NextDNSというサービス

今回はQiitaに載せようと思ったけど載せる前に弾かれてしまった記事を改めて公開しようと思っています。
カシマアキラです。

技術的な話も絡むのに弾くとは何事だ、と言いたいのは山々ですが、Qiita記事に書いた単語がよろしくなかったようで、自分のブログに改めて載せ直すか、という気持ちで今更書いています(確か年末付近に書いて2ヶ月ぐらい経ってしまっている)
記事のバックアップも取っていなかったので、今更もういいやって感じではあるんで、気を取り直し、使い方や、応用した内容を書こうと思います。

NextDNSとは

そもそもNextDNSってなんだ?って話なんですが、最近話題に上がった内容だと、そのドメインの正当性を担保するにはドメインが信頼できなければならないのですが、ドメインハイジャックを受けたり、ネット利用者の端末のアクセス先を不正に書き換えられたり、本来正しいサイトにアクセスするはずがフィッシングサイトにつながったりと、ドメインに関する話が盛り沢山なのですが、そう言った本来の繋ぎたいサイトへきちんと繋がるようにするための仕組みとしてNextDNSというサービスが始まったのだと思っています。
技術的な用語ではDNSoverHTTPS(略してDoH)とあるのですが、簡単に言ってしまえば、悪いサイトへのアクセスを遮断したりフィッシングサイトだとしてもそもそも前段階で防ごうとかURLのどこにアクセスしようとしているのかを保護するとか広告排除するとか様々な役割があります。(正確に広告は排除されないのですが、変な広告にアクセスしてもマルウェアに感染しないためであったり、アダルトサイトなどの広告を誤ってクリックしても何も起こらないようにしたりという感じ。)

ネットの健全化を目指しているサービスでもありますね。

NextDNS自体は実はいろんな機能があり、ブロック推奨のサイトを弾いてくれるのはもちろん、他の人が配信している一覧を取り込みブロックする機能もあります。
また単独でアクセスしたいURLがある場合はホワイトリストでURLを登録することでその閲覧したいサイトも見ることができるようになります。
どこにアクセスしたかのログやブロックしたログも記録され、どう言ったフィルタが弾いてくれたとか、色々知ることができる機能もあります。

言うよりアクセスしてみたほうが早いと思うのでリンクはこちらにアクセスしてご確認ください。
詳しい使い方はGigazineに記事がありますが、ちょっと古くなっています。

基本は変わらないのですがブラウザでnextdnsのサイトに繋いだときの画面がちょっと違うため戸惑いがあるかもしれませんが、さほど大きな変更はされていませんので多少使い方をグッと堪えて試してみてください。

オススメ設定とか

設定の複製は行えませんが、設定を複数用意しておくことが可能です。
会社のFirefox用、自宅のFirefox用、ルーター用など色々設定ファイルを分けて使うことができます。

Setupタブの下の方には利用しているデバイス毎にどう設定するかが記載されています。

Securityタブでは色々配信されているDNSのリストを取り込むことができるようになっています。
ぼくの個人的なスマホ用オススメは以下のようになっているのですが、やりすぎると見たいサイトが見れない、みたいなことになりかねないのでご注意ください。

ONにしているもの

  • Threat Intelligence Feeds
  • Cryptojacking Protection
  • IDN Homograph Attacks Protection
  • Typosquatting Protection
  • Domain Generation Algorithms (DGAs) Protection

Offにしているもの

  • DNS Rebinding Protection
  • Block Newly Registered Domains
  • Block Parked Domains
  • Top-Level Domains (TLDs) Blocking
  • Block Child Sexual Abuse Material

Privacyタブはこんな感じですね。

Blockのみ

  • 280blocker
  • AdGuard Simplified Domain Names filter
  • Anudeep’s Blacklist
  • CAMELEON
  • Disconnect (Ads)
  • Disconnect (Tracking)
  • hpHosts (ATS / Ads & trackers)
  • Steven Black

Parent Controlタブではこんな感じです。

  • Porn
  • Piracy

Blacklist, WhiteListは適宜自由に設定してください。

あとはSettingsタブですが、こちらは以下のようにしています。

やりすぎるとどのサイトにもつながらなくなるので、適度な設定が良いです。
繋がらなくなった時は焦らずにNextDNSをオフにしましょう。

ぼくが設定している内容はこんな感じでした。

応用編

ぼくはインフラを担当しているエンジニアなのでよくサーバリプレイスしたいとか聞くわけですが、サーバリプレイスを本番環境で実施するのはなかなか難しかったりします。
理由はドメインが絡んだりするのですが、新しく構築した環境のドメインを切り替えるまでの間、どうやって新しく用意した環境のテストを行うか、と言うことがよくあります。
新規にドメインを割り当てられる場合は良いのですが、既存のドメインに割り当て直す場合は一工夫を必要とします。

例えば、動作確認を行う対象がWindowsやMac、Linuxなら対応のしようもあります。

Windowsなら C:¥Windows¥System32¥Drivers¥etc¥hosts
MacとLinuxなら /etc/hosts

を編集すれば同じことができます。
そこはまだよしとして、最近だとどこの会社もスマートフォンのアプリ開発を始めてたりしますが、スマートフォンもローカルだけで動くなら良いのですが、ネットを介して何かを行うことが増えています。
そして自社独自のAPIを使うケースもあり、そのAPIサーバをリプレイスしなくてはならない、となった場合にどうやってテストを行いますか?
アプリ側内部でリプレイス前まで仮ドメインを設定し、リリース時に本番ドメインに戻しますか?

ぼくはそういうことをしなくても良いように、rewrite機能を使った方がうまくいくのではないか?と考えています。

rewrite方法はSettingタブの一番下にあります。

URLやIP指定ができるため恐らくELBとかALBも指定できるのかな?仮ドメインを指定しても良いとは思いますが。
リライトしたあと戻し忘れにご注意ください。

まとめ

最近、セキュリティ周りの面白い話がちょっとずつ出てきてるのでワクワクしてるのですが、もっといろんなセキュリティサービスでたら嬉しいなぁと思っています。
あとサイトの健全化は大賛成なので良い広告なら良いけどお粗末な広告はもうウザっとしか思えなくなってしまっているので、広告は嫌われても仕方ないんですよね。

ということで、NextDNSというサービスの紹介でした。良いネットライフを。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

%d人のブロガーが「いいね」をつけました。