web-dev-qa-db-ja.com

VPNへのアクセスにドメイン名を使用することは悪い考えですか?

VPNは静的IPアドレスを持っているため、主にサーバーへのアクセスを制限する方法としてVPNを使用しています。

VPNへのアクセスにドメイン名を使用することは悪い習慣ですか?つまり、vpn.example.comを使用しても問題ありませんか、それともIPアドレスを使用してアクセスする必要がありますか?

6
samdunne

IPが完全に静的である場合、IPアドレスを安全かつ確実に使用できることは明らかです。ただし、DNSゾーンファイルをホストしているエンティティを信頼している限り、CNAMEを使用しても問題ありません。

信頼できない場合、またはだらしない場合は、サードパーティが自分のDNSレコードを自分のものに置き換えてリダイレクトすることが考えられますvpn.example.com正規のサーバーではなく、独自の「悪者」サーバーに。

コンピューター上でDNSハイジャックマルウェアを取得したり、ローカルのホストファイルに偽のエントリを埋め込んだマルウェアを取得したりする可能性は常にあります。しかし、それが起こった場合、マルウェアがキーストロークを記録して自宅に郵送する可能性が高いので、その状況ではとにかく危険にさらされます。

しかし、上記のすべてを言ったとしても...

疑わしい可能性のある多くの場所(町のざらざらした場所にあるオープンホットスポット、ホテル、インターネットカフェなど)からVPNに接続していますか?その場合、それらのシステムが侵害され、汚染されたDNSサーバーを指している可能性が常にあります。

ただし、少なくとも2つの緩和要因が思い浮かびます。

1つ目は、使用しているVPNテクノロジーによっては、到達するサーバーが意図したものではない場合に警告が表示されることです。 OpenVPNは非対称暗号化を使用しており、クライアントのVPNキーは、サーバーに何らかの方法でサーバーの秘密キーがロードされていない限り、不正なサーバーでは機能しません(この場合、完全に危険にさらされています)。 MicrosoftのSSTP VPN(別のHTTPS VPN)はSSL/TLS証明書で保護されており、サーバーの証明書が正しくない場合などに、すぐに気付くはずです。

2つ目は、一部のパブリックWiFiホットスポットのDNSが汚染されている場合でも、汚染されたDNSサーバーの所有者は、毒されたVPNサーバーまたはリレーにリダイレクトするために、vpnサーバーのCNAMEを明確にターゲットにする必要があるということです。あなたが何らかの高価値のターゲットでない限り、それはかなりありそうにないようです。

編集:マシンを常に独自のDNSサーバーにリダイレクトするマルウェア対策パッケージやその他のサービスもあります。

5
Craig