tlsproxy.c

   1 /*
   2  * tlsproxy is a TLS proxy for HTTPS which intercepts the connections and
   3  * ensures the server certificate doesn't change. Normally this isn't detected
   4  * if a trusted CA for the new server certificate is installed.
   5  *
   6  * Copyright (C) 2011-2013  Simon Ruderich
   7  *
   8  * This program is free software: you can redistribute it and/or modify
   9  * it under the terms of the GNU General Public License as published by
  10  * the Free Software Foundation, either version 3 of the License, or
  11  * (at your option) any later version.
  12  *
  13  * This program is distributed in the hope that it will be useful,
  14  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  15  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  16  * GNU General Public License for more details.
  17  *
  18  * You should have received a copy of the GNU General Public License
  19  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
  20  */
  21
  22 #include "tlsproxy.h"
  23 #include "sem.h"
  24 #include "connection.h"
  25
  26 #include <arpa/inet.h>
  27 #include <errno.h>
  28 #include <pthread.h>
  29 #include <signal.h>
  30 #include <sys/socket.h>
  31 #include <sys/stat.h>
  32 #include <sys/types.h>
  33 #include <unistd.h>
  34
  35 #if GNUTLS_VERSION_NUMBER <= 0x020b00
  36 /* Necessary for GnuTLS when used with threads. */
  37 #include <gcrypt.h>
  38 GCRY_THREAD_OPTION_PTHREAD_IMPL;
  39 #endif
  40
  41
  42 /* Size of ringbuffer. */
  43 #define RINGBUFFER_SIZE 10
  44
  45
  46 /* For gnutls_*() functions. */
  47 #define GNUTLS_ERROR_EXIT(error, message) \
  48     if (error != GNUTLS_E_SUCCESS) { \
  49         fprintf(stderr, "%s: %s\n", message, gnutls_strerror(error)); \
  50         exit(EXIT_FAILURE); \
  51     }
  52
  53
  54 /* Server should shut down. Set by SIGINT handler. */
  55 static volatile int done; /* = 0 */
  56
  57 /* Number of threads. */
  58 static size_t thread_count;
  59
  60 /* Synchronized ring buffer storing accept()ed client sockets. */
  61 static int ringbuffer[RINGBUFFER_SIZE];
  62 static int ringbuffer_read;
  63 static int ringbuffer_write;
  64 static SEM *ringbuffer_full; /* At least one element in the buffer? */
  65 static SEM *ringbuffer_free; /* Space for another element in the buffer? */
  66 static SEM *ringbuffer_lock; /* Read lock. */
  67
  68
  69 #ifdef DEBUG
  70 static void sigint_handler(int signal);
  71 #endif
  72
  73 static void parse_arguments(int argc, char **argv);
  74 static void print_usage(const char *argv);
  75 static char *slurp_text_file(const char *path);
  76
  77 static void initialize_gnutls(void);
  78 static void deinitialize_gnutls(void);
  79
  80 static void *worker_thread(void *unused);
  81
  82
  83 int main(int argc, char **argv) {
  84     int port;
  85     int client_socket, server_socket;
  86 #ifdef USE_IPV4_ONLY
  87     struct sockaddr_in server_in;
  88 #else
  89     struct sockaddr_in6 server_in;
  90 #endif
  91
  92     size_t i;
  93     pthread_t *threads;
  94
  95     struct sigaction action;
  96
  97     /* Required in a few places. */
  98     ct_assert(sizeof(size_t) >= sizeof(int));
  99     ct_assert(sizeof(size_t) >= sizeof(ssize_t));
 100
 101     parse_arguments(argc, argv);
 102
 103     port = atoi(argv[argc - 1]);
 104     if (port <= 0 || port > 0xffff ) {
 105         fprintf(stderr, "invalid port: '%s'\n", argv[argc - 1]);
 106         return EXIT_FAILURE;
 107     }
 108
 109     memset(&action, 0, sizeof(action));
 110     sigemptyset(&action.sa_mask);
 111 #ifdef DEBUG
