キャッシュDNSで担保するセキュリティ
DNSって名前解決のプロトコルですが、結構DNSによって施すセキュリティ施策でクライアント側のセキュリティをある程度担保することが出来たりします。一例として、今回はQuad9を使ってみることにしました。
Public DNSとしては、Google社のPublic DNSが有名(8.8.8.8/4.4.4.4)ですが、外にも色んな所がPublic DNSを提供しています。
Public DNSの例
Public DNSの例としてはこんなものが有りますかね。
- Google Public DNS(8.8.8.8/4.4.4.4)
- Verisign Public DNS(64.6.64.6/64.6.65.6)
- Open DNS(208.67.222.222/208.67.220.220)
そんな中、こんな記事を目にしました。
Quad9とは
Quad9をリリースしているのは、Global Cyber Allianceと言う非営利団体です。ニューヨーク郡管轄地区弁護士事務所、ロンドン市警察、CIS (Center for Internet Security)により設立された団体のようです。
このQuad9はPublic DNSの一種で、IPアドレスは9.9.9.9。確かにQuad9と言う名にふさわしいIPアドレスが定義されてます。Quad9を紹介しているウェブサイトでそのアーキテクチャについて記載がなされています。
Quad9自体は、IBM, Packet Clearing, Global Cyber Allianceの3者が合同で開発したもののようで、これに加えて悪性ドメインデータベースには様々なパートナーベンダのデータベースも統合されているようです。
使い方
使い方は単純で、キャッシュDNSのフォワード先に「9.9.9.9」を指定するだけです。後は各クライアントが内部DNSとして通常の内部キャッシュDNSを指定していれば、キャッシュDNSは外部に対する名前解決をQuad9に対して行うことになります。
効果の確認
試しにフォワード先をQuad9にした状態で以下のリストに掲載されているドメイン名解決を試みてみました。
Zeustracker.abuse.ch登録FQDNへの名前解決
■Google Public DNSでの名前解決 C:\WINDOWS\system32>nslookup ivansaru.418.com1.ru 8.8.8.8 サーバー: google-public-dns-a.google.com Address: 8.8.8.8 権限のない回答: 名前: ivansaru.418.com1.ru Addresses: 2a03:4900:0:6037:80:78:250:26 80.78.250.26 ■Verisign Public DNSでの名前解決 C:\WINDOWS\system32>nslookup ivansaru.418.com1.ru 64.6.64.6 サーバー: recpubns1.nstld.net Address: 64.6.64.6 権限のない回答: 名前: ivansaru.418.com1.ru Addresses: 2a03:4900:0:6037:80:78:250:26 80.78.250.26 ■Quad9での名前解決 C:\WINDOWS\system32>nslookup ivansaru.418.com1.ru サーバー: kome.bluecore.net Address: 192.168.***.*** *** kome.bluecore.net が ivansaru.418.com1.ru を見つけられません: Non-existent domain C:\WINDOWS\system32>
お、確かに該当ドメインの名前解決ができなくなってますね。
全面的な信頼を置くのは難しいけれど
正直、キャッシュDNSを活用したこうしたセキュリティ施策は有効ですが、DBの更新が追いつかない場合は悪質サイトを通す可能性もあり、これで万全!と全面的な信頼を置くのは正直難しいと思います。
が、こうした施策を通じて最低限のセキュリティは保つことが出来るのかなーとも思われ、なおかつ簡単に実装できるものなので、こうした活用は重要なのかなーと思います。今後、色んな所からPublic DNSの提供が行われると思いますが、こうしたPublic DNSの汚染による工芸なんかもあったりすることから、よりセキュリティを意識したPublic DNSの活用がじつは大事なのかもしれません。
プロバイダ提供のDNSもここ最近では、こうした意識を持って構成していることが有り、実家のキャッシュDNSではクエリログでエラーがちょいちょい出たりはしていました。プロバイダによっては結構セキュリティを意識したところがあるんだなぁ・・・と感じます。
我が家では取り敢えず、両環境のキャッシュDNSのフォワーダをQuad9にしてみました。また、Active DirectoryサーバのWindows DNSに対しても最優先フォワーダをQuad9にしてみました(セカンダリ以降はVerisign Public DNS)。果たして挙動にどう影響するのか・・・
Comments are closed