Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » DNS autres que ceux du FAI, rapide réflexion

DNS autres que ceux du FAI, rapide réflexion

D 17 octobre 2016     H 14:00     A Genma     C 9 messages   Logo Tipee

TAGS : FDN Filtrage DNS

Prérequis : savoir ce qu’est un DNS. Si ce n’est pas le cas, je vous renvoie vers mon billet DNS - Vulgarisation

Dès lors que l’on lit un article sur une censure via une modification dans la résolution DNS d’un FAI (par exemple), pour censurer un site, on voit comme solution de contournement proposée de définir sur ses machines les DNS suivant

    Google : 8.8.8.8 / 8.8.4.4
    OpenDNS (Cisco) : 208.67.222.222 / 208.67.220.220
    FDN : 80.67.169.12 / 80.67.169.40

à la place du DNS de son FAI (attribué par défaut lorsque la box attribue une adresse IP)

Recommander le DNS de FDN est une très bonne choses, les deux premiers beaucoup moins. Car comme je le disais dans mon billet Attention aux DNS
toute demande est tracée (loguée). Ainsi, si on demande à son navigateur d’aller sur porno.com, même si c’est en utilisant le mode navigation privée de son navigateur pour ne pas laisser de trace sur son PC, au moment de la résolution de nom (l’obtention de la correspondance nom de domaine - adresse IP), le serveur DNS trace la demande. Il conserve la date et heure, l’adresse IP demandeuse, le site pour lequel on demande la consultation. Tout ce que l’on fait sur Internet, tous les sites que l’on consulte sont donc tracés, notés, archivés. Il est alors possible de tout savoir de vos habitudes d’utilisation, les sites que vous consultez le plus souvent... Cela est donc bel et bien un problème pour la vie privée.

Est-il nécessaire de détailler plus en quoi le fait que Google fasse la résolution DNS des sites que je vais aller consulter est un soucis ?

Autre point à creuser, quelle confiance a-t-on dans les DNS alternatifs que l’on utilisera, si on ne prend ni ce de Google (qui est un GAFAM), ni ceux de FDN (qui sont de confiance) ?

Pour approfondir tout ça, je vous renvoie vers des billet que j’avais écrit :
 Les DNS menteurs
 Bloquer le porno
 Le filtrage d’Internet
 DNS, DNSSEC et DNSCrypt

9 Messages

  • Reste la solution de faire tourner un service DNS sur sa machine ou son firewall. (en évitant de le configurer pour passer par le DNS du FAI)


  • Bonjour,

    Une autre raison d’éviter les résolveurs publics les plus connus, c’est que les gouvernements peuvent également assez facilement les viser. C’est notamment les dans les pays où un opérateur d’état gère tout ou l’essentiel des infrastructures d’accès à Internet (Chine, Turquie) ou bien où l’Etat peut facilement faire pression sur les principaux opérateurs (... qui a dit France ?).

    Par exemple, en Mars 2014, l’opérateur télécom national turque a utilisé des routes BGP spécifiques pour router les paquets à destination de 8.8.8.8 et 8.8.4.4 (et les résolveurs d’OpenDNS aussi) vers ses propres serveurs, mais uniquement à l’intérieur de son réseau : http://bgpmon.net/turkey-hijacking-ip-addresses-for-popular-global-dns-providers/

    Résultat, même les internautes turques qui avaient configuré ces résolveurs sur leurs équipements avaient toujours à faire à des serveurs menteurs et/ou enregistrant les requêtes et les IPs sources (facile alors, quand on est aussi le FAI, de remonter jusqu’à l’identité de l’abonné). Dans ce cas, à part une analyse sur le temps de réponse et le chemin pris par les paquets (traceroute), il devient difficile pour l’utilisateur de s’assurer que son trafic n’est pas détourné.

    Une solution acceptable est d’utiliser des résolveurs ouverts "de confiance" et pas trop populaires (FFDN ou Telecomix)... tant que l’autorité que l’on contourne ne s’en rend pas compte (il suffit pour cela qu’elle étudie ses flux réseau pour voir un accroissement des requêtes DNS vers certains serveurs à l’étranger).

    La vraie bonne solution est d’avoir un résolveur local validant (c’est à dire vérifiant la signature DNSSEC des résultats) qui parle directement aux serveurs faisant autorité. Dans ce cas, la seule alternative pour l’autorité est de bloquer le trafic sur les ports DNS, mais cela n’est pas transparent.

    Par contre, cela ne procure toujours pas de confidentialité sur les requêtes. L’autorité contrôlant le réseau peut toujours analyser le contenu des requêtes envoyées par l’utilisateur. Des solutions existent (DNSCrypt entre le client et le résolveur : https://dnscrypt.org, DNS sur TLS (RFC 7858) entre résolveur et server faisant autorité : https://tools.ietf.org/html/rfc7858). Pour l’instant ces techniques sont encore malheureusement peu déployées.


  • J’ajouterai en complément : pour l’instant ça fonctionne encore d’avoir son résolveur maison, mais jusqu’à quand, si les opérateurs commencent à faire la même merde qu’en Chine (Bouygues est lancé apparement sur mobile) : https://framabin.org/?c3379510d791c50c#uFTst6LjQlu5LjP4JfTN0RwkV3gI6zMMqIU8SEsbSQs=


  • Une fois les adresses de serveur entrés — ceux de FDN par exemple — comment vérifier que c’est bien appliqué ? openDNS (qu’on utilisera pas) permet sur son site de vérifier si on passe bien par eux.

    Merci à vous pour ces rappels et éclairages.

    Comme DNS alternatifs, j’avais aussi noté ceux-là (n’y allez pas les yeux fermés) :

    LDN (Lorraine Data Network) : 2001:913::8,80.67.188.188
    VPNSox : 88.198.218.86, 88.198.218.87


  • J’avoue que j’utilise les DNS de mon FAI (ovh) mais comme ils s’engagent a respecter la neutralité, je ne pense pas que ça pose problème.
    Est ce que je suis vraiment trop naïf ?


  • Hello,

    Il existe le projet OpenNic, qui propose des dns accessibles et publiques :

    https://www.opennicproject.org/

    A priori on peut leur faire confiance puisque ce sont des utilisateurs (geek) qui mettent à disposition leur(s) serveur(s) DNS.
    Par contre, pas de DNSSec/DNSCrypt en ce qui concerne la protection des requêtes...


  • Quid de son propre résolveur qui va directement interroger les DNS Root ?


  • Salut !

    « [...] quelle confiance a-t-on dans les DNS alternatifs que l’on utilisera ? »

    Tout est effectivement une question de confiance. Perso j’utilise OpenNic comme DNS primaire, mais de part mon expérience, mieux vaut paramétrer un DNS secondaire, chez moi c’est celui du Chaos Computer Club. Le jour où on ne pourra plus faire confiance au CCC, la situation sera critique.

    Merci à gjherblet (#2), un commentaire fort instructif !


  • Pour information, le récursif DNS de LDN est accessible au dessus de TLS (sur le port 443 et le port 853).