ご存知かもしれませんが、DNSdist 1.8のリリースにより、PowerDNSはDNS over TLS(DoT)およびDNS over HTTPS(DoH)によるDNS暗号化をCPEにもたらし、インターネットアクセスのファーストマイルにおけるトラフィックの機密性と完全性を保護することができるようになりました。DNSdistをCPE対応にした理由は明白です。DNSはインターネットのアドレス帳として機能し、インターネットサービスのために人間が読めるドメイン名を提供することで、サービスを利用しやすくするための重要な要素となっています。消費者にとって、インターネット上のあらゆる行動は、クライアントがドメインネームシステムを使用してサービスのIPアドレスを検索することから始まります。この検索結果はCPE[1](customer premise equipment)に送られます。CPEは、ユーザーの接続を促進するためにインターネットサービスプロバイダが提供する装置(しばしば「ISPルーター」またはモデムと呼ばれます)です。CPEは、ユーザーのネットワークへの最初のゲートウェイとなります。
UDPまたはTCP経由のプレーンテキストDNSリクエストは、多くの場合、ルーターによってISPのネットワーク内のDNSインフラに転送されるだけです。これは、ISPのデータセンター内にあるPowerDNSのRecursorとDNSdist、およびプロテクトDNSセキュリティフィルタリング機能を備えた再帰的DNSソリューションで構成されている可能性があります。ここで、すべての複雑な機能とDNSフィルタリングが行われるのです。
しかし、現在リリースされているDNSdist 1.8では、ルーターやCPE自体でDNSdistを実行することができるようになりました。ルーター上でDNSdistを実行すると、さまざまな利点があります。例えば、ルーターは暗号化されたDNSエンドポイント(DoHまたはDoT付き)として機能し、スクリプト、レート制限、キャッシングなどの強力な機能を追加で提供することができる。また、エンドユーザーに近いルーター上でDNSベースのセキュリティフィルタリングが可能になります。
技術的には、DNSdistを「ルーター対応」にすることは並大抵のことではありません。家庭用ルーターは、CPUパワーやRAMの使用量が非常に限られていることが多いからです。この1年間、PowerDNSの開発チームは、DNSdistをこの難題に対応させるために懸命に取り組んできました。これには、ISPが通常ルーターとして提供する「低スペック」デバイス内のリソースをDNSdistが効率的に使用できるようにすることも含まれます。さらに、DNSdist 1.8は、オープンソースのルーター指定オペレーティングシステムOpenWrt[2]で利用可能になりました。これは、DNSdistが限られたRAM、ストレージ、CPUフットプリントを持つローエンドハードウェア上で実行できるようになったことを意味します。
PowerDNSでは、この開発とそれが開く可能性に非常に興奮しています。これにより、DNSdistはルーターに搭載される貴重なツールとなり、暗号化DNSの普及をさらに促進することになると信じています。
これらの開発により、PowerDNSはCPEメーカーやソリューションプロバイダーと協力して、ユーザーの接続機器ネットワークへの「玄関口」であるルーターにセキュリティと暗号化DNS機能を提供することができます。
ルーター対応DNSdistの詳細をお知りになりたい場合は、弊社までご連絡ください。
ボブ・ブラント
PowerDNSエンジニアリング担当副社長
|
1.CPEは、モデムとルーターが一体化したものであることが多い。このデバイスは、ユーザーのホームネットワーク(Wi-Fiまたは家の中のUTPケーブル経由)とインターネットプロバイダーのネットワーク(DSL、ケーブル、またはファイバー接続経由)間の接続ポイントとして機能します。
2.OpenWrtは、ルーター専用のLinuxベースのオペレーティングシステムで、www.openwrt.org を参照。 |