Acrylic DNS Proxy - теперь с DNS-over-HTTPS

[rustedowl]

Когда-то я уже писал, про то что отдельные питерские провайдеры травят записи DNS. В том числе путем перехвата и подмены незащищенных пакетов. Тогда я это решил при помощи DNSCrypt - но это решение, откровенно говоря, мне не особо нравилось. У виндового клиента есть неприятная особенность: если он сразу не подключился, то потом он подключится

Comments

[rustedowl]

Во-первых, "пакет Яровой" пока что не реализован. Закупки оборудования первые прошли в декабре 2019, устанавливать его будут еще ощутимо долго. Анализ же "кто откуда-куда ходил" выполнялся на СОРМ-2 давным-давно, поскольку эти метаданные стоят копейки... и в век shared-хостингов почти бессмысленны, если провайдер не может заглянуть в ваш DNS. Поэкспериментируйте: пингуйте сайт, берите его IPшник, и попытайтесь зайти по этому IPшнику, а не DNS-имени. Ну вот для примера - http://89.108.87.87/ - куда я шел? Сколько еще сайтов за этим IPшником?
По адресам вы сможете зайти только туда, где весь сайт это один большой проект. Google, gihub, соцсети... провайдеры.

Во-вторых, "пакет Яровой" бессмысленнен. Хранение зашифрованного трафика с Perfect Forward Secrecy (а это большинство сайтов с HTTPS) это вопиющий идиотизм с технической точки зрения и восхитительная возможность для распила с точки зрения тех кто может на этом что-то поиметь. Учитывая что все компании выпускающие-сертифицирующие оборудование этого типа принадлежат одному лицу - выгодоприобретатель очевиден. Он развивает интернет.

И да. Раз уж вы так боитесь большого брата - в случае с VPS вы ходите лишь на один адрес, пересылая туда кучу данных. Вы очевидный VPN-щик. Вам есть что скрывать! :D

[mnogo_hodovka]

> и в век shared-хостингов

Если взять хостнэймы, заблокированные в России, и сделать dig, то выясниться, что shared-хостинги непопулярны. Например, kasparov.ru заблокирован. И он не на shared, а на dedicated с купленным IPv4-адресом.

> Хранение зашифрованного трафика с Perfect Forward Secrecy
> это вопиющий идиотизм с технической точки зрения

Сомневаюсь в этом. Допустим, ФСБ год подряд снимала дамп TLS-трафика между юзером и хостом, а потом каким-то образом смогла получить PEM-файл с сервера хоста (паяльник, электрошокер, иные пытки, либо шпионаж, внедрение агента). В этом случае можно будет через Wireshark расшифровать записанный трафик за весь год.

> Вы очевидный VPN-щик

Это законов РФ не нарушает.

[rustedowl]

Вопрос интересный и требует большей статистики. Но использование shared-хостингов и CDN в сочетании с так или иначе обфусцированным DNSом как раз позволяет игнорировать блокировки без дополнительных усилий со стороны пользователей.

Допустим, ФСБ год подряд снимала дамп TLS-трафика между юзером и хостом, а потом каким-то образом смогла получить PEM-файл с сервера хоста
PFS как и нужен для того, чтобы избежать этого сценария. При PFS ключ не передается а формируется отдельно на сервере и на клиенте. Сессия либо взламывается пока активен сеансовый ключ, либо не взламывается больше никогда. Единственная возможная атака при этом - активный MitM, оттуда и острое желание внедрить "госсертификат" и "госкриптографию" - собранные данные бесполезны без MiTM или предсказуемых результатов генератора случайных чисел.
Без сеансовых ключей - да, все произойдет именно так как вы и описали. Как только удаленный ключ будет стащен, расшифровка особых усилий не составит.

Забавно. Сначала - (паяльник, электрошокер, иные пытки, либо шпионаж, внедрение агента) а потом что VPN законов РФ не нарушает.
Если следовать той логике, что те "кому надо" на законы РФ кладут болт, то все очевидные VPN-щики это первые кандидаты на очередной запрос к провайдеру от желающих набрать "палок" тщщ. майоров. Пользуется VPN - значит, у него наверняка что-то интересненькое можно найти и в истории браузера, и на жестком диске... и вообще, нехрен плевать со своими знаниями в лицо государству! "Ишь, умник нашелся, еще и очки одел!"
Но это прикладная паранойя - и если уж следовать ей, то VPN это такая же полумера как и шифрование DNS. Потому что в соответствии с идеей "кругом одни враги" нужно выстраивать свою жизнь целиком. Заранее подбирать адвоката, знать его в лицо и помнить наизусть номер, знать как себя вести в тех или иных стремных ситуациях, и т.д. и т.п.

