私は、LAN上のDNSとしてPiholeを使用していますが、地球上のどこにいても、それを「グローバル」DNSサーバーとして使用しようとしています。
1つの解決策は、LANでVPNを使用し、piholeをそのVPNゲートウェイのデフォルトDNSとして設定することです。大丈夫ですが、何らかの理由で毎回VPNトンネルをマウントできない場合があります。
そこで、ホームルーターのポート53を開いて、トラフィックをpiholeサーバーにリダイレクトすることを考えていました。
DNSサーバーが見つかり、使用されているが、ボットネットなどが使用されている場合、意図せずにDDOSになることは別として、それを行うリスクは何ですか? Webをスキャンしている人が最終的にそのDNSサーバーを見つけて、いくつかの(悪い)理由でそれを使用するかもしれないと思いますが、結局私のLANは危険にさらされていますか?
DNSサーバーが見つかり、使用されているが、ボットネットなどが使用されている場合、意図せずにDDOSになることは別として、それを行うリスクは何ですか? Webをスキャンしている人が最終的にそのDNSサーバーを見つけて、いくつかの(悪い)理由でそれを使用するかもしれないと思いますが、結局私のLANは危険にさらされていますか?
理論的には、開いているポートがあると攻撃面が増加します。使用しているDNSソフトウェアに深刻な脆弱性が見つかると、LANが危険にさらされる可能性があります。
最大のリスクは、DNSサーバーが DNS増幅攻撃 の無意識の参加者になることです。また、ホーム接続が悪質なトラフィックで溢れ、飽和のために使用できなくなる可能性もあります。
不正使用を最小限に抑えるために、レート制限(RRL)を設定することもできます。 ここ は、たとえば、Bindでの実装方法です。
私がプライベートDNSサービスに対して通常行うことは、OpenVPNによって使用されるローカルインターフェース(tun0)のみをリッスンするようにリゾルバー(Unboundなど)を構成することです。したがって、VPNクライアントにのみ表示され、インターネット全体には公開されません。
したがって、最善の解決策はVPNを使用することです。これはすべての状況で便利ではないと述べましたが、次にできることはポートノッキングを設定することです。これは無名のセキュリティですが、このシナリオでは私には十分だと思われます。これが、コンセプトを説明する example です。ただし、ルーターがあるため、いくつかのポートを開く必要があります(定義するノッキングシーケンスで必要なポート)。
私が間違っている場合は修正してください。ただし、Piholeの doc を確認したところ、組み込みのDNS 'サーバー'はdnsmasq
であるという印象を持っているので、 GoogleやOpenDNSなどの上流サーバーにリクエストを送信するforwarderのみです。次に、これはBindやUnboundのような実際のリゾルバーではなく、利点はそれほど明白ではありません。
ただし、アンバインドでPi-holeを使用する方法について説明します。 Pi-holeを再帰DNSサーバーソリューションとして設定する