[新製品・サービス]

IIJ、ISP事業で提供するDNSキャッシュサーバーの安全性を強化、DoT/DoHとDNSSECを実装

2020年1月16日(木)日川 佳三(IT Leaders編集部)

インターネットイニシアティブ(IIJ)は2020年1月16日、IIJのインターネット接続サービスで提供しているDNSのキャッシュサーバーのセキュリティを同日付けで強化したと発表した。新たに、DoT(DNS over TLS)とDoH(DNS over HTTPS)、およびDNSSECを実装した。DNSの通信を暗号化することで、データの改竄などを防止する。プロトコルの追加実装による追加費用は発生しない。

 IIJがインターネット接続サービスで提供しているDNSのキャッシュサーバーに関して、セキュリティを強化した(図1)。ユーザーからキャッシュサーバーへのDNSの問い合わせを暗号化するプロトコルとして、DoT(DNS over TLS)とDoH(DNS over HTTPS)を実装した。さらに、DNSSECを実装し、DNS権威サーバーからの応答に含まれる電子署名をDNSキャッシュサーバー側で検証できるようにした。

図1:IIJがインターネット接続サービスで提供しているDNSのキャッシュサーバーに、新たにDoT(DNS over TLS)とDoH(DNS over HTTPS)、さらにDNSSECを実装した(出典:インターネットイニシアティブ)図1:IIJがインターネット接続サービスで提供しているDNSのキャッシュサーバーに、新たにDoT(DNS over TLS)とDoH(DNS over HTTPS)、さらにDNSSECを実装した(出典:インターネットイニシアティブ)
拡大画像表示

 IIJは2019年5月から、DNSの通信を暗号化して安全にDNSキャッシュサーバーを利用できるようにする試験サービス「IIJ Public DNSサービス(ベータ版)」を提供してきた(関連記事IIJ、暗号化DNSキャッシュサーバーを試験公開、DNS over TLSとDNS over HTTPSで通信可能)。今回、試験サービスで得た知見を活かし、IIJのインターネット接続サービスで提供しているDNSのキャッシュサーバーにセキュリティ機能を反映した形である。

 今回の強化ではまず、DNSの経路を暗号化するプロトコルとして、TLS(Transport Layer Security)を使って通信経路を暗号化するDNS over TLS(DoT)と、TLSベースのWebアクセス用プロトコルであるHTTPSの上にDNSのプロトコルを載せるDNS over HTTPS(DoH)の2つのプロトコルを実装した。DoTまたはDoHを実装したクライアントであれば、これらのプロトコルを介してIIJのDNSキャッシュサーバーを利用できる。

 今回の強化ではさらに、電子署名を使ってDNSサーバーの正当性を確認し、DNSの情報が改竄されていないかどうかを検証するプロトコルとして、DNSSECを実装した。IIJは従来、ドメインの情報を管理するDNS権威サーバーにおいてDNSSEC対応を進めてきた。今回、インターネット上のDNS権威サーバーにおいてDNSSECの普及が進んだことを受け、DNSキャッシュサーバー側でもDNSSECに対応した。DNS権威サーバーからの応答に含まれる電子署名をDNSキャッシュサーバー側で検証し、サーバーの正当性を確認できるようになる。

 背景には、DNSの仕組みを悪用したサイバー攻撃によってDNSの応答情報が偽造されるという状況がある。DNSはドメイン名とIPアドレスの対応を管理する分散データベースであり、インターネットを利用するユーザーは、ドメイン名からIPアドレスを調べる際などにDNSに問い合わせる。攻撃者は、DNSのデータや応答を書き換えることで、利用者が気づかないうちに不正な偽サイトに誘導する。

 これまでのDNSプロトコルは、こうした不正な攻撃に対して課題があった。通信経路が暗号化されていないほか、DNSサーバーが正当なサーバーであることを確認する方法がない、といった問題があった。こうした問題に対して、DNSの通信経路を暗号化するプロトコルとしてDoT(DNS over TLS)とDoH(DNS over HTTPS)が、DNSサーバーの正当性を電子署名で確認するプロトコルとしてDNSSECが作られた。

関連キーワード

DNS

関連記事

Special

-PR-

IIJ、ISP事業で提供するDNSキャッシュサーバーの安全性を強化、DoT/DoHとDNSSECを実装インターネットイニシアティブ(IIJ)は2020年1月16日、IIJのインターネット接続サービスで提供しているDNSのキャッシュサーバーのセキュリティを同日付けで強化したと発表した。新たに、DoT(DNS over TLS)とDoH(DNS over HTTPS)、およびDNSSECを実装した。DNSの通信を暗号化することで、データの改竄などを防止する。プロトコルの追加実装による追加費用は発生しない。

PAGE TOP