「public DNS とプライバシー」 janog.gr.jp/meeting/janog4… #janog #janog_3F_A
2020-01-23 13:30:42山口さん:みなさん、最近、メディアとかで Public DNS というのを目にするかと。プライバシーの面からのお話を。 #janog #janog_3F_A
2020-01-23 13:31:12ランチでお隣の方からのめっちゃエモい話:「janog来て、ボーダーレスに語ることが大事だなと感じた。企業に閉じて利益追求ばかりしていると日本のxxx業界で世界と戦う、みたいなことが出来ないから、国内同業者でうまく"連合"したい。そういう気持ちになった」 #janog
2020-01-23 13:32:11山口さん:DNS とプライバシー: ・昔、DNS は公開情報でした →情報が改ざんされないことを重視 ・スノーデン →DNS も監視されていた ・DNS に限らず、いろいろなプロトコルで「暗号化」が進む →IETF #janog #janog_3F_A
2020-01-23 13:32:33・DNSも、公開情報であるとはいえ、どんな情報を欲しがっているかは個人のプライバシー #janog #janog_3F_A
2020-01-23 13:33:01山口さん:暗号化DNSのスコープ: ・スタブリゾルバ ↑DoH/DoT が扱うのはこの部分だけ ・フルリゾルバ ↑DoH/DoT では扱わない ・権威サーバー 機密性だけを保証しており完全性は保証しない。 DNSSEC は完全性のみ。 #janog #janog_3F_A
2020-01-23 13:35:00最初はEquinix丸野さんから。PublicCloudとvmwareとのハイブリッドクラウドを。クラウドと向き合ったとき、まずネットワーク図がわかりづらい。クラウド知らない人が図を見ても理解しづらい。ハイブリッドだと接続性や経路などの表現が理解しづらい。対NW屋も。 #janog #janog_6f
2020-01-23 13:35:42山口さん:主な Public DNS: ・日本で使われているものは? ・Google Public DNS ・Quad9 ・CloudFlare ・IIJ Public DNS ・OpenDNS など #janog #janog_3F_A
2020-01-23 13:35:44山口さん:ISPのフルリゾルバ: ・ユーザーとフルリゾルバは同一ネットワーク内 ・中間者攻撃は困難 ・平分でも盗聴の危険性は低い #janog #janog_3F_A
2020-01-23 13:36:32山口さん:平文DNSは危険なのか?: ・ISPで自動設定されるフルリゾルバを使うのであれば、従来の平文DNSでも盗聴の危険性は低い ・Public DNS を使うのであれば、平文DNSは安全ではない #janog #janog_3F_A
2020-01-23 13:37:28構成図の書き方にルールを設けることで回避。正確で、クラウドとの接続が分かりやすいものを狙う。いわゆる論理NW図の棒線で。 #janog #janog_6f
2020-01-23 13:37:34山口さん:DoH/DoT のユースケース: ・自動設定されるフルリゾルバが信頼できないとき、代わりに Public DNS を使う ・Public DNS への途中経路での中間者攻撃を回避 → DoH/DoT #janog #janog_3F_A
2020-01-23 13:38:31山口さん:ISP でも DoH/DoT をやれば?: ・やりたくても、設定をユーザーに配る仕組みがない →ユーザーには手動での設定が必要 ・Public DNS を使う場合も手動での設定が必要 #janog #janog_3F_A
2020-01-23 13:39:40【札幌】JANOGの展示ブースでは、石狩データセンターの内部をOculus Goでご覧いただくデモもやっています!5階展示会場にお越しください! #janog pic.twitter.com/LW39KVCj3c
2020-01-23 13:39:46山口さん:従来のDNSでユーザートラッキング: ・IPアドレスだけ →NAT の向こうにいるものはわからない #janog #janog_3F_A
2020-01-23 13:40:19確かにクラウドの構成図だとネットワークは極限まで抽象化されるよなぁ。ネットインフラ屋さんには逆に混乱するのもわかる。 #janog #janog_6f
2020-01-23 13:41:06山口さん:DoH/DoTでユーザートラッキング: ・セッションを持つので、ユーザーを区別できる ・セッション再開もできるので、IPアドレスが変わってもユーザーを識別し続けることができる →ある程度は #janog #janog_3F_A
2020-01-23 13:41:39・DoH/DoT では HTTP にリクエストヘッダーがある →いろんな情報を取得できる #janog #janog_3F_A
2020-01-23 13:41:40山口さん:フルリゾルバとしては、暗号化したほうがむしろ、ユーザの情報を得やすい #janog #janog_3F_A
2020-01-23 13:42:00