2020年5月23日オンライン開催の .NET ラボ勉強会での発表資料です。

1. DNS Security
DNS and privacy
Windows will support DNS over HTTPS

2. About me
• Murachi Akira aka hebikuzure ( 村地 彰 )
• 株式会社シーピーエス 代表
• 株式会社エクシードワン 技術フェロー
• トレノケート株式会社パートナー講師
• 技術教育スペシャリスト
• Microsoft MVP (Most Valuable Professional)
• Since Apr. 2011
• Award Category: Windows and Device for IT
23 May 2020 ©Murachi Akira aka hebikuzure 2

3. Agenda
• DNS にセキュリティが求められる理由
• DNS セキュリティの標準技術
• Windows による DoH の実装
23 May 2020 ©Murachi Akira aka hebikuzure 3

4. DNS
23 May 2020 ©Murachi Akira aka hebikuzure 4
権威 DNS サーバー
ｊｐ
co
company
www.company.co.jp
キャッシュ
DNS サーバーDNS クライアント
Co ?
company ?
www ?
• DNS クライアント ：スタブ リゾルバ
• キャッシュ DNS サーバー：フルサービス リゾルバ
• 権威 DNS サーバー ：コンテンツ サーバー

5. DNS の何が危険か
• アンセキュアな通信
• 通信内容が暗号化されていない＝見放題
• サーバー検証がない
• リクエストに応答を返したのは本当に正しいサーバーか？
• エンティティ検証がない
• 受け取ったレスポンスは本当にサーバーが送信した内容と同じか？
• パブリックな DHCP ネットワークの DNS サーバーの信頼性
• Wi-fi の設置者は信頼・信用できるか？
23 May 2020 ©Murachi Akira aka hebikuzure 5

6. セキュリティ：DNS スプーフィング
• DNS 問い合わせに偽の応答を返す
• ファーミング / フィッシング サイト / マルウエア配布サイトへの誘導
など
• サーバー検証もエンティティ検証もされないので、クライアントは偽
の応答を見抜けない
• 偽装の手法
• DNS キャッシュ ポイズニング
• MITB (Man In The Middle）
23 May 2020 ©Murachi Akira aka hebikuzure 6

7. プライバシー：アクセス情報収集
• ネットワーク上でクライアントの アクセス履歴が収集可能
• アンセキュア（平文）の通信なのでネットワーク経路上で丸見え
• ISP の DNS など信頼できる（と思われる）DNS だけ利用するこ
とは困難
• すべての場所で「自前」のネットワークを利用するのは現実的でない
• 公衆 Wi-Fi サービス、イベントや施設の提供するネットワークなど
⇒DHCPで提供される DNS は信頼できるのか？
23 May 2020 ©Murachi Akira aka hebikuzure 7

8. DNS Security：サーバー間の保護
• DNSSEC
• 権威サーバーからキャッシュ サーバーへの応答に電子署名を付ける
• DNS エンティティの検証が可能
• DNSCurve
• 権威サーバーとキャッシュ サーバーの通信を暗号化する
• サーバー検証とエンティティの保護が可能
23 May 2020 ©Murachi Akira aka hebikuzure 8

9. DNSSEC
23 May 2020 ©Murachi Akira aka hebikuzure 9
署名
署名
署名
権威 DNS サーバー
ｊｐ
co
company
www.company.co.jp
キャッシュ
DNS サーバーDNS クライアント
署名付き回答

10. DNSCurve
23 May 2020 ©Murachi Akira aka hebikuzure 10
権威 DNS サーバー
ｊｐ
co
company
www.company.co.jp
キャッシュ
DNS サーバーDNS クライアント
暗号化

11. 実用化度合：サーバー間の保護
• DNSSEC
• 実用化済み。普及はまだまだ（権威サーバーの数パーセント）
• DNSCurve
• 実用化済み。普及は DNSSEC 以下
23 May 2020 ©Murachi Akira aka hebikuzure 11

12. DNS Security – クライアントの保護
• DoT (DNS Over TLS)
• DNS クライアントとキャッシュ サーバー間の通信を TLS で暗号化する
• サーバー検証とエンティティの保護が可能
• DoH (DNS Over HTTPS)
• HTTP クライアントとキャッシュ サーバー間を HTTPS にカプセル化し
て通信する
• サーバー検証とエンティティの保護が可能
23 May 2020 ©Murachi Akira aka hebikuzure 12

13. DNS over TLS
23 May 2020 ©Murachi Akira aka hebikuzure 13
権威 DNS サーバー
ｊｐ
co
company
www.company.co.jp
キャッシュ
DNS サーバーDNS クライアント
暗号化

14. DNS over HTTPS (OS 実装)
23 May 2020 ©Murachi Akira aka hebikuzure 14
権威 DNS サーバー
ｊｐ
co
company
www.company.co.jp
キャッシュ
DNS サーバーDNS クライアント
暗号化

15. DNS over HTTPS (Browser 実装)
23 May 2020 ©Murachi Akira aka hebikuzure 15
権威 DNS サーバー
ｊｐ
co
company
キャッシュ
DNS サーバーDNS クライアント
ブラウザー

