・2016/09/02
セキュリティ対応の公開 DNSを利用して Webサイトやネットワークの安全性を高める方法
(ウイルス感染や不正な詐欺サイト、アダルトサイトへのアクセスを未然に防ぐ事ができる)
Tags: [セキュリティ]
● セキュリティ対応の公開 DNSを利用して Webサイトやネットワークの安全性を高める方法
公開 DNSの中には不正なサイトのアクセスを遮断する機能を持つ物が有ります。その DNSを設定して使用する事で不正なサイトへのアクセスを未然に防ぐ事ができるので Webブラウジングやネットワーク利用時の安全性を高める事ができます。
また、DNSの設定変更は最初の 1回だけで良く、不正なサイトの情報は DNSサーバ側で自動で更新するので手間要らずとなります。
下記に幾つかのセキュリティ機能付きの DNSサーバを挙げました。
下記の中では Norton DNSの (3)の DNS 199.85.126.30、199.85.127.30が良いかな。
(各自の好みで選択して使用するのが良いです)
2018/10 追記
2018 年 11 月 15 日をもって、Norton ConnectSafe サービスは廃止
私の場合はブロードバンドルータの WAN側の拡張設定で上記の DNSサーバの設定をしています。各パソコンやスマホはブロードバンドルータの DHCPで IPアドレスを自動割り当てしているので、一括でセキュアな DNSの設定を適用できています。
● DNSについて参考サイト
DNSについて詳しく知りたい人(技術者向け)
DNSの仕組みの基本を理解しよう
DNSキャッシュポイズニング対策 IPA独立行政法人 情報処理推進機構
DNSキャッシュポイズニング = DNS汚染、DNSの情報を不正に乗っ取って、悪意の有るサイトに誘導する事。
例えば、銀行の URL情報を DNS汚染して、一般の利用者を偽の銀行サイトにアクセスさせて、不正にログイン情報や預金、口座情報を盗む事を言います。
● Quad9 DNS Internet Security and Privacy in a Few Easy Steps
Quad9は IBM Securityや Global Cyber Alliance(GCA)、Packet Clearing House(PCH)が提供する DNSサービス。
360M個の Malicious Domainsをブロック。
360M個 = 360 * 1000000 = 3億 6000万個の悪意のある DNSへのアクセスを遮断。
IBM、消費者と企業のプライバシー&セキュリティーを向上させる無料のDNSサービスを開始。その名は「Quad9」
プライバシー
セキュリティー
スケーラビリティー(拡張性)
使いやすさ
Quad9 - Set up: Windows
Quad9 is a free security solution that uses DNS to protect your systems against the most common cyber threats.
You can setup Quad9 on PC in four easy steps.
設定方法:
プライマリ DNSに 9.9.9.9
セカンダリ DNSに 149.112.112.112
IP v6の場合:
IPv6 2620:fe::fe
セカンダリ IPv6 2620:fe::9
● Norton DNS(Norton ConnectSafe)
2018/10 追記
Norton ConnectSafe の廃止のお知らせ
2018 年 11 月 15 日をもって、Norton ConnectSafe サービスは廃止
ConnectSafe は、シマンテックの事業分野と事業投資の変更により、廃止されることになりました。
Norton ConnectSafe
Norton DNS(Norton ConnectSafe)
1) マルウェアを有するサイト、フィッシングサイト、詐欺サイトをすべて遮断
199.85.126.10、199.85.127.10
2) (1)+性的表現が露骨なサイトへのアクセスも遮断
199.85.126.20、199.85.127.20
3) (1)+(2)+中絶、アルコール、犯罪、カルト、麻薬、ギャンブル、中傷、性的指向、自殺、タバコ、暴力についてのサイトへのアクセスを遮断
199.85.126.30、199.85.127.30
アクセスブロック時は http://54.200.80.90/にリダイレクトされる。
● OpenDNS Ciscoが運営する DNSサーバ
OpenDNS
OpenDNSは、フリーなDNS
Ciscoが運営する DNSサーバ(Ciscoが OpenDNSを買収した)
シスコ、OpenDNS買収の意向を発表
208.67.222.222、208.67.220.220
208.67.222.220、208.67.220.222
ポルノや危険なサイトへの閲覧をブロックしている DNS(家庭向け)
208.67.222.123、208.67.220.123
● Comodo Secure DNS
Comodo Secure DNS
マルウェアに感染したドメインへの接続をブロック
8.26.56.26、8.20.247.20
● Yandex.DNS
Yandex.DNS Secure home internet
Basic Quick and reliable DNS
77.88.8.8、77.88.8.1
Safe Protection from virus and fraudulent content(ウイルスや不正な内容の詐欺サイトをブロック)
77.88.8.88、77.88.8.2
Family Without adult content(アダルトなサイトをブロック)
77.88.8.7、77.88.8.3
● Cloudflare DNS 1.1.1.1
Cloudflare DNSは速度が速いだけ。悪意のサイト等をブロックする機能は無し。
Cloudflare DNS
1.1.1.1
1.0.0.1
●公開 DNSサーバのベンチマークアプリ Windows版
Gibson Research DNS Benchmark
Domain Name Speed Benchmark
Domain Name Speed Benchmark
Are your DNS nameservers impeding your Internet experience?
