• home > tools > webServer > nginx >

    nginx配置SNI阻断IP扫描导致的域名泄漏

    Author:zhoulujun Date:

    在Nginx的默认SSL配置下,当客户端尝试建立TLS连接时发送的SNI不包含域名时,Nginx依旧会发送SSL TLS证书给客户端,从而导致ip背后的域名信

    在Nginx的默认SSL配置下,当客户端尝试建立TLS连接时发送的SNI不包含域名时,Nginx依旧会发送SSL/TLS证书给客户端,从而导致ip背后的域名信息泄露。

    SNI

    SNI(Server Name Indication),是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。在使用TLS的时候,http server希望根据HTTP请求中HOST的不同,来决定使用不同的证书。简单地说这个扩展使得在同一个IP上可以以不同的证书配置不同的域名

    一句话简述它的工作原理就是:在连接到服务器建立SSL链接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的证书。

    由于HTTP的HOST字段在HTTP GET中。而TLS的握手以及证书验证都是在HTTP开始之前。这个时候,TLS协议的HELLO字段中增加了一个server name字段,让HTTP的client的可以提前 设置HOST,从而使server在tls的握手阶段可以选择证书。

    然后,这个机制本身可以抛开http不关心,只要TLS client提前设置了server name,便可以实现SNI

    nginx开启SNI

    nginx支持TLS协议的SNI扩展。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

    如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的 SSL_CTRL_SET_TLSEXT_HOSTNAME,如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

    nginx在默认情况下是**TLS SNI support disabled**

    SNI防止ip扫描导致的域名泄漏

    当客户端不支持SNI时,请求到服务器,nginx服务器默认会返回第一个server的证书用来和客户端进行校验

    而Nginx如果开启了TLS SNI support,就能支持多个SSL加密站点共同使用一个IP

    查看nginx是否支持SNI

    方法也很简单,首先先看看你现在的Nginx是否enable了这个功能

    /usr/local/nginx/sbin/nginx -V

    nginx: nginx version: nginx/1.1.0

    nginx: TLS SNI support disable

    nginx: configure arguments: –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_gzip_static_module –with-ipv6

    如果是TLS SNI support disable那你需要重新编译下Nginx,如果enable了,你直接修改配置文件就行

    配置nginx支持SNI

    为了阻止Nginx发送证书给不合法的客户端,以下三个模块是必须的。

    --with-stream

    --with-stream_ssl_module

    --with-stream_ssl_preread_module

    修改nginx配置文件

    stream {
        map $ssl_preread_server_name $name { #根据ssl sni name选择策略
        backend.example.com      web; #把backend.example.com 改成你的
        default                  block; #只要sni name 不正确就断开连接
        }
    
        upstream web {
            server 127.0.0.1:444; #正常的Web服务
        }
    
        upstream block {
            server 127.0.0.1:80; #用于阻止不合法请求
        }
        
        server {
            listen      443 reuseport; 
            listen [::]:443 reuseport;
            proxy_pass  $name;
            ssl_preread on; #开启ssl_preread
        }
    }
    # server 配置
    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _; #不提供正确的域名直接断开连接
        return 444;
    }
    
    server {
        listen 127.0.0.1:444 ssl http2; #端口号和stream中的要一样
        ssl_certificate       /path/to/example.crt;
        ssl_certificate_key   /path/to/example.key;
        ssl_trusted_certificate /path/to/example.ca-bundle;
        ssl_protocols         TLSv1.3 TLSv1.2;
        ssl_prefer_server_ciphers off;
        ssl_early_data on;
        ssl_session_cache   shared:SSL:40m;
        ssl_session_timeout 4h;
        ssl_session_tickets off;
        ssl_stapling on;
        ssl_stapling_verify on;
        resolver 8.8.4.4;
        resolver_timeout 10s;
        ssl_dhparam /etc/nginx/nginx.pem;
        server_name example.com;
        add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
    }



    参考文章:

    https://carey.akhack.com/2017/05/03/nginx支持SNI/

    不给SNI,就滚蛋! 防止ip扫描导致的域名泄漏 --Nginx版 https://www.johnrosen1.com/nginx-sni/

    nginx使用SNI功能的方法 https://www.cnblogs.com/hugetong/p/11727275.html



    转载本站文章《nginx配置SNI阻断IP扫描导致的域名泄漏》,
    请注明出处:https://www.zhoulujun.cn/html/tools/webServer/nginx/2020_0407_8365.html