Blocage par erreur d'Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?

Blocage par erreur d’Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?

Un DNS au long nez

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

20/10/2016 12 minutes
102

Blocage par erreur d'Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?

Après le blocage de plusieurs sites majeurs par Orange, nous avons voulu comprendre comment une telle situation s'est installée, et comment elle peut évoluer. De la gestion des résolveurs DNS par les opérateurs aux alternatives en développement, tour d'horizon avec l'expert Stéphane Bortzmeyer.

Le 17 octobre au matin, Orange a redirigé ses clients accédant à plusieurs sites, dont au moins Google, OVH et Wikipédia vers la page de blocage des « sites terroristes » du Ministère de l'Intérieur. Un souci provoqué par une « erreur humaine » pendant la mise à jour du système de détournement, imposé par la place Beauvau. 

Le Ministère a demandé des comptes à l'opérateur historique, et exigé la suppression des adresses IP concernées de la liste de consultation des sites illicites. Mais cet incident pose la question de la pertinence d'avoir imposé aux fournisseurs d'accès français de proposer des résolveurs DNS menteurs.

Pour rappel, un résolveur DNS permet de relier un nom de domaine (nextinpact.com par exemple) à l'adresse IP du serveur qui l'héberge. Sa seule fonction est donc d'apporter rapidement la bonne réponse. Le plus souvent gérée directement par les opérateurs, cette brique essentielle n'est pas (encore) utilisée en toute transparence, pour des raisons légales, sécuritaires ou commerciales.

Pour comprendre comment nous en sommes arrivés à cette situation, et les pistes à venir pour améliorer cet outil, nous avons discuté avec l'un de ses plus grands spécialistes français, Stéphane Bortzmeyer.

Pourquoi les opérateurs fournissent-ils un résolveur DNS ?

Il n'est pourtant pas évident qu'un fournisseur d'accès soit celui qui gère le résolveur DNS d'une connexion. Sur la base du modèle OSI, communément utilisé pour décrire les réseaux, « certains informaticiens répondront que les opérateurs gèrent le réseau (couche 3), donc n'ont pas à gérer le DNS (couche 7, applicatif) » explique Stéphane Bortzmeyer. Pourtant, « le DNS a cela de particulier qu'on ne peut pas s'en passer. Le DNS n'est pas une simple application, mais un service d'infrastructure indispensable à quasiment tout ».

En partant de ce principe, il est donc compliqué de fournir une connexion sans résolveur DNS, qui permet d'effectivement consulter des sites et services sans manipulation technique de la part du client. En tant que partie de l'infrastructure du réseau, chaque opérateur a donc intérêt à l'internaliser, pour garantir son bon fonctionnement.

Est-ce qu'ils pourraient le mettre en commun ? « Le problème est que s'il tombe en panne ou est piraté, c'est une catastrophe. La résilience de l'Internet dépend du fait de ne pas avoir de point unique de défaillance. Orange a eu un problème, les autres ont fonctionné » rappelle Bortzmeyer.

Comment un résolveur DNS peut-il mentir ?

« Ce service devrait effectivement être neutre » sans manipulation possible des réponses, estime le spécialiste. « À partir du moment où on commence à mettre une fonction de mensonge, on ajoute un composant. En informatique tout ce qu'on greffe peut déconner. À partir de bonnes intentions, on a affecté la stabilité générale d'Internet » note Bortzmeyer, qui estime que les opérateurs français mentent principalement pour des raisons légales, plutôt que par intérêt commercial.

Il existe néanmoins quelques exceptions. En 2009, SFR avait par exemple redirigé les internautes ayant mal saisi l'adresse d'un site vers une page maison... contenant de la publicité. Pour certains, il existe pourtant de « bonnes » raisons de détourner l'utilisateur de certains sites : protection de l'enfance, blocage de sites distribuant des malwares... d'autant que cette fonction est fournie par les principaux outils derrière les serveurs DNS, comme « RPZ » du logiciel BIND. En clair, faire mentir le système ne requiert pas de grand effort.

C'est ainsi par un décret de 2015 que les FAI ont été obligés de bloquer l'accès des sites provoquant à des actes de terrorisme ou en faisant l’apologie, ainsi que des sites pédopornographiques. C'est ce dispositif qui a déraillé chez Orange il y a quelques jours, sans qu'aucun système de vérification ou de sécurité ne l'en empêche. C'est là tout le problème : en institutionnalisant la possibilité de mentir pour les résolveurs DNS, on se prive de la possibilité de s'assurer que la réponse qu'ils fournissent est la bonne, ce qui est pourtant le fondement de leur existence.

Outre les questions philosophiques habituelles autour de la censure d'État, notre interlocuteur s'étonne d'ailleurs d'avoir peu vu la question du fonctionnement d'Internet émerger dans les débats autour du blocage administratif, donc sans intervention d'un juge. « Au lieu d'être menacé par un opérateur pour des raisons commerciales, la neutralité du Net est menacée par l'État pour des raisons politiciennes. Je ne suis pas sûr que ça ait un effet contre le djihadisme, mais c'est une action visible face à un problème grave » tance-t-il.

Il estime d'ailleurs les remontrances publiques du ministère de l'Intérieur contre Orange « scandaleuses ». « C'est eux qui ont imposé ce système aux opérateurs ! » rappelle l'expert.

Peut-on se passer du résolveur de son opérateur ?

D'autant que dans la pratique, un tel blocage est simple à contourner. Il est ainsi tout à fait possible de se passer du résolveur DNS proposé par son fournisseur d'accès, en utilisant un résolveur maison, ou une alternative que l'on pense de confiance. Car même celles parmi les plus utilisés mondialement, ce point peut être un problème.

OpenDNS de Cisco « est lui-même un résolveur menteur, partiellement débrayable en s'inscrivant » note Bortzmeyer (qui a détaillé son point de vue sur le sujet en 2015), quand celui de Google pâtit du fait d'appartenir au géant du Net.

