HOME
  Security
   Software
    Hardware
  
FPGA
  CPU
   Android
    Raspberry Pi
  
nLite
  etc.
   ALL
    LINK
  
English Translate 中文翻訳
BACK
 

[NEW] 2016/09/02

セキュリティ対応の公開 DNSを利用して Webサイトやネットワークの安全性を高める方法 セキュリティ対応の公開 DNSを利用して Webサイトやネットワークの安全性を高める方法

(ウイルス感染や不正な詐欺サイト、アダルトサイトへのアクセスを未然に防ぐ事が出来る)

Tags: [セキュリティ]





● セキュリティ対応の公開 DNSを利用して Webサイトやネットワークの安全性を高める方法

 公開 DNSの中には不正なサイトのアクセスを遮断する機能を持つ物が有ります。その DNSを設定して使用する事で不正なサイトへのアクセスを未然に防ぐ事が出来るので Webブラウジングやネットワーク利用時の安全性を高める事が出来ます。
 また、DNSの設定変更は最初の 1回だけで良く、不正なサイトの情報は DNSサーバ側で自動で更新するので手間要らずとなります。

 下記に幾つかのセキュリティ機能付きの DNSサーバを挙げました。

 下記の中では Norton DNSの (3)の DNS 199.85.126.30、199.85.127.30が良いかな。
 (各自の好みで選択して使用するのが良いです)

 私の場合はブロードバンドルータの WAN側の拡張設定で上記の DNSサーバの設定をしています。各パソコンやスマホはブロードバンドルータの DHCPで IPアドレスを自動割り当てしているので、一括でセキュアな DNSの設定を適用出来ています。


● DNSについて参考サイト

 DNSについて詳しく知りたい人(技術者向け)
DNSの仕組みの基本を理解しよう

DNSキャッシュポイズニング対策 IPA独立行政法人 情報処理推進機構


● Norton DNS(Norton ConnectSafe)
Norton ConnectSafe
 Norton DNS(Norton ConnectSafe)
 1) マルウェアを有するサイト、フィッシングサイト、詐欺サイトをすべて遮断
 199.85.126.10、199.85.127.10
 2) (1)+性的表現が露骨なサイトへのアクセスも遮断
 199.85.126.20、199.85.127.20
 3) (1)+(2)+中絶、アルコール、犯罪、カルト、麻薬、ギャンブル、中傷、性的指向、自殺、タバコ、暴力についてのサイトへのアクセスを遮断
 199.85.126.30、199.85.127.30

 アクセスブロック時は http://54.200.80.90/にリダイレクトされる。


● OpenDNS Ciscoが運営する DNSサーバ
OpenDNS
OpenDNSは、フリーなDNS
 Ciscoが運営する DNSサーバ(Ciscoが OpenDNSを買収した)
シスコ、OpenDNS買収の意向を発表
 208.67.222.222、208.67.220.220
 208.67.222.220、208.67.220.222

 ポルノや危険なサイトへの閲覧をブロックしている DNS(家庭向け)
 208.67.222.123、208.67.220.123

● Comodo Secure DNS
Comodo Secure DNS
 
 マルウェアに感染したドメインへの接続をブロック
 8.26.56.26、8.20.247.20

● Yandex.DNS
Yandex.DNS Secure home internet

Basic Quick and reliable DNS
77.88.8.8、77.88.8.1

Safe Protection from virus and fraudulent content(ウイルスや不正な内容の詐欺サイトをブロック)
77.88.8.88、77.88.8.2

Family Without adult content(アダルトなサイトをブロック)
77.88.8.7、77.88.8.3


●以下は中華系の公開 DNSサーバ

 114DNSと 百度DNSは DNS汚染無し(twitter.comを正常に IP引きする)

● 南京信风 114DNS(DNS汚染無し)
中国电信 114DNS

纯净 无劫持 无需再忍受被强扭去看广告或粗俗网站之痛苦(しつこい広告や下品なウェブサイトからの苦痛を取り除く=ブロックする)
服务地址为:114.114.114.114、114.114.115.115