16. 実用化度合：クライアントの保護
• DoT (DNS Over TLS)
• 一部のパブリック DNS が対応、クライアント実装も進む
（ex. Android 9 and later)
• DoH (DNS Over HTTPS)
• 一部のパブリック DNS が対応、ブラウザー実装も進む
（ex. Firefox, Chromium 系）
• Windows がシステム DNS での対応を表明
Insider Preview で実験的機能として実装済み
23 May 2020 ©Murachi Akira aka hebikuzure 16

17. 23 May 2020 ©Murachi Akira aka hebikuzure 17
Android 9 以降の「プライベート DNS」設定
• OFF：
DoT を利用しない
• 自動：
構成されている DNS サーバーに DoT を試し、
使えなければフォールバック
• プライベート DNS プロバイダのホスト名：
指定した DNS サーバーに DoT で接続、
失敗してもフォールバックしない

18. DoH のサポート手法いろいろ
• Firefox
• DoH を有効にすると既定で DNS が Cloudflare に設定される
• DNS は変更可能だがいずれかの DoH 対応 DNS の指定が必要
• Chromium (Chrome / Edge など)
• DoH を有効にすると、システム設定 DNS に対して DoH での名前解決を
試みる
• DoH で名前解決できなければ、通常のシステム設定 DNS 利用にフォー
ルバックする
• Windows
• 後述
23 May 2020 ©Murachi Akira aka hebikuzure 18

19. Firefox の DoH 設定
設定
⇒一般
⇒ネットワーク設定
⇒接続設定
⇒DNS over HTTPS を有効にする
23 May 2020 ©Murachi Akira aka hebikuzure 19

20. Chrome の DoH 設定
chrome://flags/#dns-over-https
⇒Secure DNS lookups
⇒ Enabled
Edge の DoH 設定
edge://flags/#dns-over-https
⇒Secure DNS lookups
⇒ Enabled
23 May 2020 ©Murachi Akira aka hebikuzure 20

21. Windows の DoH サポート
• 2019年11月17日に DoH 対応を表明
• Windows will improve user privacy with DNS over HTTPS
https://techcommunity.microsoft.com/t5/networking-blog/windows-will-
improve-user-privacy-with-dns-over-https/ba-p/1014229
• 2020年5月13日に Insider Preview での実装を公開
• Windows Insiders can now test DNS over HTTPS
https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders-
can-now-test-dns-over-https/ba-p/1381282
23 May 2020 ©Murachi Akira aka hebikuzure 21

22. Windows による DoH サポート
• すべてのアプリケーションにセキュリティで保護された DNS を
提供する
• アプリケーション（ブラウザー）ごとの DoH 設定の手間と混乱
を防ぐ
• 既存の DNS 設定やアプリケーションを壊さない
• DoH が有効にされても既存の DNS 設定の方法や手段に変化をもたらさ
ない（アダプタのプロパティ、DHCP、RA、NRPT、etc）
• DoH が有効にされても DNS クライアントの利用方法に変化をもたらさ
ない（API レベルでの互換性）
23 May 2020 ©Murachi Akira aka hebikuzure 22

23. Windows の実装スケジュール
• Windows Insider の Fast Ring に実験機能として提供済み
• Insider Build で十分なテストを行ったうえでリリース
• リリース時期は未定
23 May 2020 ©Murachi Akira aka hebikuzure 23

24. Insider Build での DoH の動作
• レジストリ設定で有効化
• HKLMSYSTEMCurrentControlSetServicesDnscacheParameters
• 名前：EnableAutoDoh (DWORD) 、値：2
※このキーはテスト期間のみ有効
• 既知の DoH 対応パブリック DNS の IP アドレスを保持
• 設定済み DNS の IP アドレスが既知のリストと合致したら DoH
で DNS にアクセス
23 May 2020 ©Murachi Akira aka hebikuzure 24

25. 既知の DoH 対応パブリック DNS リスト
Server Owner Server IP addresses
Cloudflare
1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google
8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad9
9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9
23 May 2020 ©Murachi Akira aka hebikuzure 25
https://techcommunity.microsoft.com/t5/networking-blog/windows-insiders-can-now-test-dns-over-https/ba-p/1381282# から引用

26. おまけの Tips
• Windows の DNS Client サービスは DNS スタブ リゾルバではなく
DNS キャッシュ サービス
• DNS API は DNS Client の API なので、クライアントにキャッシュ
されているドメインはリゾルバを呼び出さず応答される
• nslookup コマンドは直接リゾルバを叩く（DNS Client を使わな
い）
• そのため nslookup は有効にされていても DoH を使わない
• PowerShwll の Resolve-DnsName コマンドレットは DNS Client を
利用するので、DoH の動作確認はこちらで
23 May 2020 ©Murachi Akira aka hebikuzure 26

27. 23 May 2020 ©Murachi Akira aka hebikuzure 27

28. まとめ
• DNS にもセキュリティを
• クライアントでの DNS セキュリティは DoT と DoH
• Windows は DoH を実装する
23 May 2020 ©Murachi Akira aka hebikuzure 28

29. 23 May 2020 ©Murachi Akira aka hebikuzure 29