De plus, la concentration de ces alternatives, pour certaines utilisées plus massivement que celles des fournisseurs d'accès, constitue un nouveau problème. Cela pose la question de la neutralité d'outils si massifs, qui sont devenus une réponse par défaut à un souci qui devrait être corrigé de manière plus profonde.

« Il est anormal qu'un hôtel ou hotspot fainéant passe les requêtes DNS de ses clients chez Google, vu que c'est fournir leurs données sans leur accord » estime Bortzmeyer, qui s'étonne aussi de l'habitude de certaines universités d'appeler à imposer ce genre de solutions. « J'ai discuté récemment avec les élèves d'un IUT, où on leur disait de mettre en place le résolveur de Cisco OpenDNS. Pour les 20 années qui suivent leur sortie d'IUT, ils vont partout et changent la configuration dès qu'il y a un problème, pour placer ce résolveur » appuie-t-il.

Il reste que les alternatives « libres » sont peu nombreuses, et loin d'être aussi imposantes que ces mastodontes mondiaux. Celui de French Data Network ou OpenNIC (qui propose des noms de domaine alternatifs) sont des solutions difficiles à conseiller massivement.

Il est aussi possible de monter son propre résolveur DNS chez soi, via un outil clé en main comme le routeur Turris Omnia, financé avec la contribution d'internautes, ou en montant soi-même son outil, par exemple via un Raspberry Pi. Pourtant, rien de simple et économique ne semble exister pour auto-héberger son résolveur DNS. « La liberté de consulter tous les contenus qu'on veut devrait être fournie à tous les citoyens, pas seulement aux geeks » regrette d'ailleurs notre interlocuteur.

Peut-on avoir confiance dans le réseau ?

Si l'on peut douter du résolveur DNS que l'on utilise, on peut aussi s'inquiéter du réseau qui transporte la réponse jusqu'à notre terminal. Les requêtes et réponses DNS sont très rarement protégées, donc assez simples à manipuler. Un opérateur peut par exemple empêcher l'usage d'un résolveur personnel, installé derrière la box du client, en bloquant le port 53 en sortie. Une pratique qui serait habituelle sur les hotspots publics.

Pourtant, « il y a pire que le blocage du port 53, c'est son détournement. En Turquie, le gouvernement avait imposé un DNS menteur aux opérateurs pour bloquer l'accès à Twitter. Donc les gens avaient basculé en général vers Google Public DNS [souvent connu pour son adresse IP, 8.8.8.8], et la solution du gouvernement a été de détourner le trafic dirigé vers le 8.8.8.8. C'est difficilement parable » explique encore Stéphane Bortzmeyer.

En clair, quand les Turcs ont voulu utiliser le résolveur DNS de Google, à la place de celui de leurs fournisseurs d'accès (contraints de bloquer Twitter), le trafic dirigé vers celui de Google a été rapatrié vers un résolveur contrôlé.

Comment savoir si un résolveur DNS ment ?

Pour vérifier si son résolveur DNS dit la vérité, et que son trafic n'est pas détourné vers le mauvais site, la solution la plus simple reste encore de comparer ses résultats avec ceux d'internautes chez d'autres opérateurs. Une commande traceroute (ou tracert sous Windows) permet de voir quel chemin est emprunté pour accéder au site, et éventuellement déceler une anomalie. Des solutions qui ne sont pas très pratiques, de l'aveu même de Bortzmeyer.

Pourtant, des moyens techniques existent pour s'assurer de la véracité de la réponse du résolveur. La principale est DNSSEC. « C'est une signature cryptographique des enregistrements DNS », qui permet de comparer celle émise par le site avec celle reçue. Le problème est que, même dans le cas de l'incident d'Orange, cela n'aurait servi à rien. « Ni Google, ni Wikipédia n'ont signé leur zone DNS. Cela aurait marché pour mon blog, mais malheureusement il n'est jamais censuré ! » déplore-t-il.

Selon les données de l'Apnic, moins de 15 % des noms de domaine utilisent la validation DNSSEC, dont 27,70 % en France. En clair, son usage est encore très loin d'être répandu. Les raisons invoquées sont souvent celles du poids du déploiement de DNSSEC, sa complexité et d'anciennes faiblesses. « La sécurité nécessite qu'on acquière des compétences qu'on n'avait pas avant » répond Stéphane Bortzmeyer. « Ceux les plus victimes de détournement, les grands réseaux sociaux, les journaux ou les banques, sont ceux qui utilisent le moins DNSSEC » pense-t-il, rappelant que les fournisseurs d'accès rechignent aussi à valider ces signatures.

Ces validations des signatures DNSSEC doivent permettre de vérifier qu'un tiers certifie les données envoyées par le site. Si un opérateur avec des millions de clients valide une signature, elle est donc sûrement juste. « Le seul opérateur français qui valide DNSSEC par défaut est Free. Tous les abonnés de Free sont protégés, mais la validation étant faite par Free, cela n'empêche pas le mensonge légal, la liste noire de Beauvau » résume encore l'expert.

Des solutions en développement, à généraliser

Il ne faut pourtant pas croire que la situation est bloquée. Les projets se voulant révolutionnaires se multiplient, dont une partie est déjà utilisée par certains internautes. C'est par exemple le cas des noms de domaine en « .onion » du réseau Tor, qui ne s'appuie pas sur le système DNS pour lier l'adresse du site avec le serveur. Son avantage : être déjà utilisé par des internautes sans grandes compétences techniques, qui passent par Tor via un navigateur clé-en-main.

