Cloudflareの1.1.1.1とWARP

Cloudflareの1.1.1.1とWARP 篠田 敬廣 @yukkie1114 1

• 1.1.1.1のこと9割 • WARPのこと1割 2

1.1.1.1とは 3

CloudflareのDNSリゾルバー • 高速で信頼性が高い • DNSリクエストが暗号化されている • DNSのキャッシュポイズニングやDNSハイジャックなど の攻撃から保護 4

1.1.1.1を はじめて見たとき なに？この若い番号は？ いつ取得したの？ Cloudflareって古い企業じゃないよね 5

APNICとCloudflareが運営 • もともとAPNICが持っていた1.1.1.1 • 現在はAPNICとCloudflareが提携して1.1.1.1 を運営している 6

昔の1.1.1.1 7

インターネット黎明期の1.1.1.1 • ユーザーがホストやルーターなどに自由に割り当てていた • 1.1.1.1というアドレスは覚えやすい、打ちやすい →1.1.1.1が攻撃対象になった 現在IPアドレス空間はRFC1918で提唱されている 8

1.1.1.1いいところ 9

他のパブリックDNSよりも速い 「ネットが遅いな」って時はDNSが原因の時も 10

セキュア 機密性 • DNS over TLS(DoT) →デフォルト有効 • DNS over HTTPS(DoH) →デフォルト無効 信頼性・完全性 • DNSSEC 11

DoTとDoHとは • DNSトラフィックを暗号化して通信を保護する 12

ISPのDNS • ISPから自動取得するDNSは非暗号化な場合も多い Windows11のDNS設定では暗号化されているかが表示される 13

DoTとDoH比較 DNS over TLS DNS over HTTPS 暗号化プロトコル TLS HTTPS 通信ポート 853 443 DNSパケットの 見やすさ 853なのでDNSパケットが 判別しやすい 443にまぎれるのでDNSパケットが 判別しづらい FW穴あけ 必要な場合も 必要なし 14

DNSSEC 電子署名つき DNS →DNSキャッシュポイズニングなどの盗聴・改ざんから防御 15

16

セキュア:再掲 機密性 • DNS over TLS(DoT) →デフォルト有効 • DNS over HTTPS(DoH) →デフォルト無効 信頼性・完全性 • DNSSEC 17

WARPとは 18

WARP • CloudflareのVPNサービス • トラフィックを暗号化しセキュリティを向上 19

悩みがあった 公衆WI-FIって平文だよなー 盗聴される危険があるよな 20

一方で でもHttpsなら暗号化は されてるか でも何だか不安は不安だな 21

WARP使えば暗号化されるから 不安は解消される 22

まとめ 23

まとめ • DNS 1.1.1.1はセキュリティ向上 • WARPはVPN →公衆WI-FIで使うがよし • どちらも今回話した範囲は無料 24