* 브라우징 보안 테스트 
    - Secure DNS , DNSSEC, TLS 1.3 , Encrypted SNI
https://www.cloudflare.com/ssl/encrypted-sni/
        - 위의 4가지 보안을 만족시켜도 인터넷 검열은 피할 수 없다. (우회 안됨)
            -
    

//==================
* TLS 1.3 지원 여부 검사
    - 크롬
chrome://flags/#tls13-variant

    - 파이어폭스
        - about:config
security.tls.version.max : 4


//======================
* 파이어폭스에서 ESNI 활성 방법
    ESNI(Encrypted SNI(Server Name Indication))
    TRR(Trusted Recursive Resolver) 사용
        - Firefox가 사용하는 DoH(DNS over HTTPS) 방식
    https://wiki.mozilla.org/Trusted_Recursive_Resolver
    https://gist.github.com/bagder/5e29101079e9ac78920ba2fc718aceec

    - about:config
network.security.esni.enabled  :  true

//
network.trr.bootstrapAddress  : 1.1.1.1
   
network.trr.mode  : 2
    0 - TRR 사용안함
    1 - 응답이 빠른 것 사용(Race)
    2 - TRR 우선 사용 
    3 - TRR 만 사용
    4 - 둘다 사용하지만 TRR은 응답안함
    5 - 0과 동일

network.trr.uri
    https://mozilla.cloudflare-dns.com/dns-query
    https://dns.google.com/experimental
    https://cloudflare-dns.com/dns-query



    - 설정 결과 확인(보안 체크)
https://www.cloudflare.com/ssl/encrypted-sni/

      - 모두 양호라고 해서 인터넷 검열을 통과할 수 있는 건 아니다.

- 서버가 ESNI를 지원해야 한다. (CloudFlare 등)




//=====================

DNS 설정


1.1.1.1 - 2606:4700:4700::1111

1.0.0.1 - 2606:4700:4700::1001


8.8.8.8 - 2001:4860:4860::8888

8.8.4.4 - 2001:4860:4860::8844



//------------

Secure DNS

-  DNS over HTTPS (DoH) or DNS over TLS (DoT)



//=====================

chrome 실행줄 옵션


--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST"



//-----------------

//확인

https://1.1.1.1/help

https://www.cloudflare.com/ssl/encrypted-sni/



//=====================
//참고

DoT( DNS over TLS)
    TLS 프로토콜로 DNS 암호화
        - DNS 서버 응답 변조(오염)을 통해 보안이 무력화 됨


DoH( DNS over HTTPS)
    HTTPS 프로토콜로 DNS 정보 통신


TRR(Trusted Recursive Resolver)
    Firefox의 DoH(DNS over HTTPS) 구현 기술


SNI(Server Name Indication)
    - 여러 도메인이 1개의 IP에 연결될 경우, 인증서 선정을 위한 도메인 정보 통신
    - 평문 통신( 비 암호화), 도메인 차단에 활용

ESNI(Encrypted SNI)
    - SNI 암호화
    - DoH(DNS over HTTPS) 사용


DPI(Deep Packet Inspection) - 패킷 내용 조사
    - HTTP 에서만 가능, HTTPS에서는 불가



//=========
SSL, TLS
    - 네트워크 보안 통신 기술

* SSL 과 TLS 역사
https://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0,_2.0,_and_3.0
    - SSL(Secure Sockets Layer)
SSL 1.0 (?)
SSL 2.0 (1995)
SSL 3.0 (1996)

    TLS(Transport Layer Security)
TLS 1.0 (1999) - SSL 3.0의 업그레이드 버전
TLS 1.1 (2006)
TLS 1.2 (2008)
TLS 1.3 (2018)


반응형
Posted by codens