D'autres systèmes reposent, eux, sur la blockchain, qui doit garantir que les informations sont vraies en faisant automatiquement valider chaque modification par les membres du réseau. C'est par exemple le cas de Namecoin, un projet expérimental qui s'appuie sur un nom de domaine de premier niveau unique, le « .bit ». Il existe aussi GNUnet, qui propose un système décentralisé. « C'est celui que je préfère, mais c'est le moins déployé » déclare l'expert.

Plus concrètement, au sein de l'IETF, le principal organe de conception des standards du Net, des solutions ont été aussi validées pour améliorer la sécurité du DNS existant. C'est par exemple le cas de DNS sur TLS (voir ce billet de Stéphane Bortzmeyer), dont la RFC a été finalisée il y a quatre mois à peine. Il faut donc commencer à le déployer, pour en finir avec le voyage des données DNS en clair sur Internet. C'est aussi le but de DNSCrypt, un projet extérieur à l'IETF, qui propose lui aussi d'authentifier la connexion entre le résolveur DNS et le client.

« Ce que propose l'IETF, c'est un résolveur accessible en DNS sur TLS, avec une validation des données par DNSSEC. Avec cela, normalement, on est bon. Si les gens ne le déploient pas, ce n'est pas la faute de l'IETF » affirme Stéphane Bortzmeyer.

L'internaute condamné à faire confiance à son résolveur DNS

Pourtant, malgré une meilleure sécurité du réseau (via DNS sur TLS ou DNSCrypt) ou la vérification des données échangées (via DNSSEC), l'internaute doit toujours faire confiance à son résolveur DNS. Dans le système actuel, il doit fatalement faire confiance à un serveur, dans l'immense majorité des cas passant lui-même par Internet pour se connecter à l'utilisateur.

Pour Stéphane Bortzmeyer, le vrai problème de fond est la connaissance de ces enjeux par les utilisateurs, qui dépendent du bon fonctionnement de ces systèmes sans les connaître. « L'état de la compréhension de l'informatique est consternant, dans une société où il y en a partout. Il y a un écart important entre l'argent consacré à la déployer et celui consacré au développement de la littératie numérique » estime-t-il.

102

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Pourquoi les opérateurs fournissent-ils un résolveur DNS ?

Comment un résolveur DNS peut-il mentir ?

Peut-on se passer du résolveur de son opérateur ?

Peut-on avoir confiance dans le réseau ?

Comment savoir si un résolveur DNS ment ?

Des solutions en développement, à généraliser

L'internaute condamné à faire confiance à son résolveur DNS

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (102)




Il reste que les alternatives « libres » sont peu nombreuses, et loin d’être aussi imposantes que ces mastodontes mondiaux. Celui de French Data Network ou OpenNIC (qui propose des noms de domaine alternatifs) sont des solutions difficiles à conseiller massivement.





Pourquoi une solution comme OpenNIC est difficile à conseiller ? Je n’ai jamais eu de soucis depuis que je l’utilise !


Les NAS (syno par exemple) peuvent faire de bons ré-solveurs DNS en vous appuyant bien sur sur celui de la FDN par exemple ;-)








Pierre_ a écrit :



Pourquoi une solution comme OpenNIC est difficile à conseiller ? Je n’ai jamais eu de soucis depuis que je l’utilise !



peut-être qu’ils ne tiendraient pas la charge, comparé à un gros DNS google :) (?)



Je ne comprends pas comment fonctionne son propre résolveur. A moins d’entrer manuellement tous les noms possibles, on doit bien se baser sur une “liste” déjà existante ? Donc maintenue par un tiers ? <img data-src=" />


Oui bien sur mais on parle pas de plusieurs millions d’utilisateurs du jour au lendemain, j’imagine que si on se mettait a conseiller OpenNIC en masse, la montée en charge serait progressive, ça laisse le temps au fournisseur du service de s’adapter ! Mais effectivement il faut du budget pour ça :/


Ton résolveur commence sa quête sur les serveurs racines du DNS, dont les adresses sont fixes et connues ;-)


C’est bien ce qu’il dit, cette liste de serveurs racines (13 en vue logique +500 physique/virtuel à travers le monde) est maintenue par un tiers (en l’occurence 12 tiers indépendants) ce qui minimise le fait qu’on puisse “tricher”.


Question bête : Pourquoi « bloquer » au niveau du DNS et pas au niveau du routage chez l’opérateur ?


Très INtéressant. La conclusion est très pertinente.




 Malheureusement, je crains que le grand public n'en ait rien à faire de toute cette sécurité informatique, à moins qu'une attaque informatique paralyse littéralement leur accès au web et à leurs centaines de chaînes TV.       






 Au temps de la téléphonie commutée sur réseau cuivre, personne ne s'inquiétait d'être écouté aussi facilement qu'en branchant un téléphone le long de la ligne (sauf quand Patrick Poivre d'Arvor au JT, ou Emmanuel Chain dans Capital, en avait parlé la veille au soir dans un reportage angoissant comme savaient les faire les "enquêteurs" de TF1 ou M6 (là c'était la panique et la crise d'angoisse dans les foyers pendant les quelques&nbsp; jours suivants).

Trop cher, trop lourd et pas centralisé.


Excellent article de fond, qui profite d’un événement marquant pour revenir dessus et détailler les enjeux associés et l’analyser à froid !



Génial, continuez comme ça NextInpact !


Très bon article. En tant que non abonné, c’est la première fois que je suis incité à vous rejoindre en payant.


Super article merci de l’avoir mis en accès libre!


Très bon article, ça c’est cool d’expliquer les tenants et aboutissants d’un problème comme celui là.



Au passage si quelqu’un a un omnia turris, je suis preneur de tout retour. J’ai déjà lu l’article de monsieur Bortzmeyer mais je suis ouvert pour d’autres avis !


Ben c’était la guerre, Gogleu marchait pu pendant tout le lundi matin.

C’était même marqué que s’tait un coup des terreaux-ristes.


