安全なブラウジングに最適な DNS サーバー

ルーターは、Web を閲覧しているときに DNS 要求を行います。 ただし、既定では、ISP はすべての検索と Web アドレスを確認します。 セキュリティとプライバシーを強化するために、DNS 設定を変更できます。

DNS サーバーとは

DNS (ダイナミック ネーム システム) サーバーは、人が読める Web アドレスを IP アドレスに自動的に変換するサービスです。 家でもインターネットでも、すべてのネットワーク デバイスが IP アドレスを持っているため、これは重要です。 IP アドレスを人間として使用するのは面倒です。 それらを覚えていたとしても、タイプミスするでしょう。 それが、ドメイン ネーム システムが考案された理由です。

Web サイトに接続しようとすると、ルーターはそのサイトの詳細がキャッシュにあるかどうかを確認します。 そうでない場合は、Web サイトのドメイン名を DNS サーバーに送信して DNS 要求を行います。 DNS サーバーはドメイン名を検索し、IP アドレスを見つけてルーターに送り返し、Web サイトをホストしている Web サーバーへの接続を試行できるようにします。

実際には、もっと複雑です。 デフォルトでは、ルーターが接続する DNS サーバーは、インターネット サービス プロバイダーが提供する DNS 前駆サーバーです。

関連iPhoneで「暗号化されたDNSトラフィックをブロックするネットワーク」を修正する方法

前駆体サーバーが Web サイトの詳細を独自のキャッシュに保持していない場合、要求を DNS ルート ネーム サーバーに送信します。 ルート ネーム サーバーは、要求された Web サイトのトップレベル ドメイン (.COM、.INFO、.ORG など) を処理できるトップレベル ドメイン サーバーのリストを使用して、前駆体サーバーに応答します。 先行サーバーは、そのリストの最上位ドメイン サーバーの 1 つに要求を繰り返します。

最上位のドメイン サーバーは、ドメインの詳細を実際に保持している DNS の権威ネーム サーバーの名前で応答します。 次に、前駆体サーバーは、権限のあるネーム サーバーに再度要求を行い、最終的に IP アドレスを取得します。

この例では、ユーザーは Web サイトにアクセスしようとしていましたが、電子メール サーバーなど、ドメイン名で識別される Web リソースについても同じことが当てはまります。

DNS、セキュリティ、プライバシー

ISP の既定の DNS サーバーを使用すると、プライバシーとセキュリティに影響があります。

添付されたメタデータの一部が暗号化されていても、DNS 要求のデータは暗号化されません。 中間者攻撃または ISP のせんさく好きな従業員は、オンライン アクティビティを非常に簡単に公開して確認できます。 それは十分に悪いことですが、ISP の DNS サーバーを使用すると、セキュリティも弱まる可能性があります。

最も一般的な DNS 中心のサイバー攻撃のいくつかは次のとおりです。

• 分散型サービス拒否: これにより、DNS サーバーを圧倒する偽の要求のフラッドが作成され、正規の要求を処理できなくなります。
• DNS スプーフィング/ポイズニング: これにより、ルーターが作用する偽の悪意のある DNS 応答が作成されます。 サイバー犯罪者は、ユーザーを本物の Web サイトではなく、詐欺的な Web サイトに誘導する可能性があります。 これらは、ログイン資格情報を収集するフィッシング Web サイトである可能性があります。
• DNS ハイジャック: マルウェアがコンピュータに感染し、TCP/IP の設定と動作を変更して、DNS 要求がサイバー犯罪者の不正な DNS サーバーにリダイレクトされるようにします。 これらは Web リクエストをフィッシングやその他の悪意のある Web サイトにリダイレクトします。
• ドメイン ハイジャック: これはまれな形式の攻撃です。 ドメイン レジストラーのシステムの詳細を変更して、正規の Web サイトの保存された詳細が偽の Web サイトに向けられるようにする必要があります。

