Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » DNS autres que ceux du FAI, rapide réflexion

DNS autres que ceux du FAI, rapide réflexion

D 17 octobre 2016     H 14:00     A Genma     C 9 messages   Flattr cet article Logo Tipee

TAGS : FDN Filtrage DNS

Prérequis : savoir ce qu’est un DNS. Si ce n’est pas le cas, je vous renvoie vers mon billet DNS - Vulgarisation

Dès lors que l’on lit un article sur une censure via une modification dans la résolution DNS d’un FAI (par exemple), pour censurer un site, on voit comme solution de contournement proposée de définir sur ses machines les DNS suivant

   Google : 8.8.8.8 / 8.8.4.4
   OpenDNS (Cisco) : 208.67.222.222 / 208.67.220.220
   FDN : 80.67.169.12 / 80.67.169.40

à la place du DNS de son FAI (attribué par défaut lorsque la box attribue une adresse IP)

Recommander le DNS de FDN est une très bonne choses, les deux premiers beaucoup moins. Car comme je le disais dans mon billet Attention aux DNS
toute demande est tracée (loguée). Ainsi, si on demande à son navigateur d’aller sur porno.com, même si c’est en utilisant le mode navigation privée de son navigateur pour ne pas laisser de trace sur son PC, au moment de la résolution de nom (l’obtention de la correspondance nom de domaine - adresse IP), le serveur DNS trace la demande. Il conserve la date et heure, l’adresse IP demandeuse, le site pour lequel on demande la consultation. Tout ce que l’on fait sur Internet, tous les sites que l’on consulte sont donc tracés, notés, archivés. Il est alors possible de tout savoir de vos habitudes d’utilisation, les sites que vous consultez le plus souvent... Cela est donc bel et bien un problème pour la vie privée.

Est-il nécessaire de détailler plus en quoi le fait que Google fasse la résolution DNS des sites que je vais aller consulter est un soucis ?

Autre point à creuser, quelle confiance a-t-on dans les DNS alternatifs que l’on utilisera, si on ne prend ni ce de Google (qui est un GAFAM), ni ceux de FDN (qui sont de confiance) ?

Pour approfondir tout ça, je vous renvoie vers des billet que j’avais écrit :
- Les DNS menteurs
- Bloquer le porno
- Le filtrage d’Internet
- DNS, DNSSEC et DNSCrypt

 Les Tags - mots clefs de ce article

logo clef logo clef

 Vous aimez cet article? Soutenez le blog et partagez-le ;-)

Logo Tipee Flattr icon  Facebook icon  Twitter icon  Diapora icon   Licence Creative Commons

9 Messages

  • Reste la solution de faire tourner un service DNS sur sa machine ou son firewall. (en évitant de le configurer pour passer par le DNS du FAI)


  • Bonjour,

    Une autre raison d’éviter les résolveurs publics les plus connus, c’est que les gouvernements peuvent également assez facilement les viser. C’est notamment les dans les pays où un opérateur d’état gère tout ou l’essentiel des infrastructures d’accès à Internet (Chine, Turquie) ou bien où l’Etat peut facilement faire pression sur les principaux opérateurs (... qui a dit France ?).

    Par exemple, en Mars 2014, l’opérateur télécom national turque a utilisé des routes BGP spécifiques pour router les paquets à destination de 8.8.8.8 et 8.8.4.4 (et les résolveurs d’OpenDNS aussi) vers ses propres serveurs, mais uniquement à l’intérieur de son réseau : http://bgpmon.net/turkey-hijacking-ip-addresses-for-popular-global-dns-providers/

    Résultat, même les internautes turques qui avaient configuré ces résolveurs sur leurs équipements avaient toujours à faire à des serveurs menteurs et/ou enregistrant les requêtes et les IPs sources (facile alors, quand on est aussi le FAI, de remonter jusqu’à l’identité de l’abonné). Dans ce cas, à part une analyse sur le temps de réponse et le chemin pris par les paquets (traceroute), il devient difficile pour l’utilisateur de s’assurer que son trafic n’est pas détourné.

    Une solution acceptable est d’utiliser des résolveurs ouverts "de confiance" et pas trop populaires (FFDN ou Telecomix)... tant que l’autorité que l’on contourne ne s’en rend pas compte (il suffit pour cela qu’elle étudie ses flux réseau pour voir un accroissement des requêtes DNS vers certains serveurs à l’étranger).