Il n’est pas encore en vente. Livraison en décembre d’après le site du projet. Et sans oublier le prix de l’engin : 246$ ! Pour un routeur “grand public” c’est tout simplement très cher.



Voir le site


Hum si certains l’ont déjà notamment monsieur Bortzmeyer, donc je pense que c’est ouvert mais que c’est livré petit à petit le temps de lancer la production.

Après oui le prix est important, mais vu les fonctionnalités ça peut se rentabiliser. Pour ça que j’aimerai des retours (avec un peu de chance)


Question bete : pourquoi ne pas directement inclure dans les box un serveur DNS ?


Excellent article ! <img data-src=" />



Ca me fait penser que tous les FAI devraient paramétrer sur leurs box,&nbsp;un DNS secondaire indépendant de leurs infrastructures.



Ca éviterait un SPOF DNS&nbsp;niveau FAI <img data-src=" />


Pour faire quoi ? La box appartient à l’opérateur donc ça ne t’épargneras pas du blocage.


Il faut faire un recherche sur google pour le savoir car il n’est pas dit dans l’article que Bortzmeyer en possède un. Enfin bref, passons.



Sinon il existe d’autres marques de routeur moins cher ou on peut aussi monter son serveur DNS. Genre chez synology.



Mais bon, sans parler du prix, le fait que ce routeur ai des composants libres est un bon point.


très bon article !


Effectivement, vu le prix, ça fait vraiment cher.



Perso, avec une carte APU1d4, équipée d’un SSD, d’une SD 8Go, du boitier et de l’alim, je m’en suis tiré pour 220€. Et dessus, j’ai mis PfSense qui est pour moi la meilleure distribution routeur à l’heure actuelle.


http://www.bortzmeyer.org/turris.html



D’après son blog, le routeur est bien chez lui. Si tu regardes le site du routeur tu vois aussi dans les commentaires certaines personnes qui l’ont.



J’étudie toutes les pistes effectivement, mais le fait que le routeur soit libre me tente bien (quitte à payer un peu plus cher)


Sinon, très simplement, un raspberry PI, avec Unound configuré pour taper sur les racines DNS. Et ça fonctionne très bien.

Evidemment, c’est une solution geek et technique. Mais c’est pas bien compliqué à mettre en oeuvre.



Sinon, pour ceux qui utilisent les dernières versions de PfSense, c’est déjà configuré comme ça, de base.


indépendant? et donc qui n’obéirait pas à la loi anti-consultation de sites illégaux?


Ouai mais t’as raspi tu peux pas la mettre à la place de ta LB, freebox (et autres). C’est pas un vrai routeur ?! Sinon faut acheter un adaptateur fibre / une antenne wifi etc..


Chez moi, c’est bind sur debian assez personnalisé : redirection de mes noms de domaines en local (merci le loopback de la livebox ! Faut vraiment que je m’en débarrasse) + blocage de certains domaines. J’ai aussi un raspberry PI qui me sert de secours ou quand j’éteins mon serveur.


et sinon, mettre les IP de serveurs racines dans la config du routeur (pour ceux qui le permettent), ca ne suffit pas?


Non les serveurs root sont des serveurs faisant autorité et non des serveurs chargés de la résolution. Ils ne donneront en réponse que ce qu’ils connaissent soit une info sur les serveurs qui sont en charge (faisant autorité) de gérer un TLD (.net/.com/.fr etc…)


Cf commentaire ci-dessus. Même si c’est stupide techniquement, “c’est la loi” et les opérateurs doivent s’y conformer


Il s’agit surement d’un des meilleurs articles de Next Inpact ses dernières années.

Constat, pédagogie, point à améliorer, des pistes de solutions ou alternatifs.

&nbsp;Très très bon papier.


Excellent article!








Jaskier a écrit :



Sinon, très simplement, un raspberry PI, avec Unound configuré pour taper sur les racines DNS. Et ça fonctionne très bien.

Evidemment, c’est une solution geek et technique. Mais c’est pas bien compliqué à mettre en oeuvre.



Sinon, pour ceux qui utilisent les dernières versions de PfSense, c’est déjà configuré comme ça, de base.







Un raspbPi de 1° génération ca fait le job ?

Faut trouver un tuto spé noob aussi…



Hello,



News INtéressante, ça m’a fait plaisir de relire un papier sur un sujet sur lequel j’étais resté à… ce qu’écrivait votre interviewé (“opendns non merci”) il y a des années, faute d’avoir trouvé plus abouti et construit depuis.

Bravo.


Bon article, qui montre à quel point la question est complexe…


Pour info, les données que garde Google avec leur DNS :

https://developers.google.com/speed/public-dns/privacy

Pour une fois qu’ils sont clair sur ce qu’ils gardent comme données, c’est plutôt rassurant, non?

Perso, je ne prend pas le risque d’utiliser ces serveurs DNS, mais c’est probablement le service de Google le moins intrusif au niveau de la rétention de données privées.



Par contre je note ceux de FDN, ça pourra être utile.








bord a écrit :



Un raspbPi de 1° génération ca fait le job ?

Faut trouver un tuto spé noob aussi…







Pour un DNS oui, ça prend pas pas beaucoup de ressources. Sinon c’est pas si compliqué, une fois bind installé y’a le fichier named.conf.options à modifier pour rajouter les forwarders, par exemple les DNS d’openNIC, et hop t’a un DNS prêt à tourner.



Dans ce cas ton DNS sert juste de cache.



Indépendant de leur infrastructure. Donc placer en DNS secondaire, un DNS de Free bah&nbsp;ça le fait. <img data-src=" />








Bobmoutarde a écrit :



Ouai mais t’as raspi tu peux pas la mettre à la place de ta LB, freebox (et autres). C’est pas un vrai routeur ?! Sinon faut acheter un adaptateur fibre / une antenne wifi etc..







