DNS over TLSとは何ですか?
Webトラフィックの暗号化に関して、ここ数年で多くの話題が出ていることは既に知っています。 あまり注意を払っていない場合でも、URLの近くに緑色のロックが入り込み、HTTPSが至る所にポップアップすることに気づかなければなりません。 これは、これまで以上に多くのサイトがトラフィックを暗号化しているためです。
Webトラフィックを暗号化すると、サイトとそれを訪れる人々の両方が保護されます。 攻撃者は、コンピューターとWebサイトの間を通過する暗号化されたトラフィックを簡単にスパイすることはできません。これにより、ログイン情報やユーザーが送信するその他の情報を安全に保ちます。
HTTPSを使用して暗号化されない部分、DNSクエリがあります。 慣れていない場合、Webサイトは実際にはIPアドレスに存在します。 サイトのURLをパンチインすると、そのURLがどのIPアドレスに属しているかをDNSサーバーに要求します。 多くの場合、そのDNSサーバーはISPに属します。 そのため、彼らと、聴いているかもしれない他の誰でも、あなたがどのサイトに行くのかを確認し、それらを記録することができます。 DNSはデフォルトでは暗号化されていないため、あらゆる種類のサードパーティがDNSクエリを監視するのは非常に簡単です。
DNS Over TLSは、HTTPSからDNSへのクエリで予想されるものと同じタイプの暗号化をもたらします。 そのため、クエリとアクセスしているサイトに関するデータを受け取るのは、選択したDNSサーバーのみであり、選択することができます。 ISPのDNSを使用する必要はありません。使用すべきではありません。
何ができる?
DNS over TLSのサポートはまだHTTPSほど成熟していませんが、セットアップして使用するのに十分簡単です。 DNSトラフィックを保護するために使用できる多くのオプションがあります。 まず、適切に構成されたVPNを使用することで既に保護されていることに注意してください。 DNSトラフィックは、VPNを介してプロバイダーのDNSサーバーにトンネリングされます。 すでにVPNを使用している場合は、心配する必要はありませんが、必要に応じて追加の保護を設定できます。
VPNを使用していない場合でも、DNS over TLSを使用してDNSトラフィックを暗号化できます。 DNSクエリを自動的に暗号化し、TLS over DNSを処理できるDNSサーバーにルーティングする、Stubbyと呼ばれる優れたオープンソースプロジェクトがあります。 このプロジェクトはオープンソースであるため、Windows、Mac、Linuxで自由に利用できます。
スタブビーをセットアップする
窓
Stubbyには、Stubbyをデフォルトの構成ファイルと共にインストールする便利なWindows .msiインストーラーがあります。 インストーラーページに移動して、Windows .msiインストーラーをダウンロードします。
入手したら、インストーラーを実行します。 グラフィカルなセットアップウィザードなどはありません。 インストーラーにアクセス権を付与していることを確認するだけです。 残りは処理します。
WindowsでのStubbyのすべては次の場所にあります。
C:Program FilesStubby
これには、YAML構成ファイルが含まれます。
コマンドプロンプトを開きます。 Runを使用して、cmdと入力できます。 Stubbyディレクトリに移動します。 次に、.exeを実行して構成を渡し、Stubbyを開始します。
C:UsersUserNamecd C:Program FilesStubby
C:Program FilesStubbystubby.exe -C stubby.yml
Stubbyがシステムで実行されます。 テストする場合は、次のコマンドを実行して、正しく実行されているかどうかを確認します。
C:Program FilesStubbygetdns_query -s @ 127.0.0.1 www.google.com
それが機能する場合、Stubbyは正しくセットアップされています。 ここで、Stubbyが使用するDNSサーバーを変更する場合は、stubby.ymlを開き、選択したサーバーに一致するようにDNSサーバーエントリを変更します。 選択したサーバーがDNS over TLSをサポートしていることを確認してください。
Stubbyシステム全体を使用する前に、Windowsのアップストリームリゾルバ(DNSサーバー)を変更する必要があります。 そのためには、管理者権限でコマンドを実行する必要があります。 既存のコマンドプロンプトウィンドウを閉じます。 次に、スタートメニューに戻り、「cmd」を検索します。 それを右クリックして、「管理者として実行」を選択します。結果のウィンドウで、次を実行します。
PowerShell -ExecutionPolicy bypass -file "C:Program FilesStubbystubby_setdns_windows.ps1"
変更を永続的にすることができない場合、これはどれも非常に良いことではありません。 そのためには、起動時に実行されるスケジュールされたタスクを作成する必要があります。 ありがたいことに、Stubby開発者はそのためのテンプレートを提供しました。 実行中のコマンドプロンプトウィンドウで、変更を永続的にします。
schtasks / create / tn Stubby / XML "C:Program FilesStubbystubby.xml" / RU それで全部です! これで、Windows PCはStubbyを使用してTLS経由でDNSを送信するように構成されました。 Linuxでは、このプロセスは非常に簡単です。 UbuntuベースのディストリビューションとDebianベースのディストリビューションの両方で、リポジトリですでにStubbyを利用できます。 それをインストールし、Stubbyを使用するようにDNSを変更するだけです。 Stubbyをインストールすることから始めます $ sudo apt install stubby
次に、選択した場合、Stubby構成ファイルを編集します。 /etc/stubby/stubby.ymlで入手できます。 sudoを使用して、お気に入りのテキストエディターで開きます。 DNSサーバーに変更を加えた場合は、Stubbyを再起動します。 $ sudo systemctl restart stubby
また、/ etc / resolv.confのネームサーバーエントリを変更する必要があります。 テキストエディタとsudoでも開きます。 以下のような単一のエントリを作成します。 ネームサーバー127.0.0.1
次に、Stubbyが機能していることをテストします。 dnsleaktest.comにアクセスして、テストを実行します。 Stubbyを使用するように構成したサーバーが表示される場合、コンピューターはStubbyを正常に実行しています。 OSXでのStubbyのセットアップも非常に簡単です。 Homebrewを使用している場合、プロセスは非常に単純ですが、それ以外の場合もかなり簡単です。 Hombrewを使用すると、Stubbyパッケージをインストールできます。 $ brew install stubby
Stubbyをサービスとして起動する前に、/ usr / local / etc / stubby / stubby.ymlでYAML設定を変更できます。 物事に満足したら、Stubbyをサービスとして起動できます。 $ sudo brew services start stubby
Homebrewがない場合は、Stubby GUIをインストールできます。 ここから入手できます。 DNS over TLSは勢いを増し始めています。 すぐに、それは当たり前になります。 それまでは、Stubbyのようなセットアップとプログラムが必要です。 ただし、設定するのはそれほど難しくありません。 近い将来、GoogleがAndroidでデフォルトでサポートを含むようになると、TLS over DNSのサポートが大きく前進するでしょう。 その結果、AppleがiOSのサポートをフォローするのは時間の問題に過ぎないはずです。 デスクトッププラットフォームは、おそらくそれほど遅れることはありません。 繰り返しますが、彼らはすでにサポートを受けており、あなたはそれを有効にしました。Linux
OSX
おわりに