[mnogo_hodovka]

> игнорировать блокировки без дополнительных усилий со стороны пользователей

Даже если DPI "Скат" ставится в разрыв у провайдера? Блокируют ведь достаточно крупными подсетями.

> очевидные VPN-щики это первые кандидаты на очередной запрос к провайдеру

Ну и что сделает провайдер, узнав, что квартира 105 в доме 108 по улице Пушкина за последний месяц ни одного пакета IPv6/IPv4 не передала мимо месяц назад запущенного wireguard-тоннеля от Рязани до Мельбурна (следовательно, и все DNS-запросы шли тоже через тот тоннель)? Это, ещё раз повторю, не запрещено ни законами РФ, ни контрактом с провайдером. Вангую, что таких любителей тунеллирования всего траффика среди 146 миллионов россиян наберётся много.

[rustedowl]

>Даже если DPI "Скат" ставится в разрыв у провайдера? Блокируют ведь достаточно крупными подсетями.
Для блокировки подсетями не нужен DPI, более чем достаточно встроенных возможностей маршрутизаторов. DPI - это как раз эвристика пакетов, позволяющая определить протокол по совокупности признаков. Ну, как обмен ключами OpenVPN без tls-crypt виден в Wireshark как обмен ключами OpenVPN. И сейчас DPI блокирует сайты на shared-хостингах как раз анализируя обмен данными. Если есть DNS-запрос, то выхватывает цель из него. Если нет DNS-запроса, то выхватывает цель из SNI при обмене сертификатами. Если DNS-запроса нет, а SNI зашифрован (eSNI) то это для DPI "некий SSL трафик".
И да, даже блокировка подсетями тут мало поможет. Например, сейчас есть такой фокус: берется VPSка, у которой нет IPv4, только IPv6. Там разворачивается сайт. А далее финт ушами - покупается услуга CDN у того же Cloudflare, и сайт будет доступен так, как будто это shared-хостинг. Более того - еще и с географическим распределением, все для удобства пользователей...
Заблокировать Cloudflare - это по последствиям примерно как заблокировать гугл. Очень многие сайты тут же станут недоступны. А еще у cloudflare по умолчанию для всех хостов включен eSNI. Правда, eSNI по умолчанию не включен в браузерах... пока что.

Ну и что сделает провайдер
Выдаст ваш адрес заинтересованному лицу. Да, это будет незаконно. Да, предполагается что даже если вы чисты как слеза младенца, вам все равно можно подложить на диск какого-нибудь CP.
Это все вне правового поля - но вне его и пытки...

Вангую, что таких любителей тунеллирования всего траффика среди 146 миллионов россиян наберётся много.
По статистике за 2017 год - 6% пользователей в России использует блокировщики рекламы. Которые даже НАСТРАИВАТЬ не надо - только УСТАНОВИТЬ ПЛАГИН.
Учитывая что VPN это уже другой уровень сложности, полагаю что это используется в 10 раз меньшим числом людей. Но даже в лучшем случае их будет хотя бы столько же. В России интернетом пользуется 78% населения (т.е. уже не 146 миллионов, а 137)... ну, от 800 тысяч до 8 миллионов умеют пользоваться VPNом. Таки есть выбор - кого хватать :)

[mnogo_hodovka]

> берется VPSка, у которой нет IPv4, только IPv6. Там разворачивается сайт. А далее финт ушами - покупается услуга CDN у того же Cloudflare

Я так понимаю, что это будет работать до тех пор, пока Роскомнадзор не начнёт читать AAAA-записи из DNS и блокировать эти v6-адреса.

[rustedowl]

Не-а. IPv6 адрес VPSки вообще больше нигде не фигурирует и заносить в DNS его даже не надо. На все запросы отвечают сервера Cloudflare, работающие как обратный прокси. И заблокировать можно только их.