    La vraie bonne solution est d’avoir un résolveur local validant (c’est à dire vérifiant la signature DNSSEC des résultats) qui parle directement aux serveurs faisant autorité. Dans ce cas, la seule alternative pour l’autorité est de bloquer le trafic sur les ports DNS, mais cela n’est pas transparent.

    Par contre, cela ne procure toujours pas de confidentialité sur les requêtes. L’autorité contrôlant le réseau peut toujours analyser le contenu des requêtes envoyées par l’utilisateur. Des solutions existent (DNSCrypt entre le client et le résolveur : https://dnscrypt.org, DNS sur TLS (RFC 7858) entre résolveur et server faisant autorité : https://tools.ietf.org/html/rfc7858). Pour l’instant ces techniques sont encore malheureusement peu déployées.


  • J’ajouterai en complément : pour l’instant ça fonctionne encore d’avoir son résolveur maison, mais jusqu’à quand, si les opérateurs commencent à faire la même merde qu’en Chine (Bouygues est lancé apparement sur mobile) : https://framabin.org/?c3379510d791c50c#uFTst6LjQlu5LjP4JfTN0RwkV3gI6zMMqIU8SEsbSQs=


  • Une fois les adresses de serveur entrés — ceux de FDN par exemple — comment vérifier que c’est bien appliqué ? openDNS (qu’on utilisera pas) permet sur son site de vérifier si on passe bien par eux.

    Merci à vous pour ces rappels et éclairages.

    Comme DNS alternatifs, j’avais aussi noté ceux-là (n’y allez pas les yeux fermés) :

    LDN (Lorraine Data Network) : 2001:913::8,80.67.188.188
    VPNSox : 88.198.218.86, 88.198.218.87


  • J’avoue que j’utilise les DNS de mon FAI (ovh) mais comme ils s’engagent a respecter la neutralité, je ne pense pas que ça pose problème.
    Est ce que je suis vraiment trop naïf ?


  • Hello,

    Il existe le projet OpenNic, qui propose des dns accessibles et publiques :

    https://www.opennicproject.org/

    A priori on peut leur faire confiance puisque ce sont des utilisateurs (geek) qui mettent à disposition leur(s) serveur(s) DNS.
    Par contre, pas de DNSSec/DNSCrypt en ce qui concerne la protection des requêtes...


  • Quid de son propre résolveur qui va directement interroger les DNS Root ?


  • Salut !

    « [...] quelle confiance a-t-on dans les DNS alternatifs que l’on utilisera ? »

    Tout est effectivement une question de confiance. Perso j’utilise OpenNic comme DNS primaire, mais de part mon expérience, mieux vaut paramétrer un DNS secondaire, chez moi c’est celui du Chaos Computer Club. Le jour où on ne pourra plus faire confiance au CCC, la situation sera critique.

    Merci à gjherblet (#2), un commentaire fort instructif !


  • Pour information, le récursif DNS de LDN est accessible au dessus de TLS (sur le port 443 et le port 853).


Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Conférences

Médiathèques vous recherchez un conférencier sur l’éducation populaire et l’hygiène numérique? Jetez un coup d’oeil à mon CV

Date des prochaines conférences?
Cliquer ici

Rechercher sur le blog

Liens

Logo Flattr Logo Gmail Logo Twitter
Logo RSS Logo Linkedin Logo GitHub
Logo Gitlab Logo Mastodon
Logo Diaspora

Soutenir ce blog?

Logo Tipee Logo Liberapay

Licence

Licence Creative Commons

Derniers articles

1.  Kimi no na wa - Your Name

2.  Conférence Du pseudonymat au pseudonyme

3.  Yunohost - Pourquoi les ports 80 et 25 sont ils toujours utilisés ?

4.  Lifehacking - Trois écrans : réel confort, luxe ou superflu ?

5.  Etre autodidacte

6.  Virtualbox comme outil dans le cadre de formations

7.  Yunohost, Virtualbox, Interfaces réseaux

8.  Lifehacking - TinyTask

9.  Lifehacking - Mes astuces pour faire ma veille ciblée

10.  Le blog kanjian.fr


Date de mise à jour :

Le 22 novembre 2017