web-dev-qa-db-ja.com

DNSを変更すると、ISPレベルでMITMを防止できますか?

数日前、カザフスタンのgov-tは、すべての(ほぼ)ISP上のすべてのhttpsトラフィックでgov-t署名付きSSL証明書の使用を強制する法律を通過させました。したがって、 https://google.com にアクセスすると、ブラウザは証明書が信頼できないことを警告し、証明書を手動で信頼またはインストールする必要があります。

つまり、gov-t発行の証明書を使用してトラフィックを暗号化し、ISPレベルで再度復号化してから、original(有効な)証明書によって暗号化されてから、送信されます。アクセスするWebサイトこれは基本的に、ISPがHTTPをずっと使用しているかのように、ISPがデータを好きなように処理できることを意味します。

私の知る限り、1つのソリューションは、信頼できるVPNサービスを使用することです。ただし、これにより、使用エクスペリエンスが大幅に低下し、VPNプロバイダーを信頼できるようになります(大部分は確認する必要がありません)。

だから私の質問は:DNSを変更して言うなら、1.1.1.1 by Cloudflare、それは私のISPが仲介者として振る舞うことを妨げますか?

編集:それが役に立たない場合、プライバシーを保護するために何ができますか?

2
qarbyz

DNSを変更すると、ISPレベルでのMITMの防止に役立ちますか?

つまり、DNSサーバーを変更するだけでは効果がない可能性が非常に高くなります。

ISPが顧客のトラフィックをリダイレクトまたはMITMするために使用する可能性のあるいくつかのテクノロジーがあります。

  • ISP提供のDNSサーバーが別のIPアドレスを返す
    これは、ほとんどのユーザーがISPのDNSサーバーを使用するという事実に依存しています。これは通常、特定のサイトをブラックリストに登録するために使用され、これを行うための安価なオプションです。大規模な(すべてのドメインの)MITMの場合、ドメインごとに異なるISP所有のIPアドレスを返すか、それらがTLS ClientHello(つまりSNI)のクリアテキストのホスト名であることを期待する必要があるため、うまく機能しません。
    これを回避する方法は、カスタムDNSサーバーを使用することです。
  • ISPは、ポート53(DNS)への発信トラフィックを独自のDNSサーバーにリダイレクトします。
    これは、ユーザーが独自のカスタムDNSサーバーを構成した場合でも、ブラックリストが実装されたISPのDNSサーバーが実施されるようにするために行われます。これは少し高価ですが、それでも十分に拡張できます。ただし、大規模MITMでも同じ問題があります。
    DNS over HTTPS(DoH)を使用することで回避できます。
  • ディープパケットインスペクションまたは透過プロキシ。
    ISPはすべてのトラフィックのパスにあるため、すべてのトラフィックでアクティブなMITMを再生できます。しかし、これがTLSである場合はすべてのトラフィックをチェックし、残りの接続をインターセプトする必要があるため、これは非常にコストがかかります。より簡単なのは、443のような一般的なポートのみを検査し、他のポートのHTTPSが失われることを受け入れることです。
    これは、ISPが任意のトラフィックを許可している限り、VPN、Tor、またはその他のトンネルテクノロジーによって回避できます。
  • 必須のプロキシであり、他のほとんどのトラフィックを拒否します。
    この場合、お客様は政府CAを追加するだけでなく、プロキシを明示的に構成する必要があります。プロキシを使用していない直接トラフィックはすべてブロックされます(Tor、VPN、トンネルなど)。おそらく、メールの送受信などの一部のプロトコルは例外です。これは、ISPにとって最後のオプションよりも簡単で、保証されます。より広い範囲をカバーしますが、一部のアプリケーションが機能しない可能性があるように、すべてのアプリケーションがプロキシを処理できるわけではありません。

それでも問題が解決しない場合、プライバシーを保護するにはどうすればよいですか?

それは、MITMがどのように行われ、どのように(技術的および合法的に)実施されるかに依存します。運が良ければ、VPNまたはTorまたはSSHトンネルなどが機能し、これらを使用しても法的な問題は発生しません。

一般に、回避策は、分析されないものを使用することです。
ブラウザ外の一部のアプリケーションがSSLピン留めを実行し(WindowsのDropboxだと思います)、政府がこれらのアプリケーションの動作を許可したい場合、傍受されないドメインのホワイトリストがある可能性があります。これは、これらのドメインへのトラフィックがあるように見えるが実際には別の場所に接続しているカスタムトンネルで使用できます。ただし、一部の高度なトラフィック分析では、このような誤用がISPによって検出され、違法として扱われる可能性があることに注意してください。

5
Steffen Ullrich

カザフスタンはすべてのHTTPトラフィックを傍受していますが、DNSは本質的にプレーンテキストであるため、すでにすべてのHTTPトラフィックをログに記録して傍受しています。

DNSサーバーの変更は役に立ちません。とにかく、すべてのHTTPトラフィックがログに記録されるため、実際にDNSを暗号化しても役に立たない...

私は実際にはカザフスタンについて少し知っており、それらもVPNをブロックしているので、それも機能しません。

匿名を維持する方法の1つは、次のようなものを使用することです。 https://shadowsocks.org/en/index.html

0