Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
A14_Future of DNS DoH / DoT_3
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
JPAAWG
November 15, 2019
280
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
A14_Future of DNS DoH / DoT_3
JPAAWG
November 15, 2019
More Decks by JPAAWG
See All by JPAAWG
Google & ⽶国Yahoo!の迷惑メール 対策強化について
jpaawg
1
3.8k
A14_Future of DNS DoH / DoT_1
jpaawg
0
580
A14_Future of DNS DoH / DoT_2
jpaawg
0
240
A15_DMARC Case Study
jpaawg
0
520
A16_Meeting for Japanese ISPs (Part 2)
jpaawg
0
450
B15_Abuse Desk Best Practices
jpaawg
1
1.9k
B14_Sharing Knowledge of Domain, Spam and DNS Investigation
jpaawg
0
240
A13_General Data Protection Regulation (GDPR) How does it impact Asia?
jpaawg
0
330
A12_Introduction of DMARC/25 - DMARC Analysis as a Service
jpaawg
0
560
Featured
See All Featured
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
450
Building Adaptive Systems
keathley
44
3.1k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Are puppies a ranking factor?
jonoalderson
1
3.7k
Embracing the Ebb and Flow
colly
88
5.1k
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
My Coaching Mixtape
mlcsv
0
160
The Cost Of JavaScript in 2023
addyosmani
55
10k
ラッコキーワード サービス紹介資料
rakko
1
3.8M
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
400
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Transcript
ISPから見たDoT/DoHの今後 山口崇徳@IIJ 2019/11/15 JPAAWG 2nd
IIJ とは • ISP とかやってる会社 • IIJ Public DNSサービスとかいうのも始めました •
2019/05/08 リリース(ベータ) • https://public.dns.iij.jp/ • DoT/DoH(だけ)をサポートする public DNS サービス • 53番ポートの従来の DNS は使えません • ISP でもあり、public DNS サービス事業者でもある
従来の DNS • (ほぼ) UDP で、平文 • UDP なので、パケット偽造されうる •
平文なので、中間者から盗聴されうる ユーザ キャッシュDNS cleartext
DNS over TLS/HTTPS • TLS or HTTPS で暗号化 • (ユーザとキャッシュDNSの間の)機密性、完全性の保証
• キャッシュDNSと権威DNSの間のことについては関知しない • キャッシュDNSの持っている情報が改竄されていないことの保証がないので、 実質的には DoT/DoH に完全性はない ユーザ キャッシュDNS TLS/HTTPS
ユーザ キャッシュDNS 盗聴者 ISP のキャッシュ DNS • ユーザとキャッシュ DNS は同一ネットワーク内
• 中間者攻撃は困難 • 平文でも盗聴の危険は小さい
盗聴者 public DNS ユーザ キャッシュDNS • 複数のネットワークを経由する • 経路上の中間者が脅威に
平文 DNS は危険なのか? • ISP で自動設定されるキャッシュ DNS を使うのであれば、従来の平 文 DNS
でも盗聴の危険は小さい • ISP のネットワークに入る手前で盗聴される可能性はある • ユーザ宅内の wifi 区間など • Firefox の DoH デフォルト化構想は合理的とはいいがたい • public DNS を使うのであれば、平文 DNS は安全ではない • 対応していれば、DoT/DoH を推奨 • Chrome の「DoH に対応している public DNS を使うときは自動的に DoH にな る」という動作は理にかなっている
None
DoT/DoH のユースケース: 現在 • (単に、新しもの好きで使ってみたい、というケースのほかに) • 自動設定されるキャッシュ DNS が信頼できないとき、かわりに public
DNS を利用する • 公衆 wifi とかホテルの客室インターネットとか • ISP のキャッシュ DNS が意に反するブロッキングをやってるとか • public DNS への途中経路での中間者攻撃を回避 → DoT/DoH
DoT/DoH のユースケース: 将来 • ぜんぶ DoT/DoH でいいんじゃね? • 組織内部に閉じた通信かどうかを気にして telnet/rsh
と ssh を使い分けたり はしない • 同じように DNS も使い分けしない方向になるのではないか • 課題: DoT/DoH の自動設定の仕組みがない • ネットワーク管理者が DoT/DoH の設定を配れない • 標準化に向けた議論ははじまっている • android や firefox は独自の自動設定の仕組みを実装している • 標準化(とその普及)の妨げにならないか?
そもそもキャッシュ DNS は信頼できるのか? • DoT/DoH でもキャッシュが正しいことは担保できない • 要 DNSSEC だがほとんど使われていない
• ◦◦◦や×××なことをしちゃうようなキャッシュ DNS サーバとか • 応答を勝手に書き換えるとか • クエリ情報を集計して広告屋に売るとか • あやしげな野良 wifi で自動設定される DNS は何されるか予想もつかない • DoT/DoH を使えば◦◦◦や×××ができなくなる、わけではない • 暗号化は中間者攻撃対策だが、キャッシュ DNS は中間者ではない • キャッシュ DNS が◦◦◦や×××することには無力
public DNS がやってる◦◦◦や××× • Google • EDNS Client Subnet で権威サーバにクライアントのIPアドレスを通知
• 平文なので第三者から盗聴されうる • プライバシーポリシー上は、クエリ情報をさまざまな用途に利用できる • Quad9 • マルウェア配布ドメインのブロッキング • ブロッキングに必要な情報収集のために外部ベンダーにクエリ情報を提供 • IIJ • 児童ポルノブロッキング • Cloudflare • とくにつっこみどころなし
ISP の立場から • public DNS はほんとうに安全なのか? • 途中経路は DoT/DoH で安全になるが、サーバ上でのクエリの取り扱いは?
• 法規制の違いにより、日本では認められないような◦◦◦や×××も海外 事業者はできる(こともある) • このままだとユーザのクエリは public DNS にどんどん流出していく • Firefox はデフォルトで public DNS を利用する方針 • 「ISP の平文 DNS」と「海外超大手の暗号化 DNS」を比べると、多くのユーザ にとっては後者の方が安全な印象を受ける • クエリが流出するのを見過ごしていていいのか? • ISP の提供するキャッシュ DNS も DoT/DoH に対応して、ユーザの安心感を 高めるべきなのでは?
ISPから見たDoT/DoHの今後 • 現在は public DNS を安全に利用するためのプロトコル • 将来的には public DNS
にかぎらず、ISP が提供するキャッシュ DNS でも必要とされるのではないか • 実際に提供するかどうかはともかくとして、調査・検討は始めておく べき
蛇足 DoT/DoH で改竄は防げません DKIM 公開鍵その他認証に必要な情報を改竄されるのを防ぐために、 DNSSEC の署名と検証をお願いします