Tu l’a met en mode DMZ (mais adieu TV et téléphone), et tu mets ton équipements perso (pare-feu + routeur + dns + dhcp) entre ton LAN et la LB

ou

Tu désactives la fonction DHCP de ta box, qui sera dévolu à ton RaspBI et qui lui indiquera les bons DNS aux clients en ne laissant connectés que le décodeur TV et le téléphone sur la box



C’est une racine alternative à celle de l’ICANN. En plus des problèmes déjà présent à l’ICANN (politique, gouvernance…) s’ajoute le fait que le jour où un des TLD bidons servis par OpenNIC sera ajouté à la racine ICANN, ça sera un beau bordel pour les utilisateurs d’OpenNIC <img data-src=" />


Téléphone / TV je m’en sers pas donc ça c’est pas bien grave. Le souci c’est que je veux absolument remplacer ma LB qui plante constamment. Je ne sais pas si en mode bridge le résultat sera une déconnexion quand même, pour ça qu’un routeur m’intéresse un peu plus.

Je vais creuser ça quand même, niveau coût ça peut être intéressant. Merci !


Sur Android on fait comment pour changer les DNS ?


Tu peux pas mettre les DNS dans les config de la LB? La freebox permet une telle manip, et donc pas besoin de désactiver le DHCP. En ayant mon propre cache DNS chez moi, sur un PI, j’ai remarqué une accélération intéressante de la navigation, une fois un nom de domaine résolu. J’utilise dnsmask.


Sur la LB3/4 c’est bloqué, peut être sur les anciennes. En tout cas ce n’est plus possible aujourd’hui. Après plus ton cache est proche de ton équipement plus le temps de réponse sera faible.

Après passer de 3/5ms à 0/1 est-ce que c’est perceptible ?



&nbsp;


C’est pour ça que je parle en perception. MAis sur les pages qui balencent des requetes vers pas mal de domaines, ça semble plus fluide. Ensuite les DNS de free sont ptet vraiment pourris.


A priori, c’est la même chose sur les versions pro… Nawak <img data-src=" />



Pour Orange, si vous activez le DHCP, les DNS ne sont pas configurables : vous êtes impérativement sur les résolveurs “menteurs” de l’agrume (blague de maraîcher <img data-src=" />)



Enfin, “menteurs” à l’insu de leur plein gré aussi tant qu’on y est <img data-src=" />

&nbsp;

La seule solution donnée par le support est de modifier à la main la configuration IP. Pratique sur certains terminaux pas fait pour ce genre de manips <img data-src=" />


Pour ça que je cherche un routeur qui remplacerait ma box (en plus des bugs/desynchro tout ça). Et là t’es tranquille tu gères tout sur ton routeur et non unitairement sur chaque équipement.


Le principe du DNS est bien sûr prévu au programme du “plan numérique à l’école” de l’exécutif <img data-src=" />


« Ce que propose l’IETF, c’est un résolveur accessible en DNS sur TLS, … Si les gens ne le déploient pas, ce n’est pas la faute de l’IETF »

Il faut juste que Windows, OSX et GNU/Linux l’implémentent sur la partie client DNS. Quand on voit que DNSSEC ne décolle pas… on ne se fait guère d’illusion <img data-src=" />



&nbsp;

PS: Excellent article Guénaël !




Cette actualité est exceptionnellement en accès libre pour 24h, elle sera ensuite réservée à nos abonnés pendant 1 mois.



Merci!

Promis quand j’ai des sous je prends un abo 2 ans


Si tu es en wifi, tu fais un appui long sur le nom du ssid, modifier le réseau, cocher afficher les options avancées, et paf le dns paramètres IP, tu prends statique, et tu choisis le DNS en dessous.

En 3G/4G je ne sais pas…




Pourtant, rien de simple et&nbsp;économique&nbsp;ne semble exister pour auto-héberger son résolveur DNS.



Heu… lol ? C’est trois commandes à taper sur un ordinateur…


ça fait du bien des explications claires par un pro. Merci M. Bortzmeyer








Ricard a écrit :



Heu… lol ? C’est trois commandes à taper sur un ordinateur…







C’est un peu plus de 3 commandes hein <img data-src=" />



zones direct + inverses, forwardes, acl, query, rndc freeze/thaw (s’il fait local aussi), etc.



Super article, ça me conforte dans l’idée de rester Premium (même si l’article est en libre accès actuellement).


Euh si tu fais juste un résolveur, tu peux oublier les histoires de zones, forwarders déjà








tifounon a écrit :



C’est un peu plus de 3 commandes hein <img data-src=" />



zones direct + inverses, forwardes, acl, query, rndc freeze/thaw (s’il fait local aussi), etc.





Oui mais bon, c’est une expression. Tu vois ce que je veux dire.









Bobmoutarde a écrit :



Euh si tu fais juste un résolveur, tu peux oublier les histoires de zones, forwarders déjà





C’est vrai aussi, mais qui peut le plus, peut le moins. Après, quand c’est du perso, un simple résolveur suffit en effet.



Avez-vous des exemples de sites bloqués en France ?


Bah le souci c’est que si tu fais des zones ça veut dire que ton BIND est aussi un serveur faisant autorité, il est fortement déconseillé que le serveur soit et récursif et faisant autorité. Best Practice (après pour une solution interne ça peut passer je pense)


t411, piratebay (après site terro et pédo je peux pas te dire, pas le genre que je fréquente)


très bonne article et merci pour la mise a disposition 24h :)



j’ai du me créer une serveur DNS local pour contourner le blocage de la livebox.

J’ai un site hebergé en local et la livebox ne permet pas de faire de loopback (je dois systématique entrée l’adresse ip locale pour accedé au site en local, impossible d’accéder au site avec sa propre url si on est connecté en wifi…).



