DNS

De Korben Wiki
Aller à : navigation, rechercher
Draft-128x128.png

Cet article est une ébauche.
Vous pouvez partager vos connaissances en l’améliorant :

  • Compléter l'article
  • Restructurer le contenu
  • Rajouter des illustrations
  • Créer des pages
  • Alerter dans les discussions si le sujet n'a pas lieu d'être et veiller à ce que la ligne éditoriale de ce wiki soit bien respectée

Introduction

Le DNS (Domain Name System/Système de noms de domaine) est un service permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine.

Il peut y avoir des "fuites de DNS" à travers certains VPN (Notamment PPTP). Le logiciel WireShark permet de vérifier si le VPN fonctionne comme il se doit et ne laisse rien fuiter.


3 vidéos explicatives:


Chiffrer ses DNS

  • Comment chiffrer ses DNS avec DNSCrypt: C'est bien beau de passer par du HTTPS pour chiffrer une communication entre votre machine et un site internet (par exemple Gmail) mais vos communications DNS elles, restent transparentes si un système de DPI vous espionne ou si un pirate tente de faire un peu de spoofing DNS ou une attaque de type Man In The Middle sur vous. C'est pour cela que OpenDNS a sorti un outil baptisé DNSCrypt qui permet d'ajouter une couche supplémentaire de sécurité en chiffrant tout simplement le trafic DNS. DNSCrypt est réalisé par la même équipe qu'OpenDNS | Article.
  • DNSSEC (« Domain Name System Security Extensions ») est un protocole standardisé par l'IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033 et les suivantes (une version antérieure de DNSSEC n'a eu aucun succès). Article sur 01net.com.


OpenDNS, une option utile pour ses DNS

OpenDNS est un projet permettant de se connecter à des serveurs DNS libres, indépendants de votre FAI et réellement performants. Ceci permettra donc, si le serveur DNS de votre FAI plante, de poursuivre votre surf en toute tranquillité, les avantages d'utiliser OpenDNS ne sont pas négligeables :

  • Rapidité : Les serveurs d'OpenDNS sont beaucoup plus rapides que ceux de votre FAI (on voit nettement la différence)
  • Une utilisation anonyme aux yeux de votre FAI, car les requêtes DNS se font sur des serveurs n'appartenant pas à ce dernier. Donc dans certains cas où l'on utilise un proxy mais qu'il y a une fuite de DNS de la part du navigateur, et bien notre FAI n'est même pas averti. Cependant, il faut noter que les clauses particulières d'utilisation d'OpenDNS indiquent clairement que cette société revend les données collectées à des sociétés tierces.

Vous pouvez les configurer en remplaçant directement les adresses DNS à partir de l'administration de votre BOX ou à partir des paramètres DNS de vos connexions réseau sur windows/linux etc.

Les adresses à utiliser sont : 208.67.222.222 et 208.67.220.220

Une inscription sur le site OpenDNS n'est pas nécessaire pour l'utilisation du service. Il faudra par contre s'enregistrer pour pouvoir le configurer finement et l'administrer.


  • Inconvénients:

Attention toutefois au fait qu'OpenDns redirige automatiquement vers son propre moteur de recherche en cas de page non trouvée. C'est d'ailleurs une de leurs principales sources de financement. On pourra outrepasser cette fonction, et continuer a utiliser la barre intelligente de Firefox grâce à cette extension.

Lire aussi, a contrario, ceci : http://www.bortzmeyer.org/opendns-non-merci.html. Résumé : beaucoup de résolveurs DNS (dont OpenDNS) sont menteurs. Sauf cas d'absolue nécessité, il est donc inutile de chercher d'autres résolveurs que ceux de votre FAI. S'il vous faut impérativement un résolveur tiers (par exemple lors d'un déplacement dans un environnement internétiquement douteux), vous pouvez adopter temporairement celui de Google (DNS1 8.8.8.8, DNS2 8.8.4.4)

Comme expliqué plus haut, OpenDNS revends ses données collectées à des sociétés tierces. les clauses particulières d'utilisation.

OpenDNS n'a rien d'open source, ce n'est pas une solution open source ou logiciel libre.


OpenDNS saura quels sites vous visitez, puisque toutes vos requêtes DNS iront vers leurs serveurs. C'est une question de confiance. Faites-vous plus confiance à votre fournisseur d'accès ? A vous de choisir. Les responsables d'OpenDNS semblent ouverts et transparents, et surtout l'entreprise serait ruinée si elle perdait la confiance de ses utilisateurs (marché non captif). Ils n'ont donc a priori aucun intérêt à violer votre vie privée.

