A14_Future of DNS DoH / DoT_3

54b2edd392fad51a4876ccf5b7dc65fe?s=47 JPAAWG_2nd_General_Meeting
November 15, 2019
0
76

A14_Future of DNS DoH / DoT_3

54b2edd392fad51a4876ccf5b7dc65fe?s=128

JPAAWG_2nd_General_Meeting

November 15, 2019
Tweet

Want more?

54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
150
54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
67
54b2edd392fad51a4876ccf5b7dc65fe?s=48 jpaawg
0
130
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
1
130
A9a491b0fcbe0fbce3d64063a37add99?s=48 rmw
1
67
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
0
67
61857dafbd287b3027c4dcea9008ad3c?s=48 carmenhchung
4
130
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
3
150
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
2
220
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
2
410
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
1
110
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
4
200

Transcript

  1. 1.

    ISPから見たDoT/DoHの今後 山口崇徳@IIJ 2019/11/15 JPAAWG 2nd

  2. 2.

    IIJ とは • ISP とかやってる会社 • IIJ Public DNSサービスとかいうのも始めました •

    2019/05/08 リリース(ベータ) • https://public.dns.iij.jp/ • DoT/DoH(だけ)をサポートする public DNS サービス • 53番ポートの従来の DNS は使えません • ISP でもあり、public DNS サービス事業者でもある
  3. 3.

    従来の DNS • (ほぼ) UDP で、平文 • UDP なので、パケット偽造されうる •

    平文なので、中間者から盗聴されうる ユーザ キャッシュDNS cleartext
  4. 4.

    DNS over TLS/HTTPS • TLS or HTTPS で暗号化 • (ユーザとキャッシュDNSの間の)機密性、完全性の保証

    • キャッシュDNSと権威DNSの間のことについては関知しない • キャッシュDNSの持っている情報が改竄されていないことの保証がないので、 実質的には DoT/DoH に完全性はない ユーザ キャッシュDNS TLS/HTTPS
  5. 5.

    ユーザ キャッシュDNS 盗聴者 ISP のキャッシュ DNS • ユーザとキャッシュ DNS は同一ネットワーク内

    • 中間者攻撃は困難 • 平文でも盗聴の危険は小さい
  6. 6.

    盗聴者 public DNS ユーザ キャッシュDNS • 複数のネットワークを経由する • 経路上の中間者が脅威に

  7. 7.

    平文 DNS は危険なのか? • ISP で自動設定されるキャッシュ DNS を使うのであれば、従来の平 文 DNS

    でも盗聴の危険は小さい • ISP のネットワークに入る手前で盗聴される可能性はある • ユーザ宅内の wifi 区間など • Firefox の DoH デフォルト化構想は合理的とはいいがたい • public DNS を使うのであれば、平文 DNS は安全ではない • 対応していれば、DoT/DoH を推奨 • Chrome の「DoH に対応している public DNS を使うときは自動的に DoH にな る」という動作は理にかなっている
  8. 8.
    None
  9. 9.

    DoT/DoH のユースケース: 現在 • (単に、新しもの好きで使ってみたい、というケースのほかに) • 自動設定されるキャッシュ DNS が信頼できないとき、かわりに public

    DNS を利用する • 公衆 wifi とかホテルの客室インターネットとか • ISP のキャッシュ DNS が意に反するブロッキングをやってるとか • public DNS への途中経路での中間者攻撃を回避 → DoT/DoH
  10. 10.

    DoT/DoH のユースケース: 将来 • ぜんぶ DoT/DoH でいいんじゃね? • 組織内部に閉じた通信かどうかを気にして telnet/rsh

    と ssh を使い分けたり はしない • 同じように DNS も使い分けしない方向になるのではないか • 課題: DoT/DoH の自動設定の仕組みがない • ネットワーク管理者が DoT/DoH の設定を配れない • 標準化に向けた議論ははじまっている • android や firefox は独自の自動設定の仕組みを実装している • 標準化(とその普及)の妨げにならないか?
  11. 11.

    そもそもキャッシュ DNS は信頼できるのか? • DoT/DoH でもキャッシュが正しいことは担保できない • 要 DNSSEC だがほとんど使われていない

    • ◦◦◦や×××なことをしちゃうようなキャッシュ DNS サーバとか • 応答を勝手に書き換えるとか • クエリ情報を集計して広告屋に売るとか • あやしげな野良 wifi で自動設定される DNS は何されるか予想もつかない • DoT/DoH を使えば◦◦◦や×××ができなくなる、わけではない • 暗号化は中間者攻撃対策だが、キャッシュ DNS は中間者ではない • キャッシュ DNS が◦◦◦や×××することには無力
  12. 12.

    public DNS がやってる◦◦◦や××× • Google • EDNS Client Subnet で権威サーバにクライアントのIPアドレスを通知

    • 平文なので第三者から盗聴されうる • プライバシーポリシー上は、クエリ情報をさまざまな用途に利用できる • Quad9 • マルウェア配布ドメインのブロッキング • ブロッキングに必要な情報収集のために外部ベンダーにクエリ情報を提供 • IIJ • 児童ポルノブロッキング • Cloudflare • とくにつっこみどころなし
  13. 13.

    ISP の立場から • public DNS はほんとうに安全なのか? • 途中経路は DoT/DoH で安全になるが、サーバ上でのクエリの取り扱いは?

    • 法規制の違いにより、日本では認められないような◦◦◦や×××も海外 事業者はできる(こともある) • このままだとユーザのクエリは public DNS にどんどん流出していく • Firefox はデフォルトで public DNS を利用する方針 • 「ISP の平文 DNS」と「海外超大手の暗号化 DNS」を比べると、多くのユーザ にとっては後者の方が安全な印象を受ける • クエリが流出するのを見過ごしていていいのか? • ISP の提供するキャッシュ DNS も DoT/DoH に対応して、ユーザの安心感を 高めるべきなのでは?
  14. 14.

    ISPから見たDoT/DoHの今後 • 現在は public DNS を安全に利用するためのプロトコル • 将来的には public DNS

    にかぎらず、ISP が提供するキャッシュ DNS でも必要とされるのではないか • 実際に提供するかどうかはともかくとして、調査・検討は始めておく べき
  15. 15.

    蛇足 DoT/DoH で改竄は防げません DKIM 公開鍵その他認証に必要な情報を改竄されるのを防ぐために、 DNSSEC の署名と検証をお願いします