Et je ne comprends pas bien l’intérêt de la commande “ response-policy ” (le fameux RPZ). Je ne l’ai pas mise et pourtant j’ai bien un serveur dns “menteur” . (il n’indique pas une ip publique comme sur le dns de mon registar mais une ip locale et mes périphériques n’y voit que du feu et se connecte en local en wifi, et en 4G ils utilisent l’ip public)



des idées ?











Natsume a écrit :



Question bete : pourquoi ne pas directement inclure dans les box un serveur DNS ?





Pour que les FAI ne soient pas obligés de le faire mentir alors que c’est toi qui paie la facture d’électricité ! <img data-src=" />

un resolveur DNS peut se “résumer” à un serveur debian à qui on aurait installé bind9 ou unbound sur une “bouse” de raspberry. <img data-src=" /><img data-src=" />



edit: grillé par Bobmoutarde<img data-src=" />









Natsume a écrit :



Question bete : pourquoi ne pas directement inclure dans les box un serveur DNS ?





Un serveur DNS local implique, pour chaque nouveau nom de domaine interrogé, de trouver et interroger les serveurs correspondants pour obtenir l’adresse IP correspondante.



Cela implique de nombreux appels réseau qui transitent sur la planète entière. Cela ralentit en conséquence le résultat de la requête. Dès la seconde requête, le serveur DNS local conservera la donnée et la fournira instantanément. Pour peu que le délai de mise en cache, décidée par le gérant du DNS et du domaine concerné, ne soit pas écoulé.



Utiliser le DNS du FAI permet de réduire la bande passante utilisée (entre le FAI et le reste d’Internet) et améliorer les temps de réponse (le FAI conservant en cache les requêtes de l’ensemble des abonnés, et augmentant ainsi les chances qu’une donnée DNS soit déjà présente dans le cache, car précédemment demandée par un autre abonné).



Remplace la livebox par un vrai routeur ou change de fournisseur d’accès.


Contrairement à ce qui est écrit dans la news, à ma connaissance cela fait quelques années que OpenDNS n’est plus menteur.



Par contre, il y a la vie privée, comme pour Google…



En public il y a aussi Level 3 (à éviter car menteur, j’ai vérifié), et il y a Hurricane Electric (pas menteur, c’est 74.82.42.42).


Super article! Merci. Certains ont patlé de mettre un résolveur sur un syno.

J’imagine alors que c’était comme un cache DNS local et relay mais quel intérêt pour un particulier? Autant mettre les IP des bons DNS sur le routeur/serveur DHCP ou en dur sur les stations ?


“Cette actualité est exceptionnellement en accès libre pour 24h, elle sera ensuite réservée à nos abonnés pendant 1 mois.“Merci, je n’ai pas&nbsp;renouvelé&nbsp;encore mon abo mais je félicite la rédaction de cette initiative.&nbsp;<img data-src=" />


Ca te permet d’avoir le contrôle sur le serveur, donc savoir ce qu’il s’y passe. Mettre les IP d’un autre DNS c’est avoir confiance dans l’entité qui l’administre (et la conduite peut changer avec le temps)


Thepiratebay ne devrait plus être bloqué : la durée du blocage était d’un an et a expiré.

Il est toujours bloqué chez Orange et renvoie gentiment 127.0.0.1 !

A priori Free ne bloque plus.


Ha possible, je regarderai ça en détail. Après je me souviens plus exactement de chaque date de mise en blocage + la durée. J’ai donné des sites de mémoire (après suivant son FAI j’ai pas tout faux <img data-src=" />)








Bobmoutarde a écrit :



Bah le souci c’est que si tu fais des zones ça veut dire que ton BIND est aussi un serveur faisant autorité, il est fortement déconseillé que le serveur soit et récursif et faisant autorité. Best Practice (après pour une solution interne ça peut passer je pense)





Mais on parle bien d’une solution interne pour remplacer le DNS dans ta box pour ton réseau local. Éventuellement pour quelques amis famille.

Et puis, j’utilise Unbound, plus simple je trouve.



Celui dans ta box c’est juste un cache+ relais, il n’est en rien un serveur faisant autorité (en tout cas sur la LB) donc déclaration de zones/reverses etc c’est pas possible. D’ailleurs sur la LB c’est dnsmasq








Bobmoutarde a écrit :



Celui dans ta box c’est juste un cache+ relais, il n’est en rien un serveur faisant autorité (en tout cas sur la LB) donc déclaration de zones/reverses etc c’est pas possible. D’ailleurs sur la LB c’est dnsmasq





&nbsp;Peu importe que ta box soit une serveur ou un cache. C’est là que sont déclarées tes adresses DNS. Après sur la Freebox V6, j’ai jamais regardé les softs qu’il y a dedans, faut que j’y jette un oeil et je te dis quoi.



Bah si suivant la nature de l’applicatif et de sa configuration il y a des fonctionnalités que tu pourras utiliser ou non. Typiquement si tu as juste ta box (LB dans mon cas), si je veux me faire une zone interne (genre pc1.bobmoutarde / pc2.bobmoutarde / www.bobmoutarde etc..) je ne peux le faire avec la box.

&nbsp;

Après oui tes adresses de résolveurs sont provisionnées dans la box, étant passerelle c’est ces dernières que récupère ton pc ou ton équipement local.



&nbsp;








eCoyote a écrit :



Pour Orange, si vous activez le DHCP, les DNS ne sont pas configurables : vous êtes impérativement sur les résolveurs “menteurs” de l’agrume (blague de maraîcher <img data-src=" />)





Ah ouais quand même<img data-src=" /> J’ai jamais fait gaffe à ça, et pourtant, j’ai une ligne Orange pour Internet maintenant.



Par contre, j’ai une excuse pour pas le savoir. J’ai pas pris la Livebox. Un petit modem-routeur à 20€ en mode bridge suffit largement, et j’ai de meilleures performances <img data-src=" />



OK, tout ça ça dépasse mon petit niveau.