 112     /* Setup our SIGINT signal handler which allows a "normal" termination of
 113      * the server in DEBUG mode. */
 114     action.sa_handler = sigint_handler;
 115     sigaction(SIGINT, &action, NULL);
 116 #endif
 117     /* Ignore SIGPIPEs. */
 118     action.sa_handler = SIG_IGN;
 119     sigaction(SIGPIPE, &action, NULL);
 120
 121     /* Initialize ring buffer. */
 122     ringbuffer_read  = 0;
 123     ringbuffer_write = 0;
 124     ringbuffer_full  = sem_init(0);
 125     ringbuffer_free  = sem_init(RINGBUFFER_SIZE);
 126     ringbuffer_lock  = sem_init(1);
 127     if (NULL == ringbuffer_full
 128             || NULL == ringbuffer_free
 129             || NULL == ringbuffer_lock) {
 130         perror("sem_init()");
 131         return EXIT_FAILURE;
 132     }
 133
 134     initialize_gnutls();
 135
 136     /* Spawn worker threads to handle requests. */
 137     threads = malloc(thread_count * sizeof(*threads));
 138     if (threads == NULL) {
 139         perror("thread malloc failed");
 140         return EXIT_FAILURE;
 141     }
 142     for (i = 0; i < thread_count; i++) {
 143         errno = pthread_create(threads + i, NULL, &worker_thread, NULL);
 144         if (errno != 0) {
 145             perror("failed to create worker thread");
 146             return EXIT_FAILURE;
 147         }
 148     }
 149
 150 #ifdef USE_IPV4_ONLY
 151     server_socket = socket(PF_INET, SOCK_STREAM, 0);
 152 #else
 153     server_socket = socket(PF_INET6, SOCK_STREAM, 0);
 154 #endif
 155     if (server_socket < 0) {
 156         perror("socket()");
 157         return EXIT_FAILURE;
 158     }
 159
 160     /* Fast rebinding for debug mode, could cause invalid packets. */
 161     if (global_log_level >= LOG_DEBUG1_LEVEL) {
 162         int socket_option = 1;
 163         setsockopt(server_socket, SOL_SOCKET, SO_REUSEADDR,
 164                    &socket_option, sizeof(socket_option));
 165     }
 166
 167     /* Bind to the listen socket. */
 168     memset(&server_in, 0, sizeof(server_in));
 169 #ifdef USE_IPV4_ONLY
 170     server_in.sin_family      = AF_INET;               /* IPv4 only */
 171     server_in.sin_addr.s_addr = htonl(INADDR_ANY);     /* bind to any address */
 172     server_in.sin_port        = htons((uint16_t)port); /* port to bind to */
 173 #else
 174     server_in.sin6_family = AF_INET6;              /* IPv6 (and IPv4) */
 175     server_in.sin6_addr   = in6addr_any;           /* bind to any address */
 176     server_in.sin6_port   = htons((uint16_t)port); /* port to bind to */
 177 #endif
 178     if (bind(server_socket, (struct sockaddr *)&server_in,
 179                             sizeof(server_in)) != 0) {
 180         perror("bind()");
 181         return EXIT_FAILURE;
 182     }
 183     /* And accept connections. */
 184     if (listen(server_socket, 5) != 0) {
 185         perror("listen()");
 186         return EXIT_FAILURE;
 187     }
 188
 189     if (global_log_level >= LOG_DEBUG1_LEVEL) {
 190         printf("tlsproxy %s\n", VERSION);
 191         printf("Listening for connections on port %d.\n", port);
 192
 193         if (global_proxy_host != NULL && global_proxy_port != NULL) {
 194             printf("Using proxy: %s:%s.\n", global_proxy_host,
 195                                             global_proxy_port);
 196         }
 197     }
 198
 199     while (!done) {
 200         /* Accept new connection. */
 201         client_socket = accept(server_socket, NULL, NULL);
 202         if (client_socket < 0) {
 203             perror("accept()");
 204             break;
 205         }
 206
