Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up
for free
A14_Future of DNS DoH / DoT_3
JPAAWG_2nd_General_Meeting
November 15, 2019
0
92
A14_Future of DNS DoH / DoT_3
JPAAWG_2nd_General_Meeting
November 15, 2019
Tweet
Share
More Decks by JPAAWG_2nd_General_Meeting
See All by JPAAWG_2nd_General_Meeting
jpaawg
0
190
jpaawg
0
83
jpaawg
0
170
jpaawg
0
220
jpaawg
1
850
jpaawg
0
56
jpaawg
0
19
jpaawg
0
68
jpaawg
0
70
Featured
See All Featured
edds
56
9.3k
holman
288
130k
colly
66
3k
3n
163
22k
jonrohan
1021
380k
bryan
30
3.3k
deanohume
295
27k
rmw
11
740
dougneiner
119
7.8k
brad_frost
156
6.4k
swwweet
206
6.8k
chriscoyier
499
130k
Transcript
ISPから見たDoT/DoHの今後 山口崇徳@IIJ 2019/11/15 JPAAWG 2nd
IIJ とは • ISP とかやってる会社 • IIJ Public DNSサービスとかいうのも始めました •
2019/05/08 リリース(ベータ) • https://public.dns.iij.jp/ • DoT/DoH(だけ)をサポートする public DNS サービス • 53番ポートの従来の DNS は使えません • ISP でもあり、public DNS サービス事業者でもある
従来の DNS • (ほぼ) UDP で、平文 • UDP なので、パケット偽造されうる •
平文なので、中間者から盗聴されうる ユーザ キャッシュDNS cleartext
DNS over TLS/HTTPS • TLS or HTTPS で暗号化 • (ユーザとキャッシュDNSの間の)機密性、完全性の保証
• キャッシュDNSと権威DNSの間のことについては関知しない • キャッシュDNSの持っている情報が改竄されていないことの保証がないので、 実質的には DoT/DoH に完全性はない ユーザ キャッシュDNS TLS/HTTPS
ユーザ キャッシュDNS 盗聴者 ISP のキャッシュ DNS • ユーザとキャッシュ DNS は同一ネットワーク内
• 中間者攻撃は困難 • 平文でも盗聴の危険は小さい
盗聴者 public DNS ユーザ キャッシュDNS • 複数のネットワークを経由する • 経路上の中間者が脅威に
平文 DNS は危険なのか? • ISP で自動設定されるキャッシュ DNS を使うのであれば、従来の平 文 DNS
でも盗聴の危険は小さい • ISP のネットワークに入る手前で盗聴される可能性はある • ユーザ宅内の wifi 区間など • Firefox の DoH デフォルト化構想は合理的とはいいがたい • public DNS を使うのであれば、平文 DNS は安全ではない • 対応していれば、DoT/DoH を推奨 • Chrome の「DoH に対応している public DNS を使うときは自動的に DoH にな る」という動作は理にかなっている
None
DoT/DoH のユースケース: 現在 • (単に、新しもの好きで使ってみたい、というケースのほかに) • 自動設定されるキャッシュ DNS が信頼できないとき、かわりに public
DNS を利用する • 公衆 wifi とかホテルの客室インターネットとか • ISP のキャッシュ DNS が意に反するブロッキングをやってるとか • public DNS への途中経路での中間者攻撃を回避 → DoT/DoH
DoT/DoH のユースケース: 将来 • ぜんぶ DoT/DoH でいいんじゃね? • 組織内部に閉じた通信かどうかを気にして telnet/rsh
と ssh を使い分けたり はしない • 同じように DNS も使い分けしない方向になるのではないか • 課題: DoT/DoH の自動設定の仕組みがない • ネットワーク管理者が DoT/DoH の設定を配れない • 標準化に向けた議論ははじまっている • android や firefox は独自の自動設定の仕組みを実装している • 標準化(とその普及)の妨げにならないか?
そもそもキャッシュ DNS は信頼できるのか? • DoT/DoH でもキャッシュが正しいことは担保できない • 要 DNSSEC だがほとんど使われていない
• ◦◦◦や×××なことをしちゃうようなキャッシュ DNS サーバとか • 応答を勝手に書き換えるとか • クエリ情報を集計して広告屋に売るとか • あやしげな野良 wifi で自動設定される DNS は何されるか予想もつかない • DoT/DoH を使えば◦◦◦や×××ができなくなる、わけではない • 暗号化は中間者攻撃対策だが、キャッシュ DNS は中間者ではない • キャッシュ DNS が◦◦◦や×××することには無力
public DNS がやってる◦◦◦や××× • Google • EDNS Client Subnet で権威サーバにクライアントのIPアドレスを通知
• 平文なので第三者から盗聴されうる • プライバシーポリシー上は、クエリ情報をさまざまな用途に利用できる • Quad9 • マルウェア配布ドメインのブロッキング • ブロッキングに必要な情報収集のために外部ベンダーにクエリ情報を提供 • IIJ • 児童ポルノブロッキング • Cloudflare • とくにつっこみどころなし
ISP の立場から • public DNS はほんとうに安全なのか? • 途中経路は DoT/DoH で安全になるが、サーバ上でのクエリの取り扱いは?
• 法規制の違いにより、日本では認められないような◦◦◦や×××も海外 事業者はできる(こともある) • このままだとユーザのクエリは public DNS にどんどん流出していく • Firefox はデフォルトで public DNS を利用する方針 • 「ISP の平文 DNS」と「海外超大手の暗号化 DNS」を比べると、多くのユーザ にとっては後者の方が安全な印象を受ける • クエリが流出するのを見過ごしていていいのか? • ISP の提供するキャッシュ DNS も DoT/DoH に対応して、ユーザの安心感を 高めるべきなのでは?
ISPから見たDoT/DoHの今後 • 現在は public DNS を安全に利用するためのプロトコル • 将来的には public DNS
にかぎらず、ISP が提供するキャッシュ DNS でも必要とされるのではないか • 実際に提供するかどうかはともかくとして、調査・検討は始めておく べき
蛇足 DoT/DoH で改竄は防げません DKIM 公開鍵その他認証に必要な情報を改竄されるのを防ぐために、 DNSSEC の署名と検証をお願いします