Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
A14_Future of DNS DoH / DoT_3
Search
JPAAWG
November 15, 2019
280
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
A14_Future of DNS DoH / DoT_3
JPAAWG
November 15, 2019
More Decks by JPAAWG
See All by JPAAWG
Google & ⽶国Yahoo!の迷惑メール 対策強化について
jpaawg
1
3.8k
A14_Future of DNS DoH / DoT_1
jpaawg
0
580
A14_Future of DNS DoH / DoT_2
jpaawg
0
240
A15_DMARC Case Study
jpaawg
0
510
A16_Meeting for Japanese ISPs (Part 2)
jpaawg
0
450
B15_Abuse Desk Best Practices
jpaawg
1
1.9k
B14_Sharing Knowledge of Domain, Spam and DNS Investigation
jpaawg
0
240
A13_General Data Protection Regulation (GDPR) How does it impact Asia?
jpaawg
0
330
A12_Introduction of DMARC/25 - DMARC Analysis as a Service
jpaawg
0
560
Featured
See All Featured
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
Code Reviewing Like a Champion
maltzj
528
40k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
The browser strikes back
jonoalderson
0
1.3k
Color Theory Basics | Prateek | Gurzu
gurzu
0
370
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
330
Making the Leap to Tech Lead
cromwellryan
135
9.9k
KATA
mclloyd
PRO
35
15k
Visualization
eitanlees
152
17k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
It's Worth the Effort
3n
188
29k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Transcript
ISPから見たDoT/DoHの今後 山口崇徳@IIJ 2019/11/15 JPAAWG 2nd
IIJ とは • ISP とかやってる会社 • IIJ Public DNSサービスとかいうのも始めました •
2019/05/08 リリース(ベータ) • https://public.dns.iij.jp/ • DoT/DoH(だけ)をサポートする public DNS サービス • 53番ポートの従来の DNS は使えません • ISP でもあり、public DNS サービス事業者でもある
従来の DNS • (ほぼ) UDP で、平文 • UDP なので、パケット偽造されうる •
平文なので、中間者から盗聴されうる ユーザ キャッシュDNS cleartext
DNS over TLS/HTTPS • TLS or HTTPS で暗号化 • (ユーザとキャッシュDNSの間の)機密性、完全性の保証
• キャッシュDNSと権威DNSの間のことについては関知しない • キャッシュDNSの持っている情報が改竄されていないことの保証がないので、 実質的には DoT/DoH に完全性はない ユーザ キャッシュDNS TLS/HTTPS
ユーザ キャッシュDNS 盗聴者 ISP のキャッシュ DNS • ユーザとキャッシュ DNS は同一ネットワーク内
• 中間者攻撃は困難 • 平文でも盗聴の危険は小さい
盗聴者 public DNS ユーザ キャッシュDNS • 複数のネットワークを経由する • 経路上の中間者が脅威に
平文 DNS は危険なのか? • ISP で自動設定されるキャッシュ DNS を使うのであれば、従来の平 文 DNS
でも盗聴の危険は小さい • ISP のネットワークに入る手前で盗聴される可能性はある • ユーザ宅内の wifi 区間など • Firefox の DoH デフォルト化構想は合理的とはいいがたい • public DNS を使うのであれば、平文 DNS は安全ではない • 対応していれば、DoT/DoH を推奨 • Chrome の「DoH に対応している public DNS を使うときは自動的に DoH にな る」という動作は理にかなっている
None
DoT/DoH のユースケース: 現在 • (単に、新しもの好きで使ってみたい、というケースのほかに) • 自動設定されるキャッシュ DNS が信頼できないとき、かわりに public
DNS を利用する • 公衆 wifi とかホテルの客室インターネットとか • ISP のキャッシュ DNS が意に反するブロッキングをやってるとか • public DNS への途中経路での中間者攻撃を回避 → DoT/DoH
DoT/DoH のユースケース: 将来 • ぜんぶ DoT/DoH でいいんじゃね? • 組織内部に閉じた通信かどうかを気にして telnet/rsh
と ssh を使い分けたり はしない • 同じように DNS も使い分けしない方向になるのではないか • 課題: DoT/DoH の自動設定の仕組みがない • ネットワーク管理者が DoT/DoH の設定を配れない • 標準化に向けた議論ははじまっている • android や firefox は独自の自動設定の仕組みを実装している • 標準化(とその普及)の妨げにならないか?
そもそもキャッシュ DNS は信頼できるのか? • DoT/DoH でもキャッシュが正しいことは担保できない • 要 DNSSEC だがほとんど使われていない
• ◦◦◦や×××なことをしちゃうようなキャッシュ DNS サーバとか • 応答を勝手に書き換えるとか • クエリ情報を集計して広告屋に売るとか • あやしげな野良 wifi で自動設定される DNS は何されるか予想もつかない • DoT/DoH を使えば◦◦◦や×××ができなくなる、わけではない • 暗号化は中間者攻撃対策だが、キャッシュ DNS は中間者ではない • キャッシュ DNS が◦◦◦や×××することには無力
public DNS がやってる◦◦◦や××× • Google • EDNS Client Subnet で権威サーバにクライアントのIPアドレスを通知
• 平文なので第三者から盗聴されうる • プライバシーポリシー上は、クエリ情報をさまざまな用途に利用できる • Quad9 • マルウェア配布ドメインのブロッキング • ブロッキングに必要な情報収集のために外部ベンダーにクエリ情報を提供 • IIJ • 児童ポルノブロッキング • Cloudflare • とくにつっこみどころなし
ISP の立場から • public DNS はほんとうに安全なのか? • 途中経路は DoT/DoH で安全になるが、サーバ上でのクエリの取り扱いは?
• 法規制の違いにより、日本では認められないような◦◦◦や×××も海外 事業者はできる(こともある) • このままだとユーザのクエリは public DNS にどんどん流出していく • Firefox はデフォルトで public DNS を利用する方針 • 「ISP の平文 DNS」と「海外超大手の暗号化 DNS」を比べると、多くのユーザ にとっては後者の方が安全な印象を受ける • クエリが流出するのを見過ごしていていいのか? • ISP の提供するキャッシュ DNS も DoT/DoH に対応して、ユーザの安心感を 高めるべきなのでは?
ISPから見たDoT/DoHの今後 • 現在は public DNS を安全に利用するためのプロトコル • 将来的には public DNS
にかぎらず、ISP が提供するキャッシュ DNS でも必要とされるのではないか • 実際に提供するかどうかはともかくとして、調査・検討は始めておく べき
蛇足 DoT/DoH で改竄は防げません DKIM 公開鍵その他認証に必要な情報を改竄されるのを防ぐために、 DNSSEC の署名と検証をお願いします