 207         /* No lock necessary, we only have one producer! */
 208         P(ringbuffer_free);
 209         ringbuffer[ringbuffer_write] = client_socket;
 210         ringbuffer_write = (ringbuffer_write + 1) % RINGBUFFER_SIZE;
 211         V(ringbuffer_full);
 212     }
 213
 214     close(server_socket);
 215
 216     /* Poison all threads and shut them down. */
 217     for (i = 0; i < thread_count; i++) {
 218         P(ringbuffer_free);
 219         ringbuffer[ringbuffer_write] = -1; /* poison */
 220         ringbuffer_write = (ringbuffer_write + 1) % RINGBUFFER_SIZE;
 221         V(ringbuffer_full);
 222     }
 223     for (i = 0; i < thread_count; i++) {
 224         errno = pthread_join(threads[i], NULL);
 225         if (errno != 0) {
 226             perror("pthread_join()");
 227         }
 228     }
 229
 230     sem_del(ringbuffer_full);
 231     sem_del(ringbuffer_free);
 232     sem_del(ringbuffer_lock);
 233
 234     free(threads);
 235
 236     deinitialize_gnutls();
 237
 238     free(global_proxy_host);
 239     free(global_proxy_port);
 240     free(global_http_digest_authorization);
 241
 242     return EXIT_FAILURE;
 243 }
 244
 245 #ifdef DEBUG
 246 static void sigint_handler(int signal_number) {
 247     (void)signal_number;
 248
 249     done = 1;
 250 }
 251 #endif
 252
 253 static void parse_arguments(int argc, char **argv) {
 254     int option;
 255
 256     /* Default values. */
 257     thread_count = 10;
 258 #ifdef DEBUG
 259     global_log_level = LOG_DEBUG1_LEVEL;
 260 #else
 261     global_log_level = LOG_WARNING_LEVEL;
 262 #endif
 263     global_passthrough_unknown = 0;
 264
 265     while ((option = getopt(argc, argv, "a:d:p:t:uh?")) != -1) {
 266         switch (option) {
 267             case 'a': {
 268                 global_http_digest_authorization = slurp_text_file(optarg);
 269                 if (global_http_digest_authorization == NULL) {
 270                     fprintf(stderr, "failed to open authorization file '%s': ",
 271                                     optarg);
 272                     perror("");
 273                     exit(EXIT_FAILURE);
 274                 } else if (strlen(global_http_digest_authorization) == 0) {
 275                     fprintf(stderr, "empty authorization file '%s'\n",
 276                                     optarg);
 277                     exit(EXIT_FAILURE);
 278                 }
 279
 280                 /* Just in case the file has a trailing newline. */
 281                 strtok(global_http_digest_authorization, "\r\n");
 282
 283                 break;
 284             }
 285             case 'd': {
 286                 global_log_level = atoi(optarg);
 287                 if (global_log_level < 0) {
 288                     fprintf(stderr, "-d positive number required: '%s'\n",
 289                                     optarg);
 290                     exit(EXIT_FAILURE);
 291                 }
 292                 break;
 293             }
 294             case 'p': {
 295                 char *position;
 296
 297                 /* -p must have the format host:port. */
 298                 if ((position = strchr(optarg, ':')) == NULL
 299                         || optarg == position
 300                         || strlen(position + 1) == 0
 301                         || atoi(position + 1) <= 0
 302                         || atoi(position + 1) > 0xffff) {
 303                     fprintf(stderr, "invalid -p: '%s', format host:port\n",
 304                                     optarg);
 305                     exit(EXIT_FAILURE);
 306                 }
 307
