多くのインターネットプロトコルと同様、DNSは暗号化されていないプロトコルとして誕生しました。インターネットユーザーのプライバシーとセキュリティの強化に対する認識が高まるにつれ、IETF はインターネットプロトコルに暗号化を導入し始めました。ただし、長年にわたり、DNSは含まれていませんでした。これは、第三者が (意図的または攻撃を通じて) DNSリクエストにアクセスし、ユーザーのインターネット動作を確認したり、DNSクエリの結果を悪意を持って変更したりすることができるということを示唆します。インターネット上のほぼすべてのアクション (ブラウジング、アプリの使用、メッセージングなど) がDNSリクエストから始まることを考えると、これは多くの人にとって大変な脅威です。
このため、IETFは 2018年に、DNSトラフィックを暗号化するための2つの標準、DoHとDoTを導入しました。PowerDNSでは当初から、暗号化DNS (当社のビジョンに沿ったもの) は、ユーザーのプライバシーを保護し、追加のセキュリティを提供することを目的として、すべてのDNSインストールにプライバシーを強化する優れた追加機能であると確信していました。 そのため、当社は 2018年以来、DNS暗号化をロードマップの基礎とし、DNS暗号化機能の改善に継続的に取り組んできました。
最近リリースされたDNSdist 1.9は、このミッションの新たなマイルストーンとなります。この最新バージョンで、PowerDNSはIETFで標準化されたDNS暗号化メカニズムをすべてサポートするようになりました。
・DNS over TLS (DoT): DoTは、クライアントとリゾルバーの間に安全な通信チャネルを確立します。2019年の DNSdist 1.4 のリリースにより、ソリューションに DoT が追加されました。
・DNS over HTTPS (DoH): World Wide Webで使用される暗号化と同様に、DNSクエリと応答は安全なHTTPSストリーム経由で転送されます。DoHは、2019年のDNSdist 1.4 バージョンでDoTとともにPowerDNSに追加されました。
・DNS over QUIC (DoQ): DoQ は、QUIC (Quick UDP Internet Connections) トランスポートプロトコルを介してDNSクエリと応答を送信します。これにより、セキュリティが強化され、待ち時間が短縮されます。DNSdistの最新バージョン(1.9) はDoQをサポートします。
・DNS over HTTP/3 (DoH3): DoH3はDoHの利点に加えて、厳しい環境でのパフォーマンスと効率が強化されます。DoH3 は QUIC をベースにしているため、DoQ とともに DNSdist 1.9 に追加しました。
我々は、暗号化DNSの実装における先駆者であることを誇りに思っています。 同時に、暗号化された DNSソリューションの可能なユースケースの拡大にも取り組んでいます。
DNSdist は、暗号化オプションのトランスミッターとして、PowerDNS Recursor の前に従来どおり実装できます。 この場合、DNSdist はプロキシおよびロード バランサーとして機能し、DNS トラフィックを暗号化することもできます。
DNSdist は、PowerDNS Recursorの直前に使用するだけでなく、他の従来のDNSリゾルバーの直前に配置することもできます。これは、既存の再帰DNSのシステムを置き換えることなく、暗号化などのDNSdistの利点を使用できることを意味します。
モバイル通信事業者は、5GネットワークのエッジノードにDNSdistを実装します。階層型キャッシュやエッジでのマルウェアフィルタリングなどの利点に加えて、ネットワークのエッジでのDNSトラフィックの暗号化も提供します。 5Gの主要なユースケースの1つであるIoTデバイスとそれらが使用するサービス間の通信 (DNSトラフィック) は、傍受、監視、または変更から保護する必要があるため、DNS暗号化は5Gネットワークにとって非常に重要です。
このシナリオでは、DNSdistは5G とは独立していますが、多くの場合、Helm チャートを使用して Kubernetesクラスター上のPowerDNS Cloud Control経由でクラウドネイティブのバリアントとしてデプロイされます。DNSdistのクラウドネイティブバージョンには、多数のインスタンスを自動的にデプロイおよび維持できるという利点があります。もちろん、DNSdistのクラウドネイティブ バージョンも DNS暗号化をサポートします。
DNSトラフィックの暗号化によりプライバシーが強化されるため、DNSトラフィックのフィルタリングに基づいて悪意のあるコンテンツから保護する対策に課題が生じます。これらのソリューションは暗号化された DNSトラフィックを読み取ることができないため、ユーザーを保護できなくなります。これは、例えば、サービス加入者がコンテンツを利用する前に、ルータ上で悪意のあるコンテンツをフィルタリングし、ブロックするセキュリティベンダーがその一例です。 DNSdist は、これらのソリューションが暗号化された DNSトラフィックを処理し、悪意のあるコンテンツから加入者を保護し続けるのに役立ちます。また、専用のOpenWrtリポジトリ を使用してユーザーの宅内機器 (CPE) にインストールすることもできるようになりました。
私たちは、PowerDNSがこれまでソリューションにDNS暗号化を追加し、さまざまなシナリオで暗号化されたDNSを使用できるようにしてきた進歩を誇りに思っています。通信プロバイダーの加入者のプライバシーは当社にとって非常に重要であるため、当社は今後もDNS暗号化の革新の進歩と開発の先駆者であり続けます。
PowerDNS の DNS 暗号化についてご質問がある場合は、お知らせ ください。さらに詳しく説明させていただきます。
執筆者:Andrea Carpani
Senior PowerDNS Product Manager