Submit Search
Upload
DNS Security - DoT/DoH の現状
•
Download as PPTX, PDF
•
3 likes
•
554 views
彰 村地
Follow
2020年5月23日オンライン開催の .NET ラボ勉強会での発表資料です。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 29
Download now
Recommended
Process Monitor の使い方
Process Monitor の使い方
彰 村地
Windows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれ
彰 村地
Windows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャー
彰 村地
Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策
彰 村地
Internet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないこと
彰 村地
How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725
彰 村地
(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法
彰 村地
見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを
彰 村地
Recommended
Process Monitor の使い方
Process Monitor の使い方
彰 村地
Windows クライアントのトラブルシューティングあれこれ
Windows クライアントのトラブルシューティングあれこれ
彰 村地
Windows 365 のテクノロジーとインフラストラクチャー
Windows 365 のテクノロジーとインフラストラクチャー
彰 村地
Windows 11 がやってくる - IT管理者の準備と対策
Windows 11 がやってくる - IT管理者の準備と対策
彰 村地
Internet Explorer サポート提供終了で変わること変わらないこと
Internet Explorer サポート提供終了で変わること変わらないこと
彰 村地
How tousemicrosoftsearch 20200725
How tousemicrosoftsearch 20200725
彰 村地
(管理者向け) Microsoft Edge の展開と管理の手法
(管理者向け) Microsoft Edge の展開と管理の手法
彰 村地
見せてもらおうか、新しい Microsoft Edge の性能とやらを
見せてもらおうか、新しい Microsoft Edge の性能とやらを
彰 村地
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
彰 村地
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション
彰 村地
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門
彰 村地
Web standard 2019_0216
Web standard 2019_0216
彰 村地
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
彰 村地
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
彰 村地
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
彰 村地
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
HTML はネットワークをいかに変えてきたか
HTML はネットワークをいかに変えてきたか
彰 村地
Message Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャー
彰 村地
Message Analyzer 再入門【2】
Message Analyzer 再入門【2】
彰 村地
Message Analyzer 再入門【1】
Message Analyzer 再入門【1】
彰 村地
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
彰 村地
Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
彰 村地
Win10Pcap を使って見る
Win10Pcap を使って見る
彰 村地
Windows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャ
彰 村地
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう
彰 村地
目視パケット解析入門
目視パケット解析入門
彰 村地
About Project Spartan
About Project Spartan
彰 村地
Wireshark入門(4)
Wireshark入門(4)
彰 村地
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
More Related Content
More from 彰 村地
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
彰 村地
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション
彰 村地
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門
彰 村地
Web standard 2019_0216
Web standard 2019_0216
彰 村地
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
彰 村地
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
彰 村地
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
彰 村地
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
HTML はネットワークをいかに変えてきたか
HTML はネットワークをいかに変えてきたか
彰 村地
Message Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャー
彰 村地
Message Analyzer 再入門【2】
Message Analyzer 再入門【2】
彰 村地
Message Analyzer 再入門【1】
Message Analyzer 再入門【1】
彰 村地
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
彰 村地
Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
彰 村地
Win10Pcap を使って見る
Win10Pcap を使って見る
彰 村地
Windows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャ
彰 村地
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう
彰 村地
目視パケット解析入門
目視パケット解析入門
彰 村地
About Project Spartan
About Project Spartan
彰 村地
Wireshark入門(4)
Wireshark入門(4)
彰 村地
More from 彰 村地
(20)
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
Java で開発する Azure Web Apps アプリケーション
Java で開発する Azure Web Apps アプリケーション
O365 ユーザーのための Azure Storage 入門
O365 ユーザーのための Azure Storage 入門
Web standard 2019_0216
Web standard 2019_0216
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
HTML はネットワークをいかに変えてきたか
HTML はネットワークをいかに変えてきたか
Message Analyzer でパケット キャプチャー
Message Analyzer でパケット キャプチャー
Message Analyzer 再入門【2】
Message Analyzer 再入門【2】
Message Analyzer 再入門【1】
Message Analyzer 再入門【1】
Rmote Packet Capture Protocol を使って見る
Rmote Packet Capture Protocol を使って見る
Excel でパケット分析 - グラフ化
Excel でパケット分析 - グラフ化
Win10Pcap を使って見る
Win10Pcap を使って見る
Windows の標準コマンドでパケット キャプチャ
Windows の標準コマンドでパケット キャプチャ
EcmaScript 仕様書を読もう
EcmaScript 仕様書を読もう
目視パケット解析入門
目視パケット解析入門
About Project Spartan
About Project Spartan
Wireshark入門(4)
Wireshark入門(4)
Recently uploaded
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Recently uploaded
(11)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
DNS Security - DoT/DoH の現状
1.
DNS Security DNS and
privacy Windows will support DNS over HTTPS
2.