 308                 global_proxy_host = malloc((size_t)(position - optarg) + 1);
 309                 if (global_proxy_host == NULL) {
 310                     perror("malloc()");
 311                     exit(EXIT_FAILURE);
 312                 }
 313                 memcpy(global_proxy_host, optarg, (size_t)(position - optarg));
 314                 global_proxy_host[position - optarg] = '\0';
 315
 316                 global_proxy_port = malloc(strlen(position + 1) + 1);
 317                 if (global_proxy_port == NULL) {
 318                     perror("malloc()");
 319                     exit(EXIT_FAILURE);
 320                 }
 321                 strcpy(global_proxy_port, position + 1);
 322
 323                 break;
 324             }
 325             case 't': {
 326                 if (atoi(optarg) <= 0) {
 327                     fprintf(stderr, "-t positive number required: '%s'\n",
 328                                     optarg);
 329                     exit(EXIT_FAILURE);
 330                 }
 331                 thread_count = (size_t)atoi(optarg);
 332                 break;
 333             }
 334             case 'u': {
 335                 global_passthrough_unknown = 1;
 336                 break;
 337             }
 338             case 'h':
 339             default: /* '?' */
 340                 print_usage(argv[0]);
 341                 exit(EXIT_FAILURE);
 342         }
 343     }
 344
 345     if (optind >= argc) {
 346         fprintf(stderr, "port missing\n");
 347         exit(EXIT_FAILURE);
 348     }
 349 }
 350 static void print_usage(const char *argv) {
 351     fprintf(stderr, "tlsproxy %s, a certificate checking TLS proxy\n",
 352                     VERSION);
 353     fprintf(stderr, "Usage: %s [-a file] [-d level] [-p host:port] [-t count] [-u] port\n",
 354                     argv);
 355     fprintf(stderr, "\n");
 356     fprintf(stderr, "-a digest authentication file [default: none]\n");
 357     fprintf(stderr, "-d debug level: 0=errors only, 2=debug [default: 1]\n");
 358     fprintf(stderr, "-p proxy hostname and port\n");
 359     fprintf(stderr, "-t number of threads [default: 10]\n");
 360     fprintf(stderr, "-u passthrough connection if no certificate is stored \
 361 [default: error]\n");
 362     fprintf(stderr, "   WARNING: might be a security problem!\n");
 363 }
 364
 365 #if 0
 366 static void log_function_gnutls(int level, const char *string) {
 367     (void)level;
 368     fprintf(stderr, "    => %s", string);
 369 }
 370 #endif
 371
 372 static void initialize_gnutls(void) {
 373     int result;
 374     char *dh_parameters;
 375     gnutls_datum_t dh_parameters_datum;
 376
 377 /* Recent versions of GnuTLS automatically initialize the cryptography layer
 378  * in gnutls_global_init(). */
 379 #if GNUTLS_VERSION_NUMBER <= 0x020b00
 380     gcry_error_t error;
 381
 382     /* Thread safe setup. Must be called before gnutls_global_init(). */
 383     error = gcry_control(GCRYCTL_SET_THREAD_CBS, &gcry_threads_pthread);
 384     if (error != 0) {
 385         fprintf(stderr, "gcry_control(): %s/%s\n", gcry_strsource(error),
 386                                                    gcry_strerror(error));
 387         exit(EXIT_FAILURE);
 388     }
 389     /* Prevent usage of blocking /dev/random. */
 390     error = gcry_control(GCRYCTL_ENABLE_QUICK_RANDOM, 0);
 391     if (error != 0) {
 392         fprintf(stderr, "gcry_control(): %s/%s\n", gcry_strsource(error),
 393                                                    gcry_strerror(error));
 394         exit(EXIT_FAILURE);
 395     }
