(注:このブログはもう更新していません)この日記は私的なものであり所属会社の見解とは無関係です。 GitHub: takahashikzn

[クラウド帳票エンジンDocurain]

安全なpublic DNSを設定する

f:id:takahashikzn:20180211114715p:plain (出典: cryptoaustralia.org)

安全を謳うpublic DNSはいくつかあります。

有名なところはNorton ConnectSafeです。僕も自宅で使っておりました。(※個人利用は無料)

ですが、ある日突然、zuluyumリポジトリをブロックしてしまったので、乗換先を探すことに。

乗換先を選ぶ

参考にしたサイトはこちら。

http://blog.cryptoaustralia.org.au/2017/12/23/best-threat-blocking-dns-providers/

こちらのサイトによると、やはりトータルでブロック率が高いのはNorton ConnectSafeです。個人利用ならこれで文句なし。

但し、曲がりなりにもITの仕事をしている僕は、普通の人よりはフィッシングサイトに騙される可能性がかなり低い。 でも(うっかり)ページを開いてしまっただけで攻撃される可能性のあるExploit/マルウェアサイトには、引っかかってしまう可能性はあります。

従ってこの観点で選ぶならば

が候補であり、トータルのブロック件数はSafeDNSのほうが上ですがQuad9を選びました。理由は

  • Quad9は 9.9.9.9 という覚えやすいアドレス
  • SafeDNSは有償サービス

と言ったところです。 Quad9はExploitをほぼブロックしてくれないのは微妙ですが、それは他の選択肢も大差無いので仕方ない。

過信は禁物

とある人の実験結果によると、ほとんどブロックしてくれないという話もあるようです。

http://medium.com/@nykolas.z/dns-security-filters-compared-quad9-x-opendns-x-comodo-secure-x-norton-connectsafe-x-yandex-safe-a00ace3bf21f

Summary

I was not happy with the results. The more domains I tested, the more disappointed I got with the results. I had more than 30 random malicious domains for my informal research, but only reported the first 8 above because almost all others had the same result: "not blocked".

I think the lesson here is clear: Google Safe Browsing does a lot better than almost any of the DNS-based filters and they can not be used alone for security. In fact, they seem to do very little to help block access to malicious domains.

まとめ

残念な結果である。テストすればするほどガッカリだった。上記8ドメインだけでなく30以上のドメインを試したのだが、言うまでもなく結果は"not blocked"であった。

今回の結果は明らかだ。Googleセーフブラウジングの方がよっぽどマトモに仕事をしており、DNSベースのフィルタリングはほとんど役に立たないということだ。

何事も過信は禁物、ということで。