テクログ(テクニカル・ブログ)では、弊社エンジニアのIT技術におけるさまざまな情報やノウハウなどをお届けします。

皆様こんにちは。A10ネットワークス ビジネス開発本部 高木です。

昨今のコロナウイルスの影響によるWeb会議の広がりや、在宅勤務の推進による働き方改革など、皆様の日々の業務の中でもネットワークを利用する機会はとても増えてきているかと思います。ネットワークを使用する場所や頻度が増えることによって、セキュリティに対する要件も日々変化し、リスクは増加しているかと思います。

弊社A10ネットワークスでは、最新のセキュリティ動向に注目し、日々新しい課題に直面されているサービス事業者様と共に、新しいソリューションの開発を精力的に行っています。ネットワークを利用する際に頻繁に利用する重要な仕組みについては、先手を打って高いセキュリティを保つという動きもでてきており、脆弱性があると思われる部分への対応は、様々な組織で推進されています。

今回のテクログでは、ネットワークを利用する際の重要な仕組みの一つであるDNSのセキュリティに関して、最近見られる動きや、新たに開発したソリューションなどをご紹介します。

DNSの脆弱性について

DNSは、ドメイン名をIPアドレスに名前解決する仕組みとして、長い間使用されている仕組みです。常時TLS化の流れでWebサイトがHTTPSで暗号化される中、今でもDNSは暗号化されていない状態で通信されています。皆さんがお使いのクライアントPCもISPや所属する組織が持っているDNSサーバにより名前解決を行っていると思います。

DNSの特性

クライアントとISP間などのラストワンマイルは平文通信
  • DNSは、Webサイトなどのドメイン名に対応するIPアドレスを管理するインターネットの重要なシステム
  • 常時暗号化の流れでWebは暗号化が進むが、DNSは平文で通信 (非暗号化)
  • UDPを使用
スライド1.JPG

WebサイトへのアクセスはHTTPSで暗号化されているのに、最初のDNSの問い合わせで、どこのサイトに行くかという情報は暗号化されずにネットワーク上を転送されている状態になります。平文で通信されているのであれば、技術的に通信の内容を盗聴することは可能です。クライアントとISP間のネットワークが管理されている閉じたネットワークであれば、特に問題はありませんが、例えばクライアントを外に持ち出すなどして、公衆Wifiやホテルなどで使用すると、この区間の通信を盗聴される危険性は高まります。

DNSの脆弱性

●アクセスしている内容の盗聴が可能

スライド2.JPG

●なりすまし、改ざんが可能

スライド3.JPG

どこへアクセスしているかがわかるということは、このデータを蓄積することにより、そのクライアントの趣味趣向がわかったり、どのような組織に所属しているのかのヒントを得られたりするなど、様々な情報を得ることができます。

また、盗聴できるだけでなく、なりすましなどをしてDNS応答を改ざんすることも可能になります。例えば、A銀行のサイトにアクセスしようとして、x.x.x.xというIPアドレスをDNSが応答しているにもかかわらず、それを改ざんして、悪意のあるユーザーが自身の持っているサーバへユーザーを誘導できるよう、Y.Y.Y.Yというアドレスを返すことで、悪意のあるユーザーのサイトに接続させることができます。ここに、ユーザーが期待するサイトと同じようなデザインのWebサイトがあった場合、ユーザーは違いがわからず、誤って個人情報を入力してしまう危険性もあります。

セキュリティの問題を解決するDoH

このような問題を解決するために、DNSをHTTPSにより暗号化して転送するDNS over HTTPS(以下DoH)の利用が考えられています。DoHは、最近の動向を見ていますと、主にWebブラウザが導入を進めている技術のようにみえます。特にMozilla/Firefoxが積極的にDoHを導入しようとしており、米国バージョンでは、デフォルトでDoHを選択するという動きもあります。この場合、DoHで使用するDNSサービスは、ブラウザで指定したものが選択されます。Firefoxの場合、デフォルトではCloudflareになっており、こちらが使用されると、ISP側のDNSは、使用しないかたちになります。Google ChromeもDoHのサポートを行うようですが、こちらはOSの設定によって使用を制御するような仕組みになっているようです。

Webブラウザなどクライアント側での対応が進む傾向

●DoHWebについて
  • DoH = DNS over HTTPS
  • Webブラウザやアプリなどを利用時、DNSによる名前解決をHTTPSで暗号化
  • DNSの盗聴、なりすまし、改ざんを阻止
●Webブラウザ側でサポートが進む:ブラウザがユーザーに選択させてしまう可能性
  • Mozilla/Firefox
    • Version 62以降でDoHをサポート(手動で設定可能、USバージョンはデフォルトで有効)
    • Cloudflare DNSが使用できる
  • Google Chrome
    • DoHをサポート(OSの設定などによって使用を制御)
●DoHに対応したDNSサービス(2020年4月現在)
  • Cloudflare, Comodo, Dyn, Googleなど
●大手ISPが商用サービスを開始(Comcast、IIJなど)
  • Comcast(2020Q2から商用サービス開始予定)、IIJなど

DoHを使用する場合、それに対応したDNSサービスを使用する必要があります。Firefoxがデフォルトで指定しているCloudflareは、DoHに対応したDNSサービスを提供しています。その他DynやGoogleなどもサポートしています。
ブラウザのこのような動向のせいか、ISP側でもDoHに対応しようという動きがあるようです。Comcast社は、2020年の第2四半期からDoHのサービスを提供すると発表しています。また、日本国内においては、IIJ社がDoHのサービスを提供しています。
日本語版のブラウザで、DoHをデフォルトにして動作するものはまだないようですが、このままブラウザなどのクライアント側で対応が進んだ場合、ISP側でサービスを提供していないと、DoHをサポートしている他のサービスを利用される可能性があります。

