JANOG45 Meeting Day 2 午後 #janog #janog_3F_A

3
Yoshikazu GOTO @goto_ipv6

山口さん:みなさん、最近、メディアとかで Public DNS というのを目にするかと。プライバシーの面からのお話を。 #janog #janog_3F_A

2020-01-23 13:31:12
Yoshikazu GOTO @goto_ipv6

山口さん:DNS とプライバシー: ・昔、DNS は公開情報でした →情報が改ざんされないことを重視 ・スノーデン →DNS も監視されていた ・DNS に限らず、いろいろなプロトコルで「暗号化」が進む →IETF #janog #janog_3F_A

2020-01-23 13:32:33
Yoshikazu GOTO @goto_ipv6

・DNSも、公開情報であるとはいえ、どんな情報を欲しがっているかは個人のプライバシー #janog #janog_3F_A

2020-01-23 13:33:01
Yoshikazu GOTO @goto_ipv6

山口さん:暗号化DNSのスコープ: ・スタブリゾルバ ↑DoH/DoT が扱うのはこの部分だけ ・フルリゾルバ ↑DoH/DoT では扱わない ・権威サーバー 機密性だけを保証しており完全性は保証しない。 DNSSEC は完全性のみ。 #janog #janog_3F_A

2020-01-23 13:35:00
Yoshikazu GOTO @goto_ipv6

山口さん:主な Public DNS: ・日本で使われているものは? ・Google Public DNS ・Quad9 ・CloudFlare ・IIJ Public DNS ・OpenDNS など #janog #janog_3F_A

2020-01-23 13:35:44
Yoshikazu GOTO @goto_ipv6

山口さん:ISPのフルリゾルバ: ・ユーザーとフルリゾルバは同一ネットワーク内 ・中間者攻撃は困難 ・平分でも盗聴の危険性は低い #janog #janog_3F_A

2020-01-23 13:36:32
Yoshikazu GOTO @goto_ipv6

山口さん:Public DNS: ・中間者攻撃が可能に #janog #janog_3F_A

2020-01-23 13:36:46
Yoshikazu GOTO @goto_ipv6

山口さん:平文DNSは危険なのか?: ・ISPで自動設定されるフルリゾルバを使うのであれば、従来の平文DNSでも盗聴の危険性は低い ・Public DNS を使うのであれば、平文DNSは安全ではない #janog #janog_3F_A

2020-01-23 13:37:28
Yoshikazu GOTO @goto_ipv6

山口さん:CloudFlare の経路がハイジャックされたり #janog #janog_3F_A

2020-01-23 13:37:41
Yoshikazu GOTO @goto_ipv6

山口さん:DoH/DoT のユースケース: ・自動設定されるフルリゾルバが信頼できないとき、代わりに Public DNS を使う ・Public DNS への途中経路での中間者攻撃を回避 → DoH/DoT #janog #janog_3F_A

2020-01-23 13:38:31
Yoshikazu GOTO @goto_ipv6

山口さん:ISP でも DoH/DoT をやれば?: ・やりたくても、設定をユーザーに配る仕組みがない →ユーザーには手動での設定が必要 ・Public DNS を使う場合も手動での設定が必要 #janog #janog_3F_A

2020-01-23 13:39:40
Yoshikazu GOTO @goto_ipv6

・では、一般的なユーザーとしては、後者を使うのでは?と #janog #janog_3F_A

2020-01-23 13:39:41
Yoshikazu GOTO @goto_ipv6

山口さん:従来のDNSでユーザートラッキング: ・IPアドレスだけ →NAT の向こうにいるものはわからない #janog #janog_3F_A

2020-01-23 13:40:19
Yoshikazu GOTO @goto_ipv6

山口さん:DoH/DoTでユーザートラッキング: ・セッションを持つので、ユーザーを区別できる ・セッション再開もできるので、IPアドレスが変わってもユーザーを識別し続けることができる →ある程度は #janog #janog_3F_A

2020-01-23 13:41:39
Yoshikazu GOTO @goto_ipv6

・DoH/DoT では HTTP にリクエストヘッダーがある →いろんな情報を取得できる #janog #janog_3F_A

2020-01-23 13:41:40
Yoshikazu GOTO @goto_ipv6

山口さん:フルリゾルバとしては、暗号化したほうがむしろ、ユーザの情報を得やすい #janog #janog_3F_A

2020-01-23 13:42:00
Yoshikazu GOTO @goto_ipv6

山口さん:そもそもフルリゾルバは信頼できるのか?: ・DoH/DoT でも、キャッシュされた情報の正しさは担保できない →担保するには DNSSEC が必要だが殆ど使われていない ・いろんなことをするフルリゾルバとか? #janog #janog_3F_A

2020-01-23 13:42:55
Yoshikazu GOTO @goto_ipv6

山口さん:Public DNS がやっているいろんなこと: ・Google →EDNS Client Subnet で権威サーバーにクライアントのIPアドレスを通知 ・Quad9 →マルウェア配布サイトのブロッキング #janog #janog_3F_A

2020-01-23 13:43:42
Yoshikazu GOTO @goto_ipv6

山口さん:EDNS Client Subnet: ・CDN さんが、一番近いエッジサーバーからコンテンツを配信したい →クライアントの IPアドレスを伝えてあげよう →/24 で丸めた情報を伝える #janog #janog_3F_A

2020-01-23 13:44:47
Yoshikazu GOTO @goto_ipv6

山口さん:Public DNS とプライバシー: ・膨大なプライバシーが Public DNS 事業者の手に #janog #janog_3F_A

2020-01-23 13:47:28
Yoshikazu GOTO @goto_ipv6

山口さん:ところで……: ・JANOG45 の会場で自動設定されるDNSですが… →Google Public DNS の IPアドレスが降ってくる ・JANOG 参加者は Google のプライバシーポリシーに同意している? #janog #janog_3F_A

2020-01-23 13:48:14
Yoshikazu GOTO @goto_ipv6

・もう少し考慮すべきでは…… #janog #janog_3F_A

2020-01-23 13:48:22
Yoshikazu GOTO @goto_ipv6

石田さん:ISPのフルリゾルバとプライバシー: ・エンドユーザーからのフルリゾルバの問い合わせも通信の秘密の対象 →コンセンサスが ・プライバシーの観点からも個々の問い合わせについての知得も行わない ・例外 →児童ポルノ #janog #janog_3F_A

2020-01-23 13:49:51
残りを読む(136)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?