SECSTACK
SECSTACK

GNU/Linux ve Siber Güvenlik üzerine dökümanlar.

SECSTACK
Author

Share


Tags


.gz text aramak arkime arkime kurulumu bitwarden bitwarden kurulum bitwarden ubuntu canonical livepatch canonical livepatch yapılandırma centos grub rescue centos nfs yapılandırma centos samba yapılandırma chronograf chrony chrony ntp chrony ntp server chrony ntp server kurulumu chrony nts chrony nts yapılandırma dns over tls dns server kurulumu dnssec ed25519 ed25519 openssh ed25519 ssh full packet capture grafana grafana ile prometheus izleme grub rescue grub troubleshooting grub yeniden kurulumu influxdb iptables nftables geçişi iptables nftables kural geçişi irc server kapacitor kernelcare uchecker knot resolver knot resolver dns kurulumu knot resolver kurulumu linux nts server kurulum lvm lvm disk genişletme lvm genişletme lvm ikincil disk genişletme lvm ikincil genişletme lvm var olan disk genişletme lvm var olan genişletme moloch moloch kurulumu network time security nfs nfs yapılandırma nftables ngircd ngircd server ngircd ubuntu ntp server kurulumu nts nts server kurulum openvpn openvpn hardening ossec ossec hids ossec kurulumu outdated shared libraries prometheus restic restic kullanımı rsync rsync dosya transfer rsync kullanımı rsyslog rsyslog log yönlendirme rsyslog uygulama log yönlendirme samba samba yapılandırma scp scp dosya transfer scp kullanımı selks selks kurulumu setperms setugids sftp sftp kullanımı smbclient smbclient kullanımı ssh anahtar oluşturma ssh key oluşturma sshfs sshfs kullanımı sshfs nasıl kullanılır sshuttle stubby stubby kurulumu stubby yapılandırması suricata suricata kurulumu systemd systemd service hardening systemd-resolved systemd-resolved dns over tls systemd-resolved dnssec telegraf tick stack tick stack kurulumu ubuntu nfs yapılandırma ubuntu samba yapılandırma uchecker unbound unbound dns unbound dns kurulumu unbound forwarding dns vpn over ssh vuls vuls vulnerability scanner vuls vulnerability scanner kurulumu zcat zgrep zmore

Stubby ile DNS-over-TLS Yapılandırması

stubby

Stubby, local DNS privacy için stub resolver görevi görmektedir. Amaç istemci tarafında üretilen DNS sorgularının TLS bağlantılar üzerinden (DNS-over-TLS) çözümleyicilere, DNS sorgularını göndermektir.

Stubby ile istemcinin bağlandığı DNS sunucu kimliği doğrulanabilmektedir. Bu istemcinin, bir saldırgan tarafından kontrol edilen farklı bir sunucuya yönlendirebileceği saldırıları ayrıca önlemektedir. Strict mode ile authentication name veya SPKI pinset doğrulaması yapılmaktadır. Fakat doğrulama yapılabilmesi için her bir nameserver için bu bilgilerin sağlanması gerekmektedir. Stubby, DNS sorgularını nameserver adresini doğrulayabilirse gönderecektir. DNSSEC desteği bulunmaktadır. Fakat daha fazla sorgu oluşturacağı için DNSSEC öntanımlı konfigürasyonda aktif edilmemiştir. Stubby, getdns ekibi tarafından geliştirilmiştir.

Anlatım Ubuntu Server 20.04.1 LTS üzerinde yapılmaktadır.

Kurulum

Paket yöneticisinden Stubby paketini yüklüyoruz.

# apt install stubby

Yapılandırma

Netplan tarafında ağ arayüzü için tanımlı DNS adresini 127.0.0.1 olarak değiştiriyoruz.

# vim /etc/netplan/00-installer-config.yaml

Netplan konfigürasyon dosyasını açıyoruz.

network:
  ethernets:
    ens32:
      addresses:
      - 192.168.1.3/24
      gateway4: 192.168.1.1
      nameservers:
        addresses:
        - 127.0.0.1
  version: 2

Yaptığımız değişikliği uyguluyoruz.

# netplan apply

systemd-resolved servisini durduruyor ve başlangıçta devre dışı bırakıyoruz.

# systemctl stop systemd-resolved
# systemctl disable systemd-resolved

Sunucuyu yeniden başlatıyoruz.

# shutdown -r now

Stubby öntanımlı konfigürasyon içerisinde strict mode uygulanmaktadır. Stubby öntanımlı konfigürasyonu içerisinde aktif edilmiş, DNS adresleri Stubby geliştiricileri tarafından işletilen sunuculardır. Dilediğiniz şekilde DNS adreslerini düzenleyebilirsiniz. Ben öntanımlı konfigürasyonu kullanacağım.

