Morfitronik Security & Privacy

Blokowanie zapytań DNS z dnscrypt-proxy na linux'ie

2016-08-25 18:04:33
Morfik

Narzędzie dnscrypt-proxy począwszy od wersji 1.7.0 ma domyślnie włączoną obsługę wtyczek. W standardzie nie ma ich dużo, bo jedynie trzy ale mogą one się okazać dla pewnych osób bardzo użyteczne. Dzięki tym plugin’om możemy, np. zablokować rozwiązywanie nazw w protokole IPv6 na wypadek, gdyby ten protokół nie był wspierany w naszej sieci domowej czy też u naszego ISP. Możemy także zdefiniować sobie adresy/domeny, które powinny zostać zablokowane i w efekcie użytkownicy nie będą w stanie odwiedzić tych miejsc w internecie. Jest także wtyczka, która może nam pomóc zalogować zapytania DNS. Jak widać, całkiem przyzwoite są te dodatki. W tym wpisie przyjrzymy się nieco bliżej konfiguracji poszczególnych wtyczek dla dnscrypt-proxy .

Blokowanie rozwiązywania nazw w protokole IPv6

Niby już od 20 lat protokół IPv6 jest wśród nas, a w dalszym ciągu cała masa providerów internetowych nie ma zaimplementowanej obsługi tego protokołu. W efekcie aplikacje, które chcą komunikować się z siecią, mogą próbować wysyłać zapytania o rekordy AAAA (IPv6) do serwerów DNS. Jako, że te zapytania są zupełnie zbędne przy takiej konfiguracji sieci, to tylko spowalniają połączenie. Poniżej jest przykładowa sytuacja:

1.wireshark-domena-rekord-aaaa-dns

Jak widać, do serwera DNS zostały wysłane dwa zapytania o adres IP serwisu YT. Serwer DNS zwrócił dwie odpowiedzi zawierające dwa adresy, po jednym dla protokołu IPv4 i IPv6.

W przypadku, gdy mamy lokalnie skonfigurowaną usługę dnscrypt-proxy, wszystkie te zapytania mogą zostać przechwycone. dnscrypt-proxy natychmiast udzieli na nie pustej odpowiedzi, a aplikacja nie będzie musiała czekać na odpowiedź z serwera DNS.

Plugin odpowiedzialny za blokowanie rekordów AAAA to ldns-aaaa-blocking . By go włączyć, musimy poddać edycji plik .service i przerobić nieco dyrektywę ExecStart . Poniżej przykład:

[Service]
...
ExecStart=/usr/sbin/dnscrypt-proxy \
    --local-address=127.0.2.1:5353 \
    --resolver-name=cisco \
    --daemonize \
    --loglevel=4 \
    --plugin=libdcplugin_example_ldns_aaaa_blocking.so

Teraz możemy przeładować konfigurację systemd i zrestartować dnscrypt-proxy :

# systemctl daemon-reload
# systemctl restart dnscrypt-proxy

Plugin powinien zostać załadowany. Możemy także przetestować, czy zapytania DNS o rekordy AAAA są obsługiwane lokalnie:

2.wireshark-domena-rekord-aaaa-dns-dnscrypt-proxy

Jak widzimy wyżej, ponownie aplikacja wysłała dwa zapytania o IP serwisu YT ale rekord AAAA nie zawiera adresu IPv6. Jeśli dodatkowo popatrzymy na znacznik czasu, to dostrzeżemy, że czas między zapytaniem i odpowiedzią wynosi około 0,001 s. W przypadku, gdy aplikacja odpytywała serwer DNS, ten czas wynosił około 0,13 s, także różnica jest dość znaczna.

Logowanie zapytań DNS

dnscrypt-proxy umożliwia także logowanie zapytań DNS, które przez niego są przepuszczane. Nie jest to jakaś wymyślna funkcjonalność, bo z taką samą możemy spotkać się, np w dnsmasq . Niemniej jednak, nie wszyscy chcą implementować sobie cache DNS w swoich linux’ach i wolą słać zapytania o domeny bezpośrednio do serwera DNS.