DoHの課題

このようにWebブラウザが対応していることで、ISPの管理外にあるDNSサービスや、国外のDNSサービスが、ユーザーの意図しないかたちで使用される場合が考えられます。もしこのようなかたちになると、例えばISP側で有害サイトのブロッキングなどをしている場合、この制御ポリシが機能しなくなるなどの問題が発生します。

また、ISPでDoHに対応する場合、追加の実装が必要になったり、実装した後の性能評価作業などが発生したりするなど、追加の作業が発生します。HTTPSは暗号化通信であるため、暗号処理に関わる負荷も増大する可能性があります。

DNSは、ユーザーがどのようなサイトを訪れているかという、ユーザーの行動に関わる情報を含んでいます。これらが、外部のDoHサービスを利用することにより、外部に蓄積され、なんらかの用途で利用されるのではないかということも考えられ、あまり芳しくない状況が生まれます。
DNSサービスを提供しているISPとしては、DoHを提供することで、新たな収益が発生するというわけでもありませんが、管理外のサーバにDNSのクエリが転送されるという事態になると、セキュリティの面でもあまりよい状況とはならないかと思います。
従い、あまりコストをかけずに、しかも迅速にサービスを提供できるソリューションが有効になる可能性があります。

●迅速なサービス提供とパフォーマンスの維持が課題
  • WebブラウザのDoH対応で意図せずISPの管理外や国外のDNSサービスを使用される恐れ(ISPの有害サイトブロッキングポリシが機能しなくなるなど)
  • 全DNSサーバでDoH対応が必要(追加実装や性能評価等の工数が発生)
  • 高負荷なHTTPS(TLS)処理の最適化
スライド5.JPG

A10が開発しているThunderシリーズは、国内・海外で数多くのサービス事業者様にご利用いただいています。その中で、実際にお客様からご要望もいただき、A10のThunderシリーズでDoHをサポートすることにしました。
この機能は、A10の独自OSであるACOS 5.1以降に標準実装し、通常のコマンドを利用するネイティブサポートで提供します。Thunder シリーズを既存のDNSサーバの前段に配備し、A10でロードバランスするように設定します。A10は、DoHのリクエストを仮想IPで待ち受けて、既存のDNSサーバが処理できるUDP、もしくはTCPのDNSに変換します。しかもこれをロードバランスしながら既存のDNSサーバに転送します。負荷の高い暗号化・復号処理は、業界最高クラスのパフォーマンスを持つ、A10のSSL/TLS処理専用のハードウェアを使用することにより、パフォーマンスの低下を最小限にすることができます。

A10ネットワークスが選ばれる理由

DoHアクセラレーション(A10ソリューション)

迅速なサービス提供をハイパフォーマンスで実現
  • DNS over HTTPS(DoH) をネイティブサポート
  • Thunder CFWを導入するだけでDoHサービスを提供可能(DoHトラフィックをThunderがUDP/TCPに変換)
  • 既存設備はそのまま活用することで投資効率を向上(DNSサーバ側の追加設定不要・負荷も分散)
  • 専用ハードウェアで暗号処理負荷軽減
スライド6.JPG

A10であれば、DoHのサービスを提供しながら、標準で実装されているその他のセキュリティ機能も同時に利用することができます。
例えば、DNSサーバ側で実装していたブラックリストによるフィルタリング機能なども、A10の脅威情報をブラックリストとして使用することにより、A10側で提供することも可能になります。

DNSフィルタリング over DoH

脅威インテリジェンスを利用したフィルタリングも可能
  • DoHでペアレンタルコントロール、脅威ドメインによるフィルタリングに対応
  • 有害サイト、悪性ドメインへのアクセスを防止
スライド7.JPG

この他にも、A10のDNSファイアウォール機能(下記の機能)やDDoS防御機能なども同時に利用することも可能です。

DDoHとDNSファイアウォールを併用

DNSインフラストラクチャーの保護、負荷分散、および可用性を実現し、DNSファイアウォール機能も追加ライセンス不要で併用可能
スライド8.JPG

A10により、パフォーマンスを維持しながら、既存DNS設備を最大限に活かして、迅速にDoHサービスを提供できるようになります。

A10は、今回こちらの機能をソフトウェアのアップグレードだけで提供しております。これにより、サービス事業者様は、追加ライセンス費用が発生しないかたちで、こちらの機能を利用することができます。DoHのサポートは、サービス事業者様にとって、特に新しい収益を生み出すビジネスになるわけではない場合が多いかと思います。A10製品であれば、既存のお客様はアップグレードだけでご利用いただけますし、これから導入されるお客様にとっても、コストメリットがあるソリューションになると考えています。

A10は今後もその柔軟なアーキテクチャーを活かして、このような新しい機能をいち早くご提供していきたいと考えています。

DSC0593Takagi-Shingo-small.jpg
ビジネス開発本部 本部長 兼 エヴァンジェリスト
高木 真吾

過去のテクログ

Office 365などのSaaS利用を快適にするネットワークの高速化・可視化』 石塚 健太郎
A10ネットワークスのスケールアウト技術』 甲野 謙一
誰でも使える サーバーサイド Open NAT64実証実験のご紹介』 眞野 桐郎
働く環境、リモートワークのIT環境を整備するA10クラウドプロキシ』 高橋

また、A10ネットワークス WEBサイトのブログからもご覧いただけます。

A10ネットワークスとつながりませんか?

公式ソーシャルメディアでは最新情報をリアルタイムで発信しています。

公式Facebookの最新情報チェックf_logo_RGB-Hex-Blue_512.png

公式Twitterの最新情報チェックTwitter_Logo_Blue.png