J’ai déjà remplacé le serveur local de caching DNS de la box orange avec DNSMasq, serveur lui même piochant dans les DNS d’OpenNic.

Mais apparemment, vu ce que j’ai lu dans les commentaires des news récentes, on pourrait aussi unbounder son resolver DNS et le rendre récursif, pour en gros avoir tous les pointages du monde chez soi plutôt que de dépendre d’un annuaire tiers ?



Quelqu’un &nbsp;a bon tuto (engliche/french) pour cette opération de haute volée ?

<img data-src=" />


L’annuaire sera toujours tiers (serveurs faisant autorité sur chaque domaine), par contre avoir son serveur récursif chez soi permet de contrôler qu’à ce niveau (résolution, aller/retour vers les serveurs faisant autorité pour récupérer des réponses à la requête que tu as faites)&nbsp; personne ne te ment (comme les FAI), t’espionnes (google) ou te spoof (dns resolveur ouvert sur internet X ou Y).

Unbound, Bind, PowerDNS recursor peuvent être configurés ainsi avec un cache pour que ça soit plus rapide lors de tes prochaines requêtes.








Natsume a écrit :



Question bete : pourquoi ne pas directement inclure dans les box un serveur DNS ?





On t’a sans doute déjà répondu : les box ont généralement un serveur DNS, celui que tu vois peut-être comme étant 192.168.1.1 ; en fait il est probablement un simple cache vers les DNS du FAI.







Bobmoutarde a écrit :



Pour faire quoi ? La box appartient à l’opérateur donc ça ne t’épargneras pas du blocage.





Sauf à pouvoir indiquer à ce serveur DNS d’autres références que celui du FAI.



&nbsp;Ce que j’aime bien dans ce genre d’article (outre le fait qu’il est gratuit pour 24h ce qui va probablement me décider à prendre un abo vu l’excellente qualité) c’est le fait que les commentaires sont aussi intéressants que l’article en lui-même ;)



J’ai regardé la conférence de Bortzmeyer sur le DNS, c’est vraiment intéressant.&nbsp;J’ai appris par la même occasion que&nbsp;la “propagation” DNS était un vilain abus de langage&nbsp;pour ne pas dire complètement faux <img data-src=" />&nbsp;.



Bref après avoir vu la conférence et lu tous les commentaires ici, je pense que je vais m’orienter vers&nbsp;un serveur DNS&nbsp;local (résolveur)&nbsp;sur mon NAS de type Unbound ou Bind, ça me semble un bon compromis.


Sa question n’était pas posé comme ça (je l’ai interprêté comme), il parle certainement du fait d’installer directement un applicatif DNS comme ceux annoncé style BIND, Unbound directement dans la box au lieu d’avoir un raspi dans ton réseau local. Je l’ai plus vu comme ça (ou alors j’ai pas bien compris)



Mais dans certaines box oui tu peux changer les deux adresses DNS (primaire/secondaire) qui seront à fortiori donner à tes équipements locaux si leurs config réseaux est par défaut (DHCP activé)








Bobmoutarde a écrit :



Sa question n’était pas posé comme ça (je l’ai interprêté comme), il parle certainement du fait d’installer directement un applicatif DNS comme ceux annoncé style BIND, Unbound directement dans la box au lieu d’avoir un raspi dans ton réseau local. Je l’ai plus vu comme ça (ou alors j’ai pas bien compris)



Mais dans certaines box oui tu peux changer les deux adresses DNS (primaire/secondaire) qui seront à fortiori donner à tes équipements locaux si leurs config réseaux est par défaut (DHCP activé)





Je ne critiquais pas ta réponse, qui était exacte, je faisais une hypothèse :) . Merci pour l’info d’ailleurs, je n’ai pas regardé dans ma box si je pouvais changer les DNS (pour l’instant je n’ai pas le besoin).



Je ne critiquais pas non plus la tienne, mais j’aurai pu ne pas comprendre le fond de sa remarque. On a pas tous la même perception des mots et des phrases. Je m’étais peut être loupé !



Si t’as une LB3 et/ou 4 tu peux déjà oublier, après si tu veux changer les DNS tu le fais directement sur ta machine. (Penser à le faire pour tout nouvel équipement). Free tu peux de mémoire, neufbox SFR aussi.

Sinon tu peux changer ta box par un routeur (mais il faut souvent faire des compromis comme la TV / téléphone (il y a des tutos sur le net, pas forcément évident parfois)


Concrètement, si j’ai bien compris le serveur DNS est utilisé pour chaque navigation, mais il est possible d’avoir un cache sur son ordinateur pour que l’accès réseau ne soit pas nécessaire après la première navigation sur un site, c’est ça ?



Tu aurais un tuto pour faire ça ?



Edit : ah non apparemment il y a un cache DNS de base sur Windows. Du coup je suis pas sûr d’avoir compris ce dont tu parles.


Oui c’est ça, tu as des caches partout (serveur récursif de ton FAI, ta box, ton OS, ton application type firefox). Et c’est ce qui pose problème comme lors du surblocage d’Orange. Une fois l’information dans le cache, seul la personne qui gère le cache de l’équipement peut le vider. En attendant tu récupères un mauvais enregistrement DNS (une IP, un champ TXT etc..)



Chaque enregistrement a une durée de vie appelée TTL (en secondes), une fois le compteur arrivé à 0 tu devras “retourner sur Internet” pour trouver la réponse et ainsi la remettre en cache (bis repetita)








Bobmoutarde a écrit :



Chaque enregistrement a une durée de vie appelée TTL (en secondes), une fois le compteur arrivé à 0 tu devras “retourner sur Internet” pour trouver la réponse et ainsi la remettre en cache (bis repetita)





Pour chipoter, je dirais “redemander au DNS/cache en face” (pas forcément sur le grand Ternet), puisqu’on a une suite de DNS (ou simples caches) partout, comme tu l’as dit.