Jeśli chcemy tylko zalogować te zapytania, to możemy zrezygnować z dnsmasq i włączyć w dnscrypt-proxy plugin logging . W tym przypadku, również musimy poddać edycji plik .service i przerobić w nim dyrektywę ExecStart . Poniżej przykład:

[Service]
...
ExecStart=/usr/sbin/dnscrypt-proxy \
    --local-address=127.0.2.1:5353 \
    --resolver-name=cisco \
    --daemonize \
    --loglevel=4 \
    --plugin=libdcplugin_example_logging.so,/var/log/domains.log

Tutaj parametr --plugin przyjmuje dwa argumenty. Pierwszym z nich jest nazwa samej wtyczki. Drugim zaś jest plik do zapisu wszystkich logowanych zapytań DNS.

Tworzymy jeszcze plik /var/log/domains.log i nadajemy mu odpowiedniego właściciela:

# touch /var/log/domains.log
# chown _dnscrypt-proxy /var/log/domains.log

Przeładowujemy demona systemd i restartujemy dnscrypt-proxy :

# systemctl daemon-reload
# systemctl restart dnscrypt-proxy

W /var/log/domains.log powinny zacząć gromadzić się wpisy podobne do tego poniżej:

youtube.com     [A]
youtube.com     [AAAA]
46.209.58.216.in-addr.arpa      [0x0C]

Blokowanie domen i adresów IP

Ostatnia z trzech wtyczek umożliwia nam określenie domen lub/i adresów IP, które mają być blokowane przy rozwiązywaniu nazw DNS. W ten sposób jesteśmy w stanie zablokować, np. serwery reklamowe, czy też serwisy społecznościowe. Jedyne czego nam trzeba to listy stron zakazanych. Zanim jednak taką listę sobie zbudujemy, musimy dostosować dyrektywę ExecStart w pliku usługi systemd i włączyć plugin ldns-blocking . Poniżej przykład:

[Service]
...
ExecStart=/usr/sbin/dnscrypt-proxy \
    --local-address=127.0.2.1:5353 \
    --resolver-name=cisco \
    --daemonize \
    --loglevel=4 \
    --plugin=libdcplugin_example_ldns-blocking.so,--domains=/etc/peerblock/block-domain.txt,--ips=/etc/peerblock/block-ip.txt

W tym przypadku parametr --plugin może przyjąć dwa lub trzy argumenty. Nazwa wtyczki jest pierwszym z nich. Natomiast w zależności od tego czy chcemy blokować domeny czy adresy IP, to korzystamy odpowiednio z argumentu --domains= lub --ips= . Jeśli zaś chcemy blokować zarówno adresy IP i domeny, to definiujemy oba te argumenty równocześnie.

Trzeba pamiętać, że w tym przypadku, wszystkie trzy argumenty muszą być oddzielone przecinkami od siebie bez stosowania spacji. Dodatkowo, pliki nie mogą być puste lub zawierać jedynie samych komentarzy (linijek zaczynających się od znaku # ).

Przeładowujemy demona systemd i restartujemy dnscrypt-proxy :

# systemctl daemon-reload
# systemctl restart dnscrypt-proxy

Rekordy, które chcemy zablokować dodajemy w plikach określonych przez --domains= i --ips= w formie jeden na linię, przykładowo:

*.youtube.com
*.facebook.com
ads.*

lub:

1.2.3.4
2.3.4.5

Domeny mogą zawierać * w celu dopasowaniu szeregu adresów.

Spróbujmy teraz odwiedzić serwis YT w przeglądarce. Powinien nas przywitać ten poniższy błąd:

Wszystkie inne domeny powinny działać bez zarzutu.


Komentarze

Zawartość wpisu