# vim /etc/stubby/stubby.yml

Değişiklik yaptıysanız Stubby servisini yeniden başlatmanız gerekmektedir.

# systemctl restart stubby

DNS over TLS trafiğini tshark ile kontrol ediyoruz.

# tshark dst port 853
Running as user "root" and group "root". This could be dangerous.
Capturing on 'ens32'
    1 0.000000000  192.168.1.3 → 185.49.141.37 TCP 74 39556 → 853 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=1441583365 TSecr=0 WS=128
    2 0.000141969  192.168.1.3 → 145.100.185.15 TCP 74 54540 → 853 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=2882708637 TSecr=0 WS=128
    3 0.062188390  192.168.1.3 → 145.100.185.15 TCP 66 54540 → 853 [ACK] Seq=1 Ack=1 Win=64256 Len=0 TSval=2882708699 TSecr=583464717
    4 0.062337744  192.168.1.3 → 145.100.185.15 TLSv1 530 Client Hello
    5 0.066671917  192.168.1.3 → 185.49.141.37 TCP 66 39556 → 853 [ACK] Seq=1 Ack=1 Win=64256 Len=0 TSval=1441583432 TSecr=2531737025
    6 0.066803506  192.168.1.3 → 185.49.141.37 TLSv1 329 Client Hello
    7 0.127739021  192.168.1.3 → 145.100.185.15 TCP 66 54540 → 853 [ACK] Seq=465 Ack=138 Win=64128 Len=0 TSval=2882708765 TSecr=583464732
    8 0.127860390  192.168.1.3 → 145.100.185.15 TLSv1.2 117 Change Cipher Spec, Encrypted Handshake Message
    9 0.135698675  192.168.1.3 → 185.49.141.37 TCP 78 [TCP Dup ACK 5#1] 39556 → 853 [ACK] Seq=264 Ack=1 Win=64256 Len=0 TSval=1441583501 TSecr=2531737025 SLE=1429 SRE=3134
   10 0.135735037  192.168.1.3 → 185.49.141.37 TCP 66 39556 → 853 [ACK] Seq=264 Ack=3134 Win=62592 Len=0 TSval=1441583501 TSecr=2531737093
   11 0.135971101  192.168.1.3 → 185.49.141.37 TLSv1.2 146 Change Cipher Spec, Application Data
   12 0.202814634  192.168.1.3 → 185.49.141.37 TLSv1.2 218 Application Data
   13 0.225787578  192.168.1.3 → 145.100.185.15 TLSv1.2 225 Application Data
   14 0.269493068  192.168.1.3 → 185.49.141.37 TCP 66 39556 → 853 [ACK] Seq=496 Ack=3612 Win=64128 Len=0 TSval=1441583635 TSecr=2531737228
   15 0.299779052  192.168.1.3 → 145.100.185.15 TCP 66 54540 → 853 [ACK] Seq=675 Ack=637 Win=64128 Len=0 TSval=2882708937 TSecr=583464776
   16 0.335960293  192.168.1.3 → 185.49.141.37 TCP 66 39556 → 853 [ACK] Seq=496 Ack=4104 Win=64128 Len=0 TSval=1441583701 TSecr=2531737294
   17 10.315895626  192.168.1.3 → 145.100.185.15 TLSv1.2 97 Encrypted Alert
   18 10.315993485  192.168.1.3 → 145.100.185.15 TCP 66 54540 → 853 [FIN, ACK] Seq=706 Ack=637 Win=64128 Len=0 TSval=2882718953 TSecr=583464776
   19 10.348801341  192.168.1.3 → 185.49.141.37 TLSv1.2 90 Application Data
   20 10.348903999  192.168.1.3 → 185.49.141.37 TCP 66 39556 → 853 [FIN, ACK] Seq=520 Ack=4104 Win=64128 Len=0 TSval=1441593714 TSecr=2531737294
   21 10.377611181  192.168.1.3 → 145.100.185.15 TCP 54 54540 → 853 [RST] Seq=707 Win=0 Len=0
   22 10.377801360  192.168.1.3 → 145.100.185.15 TCP 54 54540 → 853 [RST] Seq=707 Win=0 Len=0
   23 10.415599321  192.168.1.3 → 185.49.141.37 TCP 54 39556 → 853 [RST] Seq=520 Win=0 Len=0
   24 10.415758629  192.168.1.3 → 185.49.141.37 TCP 54 39556 → 853 [RST] Seq=520 Win=0 Len=0
   25 10.415792675  192.168.1.3 → 185.49.141.37 TCP 54 39556 → 853 [RST] Seq=521 Win=0 Len=0
Author

SECSTACK

View Comments