Как мы зашифровали net-rpc

в 13:16, , рубрики: openssl, RPC, шифрование

Мы проектировали агента для бекапов. Агент узнает у бекенда что бекапить и отправляет данные в хранилище. Злая врезка в канал и подмена адреса хранилища катастрофична.

HTTPS протестировали в первом подходе. Было ощущение, что можно сделать проще. Внутренние сервисы начинали масштабироваться по датацентрам. Хотелось сделать надежное решение для агента и внутренних сервисов. Без туннелей и HTTPS.

В итоге заменили HTTPS на net/rpc + crypto/tls.

Кроме прозрачного расширения, это дает возможность сделать свой корневой сертификат. Подписывать сертификаты сервисов и вшить проверку на клиентской стороне. Это можно сделать и в HTTPS, но удобство RPC подкупает.

Корневой сертификат.

openssl req -newkey rsa:2048 -x509 -new -keyout CA.key -days 10000 -out CA.crt

Генерируем сертификат и прошиваем DNS адрес сервиса.

openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr
openssl x509 -req -in server.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out server.pem -days 10000 -extensions v3_req -extfile backend.cnf

Конфиг OpenSSL — backend.cnf

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = backend.rollbackup.ru

Через generate_cert.go можно быстро сгенерировать сертификат без CA.

Загружаем сертификат и приватный ключ. Оборачиваем rpc в tls.Server:

import "crypto/tls"

cert, _ := tls.LoadX509KeyPair("server.pem", "server.key")
conn, _ := tls.Listen("tcp", "backend.rollbackup.ru:9001", &tls.Config{Certificates: []tls.Certificate{cert}})

server := rpc.NewServer()
for {
	if conn, err := l.Accept(); err == nil {
		go server.ServeCodec(rpc.NewServerCodec(conn))
	}
}

На клиенте фиксируем поддержку нашего корневого сертификата.

import "crypto/x509"
import "crypto/tls"
import "net/rpc"

// корневой сертификат ...
cert := `-----BEGIN CERTIFICATE----- ...`

rootCAs := x509.NewCertPool()
rootCAs.AppendCertsFromPEM([]byte(cert))

conn, _ := tls.Dial("tcp", "backend.rollbackup.ru:9001", &tls.Config{RootCAs: rootCAs})
client := rpc.NewClient(conn)

Если подменить DNS и поднять злой сервер, клиент не установит соединение.

agent connection: x509: certificate is valid for backend.rollbackup.ru, not backend.brazzers.com

Бонус трек
Усиливаем безопасность: оставляем сильные шифры и убираем поддержку TLS < 1.2. Актуально для Go 1.3.

tls.Config{
// ...
	CipherSuites: []uint16{
		tls.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
		tls.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
	},
	MinVersion: tls.VersionTLS12
})

Мы храним сертификаты на физическом токене. Чего и вам желаем.

Наша простая библиотека-обертка на Github: secrpc. Примеры использования в агенте.

Автор: outself

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js