AdGuardHome DNS-over-TLS 访问控制漏洞分析与修复

问题概述

近期在 AdGuardHome v0.107.47 版本中发现了一个重要的安全问题，该问题导致未经授权的客户端能够通过 DNS-over-TLS (DoT) 协议访问 DNS 解析服务。这一问题影响了 AdGuardHome 的访问控制机制，使得配置了客户端允许列表的系统可能面临潜在风险。

技术背景

DNS-over-TLS 是一种通过 TLS 加密传输 DNS 查询的协议，运行在标准的 853 端口。AdGuardHome 提供了细粒度的访问控制功能，允许管理员通过以下方式限制访问：

1. IP 地址范围允许列表
2. 客户端 ID 认证
3. 特定协议端口控制

在正常情况下，只有明确授权的客户端才能使用 DNS 解析服务，其他请求应被拒绝。

问题表现

受影响版本中，当管理员配置了 allowed_clients 列表后：

• 明文 DNS 查询（53端口）能够正确执行访问控制
• 加密 DNS 查询（853端口）的访问控制失效
• 外部未授权客户端的 DoT 查询被正常响应
• 查询日志中未授权客户端显示为红色标记，但请求未被拦截

影响范围

该问题影响以下场景：

1. 公开暴露 DoT 服务的 AdGuardHome 实例
2. 依赖客户端允许列表机制的环境
3. 使用 v0.107.47 版本的用户

技术分析

根据代码审查，问题出在加密协议处理逻辑中访问控制检查的遗漏。具体表现为：

1. 协议处理层未正确传递客户端认证信息
2. TLS 握手成功后未验证客户端权限
3. 访问控制检查逻辑在加密路径中被绕过

解决方案

AdGuardHome 团队迅速响应，在 v0.107.48 版本中修复了该问题。修复措施包括：

1. 统一所有协议路径的访问控制检查
2. 强化加密协议层的权限验证
3. 确保访问控制逻辑在所有网络层生效

用户建议

对于使用 AdGuardHome 的用户，建议：

1. 立即升级到 v0.107.48 或更高版本
2. 检查查询日志中是否有异常请求
3. 定期审核访问控制列表
4. 考虑启用防火墙规则作为额外保护

最佳实践

为加强 DNS 服务安全性，推荐：

1. 使用非标准端口减少扫描风险
2. 结合 IP 允许列表和客户端 ID 双重认证
3. 启用查询日志并设置告警机制
4. 定期更新到最新稳定版本

总结

这个问题提醒我们，在部署网络服务时需要全面考虑各种协议的安全性，特别是在加密通道中同样需要严格执行访问控制。AdGuardHome 团队的快速响应展示了开源项目在安全问题上的高效处理能力。用户应当保持软件更新，并采用多层防御策略来保护自己的 DNS 基础设施。