 396 #endif
 397
 398     if (gnutls_check_version(GNUTLS_VERSION) == NULL) {
 399         fprintf(stderr, "gnutls_check_version(): version mismatch, "
 400                         "expected at least '" GNUTLS_VERSION "'\n");
 401         exit(EXIT_FAILURE);
 402     }
 403
 404     /* Initialize GnuTLS. */
 405     result = gnutls_global_init();
 406     GNUTLS_ERROR_EXIT(result, "gnutls_global_init()");
 407
 408 #if 0
 409     gnutls_global_set_log_level(10);
 410     gnutls_global_set_log_function(log_function_gnutls);
 411 #endif
 412
 413     /* Setup GnuTLS cipher suites. */
 414     result = gnutls_priority_init(&global_tls_priority_cache, "NORMAL", NULL);
 415     GNUTLS_ERROR_EXIT(result, "gnutls_priority_init()");
 416
 417     /* Read Diffie-Hellman parameters. */
 418     dh_parameters = slurp_text_file(PROXY_DH_PATH);
 419     if (dh_parameters == NULL) {
 420         fprintf(stderr, PROXY_DH_PATH " missing, "
 421                         "use `tlsproxy-setup` to create it\n");
 422         exit(EXIT_FAILURE);
 423     }
 424     dh_parameters_datum.data = (unsigned char *)dh_parameters;
 425     dh_parameters_datum.size = strlen(dh_parameters);
 426
 427     result = gnutls_dh_params_init(&global_tls_dh_params);
 428     GNUTLS_ERROR_EXIT(result, "gnutls_dh_params_init()");
 429     result = gnutls_dh_params_import_pkcs3(global_tls_dh_params,
 430                                            &dh_parameters_datum,
 431                                            GNUTLS_X509_FMT_PEM);
 432     GNUTLS_ERROR_EXIT(result, "gnutls_dh_params_import_pkcs3()");
 433
 434     free(dh_parameters);
 435 }
 436 static void deinitialize_gnutls(void) {
 437     gnutls_dh_params_deinit(global_tls_dh_params);
 438     gnutls_priority_deinit(global_tls_priority_cache);
 439
 440     gnutls_global_deinit();
 441 }
 442
 443 static void *worker_thread(void *unused) {
 444     int client_socket;
 445
 446     (void)unused;
 447
 448     for (;;) {
 449         /* Get next element from ring buffer. */
 450         P(ringbuffer_full);
 451         P(ringbuffer_lock);
 452         client_socket = ringbuffer[ringbuffer_read];
 453         ringbuffer_read = (ringbuffer_read + 1) % RINGBUFFER_SIZE;
 454         V(ringbuffer_lock);
 455         V(ringbuffer_free);
 456
 457         /* Negative value indicates we should shut down our thread. */
 458         if (client_socket < 0) {
 459             break;
 460         }
 461
 462         handle_connection(client_socket);
 463     }
 464
 465     return NULL;
 466 }
 467
 468 static char *slurp_text_file(const char *path) {
 469     struct stat stat;
 470     size_t size_read;
 471     char *content = NULL;
 472
 473     FILE *file = fopen(path, "r");
 474     if (file == NULL) {
 475         return NULL;
 476     }
 477
 478     ct_assert(sizeof(stat.st_size) <= sizeof(size_t));
 479
 480     if (fstat(fileno(file), &stat) != 0) {
 481         goto out;
 482     }
 483     if (stat.st_size < 0) { /* just in case ... */
 484         abort();
 485     } else if ((size_t)stat.st_size >= SIZE_MAX - 1) {
 486         errno = 0;
 487         goto out;
 488     }
 489
 490     content = malloc((size_t)stat.st_size + 1);
 491     if (content == NULL) {
 492         goto out;
 493     }
 494
 495     errno = 0;
 496     size_read = fread(content, 1, (size_t)stat.st_size, file);
 497     if (size_read != (size_t)stat.st_size) {
 498         free(content);
 499         content = NULL;
 500         goto out;
 501     }
 502     content[size_read] = '\0';
 503
 504 out:
 505     fclose(file);
 506
 507     return content;
 508 }