About me • Murachi
Akira aka hebikuzure ( 村地 彰 ) • 株式会社シーピーエス 代表 • 株式会社エクシードワン 技術フェロー • トレノケート株式会社パートナー講師 • 技術教育スペシャリスト • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 • Award Category: Windows and Device for IT 23 May 2020 ©Murachi Akira aka hebikuzure 2
3.
Agenda • DNS にセキュリティが求められる理由 •
DNS セキュリティの標準技術 • Windows による DoH の実装 23 May 2020 ©Murachi Akira aka hebikuzure 3
4.
DNS 23 May 2020
©Murachi Akira aka hebikuzure 4 権威 DNS サーバー jp co company www.company.co.jp キャッシュ DNS サーバーDNS クライアント Co ? company ? www ? • DNS クライアント :スタブ リゾルバ • キャッシュ DNS サーバー:フルサービス リゾルバ • 権威 DNS サーバー :コンテンツ サーバー
5.
DNS の何が危険か • アンセキュアな通信 •
通信内容が暗号化されていない=見放題 • サーバー検証がない • リクエストに応答を返したのは本当に正しいサーバーか? • エンティティ検証がない • 受け取ったレスポンスは本当にサーバーが送信した内容と同じか? • パブリックな DHCP ネットワークの DNS サーバーの信頼性 • Wi-fi の設置者は信頼・信用できるか? 23 May 2020 ©Murachi Akira aka hebikuzure 5
6.
セキュリティ:DNS スプーフィング • DNS
問い合わせに偽の応答を返す • ファーミング / フィッシング サイト / マルウエア配布サイトへの誘導 など • サーバー検証もエンティティ検証もされないので、クライアントは偽 の応答を見抜けない • 偽装の手法 • DNS キャッシュ ポイズニング • MITB (Man In The Middle) 23 May 2020 ©Murachi Akira aka hebikuzure 6
7.
プライバシー:アクセス情報収集 • ネットワーク上でクライアントの アクセス履歴が収集可能 •
アンセキュア(平文)の通信なのでネットワーク経路上で丸見え • ISP の DNS など信頼できる(と思われる)DNS だけ利用するこ とは困難 • すべての場所で「自前」のネットワークを利用するのは現実的でない • 公衆 Wi-Fi サービス、イベントや施設の提供するネットワークなど ⇒DHCPで提供される DNS は信頼できるのか? 23 May 2020 ©Murachi Akira aka hebikuzure 7
8.
DNS Security:サーバー間の保護 • DNSSEC •
権威サーバーからキャッシュ サーバーへの応答に電子署名を付ける • DNS エンティティの検証が可能 • DNSCurve • 権威サーバーとキャッシュ サーバーの通信を暗号化する • サーバー検証とエンティティの保護が可能 23 May 2020 ©Murachi Akira aka hebikuzure 8
9.
DNSSEC 23 May 2020
©Murachi Akira aka hebikuzure 9 署名 署名 署名 権威 DNS サーバー jp co company www.company.co.jp キャッシュ DNS サーバーDNS クライアント 署名付き回答
10.
DNSCurve 23 May 2020
©Murachi Akira aka hebikuzure 10 権威 DNS サーバー jp co company www.company.co.jp キャッシュ DNS サーバーDNS クライアント 暗号化
11.
実用化度合:サーバー間の保護 • DNSSEC • 実用化済み。普及はまだまだ(権威サーバーの数パーセント) •
DNSCurve • 実用化済み。普及は DNSSEC 以下 23 May 2020 ©Murachi Akira aka hebikuzure 11
12.
DNS Security –
クライアントの保護 • DoT (DNS Over TLS) • DNS クライアントとキャッシュ サーバー間の通信を TLS で暗号化する • サーバー検証とエンティティの保護が可能 • DoH (DNS Over HTTPS) • HTTP クライアントとキャッシュ サーバー間を HTTPS にカプセル化し て通信する • サーバー検証とエンティティの保護が可能 23 May 2020 ©Murachi Akira aka hebikuzure 12
13.
DNS over TLS 23
May 2020 ©Murachi Akira aka hebikuzure 13 権威 DNS サーバー jp co company www.company.co.jp キャッシュ DNS サーバーDNS クライアント 暗号化
14.
DNS over HTTPS
(OS 実装) 23 May 2020 ©Murachi Akira aka hebikuzure 14 権威 DNS サーバー jp co company www.company.co.jp キャッシュ DNS サーバーDNS クライアント 暗号化
15.
DNS over HTTPS
(Browser 実装) 23 May 2020 ©Murachi Akira aka hebikuzure 15 権威 DNS サーバー jp co company キャッシュ DNS サーバーDNS クライアント ブラウザー
16.