使い方
1) 「Nameservers(DNSサーバ一覧)」タブを選ぶ
2) 「Run Benchmark(ベンチマーク開始)」ボタンを押す
3) 待つ
4) 「Conclusions(結論)」を押す
●以下は中華系の公開 DNSサーバ
114DNSと 百度DNSは DNS汚染無し(twitter.comを正常に IP引きする)
● 南京信风 114DNS(DNS汚染無し)
中国电信 114DNS
纯净 无劫持 无需再忍受被强扭去看广告或粗俗网站之痛苦(しつこい広告や下品なウェブサイトからの苦痛を取り除く=ブロックする)
服务地址为:114.114.114.114、114.114.115.115
拦截 钓鱼病毒木马网站 增强网银、证券、购物、游戏、隐私信息安全(フィッシングサイト等をブロック、プライバシーを守る)
服务地址为:114.114.114.119、114.114.115.119
学校或家长可选拦截 色情网站 保护少年儿童免受网络色情内容的毒害(ポルノや害悪の有るサイトから青少年を守る、学校や家庭向け)
服务地址为:114.114.114.110、114.114.115.110
114DNS DNS安全警示
114DNS 全国DNS汇总
※ その他の DNS紹介ブログ等で 114DNSが 百度DNSと書いてありますが間違いです。114DNSは南京信风网络科技有限公司の運営です。
● 百度公共DNS Baidu DNS(DNS汚染無し)
百度公共DNS
百度公共DNS
180.76.76.76
● 中華系 DNS汚染の検証
特定の条件下で発生する通信エラーに関する考察 ~中国編~ JANOG
DNS Cache Poisoning in the People's Republic of China
挙動不審なDNSルートサーバ
※ 「DNS汚染」は一般的には悪意の有る第三者が DNS情報を悪意を目的として不正に拡散する事を差します。
なので、中国の「DNS汚染」は本来の意味とは少し違います。DNS情報を「汚染」すると言う意味では同じだが、どちらかと言うと「アクセス制限」の手段として用いています。また、中国のソレは「国家の政策的」に行なわれています。
$ dig
-bash: dig: command not found
$ sudo apt-get update
$ sudo apt-get install dnsutils
● Google DNS(当然、DNS汚染無し)
$ dig twitter.com @8.8.8.8 +short
104.244.42.1
104.244.42.129
● 114DNS(DNS汚染無し)
$ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.230
199.16.156.198
199.16.156.102
● Baidu DNS(DNS汚染無し)
$ dig twitter.com @180.76.76.76 +short
104.244.42.65
104.244.42.193
● AliDNS(DNS汚染している。上記の JANOGの通信エラーに関する考察「クエリの応答内容」と合致する)
$ dig twitter.com @223.5.5.5 +short
8.7.198.45
$ dig twitter.com @223.5.5.5 +short
46.82.174.68
● 番外編、中国国内で海外のサービスを使用したい場合の DNS設定
使用国外 DNS 造成国内网站访问慢的解决方法
中国国内ではなくグーグルの DNSサーバを参照する様に設定すると言う事。
/etc/dnsmasq.conf
no-resolv
no-poll
server=8.8.8.8
server=8.8.4.4
server=/cn/114.114.114.114
server=/taobao.com/114.114.114.114
server=/taobaocdn.com/114.114.114.114
server=/tbcache.com/114.114.114.114
server=/tdimg.com/114.114.114.114
digコマンドで DNSのホスト名引きを検証(上記のブログの追試)
$ dig twitter.com @8.8.8.8 +short
-bash: dig: command not found
※ Raspberry Piの Raspbianの初期状態では nslookupや digコマンドが使えない。
$ sudo apt-get -y install dnsutils
$ dig twitter.com @8.8.8.8 +short
104.244.42.65
104.244.42.193
※ 8.8.8.8はグーグルの DNSサーバ、普通に twitter.comの IPアドレスを引いている。
$ dig twitter.com @221.228.255.1 +short
93.46.8.89
※ 221.228.255.1は 中国の江苏电信の DNSサーバ、93.46.8.89の下記のブラックリスト収集サーバに転送されている。
$ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.102
199.16.156.230
199.16.156.198
$ dig twitter.com @180.76.76.76 +short
104.244.42.1
104.244.42.193
93.46.8.89でググルと下記が出てくる
域名服务器缓存污染 DNSポイズニング
中国防火長城、根据互联网上长期收集到的污染目标的虚假IP地址列表,防火长城会将黑名单内的域名重新導向至不限于以下列表的IP地址。
中国国内の DNSサーバでは YouTubeや Twitter、Facebook等の中国国内で一般的に利用できないサービスにアクセスした場合にブラックリスト収集サーバの IPアドレスに転送される様になっている。(そこでアクセス履歴を全部収集するらしい)
中国国内では IPアドレスの割り当てが郵便番号の様に地域毎に中国政府に全部管理されて決められています。(IPアドレスから一意にアクセス元の地域を特定できる。)
同様に電話番号も中国政府に全部管理されて地域毎に決められています。
全ての情報資源が国家の管理下にあります。(ホームページ、一般書籍の出版等も)
(MNP前の日本の様に携帯電話の電話番号から地域を特定できる。日本も固定電話は今も有る程度特定できますね。)
Tags: [セキュリティ]
[HOME]
|
[BACK]
リンクフリー(連絡不要、ただしトップページ以外は Web構成の変更で移動する場合があります)
Copyright (c)
2016 FREE WING,Y.Sakamoto
Powered by 猫屋敷工房 & HTML Generator
http://www.neko.ne.jp/~freewing/security/dns_secure_server/