拦截 钓鱼病毒木马网站 增强网银、证券、购物、游戏、隐私信息安全(フィッシングサイト等をブロック、プライバシーを守る)
服务地址为:114.114.114.119、114.114.115.119

学校或家长可选拦截 色情网站 保护少年儿童免受网络色情内容的毒害(ポルノや害悪の有るサイトから青少年を守る、学校や家庭向け)
服务地址为:114.114.114.110、114.114.115.110

114DNS DNS安全警示
114DNS 全国DNS汇总

※ その他の DNS紹介ブログ等で 114DNSが 百度DNSと書いてありますが間違いです。114DNSは南京信风网络科技有限公司の運営です。

● 百度公共DNS Baidu DNS(DNS汚染無し)
百度公共DNS
 百度公共DNS
 180.76.76.76


● 中華系 DNS汚染の検証

特定の条件下で発生する通信エラーに関する考察 ~中国編~ JANOG
DNS Cache Poisoning in the People's Republic of China
挙動不審なDNSルートサーバ

● Google DNS(当然、DNS汚染無し)
$ dig twitter.com @8.8.8.8 +short
104.244.42.1
104.244.42.129

● 114DNS(DNS汚染無し)
$ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.230
199.16.156.198
199.16.156.102

● Baidu DNS(DNS汚染無し)
$ dig twitter.com @180.76.76.76 +short
104.244.42.65
104.244.42.193

● AliDNS(DNS汚染している。上記の JANOGの通信エラーに関する考察「クエリの応答内容」と合致する)
$ dig twitter.com @223.5.5.5 +short
8.7.198.45
 $ dig twitter.com @223.5.5.5 +short
46.82.174.68


● 番外編、中国国内で海外のサービスを使用したい場合の DNS設定

使用国外 DNS 造成国内网站访问慢的解决方法

 中国国内ではなくグーグルの DNSサーバを参照する様に設定すると言う事。

/etc/dnsmasq.conf

no-resolv
no-poll
server=8.8.8.8
server=8.8.4.4
server=/cn/114.114.114.114
server=/taobao.com/114.114.114.114
server=/taobaocdn.com/114.114.114.114
server=/tbcache.com/114.114.114.114
server=/tdimg.com/114.114.114.114

 digコマンドで DNSのホスト名引きを検証(上記のブログの追試)

$ dig twitter.com @8.8.8.8 +short
-bash: dig: command not found
※ Raspberry Piの Raspbianの初期状態では nslookupや digコマンドが使えない。

$ sudo apt-get -y install dnsutils

$ dig twitter.com @8.8.8.8 +short
104.244.42.65
104.244.42.193
※ 8.8.8.8はグーグルの DNSサーバ、普通に twitter.comの IPアドレスを引いている。

$ dig twitter.com @221.228.255.1 +short
93.46.8.89
※ 221.228.255.1は 中国の江苏电信の DNSサーバ、93.46.8.89の下記のブラックリスト収集サーバに転送されている。

 $ dig twitter.com @114.114.114.114 +short
199.16.156.70
199.16.156.102
199.16.156.230
199.16.156.198

$ dig twitter.com @180.76.76.76 +short
104.244.42.1
104.244.42.193


 93.46.8.89でググルと下記が出てくる
域名服务器缓存污染 DNSポイズニング

 中国防火長城、根据互联网上长期收集到的污染目标的虚假IP地址列表,防火长城会将黑名单内的域名重新導向至不限于以下列表的IP地址。

 中国国内の DNSサーバでは YouTubeや Twitter、Facebook等の中国国内で一般的に利用出来ないサービスにアクセスした場合にブラックリスト収集サーバの IPアドレスに転送される様になっている。(そこでアクセス履歴を全部収集するらしい)

 中国国内では IPアドレスの割り当てが郵便番号の様に地域毎に全部管理されて決められています。(IPアドレスから一意にアクセス元の地域を特定出来る。)




Tags: [セキュリティ]


[HOME] | [BACK]
リンクフリー(連絡不要、ただしトップページ以外はweb構成の変更で移動する場合があります)
Copyright (c) 2016 FREE WING,Y.Sakamoto
Powered by 猫屋敷工房 & HTML Generator

http://www.neko.ne.jp/~freewing/security/dns_secure_server/