平均的なユーザーはDNSセキュリティを気にする必要がありますか?
Deniseは、OSとホームルーターのデフォルト設定を使用する平均的なユーザーです。彼女は、ブラウザーと電子メールクライアントがDNSを使用していることを知っています。私は、DNSプロトコルには組み込みのセキュリティがないと言ったので心配しています。
DNSを使用するときにデニスが彼女のプライバシーとセキュリティを高めるために取る必要がある賢明なセキュリティ対策はありますか?そしてこれらの対策は彼女を何から守るのですか?
例:ISPが提供するデフォルトのDNSサーバーから(たとえばOpenDNSに)切り替える必要がありますか?エンドユーザーとして、彼女は [〜#〜] dnssec [〜#〜] または DNSCurve を気にする必要がありますか? DNSCrypt を採用すべきか?彼女が常にHTTPS経由で閲覧している場合、DNS攻撃を心配する必要はありますか?他に考慮すべきことはありますか?
平均ユーザーは、私の意見では、DNS攻撃について何も考えるべきではありません。
第一に、それはそのような注意を必要とする規模では起こりません。フィッシング攻撃、ランサムウェア、およびパスワードの推測が蔓延している場合、ユーザーは、それらを防ぐために持っているほとんどのセキュリティの動機を費やすことは無制限に優れています。
第2に、悪意のあるDNSサーバーが関与する攻撃は、現実的には不正なアクセスポイントに接続していることを意味します。できるだけ多くの目的でTLSを使用している場合は、とにかくそのシナリオで実行できる被害の量を大幅に軽減できます。 TLSを通過しないものについては、問題はアプリケーションの開発者が一緒に行動することでよりよく解決され、ユーザーが別のものに切り替えるように促すことで解決される可能性は低いです。
つまり、実際には「すべてにTLSを使用する」ことになると私は本当に言います。これは、ユーザーを非常に多くの攻撃面から隔離し、率直に言って、この前面にまだホールドアウトがあることです。完璧ではありませんが、少なくともほとんどの攻撃シナリオの難易度を大幅に高め、ほとんどの非標的型攻撃を深刻に妨害します。
エンドユーザーとして、実際にはDNSSECを気にすることはできません。 DNSSECでは、ドメインの所有者が信頼できるネームサーバーをセットアップして、応答に署名する必要があります。 DNSSECを使用して、DNSSECをサポートしないドメインを保護することはできません。
一方、DNSCurveは、マシンと信頼できる再帰ネームサーバーの間のDNSクエリを保護するように設計されています。 DNSCurve脅威モデルは、接続しようとしている再帰的なネームサーバーが不正になる可能性に実際には対応していません。
では、平均的なユーザーとして、あなたは何をすべきでしょうか?
- 信頼できるオペレーターが操作するDNSSEC検証再帰ネームサーバーをマシン/ルーターにポイントする必要があります。
- DNSCurveでこの信頼されたネームサーバーに接続する必要があります。
- 悪意または無能のために、再帰的なネームサーバーが信頼に値しないことが判明した場合、名前解決が失敗する可能性があることに注意してください
エンゲージメントの最初のルールは、VPNを使用せずにパブリックDNSを使用しないことです。それ以外は、誤った安心感を与えるだけです。
TLS mayこれを緩和し、プレーンHTTPよりもはるかに優れていますが、暗号化されていないアクティビティがたくさんあります。
その上にVPN + dnscryptを使用して、DNSリークを防止します。
家では、私はさらに一歩進んで、dnscryptを使用して次のことを行います。
1)ISPがすべてのDNS要求を「メタデータ」として登録するという、実りのない結果を招かないようにします。
2)自分のDNSリクエストを傍受して変更しないようにします。
(私は実際にこれをやっています)。
さらに一歩進んで、VPNオンデマンドを定義するWindowsのMacでVPNプロビジョニングルールを使用して、VPN接続が切断されないようにし、現在の接続が突然(一部)リークして、通常の接続。
DNSリクエストについてさらにコメントします。平文でDNSを使用すると、問題が生じます。例として、私たちの企業VPNでは、DNSサーバー(固定DNS構成を持つ人々)のDNS要求をインターセプトし、内部サイトを解決できないというトラブルチケットを減らすために、DNSにリダイレクトします。パブリックwifi缶/不正なwifiスポットは同じことができます。