標準の DNS には本当のセキュリティはありません。 できることは、ダウンストリーム サーバーからの応答が、要求の送信先と同じ IP アドレスからのものであることを確認することだけです。 それは何かですが、完全ではありません。

Domain Name System Security Extensions (DNSSEC) は、DNS 要求にデジタル署名を追加するために開発されました。 これらにより、DNS サーバーは、受信したデータが間違いなく発信元からのものであることを確認できます。 これは、データ オリジン認証と呼ばれます。 さらに、受信者は、データが転送中に変更されていないことを確認できます。 これはデータ整合性保護と呼ばれます。

DNS over HTTPS (DoH) は、DNS 要求とサーバー間のトラフィックを暗号化する新しいプロトコルです。 ただし、ログに記録されキャッシュされた DNS 要求は暗号化されません。 それらは転送中にのみ暗号化されます。 そしてもちろん、ほとんどの ISP は可能な限りすべてをログに記録しており、すべてが DNSSEC と DoH をサポートしているわけではありません。

関連： DNSサーバーを変更するための究極のガイド

安全なブラウジングに最適な DNS サーバー

パブリック DNS サーバーは、ISP のデフォルトのサービスよりもプライベートで安全で高速です。 私たちが推奨する最高のDNSサーバーの5つを次に示します。

OpenDNS ホーム

• プライマリ DNS : 208.67.222.222
• セカンダリ DNS : 208.67.220.220

OpenDNS は 2015 年に Cisco に買収されました。「Open」の部分は、どこからでも DNS 要求を受け入れることを意味します。 オープンソースとは何の関係もありません。 OpenDNS には有料層と無料層があります。

シスコは、最高級のネットワーク製品とノウハウでその名を築き上げました。 シスコは、ネットワークとトラフィック ルーティングについて、地球上のどの企業にも負けないほどの知識を持っています。 グローバルな存在感を持ち、堅実な DNS サービスを提供します。

OpenDSN ホームは、DoH と DNSSEC をサポートしています。 また、コンテンツ フィルタリングとマルウェア/フィッシング保護もバンドルされています。 オプトアウトすることはできません。 設定をある程度制御できますが、有料層のいずれかで行うほどではありません.

おそらくもっと心配なのは、OpenDNS が DNS クエリ、IP アドレスなどをログに記録し、アクセスしたページに「Web ビーコン」と呼ばれるものを配置することです。

OpenDNS は高速で安全ですが、プライバシーに関する懸念があるため、一部の人は気が進まないでしょう.

Google パブリック DNS

• プライマリ DNS : 8.8.8.8
• セカンダリ DNS : 8.8.4.4

Google のパブリック DNS は、ビジネスでの使用を含め、誰でも無料で利用できます。 これは、迅速な応答時間を備えた堅牢で信頼性の高いサービスです。 そしてもちろん、Google がなくなることはないと確信できます。

Google のパブリック DNS は、DNS over HHTPS を含む多くのルックアップ プロトコルをサポートしており、DNSSEC もサポートしています。 また、DDoS 攻撃に対する保護も含まれています。

Google の DNS に関する唯一の問題は Google です。 データを収集し、それを使用して広告をターゲットにすることで収益が得られることは誰もが知っています。 また、有料で第三者とデータを共有します。 そのため、Google は堅牢性とセキュリティで高いスコアを獲得していますが、プライバシーではそれほどスコアが高くありません。

Google によると、収集したデータは匿名化されており、個人を特定できる情報は含まれていないため、気にならないかもしれません。 Gmail、Android、または Google ウェブ検索エンジンなどの Google 製品を既に使用している場合、Google はユーザーについてこれまで以上に学習することはありません。

しかし、Google の「ビッグ テクノロジー、ビッグ データ、ビッグ ブラザー」の企業機構と関わりたくない場合、Google は向いていません。

クラウドフレア

• プライマリ DNS : 1.1.1.1
• セカンダリ DNS : 1.0.0.1

Cloudflare は、ミラー化された分散インスタンス間で Web サイト トラフィックを負荷分散し、ほぼあらゆる規模の DDoS 攻撃から保護するコンテンツ配信ネットワークのプロバイダーとして最もよく知られています。

最速の DNS パフォーマンスを備えており、IP アドレスを決して記録せず、24 時間ごとに操作ログを削除することを公に約束しています。 これはKPMGが独自に検証しています。

デフォルトでは、コンテンツのフィルタリングとブロックはバンドルされていませんが、必要に応じて使用できます. 有効にするには、Cloudflare の代替プライマリおよびセカンダリ DNS サーバーを使用するだけです。

Cloudflare DNS は設定が難しい場合があり、Cloudflare Web サイトはナビゲートするのに最も直感的ではありません. ただし、一度実行すると、プライバシーを尊重するというボーナスとともに、最速の DNS を利用できます。

DNSウォッチ

• プライマリ DNS : 84.200.69.80
• セカンダリ DNS : 84.200.70.40

DNSWatch は、ネット中立性をサポートしていると述べており、DNS サーバーでコンテンツをフィルタリングしようとはしません。 DNS クエリやユーザー履歴も記録しません。 DNSWatch はデータを収集しないため、データを共有したり販売したりすることはありません。

DNSSEC と DoH はサポートしていますが、フィッシング サイトやマルウェア サイトに対する保護など、その他のことはすべてあなた次第です。 それが推進していることの 1 つは、失敗したリクエストのハイジャックを拒否することです。

通常、アクセスしようとしているサイトが応答しない場合、ISP はスポンサー付きの検索ページに誘導します。 そのサイトに入力されたものはすべて、ISP によってログに記録されます。 DNSWatch はそれを行いません。ブラウザのデフォルトの接続不良ページが表示されます。

Quad9

• プライマリ DNS : 9.9.9.9
• セカンダリ DNS : 149.112.112.112

Quad9 の本社はヨーロッパにありますが、世界中の 90 か国に 183 の DNS リゾルバーのクラスターがあります。 無料サービスです。 そのサーバーはトランザクションとパフォーマンスのデータを記録しますが、個人を特定する情報は記録しません。 タイムスタンプ、トランスポート プロトコル、要求されたドメインとその位置情報などを記録します。

デフォルトでは、マルウェアを隠したり、ユーザー資格情報を収集したりする既知の悪意のある Web サイトをブロックすることで、DNSSEC や DoH を超えるセキュリティを提供します。 ブロックされたサイトのリストは、20 を超える公的および商業的な情報源から収集されています。 コンテンツ、広告、または Web トラッカーをフィルタリングまたはブロックするのではなく、悪意のある Web サイトのみをフィルタリングまたはブロックします。

このブロックを有効にしたくない場合は、代替のプライマリおよびセカンダリ IP アドレスを使用できます。

速度に関しては、Quad9 の平均応答時間は 21 ミリ秒で、稼働時間は 99.94% です。 Google と Cloudflare の応答時間は 10 ミリ秒程度で、これは彼らが優れているところです: 生の速度です。 ただし、21mS は依然として目がくらむほど高速です。 通常の操作では、この 2 つの違いに気付くことはありません。

それらを試してください。 彼らは無料です

これらのプロバイダーはすべて無料の DNS サービスを提供しているため、いずれかを選択して試すことができます。 または、いくつか試してみてください。 さまざまなプラットフォームをカバーするガイドがあります。

• Windows 10 で DNS サーバーを変更する方法
• Windows 11 で DNS サーバーを変更する方法
• Chromebook で DNS サーバーを変更する方法
• MacでDNSサーバーを変更する方法
• AndroidでDNSサーバーを変更する方法
• iPhoneまたはiPadでDNSサーバーを変更する方法

セキュリティとプライバシーは同じものではなく、すべての DNS プロバイダーが常に同等の注意を払っているわけではないことを覚えておいてください.