-Notez qu'OpenDNS verra les domaines (www.commentcamarche.net), mais pas les URL complètes.

-Les logiciels qui résolvent des noms de machine n'auront plus d'erreur "domaine non trouvé", mais une redirection. Il est possible que cela perturbe le fonctionnement de certains logiciels. Cependant, dans la majorité des cas, cela ne pose aucun problème. Cette fonction peut se désactiver.

-Conservation des logs:

1) Utilisation d'OpenDNS sans inscription: Les logs sont purgés au bout de 2 jours.

2) Utilisation d'OpenDNS avec inscription: Les logs sont conservés si vous le désirez, et peuvent être purgés à la demande. Vous pouvez aussi demander à OpenDNS de ne conserver aucun log.

Source Commentcamarche.net.

Au final, il parait bien plus adapté d'utiliser des solutions d'anonymat plus efficaces que le changement de DNS (solution pratique, mais en aucun cas sécurisante, surtout en passant par OpenDNS), telles que le VPN, de régulièrement changer_son_adresse_MAC, de suivre les autres_conseils_de_paranos, et d'utiliser d'autres tactiques de sécurité citées sur ce wiki.


Créer son serveur DNS

Créer son propre serveur DNS, c'est s'affranchir des DNS de votre F.A.I., contournant les types de censure les plus classiques. Un vieil ordinateur avec une connexion Internet fiable suffit!

  • Comment savoir si une propagation DNS est en cours: Lorsqu'on change les DNS de son serveur, le plus long parfois, c'est la propagation de ces derniers. En général, quand c'est pour moi, je demande autour de moi (via twitter) qui a accès à quoi, à partir de quel FAI et dans quel pays. Mais quand on n'a pas d'ami parce qu'on ne se brosse pas assez les dents, il existe des solutions alternatives pour savoir si une propagation DNS est en cours ou pas. Une de ces solutions, c'est What's my DNS qui effectue des lookup sur votre nom de domaine ( A, AAAA, CNAME, MX, NS, PTR, SOA, ou TXT) un peu partout dans le monde, pour voir si ça avance... Cet outil ne changera pas la face du monde, mais ça vous rassurera peut-être un peu sur la progression de votre migration.


ODDNS, le futur des DNS libres?

ODDNS signifie "Open and Decentralized Domain Naming System" | Article.

Il s'agit d'une réponse Libre, ouverte, décentralisée au système actuel de gestion des noms de domaines.

Son objectif est de fournir un ensemble d'outils documentaires et applicatifs, permettant l'affranchissement du système conventionnel de résolution de noms de domaines.

MAJ: Hélas, le projet est mort, Jimmy Ignu a fermé son site, et les sources ainsi que le site ont étés perdues suite à une sauvegarde ratée... Si quiconque a téléchargé les sources de ce projet qui était prometteur, merci d'y mettre un lien sur ce wiki.

Créer son serveur ODDNS


Dot-BIT une autre alternative aux DNS

Dot-BIT est un projet de DNS décentralisées basé sur la technologie "Namecoin" utilisée par la monnaie électronique Bitcoin (Source).


Divers

  • Changez vos DNS à la volée: Si pour des raisons obscures de censure, de débits, de lieux de connexion ou que sais-je encore, vous devez régulièrement changer vos DNS (et que vous êtes sous Windows), voici une petite appli qui permet de faire cela simplement en 1 seul clic, avec DNS Jumper.
  • Namehelp – Vos DNS fast and furious: Namehelp est un logiciel qui tourne sous Windows, Mac et Linux et qui permet d'après ses concepteurs, d'optimiser jusqu'à 40% la résolution DNS. Pour cela, ils partent du principe qu'avec un serveur DNS, la résolution de noms de domaines relatifs à des CDN n'est pas toujours efficace. En effet, un DNS peut vous envoyer vers une IP de CDN qui n'est pas forcement le plus proche de vous. Ce n'est donc pas totalement optimisé. Namehelp propose de régler ce problème. Comment ? Et bien, une fois installé et configuré (vous devrez mettre l'adresse locale 127.0.0.1 en DNS), Namehelp réalise un comparatif des DNS publics (comme ceux de Google, d'OpenDNS...etc.) à partir de votre connexion et switche en live sur celui qui a le meilleur temps de réponse.