IP アドレスを手動で入力しない限り、Web サイトにアクセスするたびに、最初に DNS ルックアップを実行します。デフォルトでは、ネットワークはおそらく ISP のサーバー、Google の 8.8.8.8、Cloudflare の 1.1.1.1 などのパブリック DNS サーバーを指しています。これらは便利で高速ですが、アクセスした Web サイトが編集されていない状態で第三者に閲覧されてしまうことも意味します。
Google に提供する情報の量を最小限に抑えたい場合は、パブリック DNS サーバーを、Pi-hole と Unbound を実行する安価な Raspberry Pi に置き換えることができます。
DNS サーバーは、アクセスしたすべての Web サイトを認識します
DNS ルックアップ リクエストも通常は暗号化されません
ドメイン名を使用して Web サイトに接続すると、世界のどこかにある DNS サーバーがそのドメイン名を IP アドレスに変換し、コンピューターが実際に接続するためにバックグラウンドで使用します。どの DNS サーバーを使用しても、ブラウザに入力したすべてのドメインを完全に可視化できます。DNS リクエストが暗号化されていない場合は、 インターセプト DNS リクエストにより、アクセスしている Web サイトを表示することもできます。それは第三者に信頼すべき多くの情報です。
VPN を使用していない限り、ISP はユーザーが接続している IP アドレスを引き続き確認できるため、その IP アドレスをドメインにリンクできます。
幸いなことに、安価な Raspberry Pi Zero 2 W といくつかのオープンソース プロジェクトを使用して、この問題に対処できます。
Pi-hole と Unbound はプライバシーとセキュリティを提供します
DNSサーバーに直接問い合わせる必要はありません
ドメイン名を使用して Web サイトに接続したい場合は DNS サーバーが必要ですが、実際に DNS サーバーが必要であるとは何も書かれていません。 直接 DNSサーバーに問い合わせてください。代わりに、再帰リゾルバーである Unbound と呼ばれるプログラムを使用して独自のものを構築できます。
Unbound は「DNS 階層」全体と直接通信します。つまり、ルート サーバー、TLD サーバー、権威ネーム サーバーからデータを直接取得します。基本的に、ドメインを IP アドレスにリンクすることに関与するすべてのコンピューターに情報を要求し、その情報をローカルに保存します。今後そのドメインにアクセスする必要があるときは、Google や Cloudflare に Web サイトへの接続を依頼する代わりに、Unbound の保存された結果から情報を得ることができます。
ラズベリーパイ
クアッドコア 64 ビット ARM Cortex-A53
512MBのSDRAM
Raspberry Pi Zero 2 W は超小型で非常に手頃な価格ですが、さまざまな DIY プロジェクトに十分なコンピューティング能力を備えています。これを使用して、Klipper/Mainsail 用のハンドヘルド レトロ ゲーム コンソール、超コンパクトなホーム サーバーやメディア サーバーなどを作成できます。
Google の 8.8.8.8 サーバーはまったく必要ありません。必要なものはすべてホーム ネットワーク上にあります。
さらに、Unbound は、受信している DNS レコードが改ざんされていないことを確認するために暗号化を使用する DNSSEC を使用できます。まれではありますが、DNS ポイズニングは、トラフィックを正規の Web サイトから悪意のあるクローンに再ルーティングして、クレジット カード番号などの機密情報を盗むために使用されることがあります。大規模な DNS サーバーは、侵害に成功するため魅力的なターゲットです。 1つ 何千万人もの人々に影響を与える可能性があります。
それが問題になる可能性は低いですが、Web サイトの ID を二重チェックする独自の小さな DNS リゾルバーを実行すると、その種の攻撃に対する耐性が非常に高まります。
Pi-hole は Unbound と最適な自然な組み合わせです。 Pi ホールは、ネットワーク全体の DNS の「シンクホール」として機能します。デバイスがドメインへの接続を要求すると、Pi-hole はそのブロックリストをチェックします。ドメインが広告、トラッカー、またはホスト マルウェアを実行することがわかっている場合、Pi-hole は 0.0.0.0 を返します。これにより、ブロックされたドメインにはそもそも接続できなくなります。
この Raspberry Pi プロジェクトはすぐに私のホームラボの基礎となりました
穴シバン。
フィルタリングは DNS 層で行われるため、家のすべての電話、スマート TV、または IoT デバイスにソフトウェアをインストールする必要はありません。
Unbound と一緒に使用すると、2 つのレイヤーが連携して機能します。ネットワーク上のあらゆるものはまず Pi-hole と通信し、不要なドメインを自動的にブロックします。 Pi ホールによってトラフィックがフィルタリングされると、トラフィックは Unbound に転送され、ドメイン名が IP アドレスにリンクされて接続されます。
サードパーティを必要としないため、デバイスに感染する前に、適切な量のマルウェアをブロックできます。 1 回限りの少額のハードウェア コストと微量の電力で、ネットワークを完全に制御できます。ローカル キャッシュがロードされると、繰り返し検索はほぼ瞬時に行われます。
Pi-hole と Unbound のセットアップ
1 時間あれば Raspberry Pi があれば十分です
まず、Raspberry Pi Imager を使用して Raspberry Pi OS Lite (64 ビット) を microSD カードにフラッシュし、Raspberry Pi にインストールします。次に、ルーターにログインし、Raspberry Pi に静的 IP アドレスを割り当てます。IP アドレスが変更されると、すべてが動作しなくなります。
このセットを使用して、Raspberry Pi に SSH で接続し、次のコマンドを実行して Pi-hole をインストールします。 curl -sSL https://install.pi-hole.net | bash次に、Web ダッシュボードに接続してセットアップを完了します。インストーラーは非常に使いやすいように設計されており、重要な部分を順番に説明してくれます。
それが完了したら、再度 SSH で接続し、次を使用して Unbound をインストールします。 sudo apt install unbound。ポート 5335 でループバック アドレス (127.0.0.1) をリッスンしていること、および DNSSEC が有効になっていることを確認する必要があります。これを行うには、Pi-hole の手順に従って、「/etc/unbound/unbound.conf.d/pi-hole.conf」に構成ファイルを作成します。次のようになります。
次に、2 つのデバイスが実際に相互に通信するように指示する必要があります。 Pi-hole ダッシュボードを開いて設定に移動し、アップストリーム DNS をカスタム エントリに設定します。 127.0.0.1#5335 そして 他のすべてのオプションのチェックを外します、Google の 8.8.8.8 を含みます。 Pi-hole の DNSSEC は無効のままにしておきます。
最後に、通常の Pi ホールの場合と同様に、ルーターの DNS 設定を Pi の IP アドレスに向けます。
いくつかのトレードオフがあります
Pi-hole と Unbound の組み合わせは、プライバシーを重視する場合、または詳細な制御を利用できるホームラバーに最適です。ただし、いくつかの欠点もあります。
新しいドメインに初めてアクセスするとき、Unbound は最初にすべてを一度読み込む必要があるため、検索はパブリック リゾルバーよりも遅くなります。その後の訪問は、 多くの より速くなりますが、最初の遅延はおそらく気づくでしょう。
さらに、単一障害点を作成していることに注意してください。 Raspberry Pi が好奇心旺盛な猫によって本棚から投げ落とされた場合、バックアップ リゾルバーが設定されていない限り、または問題を解決するまで、ホーム ネットワーク全体がインターネットにアクセスできなくなります。
このテーマについてさらに詳しく知りたい方は以下をご覧ください