerinden DNS (DoT) ve HTTPS üzerinden DNS (DoH) protokolleri, son kullanıcının gizliliğini ve güvenliğini sağlamak için kullanılabilir.

Cloudflare & Quad9 gibi genel DNS sağlayıcıları, zaten bu protokolleri, bütünleşik DoH desteğini sunan Mozilla Firefox ile sunmuştu. Ancak, çoğu işletim sistemi ve uygulama bunları desteklememektedir. Ancak son kullanıcılar yine de bu protokolleri bilgisayarlarında bir DNS sunucusu kurup yapılandırarak ve herhangi bir DoT veya DoH sağlayıcısını ISS’nin DNS üzerindeki kontrolünü atlamak için kullanabilirler.

Bu protokollerin ikisi de IETF standartlarıdır ve HTTPS’nin TLS üzerinden çalıştığı gerçeği göz önüne alındığında eşit derecede güvenlidir. Bununla birlikte, her iki protokolün de fikir ayrılıkları vardır ve RFC 7766 rehberini uygulayan daha üstün bir DoT protokolü varken, DoH protokolünün ilk sırada yer almasının nedeni üzerine birçok tartışma vardır. DoH’ye ilişkin DNS talepleri, 443 portundaki normal HTTPS trafiğine benzeyen ve 853 numaralı bağlantı noktasında çalışan DoT’un aksine durması zor olduğundan, DoH’yi daha politik kılmaktadır. Bu, DoH protokolünü İnternet sansürü olan ülkelerdeki kullanıcılar için cazip kılmaktadır. (tümü için bkz. -> RFC 8484 , RFC 7858 , RFC 8310 )

Bu yazıda, bir DNS sunucusuda her iki protokolü de yapılandırmaya çalışacağız. Her iki hizmet de, tüm büyük web tarayıcıları tarafından güvenilen, Let’s Encrypt sertifika yetkilisini kullanarak ücretsiz olarak elde edilebilecek SSL sertifikaları gerektiriyor. Certbot’u, otomatik olarak Let’s Encrypt yenilemesi için yapılandırabilir veya Get HTTPS For Free yardımcı programını kullanarak elle bir tane oluşturabilirsiniz.

 

TLS üzerinden DNS (DNS-over-TLS / DoT)

TLS üzerinden DNS standardı, RFC 7858‘de belirtildiği gibi uygulanır. Temel olarak, standart, çoğu DNS sunucusunda zaten bulunan ve TCP üzerinden DNS protokolü desteğini kullanmayı ve buna TLS eklediğini belirtir. DoT desteği, DNS sunucusunda bir eklenti özellik olarak kullanılabilir veya etkinleştirmek için Nginx web sunucusunu kullanabilirsiniz.

Bu kurulum için Ubuntu Server 18.04 LTS kullanılacaktır, ancak herhangi bir Linux dağıtımında benzer bir yapılandırma yapabilirsiniz.

İlk olarak nginx web sunucusu kurmakla başlayalım:

 

 

Şimdi DoT’yi yapılandırmak için, /etc/nginx/nginx.conf dosyasına aşağıdaki stream config bloğunu kopyalamak ve sertifika ve anahtar dosyalarını config dosyasında verilen yola kaydetmek. Upstream DNS sunucusu IP adreslerini mevcut DNS sunucularınıza güncellemeyi unutmayın.

 

 

Bu işlemi yaptıktan sonra, yapılandırmayı tamamlamak için nginx web sunucusunu reload edin:

 

 

HTTPS üzerinden DNS’yi yapılandırma (DNS-over-HTTPS / DoH)

DNS üzerinden HTTPS standardı RFC 8484‘te belirtilmiştir ve HTTP protokolünü kullandığından uygulamak için biraz farklıdır. DNS sorguları HTTP POST yöntemi veya base64 kodlu bir HTTP GET parametresi olarak gönderilir. GET metodunun kullanılması, istenmeyen muhtemel yanıtın önbelleğe alınmasına, DNS protokolünün, HTTP tabanlı bir önbellek sunucusu tarafından geçersiz kılınabilecek TTL değerlerini kullanarak sona ermesini kontrol ettiğini göz önünde bulundurarak izin verir.

Herhangi bir DNS sunucusuyla kullanılabilecek DNS-over-HTTPS (DoH) açık kaynaklı web uygulaması, Windows IIS Web Sunucusuna veya cross-platform .NET Core sürümü, desteklenen herhangi bir platformda (Windows / macOS / Linux) kullanılabilir.

Windows IIS Web Sunucusuna kurulum, oldukça kolaydır. Sadece web sitesini IIS konsolundan oluşturun, DNS-over-HTTPS ASP.NET web application zip dosyasını indirin ve web sitesi kök klasörüne çıkarın. Herhangi bir web sitesi için yaptığınız gibi, IIS için SSL sertifikasını yapılandırın. Son olarak, web uygulamasını DNS sunucunuza yönlendirmek için aşağıda gösterilen Web.config uygulama ayarlarını yapılandırmanız gerekir. Belirtilen DNS sunucusuna bağlanmak için desteklenen protokollerden herhangi birini (Udp, Tcp, Tls veya Https) kullanabilirsiniz.

 

 

DoH cross-platform web uygulaması ASP.NET Core’u kullanarak çalışır ve Windows, Linux veya macOS’ta bulunmaktadır. Örneğimizde bu web uygulamasını deploy etmek için Ubuntu Server 18.04 LTS kullanacağız, ancak diğer Linux dağıtımlarında da benzer adımları takip edebilirsiniz. ASP.NET Core Web Applications bütünleşik web sunucusu ile ayrı bir process olarak çalışır. HTTPS protokolünü desteklemek için bu web uygulaması için nginx’i SSL termination için bir araya getirmemiz gerekir.

DoH ASP.NET Core uygulamasını deploy için önce en son .NET Core Runtime‘ı kurmanız gerekir. Bundan sonra, DoH web uygulamasını yüklemek için aşağıdaki adımları izleyin.

 

 

DNS sunucunuzu ve desteklenen protokolünüzü belirtmek için appsettings.json uygulama ayarları yapılandırma dosyasını düzenleyin. Belirtilen DNS sunucusuna bağlanmak için desteklenen protokollerden herhangi birini (UDP, TCP, TLS veya HTTPS) kullanabilirsiniz.

 


 

DoH web uygulamasını bir systemd servisi olarak kurun:

 

 

Ya da sisteminiz systemd desteklemiyorsa supervisor kullanın:

 

 

DoH web uygulamasının 8053 portunda çalışıp çalışmadığını artık görebilirsiniz:

 

 

Son adımda nginx web sunucusunu SSL termination için yapılandıracağız. Önce nginx web sunucusunu kuralım:

 

 

Alan adınız için /etc/nginx/sites-enabled/doh.example.com adresinde, aşağıda gösterilen yapılandırma ile bir yapılandırma dosyası oluşturun. Sertifika ve anahtar dosyalarını yapılandırmada verilen yola kaydedin.

 

 

Yapılandırmayı tamamlamak için nginx web sunucusunu reload edin:

 

Ve Hazır!

Artık DoT servisini (dot.example.com:853) veya DoH servisini (https://doh.example.com/dns-query) kullanabilirsiniz.

Umarım faydalı olur.

 

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: