Cloudflareの1.1.1.1とWARP

2K Views

March 29, 23

スライド概要

profile-image

インフラエンジニア

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

Cloudflareの1.1.1.1とWARP 篠田 敬廣 @yukkie1114 1

2.

• 1.1.1.1のこと9割 • WARPのこと1割 2

3.

1.1.1.1とは 3

4.

CloudflareのDNSリゾルバー • 高速で信頼性が高い • DNSリクエストが暗号化されている • DNSのキャッシュポイズニングやDNSハイジャックなど の攻撃から保護 4

5.

1.1.1.1を はじめて見たとき なに?この若い番号は? いつ取得したの? Cloudflareって古い企業じゃないよね 5

6.

APNICとCloudflareが運営 • もともとAPNICが持っていた1.1.1.1 • 現在はAPNICとCloudflareが提携して1.1.1.1 を運営している 6

7.

昔の1.1.1.1 7

8.

インターネット黎明期の1.1.1.1 • ユーザーがホストやルーターなどに自由に割り当てていた • 1.1.1.1というアドレスは覚えやすい、打ちやすい →1.1.1.1が攻撃対象になった 現在IPアドレス空間はRFC1918で提唱されている 8

9.

1.1.1.1いいところ 9

10.

他のパブリックDNSよりも速い 「ネットが遅いな」って時はDNSが原因の時も 10

11.

セキュア 機密性 • DNS over TLS(DoT) →デフォルト有効 • DNS over HTTPS(DoH) →デフォルト無効 信頼性・完全性 • DNSSEC 11

12.

DoTとDoHとは • DNSトラフィックを暗号化して通信を保護する 12

13.

ISPのDNS • ISPから自動取得するDNSは非暗号化な場合も多い Windows11のDNS設定では暗号化されているかが表示される 13

14.

DoTとDoH比較 DNS over TLS DNS over HTTPS 暗号化プロトコル TLS HTTPS 通信ポート 853 443 DNSパケットの 見やすさ 853なのでDNSパケットが 判別しやすい 443にまぎれるのでDNSパケットが 判別しづらい FW穴あけ 必要な場合も 必要なし 14

15.

DNSSEC 電子署名つき DNS →DNSキャッシュポイズニングなどの盗聴・改ざんから防御 15

17.

セキュア:再掲 機密性 • DNS over TLS(DoT) →デフォルト有効 • DNS over HTTPS(DoH) →デフォルト無効 信頼性・完全性 • DNSSEC 17

18.

WARPとは 18

19.

WARP • CloudflareのVPNサービス • トラフィックを暗号化しセキュリティを向上 19

20.

悩みがあった 公衆WI-FIって平文だよなー 盗聴される危険があるよな 20

21.

一方で でもHttpsなら暗号化は されてるか でも何だか不安は不安だな 21

22.

WARP使えば暗号化されるから 不安は解消される 22

23.

まとめ 23

24.

まとめ • DNS 1.1.1.1はセキュリティ向上 • WARPはVPN →公衆WI-FIで使うがよし • どちらも今回話した範囲は無料 24