実用化度合:クライアントの保護 • DoT (DNS
Over TLS) • 一部のパブリック DNS が対応、クライアント実装も進む (ex. Android 9 and later) • DoH (DNS Over HTTPS) • 一部のパブリック DNS が対応、ブラウザー実装も進む (ex. Firefox, Chromium 系) • Windows がシステム DNS での対応を表明 Insider Preview で実験的機能として実装済み 23 May 2020 ©Murachi Akira aka hebikuzure 16
17.
23 May 2020
©Murachi Akira aka hebikuzure 17 Android 9 以降の「プライベート DNS」設定 • OFF: DoT を利用しない • 自動: 構成されている DNS サーバーに DoT を試し、 使えなければフォールバック • プライベート DNS プロバイダのホスト名: 指定した DNS サーバーに DoT で接続、 失敗してもフォールバックしない
18.
DoH のサポート手法いろいろ • Firefox •
DoH を有効にすると既定で DNS が Cloudflare に設定される • DNS は変更可能だがいずれかの DoH 対応 DNS の指定が必要 • Chromium (Chrome / Edge など) • DoH を有効にすると、システム設定 DNS に対して DoH での名前解決を 試みる • DoH で名前解決できなければ、通常のシステム設定 DNS 利用にフォー ルバックする • Windows • 後述 23 May 2020 ©Murachi Akira aka hebikuzure 18
19.
Firefox の DoH
設定 設定 ⇒一般 ⇒ネットワーク設定 ⇒接続設定 ⇒DNS over HTTPS を有効にする 23 May 2020 ©Murachi Akira aka hebikuzure 19
20.
Chrome の DoH
設定 chrome://flags/#dns-over-https ⇒Secure DNS lookups ⇒ Enabled Edge の DoH 設定 edge://flags/#dns-over-https ⇒Secure DNS lookups ⇒ Enabled 23 May 2020 ©Murachi Akira aka hebikuzure 20
21.
Windows の DoH
サポート • 2019年11月17日に DoH 対応を表明 • Windows will improve user privacy with DNS over HTTPS https://techcommunity.microsoft.com/t5/networking-blog/windows-will- improve-user-privacy-with-dns-over-https/ba-p/1014229 • 2020年5月13日に Insider Preview での実装を公開 • Windows Insiders can now test DNS over HTTPS https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders- can-now-test-dns-over-https/ba-p/1381282 23 May 2020 ©Murachi Akira aka hebikuzure 21
22.
Windows による DoH
サポート • すべてのアプリケーションにセキュリティで保護された DNS を 提供する • アプリケーション(ブラウザー)ごとの DoH 設定の手間と混乱 を防ぐ • 既存の DNS 設定やアプリケーションを壊さない • DoH が有効にされても既存の DNS 設定の方法や手段に変化をもたらさ ない(アダプタのプロパティ、DHCP、RA、NRPT、etc) • DoH が有効にされても DNS クライアントの利用方法に変化をもたらさ ない(API レベルでの互換性) 23 May 2020 ©Murachi Akira aka hebikuzure 22
23.
Windows の実装スケジュール • Windows
Insider の Fast Ring に実験機能として提供済み • Insider Build で十分なテストを行ったうえでリリース • リリース時期は未定 23 May 2020 ©Murachi Akira aka hebikuzure 23
24.
Insider Build での
DoH の動作 • レジストリ設定で有効化 • HKLMSYSTEMCurrentControlSetServicesDnscacheParameters • 名前:EnableAutoDoh (DWORD) 、値:2 ※このキーはテスト期間のみ有効 • 既知の DoH 対応パブリック DNS の IP アドレスを保持 • 設定済み DNS の IP アドレスが既知のリストと合致したら DoH で DNS にアクセス 23 May 2020 ©Murachi Akira aka hebikuzure 24
25.
既知の DoH 対応パブリック
DNS リスト Server Owner Server IP addresses Cloudflare 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 Google 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 Quad9 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 23 May 2020 ©Murachi Akira aka hebikuzure 25 https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders-can-now-test-dns-over-https/ba-p/1381282# から引用
26.
おまけの Tips • Windows
の DNS Client サービスは DNS スタブ リゾルバではなく DNS キャッシュ サービス • DNS API は DNS Client の API なので、クライアントにキャッシュ されているドメインはリゾルバを呼び出さず応答される • nslookup コマンドは直接リゾルバを叩く(DNS Client を使わな い) • そのため nslookup は有効にされていても DoH を使わない • PowerShwll の Resolve-DnsName コマンドレットは DNS Client を 利用するので、DoH の動作確認はこちらで 23 May 2020 ©Murachi Akira aka hebikuzure 26
27.
23 May 2020
©Murachi Akira aka hebikuzure 27
28.
まとめ • DNS にもセキュリティを •
クライアントでの DNS セキュリティは DoT と DoH • Windows は DoH を実装する 23 May 2020 ©Murachi Akira aka hebikuzure 28
29.
23 May 2020
©Murachi Akira aka hebikuzure 29
Download now