Configuration DNS

Publié le par

DNS est le service annuaire servant à résoudre les noms de domaines.

Par exemple si vous cherchez à résoudre l’adresse de SciHub https://sci-hub.se selon le service DNS que vous utilisez vous connaitrez ou pas l’adresse IP du site web. Je vous laisse faire le test…

La solution que j’ai choisie est d’appeler un résolveur de FDN , qui n’est pas censuré, accepte les communications chiffrées (DoT & DoH) et ne retient à priori pas les requêtes.

Si j’ai bien compris la différence en DoT (DNS over TLS) et DoH (Dns over HTTP), l’intérêt de DoH est d’encapsuler la communication dans une requête HTTPS sur le port 443 afin de passer au travers des règles de filtrage de certains admins réseaux qui bloquent tout ce qui n’est pas du protocole web standard…

Unbound

J’utilise Unbound + DHCP sur mon réseau local pour centraliser la configuration de la résolution de domaine pour tous les appareils (quand ils se connectent au réseau local, ils recoivent du DHCP l’adresse du service Unbound)

Pour résoudre les noms de domaines externes au réseau local, Unbound a besoin soit d’appeler les serveurs racines, soit d’appeler un autre résolveur.

Bref, pour mon usage, DoT suffit.

La config dans Unbound est simple:

forward-zone:
  name: "."
  forward-addr: 2001:910:800::40@853#ns1.fdn.fr
  forward-tls-upstream: yes

Firefox

Pour l’utilisation sur un réseau local verrouillé par un admin (qui ne bloque pas FDN spécifiquement), la solution DoH coté client est utile. Par exemple dans Firefox:

Mettre « https://ns1.fdn.fr/dns-query » dans la config:

Android

Sur Android, je vois comment utiliser DoT (rentrer « ns1.fdn.fr » dans la config de DNS privé) mais pas DoH.

Suivi

Il est techniquement possible de détecter quel est le dernier relai DNS que vous utilisez.

Faites le test avec DNSleaktest

Donc on pourrait par exemple discriminer les ordinateurs en fonction de leur résolveur pour leur afficher des publicités ou du contenu orienté. Par exemple si vous utilisez de FDN, il faudrait afficher du contenu parlant de bits partout.

Anonymat

Je tiens à préciser que rendre opaques les requêtes DNS à quelqu’un qui observe le trafic réseau ne l’empêche pas pour autant de savoir quels sites vous visitez. La première raison est que quand vous faites une requêtes HTTPS, le début de la négociation du chiffrement TLS contient en clair le nom de domaine demandé. Ca s’appelle Serveur Name Indication (SNI) et donc il suffit de faire une recherche dans les premiers paquets de chaque connexion TLS pour extraire cette information. C’est plus chiant que regarder les recherches DNS, mais ça marche aussi.

5 réactions sur “ Configuration DNS ”

  1. Carmelo

    Hello,
    Pourquoi ne pas mettre l’adresse du resolveur DNS au niveau de la box ou du routeur ? Et ne pas à avoir Unbound comme brique supplémentaire

  2. tuxicoman Auteur Article

    Parce que je ne pourrais pas annoncer dele routage des domaines qui doivent etre joints par le LAN en priorité (j’autoheberge ce site par exemple)

    Mettre en Unbound en secondaire ne fonctionnerait pas car le DNS du routeur repondrait pour ce domaine.

  3. Carmelo

    Tu veux dire qu’en local tu contactes les sites que tu héberges chez toi via son ip locale ?

  4. tuxicoman Auteur Article

    oui c’est mal?
    je sais que certains routeurs sont capables router leur IP publique vers le réseau interne directement, mais ce n’est pas le cas de tous.

  5. Carmelo

    Non non y’avait pas de jugement, je cherchais juste à comprendre !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.