인터넷2018.12.16 21:27
 

파이어폭스 웹 브라우저에 Encrypted SNI를 설정하는 방법입니다.

 

Encrypted SNI는 인터넷을 할 때 클라이언트에서 SNI필드를 요청시 기존에는 평문으로 전송해서 호스팅 주소가 노출될 우려가 있었는데 이 과정을 암호화 시켜서 프라이버시를 보호하는 방법입니다.

 

SNI는 TLS 확장 표준중에 하나로 쉽게 말하면 동일한 아이피를 사용하는 한개의 물리적 서버에 여러 웹 서버를 보안접속 가능하도록 인증서를 관리하는 규격이라고 생각하면 됩니다.

 

SSL/TLS(https) 와 DNS over TLS(DNS 암호화)를 사용하면 인터넷 통신의 대부분이 암호화되지만 SNI를 사용한 서버에 접속할 때는 최초 접속 시 인증서 관련 내용이 없기 때문에 평문으로 내용이 전송돼서 호스트 서버의 주소가 노출되게 됩니다.

Encrypted SNI를 적용하면 위 경우에도 모두 암호화 통신이 이뤄지기 때문에 네트워크를 감시해도 접속하는 서버와 내용을 알 수 없어서 감청을 해도 소용없게 됩니다.

 

참고로 설정을 해도 모든 웹 페이지에서 적용되는 건 아닙니다.

사용 조건으로 기본적으로 https://로 통신을 해야하고 접속하는 서버가 Encrypted SNI를 지원하는 DNS 서버를 사용 해야 합니다.

ESNI 구현 방법상 DNS 단계에서 암호화 통신을 사용하지 않으면 의미가 없기 때문에 DNS도 DNS over HTTPS를 사용하도록 변경해야 합니다.

현 시점에서 Encrypted SNI를 지원하는 DNS 서버는 Cloudflare만 있습니다.

 

파이어 폭스로 하는 이유는 다른 웹브라우저들은 아직 Encrypted SNI 기능을 지원하지 않기 때문입니다.

 

 

https://www.mozilla.org/ko/firefox/

△ 파이어폭스 홈페이지 입니다.

정식 최신 버전을 다운 받으면 됩니다.

 

 

★ DNS over HTTPS 설정

 

https://rootblog.tistory.com/95
△ 파이어폭스 DNS over HTTPS 설정하는 방법입니다.

위 링크를 참조해서 설정하길 바랍니다. 

 

 

제가 한 설정입니다.

network.trr.bootstrapAddress : 1.1.1.1 (클라우드플레 DNS)

network.trr.mode : 2 (미지원 서버를 대비해서 2로 설정했습니다.)

network.trr.uri : 기본값 (기본값이 사용할 수 있는 주소기 때문에 수정하지 않았습니다.)

 

 

 

※ Encrypted SNI 설정

 

주소줄에 about:config를 입력해서 고급 환경 설정 기능을 엽니다.

환경 설정을 잘못하면 문제가 발생할 수 있기 때문에 경고 메시지가 나옵니다.

"위험을 감수하겠습니다!" 를 클릭합니다.

 

 

검색에 esni를 검색합니다.

 

 

network.security.esni.enabled 항목을 더블 클릭해서 값을 true 로 변경하면 설정 완료 입니다.

설명에 비해 설정은 간단한 편입니다.

 

 

※ Encrypted SNI 동작 확인하기

클라우드플레어 에서 제공하는 브라우저 보안 체크를 사용해서 동작을 확인할 수 있습니다. 

 

https://www.cloudflare.com/ssl/encrypted-sni/

△ Browsing Experience Security Check 페이지 입니다.

Check My Browser를 클릭하면 검사를 시작 합니다. 

 

 

검사 결과 입니다

위 화면처럼 Secure DNS, DNSSEC, TLS 1.3, Encrypted SNI 모든 항목이 녹색으로 체크되어 있으면 설정이 잘 적용되고 있는 상태입니다.

 

 

 

※ SNI 차단 우회하기

 

https://rootblog.tistory.com/143
△ GoodByeDPI GUI 사용 방법

 

https://rootblog.tistory.com/142

△ MTU 설정 방법

 



Posted by 천지무료