DoH(DNS over HTTPS) を Cisco Umbrella で扱う

Last updated at 2020-12-02Posted at 2020-12-02

今回は、小ネタですが、表題の通り DoH(DNS over HTTPS) を Cisco Umbrella で扱ってみたいと思います。

はじめに

DoH(DNS over HTTPS)自体の詳細の説明は、いろいろな記事がネット上に転がっているので割愛しますが、ざっくり言うとDNSのプライバシー向上のための技術で、これまでDNSといえば port 53 を使っていた通信を、HTTPS の通信の中でやってしまうという技術です。

最近の Firefox や Chrome ではすでにサポートされています。

プライバシー向上のための技術ですが、DNSレイヤでのペアレントコントロールや、ドメインレピュテーションなど、セキュリティ施策を行う環境においては、アプリケーションが直接HTTPSの通信の中で名前解決を行うため制御が難しいという課題や、またDNSという通信に重要な設定をOSの設定を利用せずにアプリケーションがDoHを管理することで、ブラウザごとの実装の違い、更新などの管理的な課題など、いくつかの課題が議論されています。

また、Firefox の version63 から北米ではデフォルトでDoHを有効にするということでも多くの話題を生んでいます。

Cisco Umbrella も DoH に対応しているので、色々動作について確認してみました。

この記事でやること

Firefox / Chrome で DoH を設定し、Umbrella で制御
Cisco Umbrella DoH サーバーを使ってみる
Dig like DoH クライアントを使ってみる

Firefox / Chrome で DoH を設定し、Umbrella で制御

先に、いくつかの課題を挙げましたが、企業内におけるDNSでのセキュリティ施策をバイパスしてしまうという課題について、例えば、Firefox では canary domain と呼ばれる 'use-application-dns.net' というドメインに対し、名前解決を実行し、名前解決に失敗すれば、DoH を行わないという実装により、回避策を提供しています。
上記、実装に関して Cisco Umbrellaなど、DNSサーバー側で対応済みであれば、デフォルトで、DoHが有効になりません。ただし、ユーザーがマニュアルでDoHを有効にする場合は、canary domain は使われないという仕様¹ になっており、上記課題が残ります。

Chromeにおいては、上記のcanary domain の手法を取っていません（この手法を取り入れる予定もないとのこと²）。Chromeでは、より保守的なアプローチとして、システム側のDNSとして設定されているDNSサーバーが DoH に対応している場合に限りDoHをプライバシー向上の手段として使います。

Umbrella での DoH のブロック

Cisco Umbrella においては、設定で、DoHをブロックすることができます。
Cisco Umbrella のポリシー設定において "Proxy/Anonymizer" カテゴリをブロックします。そうすることで、DoHのサーバーに対する名前解決を制限し、結果として、ブラウザは、アプリ内で設定したDoHはなく、システムで設定された DNS を利用します。

実際に DoH をブロックするポリシーが設定された環境で、DoH を使うとどうなるか見てみましょう。

下記のように、Umbrella のレポート上では、設定したPolicy によって DoH のサーバーへの通信がブロックされます。

ブロックの動作としては、Umbrella 側で、DNS のレスポンス変更しています。　Googleが提供する DoH サーバー dns.google に対して名前解決をしてみると...　
レスポンスが本来の 8.8.8.8 ではないのがわかると思います。

$ dig dns.google

; <<>> DiG 9.10.6 <<>> dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65103
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dns.google.			IN	A

;; ANSWER SECTION:
dns.google.		0	IN	A	146.112.61.106  <---　本来の 8.8.8.8 が書き換わっている

;; Query time: 7 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Dec 01 11:35:44 JST 2020
;; MSG SIZE  rcvd: 55

ブラウザではこの状態でも、ブラウジングに問題はありません。通信に DoHのサーバーではなく、システムのDNSサーバーを使っています。

上記の通り、Umbrellaが提供する DoH のブロックは、あくまで DoH サーバーへの名前解決のレイヤで Cisco Umbrella がコントロールを行っています。

Cisco Umbrella DoH を使ってみる

2020年の5月に Umbrella も DoH に対応しました。
下記のURLをブラウザ内のカスタムDoH設定として入力することで、Cisco Umbrella の DoH サーバーを使うことができます。

https://doh.umbrella.com/dns-query

こちらのDoHサーバを利用する場合は、Cisco Umbrella のポリシーに基づくコントロールが可能になります。

設定した状態で、https://doh.umbrella.com へアクセスすると、ブラウザの設定が doh.umbrella.com に対して有効なっているか、確認できます。

Dig like DoH クライアントを使ってみる

OpenDNS (現Cisco Umbrella) のGithubのリポジトリに dig like な dohクライアントがあります。それを使って、動作確認してみます。

GitHub - opendns/doh-client

インストール

git clone https://github.com/opendns/doh-client.git
cd ./doh-client
pip3 install -r requirements.txt --user
cp doh.py /usr/local/bin/doh

早速、このツールを使って yahoo.co.jp の名前解決をしてみます。

$ doh yahoo.co.jp  
; <<>> DoH Client 0.1 <<>> yahoo.co.jp
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1212
;; flags: QR RD RA

;; QUESTION:
yahoo.co.jp. IN A

;; ANSWER:
yahoo.co.jp. 194 IN A 182.22.59.229
yahoo.co.jp. 194 IN A 183.79.135.206

;; Server: https://doh.opendns.com
;; Query time: 84 msec

このコマンドでは、デフォルトの DoH サーバーは Cisco Umbrella (doh.opendns.com) を使うため、上記で設定したブロックポリシーにはかかりません。
ただし、ブロックしてある DoH サーバーを使って、DoH してみると...

$ doh yahoo.co.jp @dns.google
; <<>> DoH Client 0.1 <<>> yahoo.co.jp @dns.google
Error<urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1122)>

この通り、名前解決に失敗します。
設定通り、 Umbrella のポリシーが効いていることが確認できます。

まとめ

Cisco Umbrella での DoH 周りの動作確認をしてみました。

DoH 自体は、すでに巷で議論されている通り、現在のところ、技術としての選択肢であり、セキュリティのための要件ではありません。
企業ユースにおいては、DoH積極的に使うというよりは、こういった技術をどのように管理していくかという観点で、FWの設定やエンタープライズグループポリシーなども含めて、考慮点は多いのかなと思います。