Pour ça que j’ai mis entre guillemet le “retourner sur Internet”, en gros tu sors de ton réseau local. Sinon j’étais parti dans un pavé qui aurait fait vomir les plus courageux (je pense).

Vaut mieux regarder la vidéo (1h16) après au dodo !


Si tu veux des tutos pour installer unbound comme serveur DNS, tu as ces deux tutos qui sont pas trop mal:





  • celui de Homeserver-DIY en français un peu brut de décoffrage, mais qui fonctionne pas mal

  • Celui de Calomel en anglais qui est bien plus détaillé et couvrant plusieurs cas, du simple au résolveur, au serveur DNS frontal qui sert des zones DNS gérées par des serveurs Bind.







    Sinon, on ne dit pas unbinder son serveur DNS <img data-src=" />

    C’est juste que tu vas faire tourner un serveur DNS (dans ce cas Unbound), sur lequel tu feras pointer tes PC. Après, tu peux le mettre sur ton routeur, si c’est possible, ou sur une autre machine du réseau. Dans ce cas, il faudra modifier ta configuration réseau pour indiquer quelle est la machine gérant la résolution des noms de domaine.



    D’ailleurs, Unbound est un logiciel serveur DNS de type Resolver, autrement, qui fait de la résolution de nom de domaine. Après, tu peux en avoir d’autres, comme dnsmasq ou Bind, qui lui, gère tous les rôles possibles d’un serveur DNS, comme être serveur faisant autorité sur un nom de domaine. Par contre, il est un peu plus compliqué à configurer.








Bobmoutarde a écrit :



Celui dans ta box c’est juste un cache+ relais, il n’est en rien un serveur faisant autorité (en tout cas sur la LB) donc déclaration de zones/reverses etc c’est pas possible. D’ailleurs sur la LB c’est dnsmasq





Après vérif, c’est dnsmasq aussi sur la Freebox. <img data-src=" />



Oui ça m’étonne pas, c’est super light pour les box en terme de conso ressource.


J’ai installé LE rôle DNS sur mon synology ds214play étant donné que j’ai qu’une vingtaine de postes à gérer (je garde le 216+ pour des usages plus gourmands). J’ai juste mis en route la résolution et entré l’ip du nas dans le routeur. Ça fonctionne très bien par contre je n’ai pas d’enregistrements du coup si je configure la zone master en utilisant un de mes noms de domaine j’aurais ces enregistrements ? Sinon je rallume un de mes Dell T110 II mais c’est plus gourmand en énergie du coup. Merci


Oui on peut aussi ajouter une zone et définir des enregistrements locaux, par contre cet aspect là du DNS de Synology je l’avais trouvé peu pratique à configurer.


Ok mais ca restera un relay DNS. Dans tous les cas, un DNS perso reste dépendant d’un autre DNS pour répondre au requêtes des nom/ip inconnu du DNS local.. Ou je n’ai pas compris?


Si tu monte ton propre résolveur, il dépend de l’intégralité des serveurs DNS qui font autorité sur chaque domaine composant internet. Quand tu veux aller sur www.nextinpact.com, ton résolveur demande à la racine l’adresse du serveur DNS faisant autorité sur le domaine (tld) .com, puis demande à ce serveur l’adresse du serveur DNS faisant autorité sur le domaine nextinpact.com, puis à ce dernier l’adresse de la machine www.nextinpact.com. Chaque réponse est mise en cache.



C’est comme ceci que fonctionne le résolveur de ton FAI. En utilisant le tien, tu ne fais que supprimer un intervenant dont tu sais qu’il te ment.


Merci pour ces explications claires.

Donc, plutôt que de (mal..) monter un DNS perso, mieux vaut choisir un DNS qui ne ment pas. Lequel? OpenNic?


L’inconvénient d’OpenNIC, c’est qu’il implémente une racine alternative, avec des TLD supplémentaires, donc il y a un risque de collision avec les noms de domaine du DNS canonique, surtout avec la vogue de créer des nouveaux TLD par paquet de douze. Les résolveurs de FDN me semblent une bonne solution, si on fait confiance à cette association.








Jarodd a écrit :



Je ne comprends pas comment fonctionne son propre résolveur. A moins d’entrer manuellement tous les noms possibles, on doit bien se baser sur une “liste” déjà existante ? Donc maintenue par un tiers ? <img data-src=" />





Oui la “racine” Et les résolveurs se charge de la contacter pour descendre l’arbre . com . nexinpact . www Cette racine est en dur dans les fichiers de conf des résolveurs. Et ca change rarement. en le chopant ici :ftp://rs.internic.net/domain/named.cache



Plus d’info&nbsphttps://fr.wikipedia.org/wiki/Serveur_racine_du_DNS



&nbsp;









Athropos a écrit :



Question bête : Pourquoi « bloquer » au niveau du DNS et pas au niveau du routage chez l’opérateur ?






Parce ce que :&nbsp;     



1 - le DNS est universel et commun : pas besoin d’intervenir dans les tables de routages de chaque participants à Internet

2 - si tu veux “corriger” ton pb de routage tu changes d’IP. De bloc etc. Changer de noms c’est plus galère (pensez aux déboires de TPB)

3 - le DNS c’est facile à contraindre. Tu files chez le registrar de la zone, tu lui fouts un flingue sur la tempe, ou tu agites un papier du juge, et pouf le domaine à jeter disparait. La solution routage faut passer chez tous les FAi avec un flingue.

4 - si l’Intérieur avait eu plus de couilles, il serait allé à l’AFNIC, qui gère la zone .fr, pour faire disparaitre google.fr, wikipedia.fr etc Par contre les .com .net c’est plus dur faut faire la danse du ventre chez les ricains.