Serveur DNS libre et sécurisé

Tronyx

Tronyx

Elite
Hey,
Je sais pas si certains ont entendu parlé de Quad9 ?

En gros c'est un nouveau serveur DNS libre que tout et chacun peut utiliser. Il offre en plus d'excellentes performances (j'ai effectué quelques test chez moi il réponds 11% plus vite que par exemple les classiques DNS de google) et une encryption en TLS ce qui n'est le cas ni de OpenDNS, Google, Cisco, ...

On avait pondu un article sur le sujet => https://linuxfr.org/news/quad9-resolveur-dns-public-et-securise-par-tls

IP DNS : 9.9.9.9 (oui ils se sont pas pris la tête :cool:)

Si certains préfèrent des DNS plus sécure ;)
 
Skarbone

Skarbone

Le méchant Ω
"leur résolveur est un résolveur menteur : il ne répond pas (délibérément) pour les noms de domaines qu’il estime liés à des activités néfastes comme la distribution de logiciels malveillants."

meh. Adieu les torrents? :D
 
1er
OP
Tronyx

Tronyx

Elite
Pas de soucis pour accéder à certains site de torrents pour ma part.
Sinon un bon DNS ne dispense pas d'un VPN donc un problème sans en être un ;)
 
Sebulba

Sebulba

Dieu
Staff
Ou ouvrez votre propre dns cache chez vous : c’est fait en 5 min ; et vous ne faites confiance qu’à vous même

Vous augmentez même votre vitesse de surf

Sent from my dns cache :)
 
  • J'aime
Les réactions: Old7
gwen

gwen

Sitegeek.fr
c'est top ça, merci de l'info​
 
  • J'aime
Les réactions: Tronyx
gwen

gwen

Sitegeek.fr
Sebulba a dit:
Ou ouvrez votre propre dns cache chez vous : c’est fait en 5 min ; et vous ne faites confiance qu’à vous même

Vous augmentez même votre vitesse de surf

Sent from my dns cache :)
Cliquez pour agrandir...
ah tu ne fais pas partie de ces gens qui surfent sur tor en faisant des requetes sur le DNS de leur FAI en pensant être anonymes? :love:
 
Sebulba

Sebulba

Dieu
Staff
Je pense que TOR délègue la résolution DNS a l'exit node, donc tu es relativement "anonyme",
Par contre, imaginez un peu les logs merveilleux d'une exit node... Bref.

la résolution DNS est un élément critique qui lie votre IP a ce que vous faites, et vous ne savez rien de comment ces logs, s'ils existent, sont conservés.
S'il est douteux que belgacom conserve de tels logs, il est par contre certain que google le fait sur le 8.8.8.8 .

En bref si le mot "sécurité" vous importe (et c'est le titre de ce sujet) c'est vraiment le DERNIER truc à vouloir déléguer a des inconnus que sa résolution DNS.
 
Sebulba

Sebulba

Dieu
Staff
Pour ceux que ca intéresse,

SI vous avez un box linux 24/7 sur le reseau (raspi, etc) le mieux c'est de l'utiliser (vous installez bind/named, config resolver)

Si vous avec un NAS , vous pouvez le faire facilement avec un package, voici pour un NAS synology

Voici la config a appliquer

Image2.png


Préalable ; le NAS doit avoir une ip statique dans le LAN (c'est généralement le cas)

Vous devez activer le "service de resolution" (cela crée un dns cache)
Vous pouvez "limiter les ips" mais ca sert pas a grand chose dans le cadre d'un LAN

Vous devez par contre désactiver les redirecteurs (c'est activé par défaut)

Et vous avez ainsi un DNS cache sur votre LAN, qui fera les resolutions vers les root servers etc comme le ferait belgacom ou le 8.8.8.8 a votre place.

Reste plus ensuite qu'a utiliser l'ip de ce NAS comme DNS dans vos settings reseaux sur certaines machines, ou mieux, a les publier comme settings DNS dans votre DHCP - et toute votre maison surfe secure.

Ca se complexifie un peu si vous voulez aussi couvrir l'ipv6 ( faut que le NAS ait aussi une IPV6 , idealement statique ou link-local )
 
Sebulba

Sebulba

Dieu
Staff
Au dela de la vie privée et de la sécurité,
Niveau performance, ya pas photo non plus : mais ca doit etre analysé en détails :

Ici benchmark
  • entre la BBox3,
  • le DNS de belgacom questionné en direct,
  • et mon DNS local (courbe ORANGE ; ip censurée qui commence par SYS-)
Image4.png


Image3.png

Cette courbe est basée sur une re-demande de tout mon historique de surf, et correspond donc en gros a ma performance "normale".

On remarque avant tout que la très grande similarité entre la courbe "bbox3" et la courbe "DNS belgacom en direct" me fait dire que la BBOX3 ne fait aucun caching local, et agit comme un DNS proxy.

Par contre en activant un dns cache local comme moi, on ne bénéficie plus de la mise en cache par les autres clients belgacom.
Je suis donc beaucoup plus LENT a la résolution de domaines ou je suis le premier a aller chez moi dans la journée... (Eg; si le matin je suis le premier a aller sur gamerz, je fais une full resolution depuis les root server .be , tandis qu'en passant par belgacom ya surement un gars qui s'est levé avant moi et a provoqué une mise en cache chez belgacom de cette resolution)

Image2g.png

Sur ce graphique etrange on voit que je suis à la fois ultra rapide en terme de "reponse la plus rapide renvoyée" mais aussi le plus lent en moyenne ; en effet je n'ai la réponse a aucune question (vu que mon DNS je ne parle a personne d'autre qu'a moi) ; et chaque résolution "inconnue" est réalisée entièrement dans toute sa complexité ( root -> pays -> dns ).

Mais bon c'est le prix de la vie privée d'une part, ensuite c'est compensé par l'ultra rapidité de la mise en cache locale ( environ 5x plus rapide sur la reponse a des questions deja mise en cache chez moi ; )

Image1.png

Graphique comparant 100x la meme query mise en cache ( 100x la meme question ) - donc on teste ici la latence pure. La mon dns local est imbattable.


En clair et en résumé ; avec un DNS cache local ; vous serez lent a la résolution de DNS "jamais surfés auparavant" - car personne ne les aura mis en cache pour vous, mais vous serez aussi infiniment plus rapide (>5x) lors du re-surf sur des destinations connues.
Et surtout vous avez la "vraie réponse" a toutes les questions DNS (aucun blocage, flicage, logging, ou modification possible. )


Vous pouvez améliorer la performance en vous assurant que tous les PCs et équipements chez vos utiliseront votre beau DNS cache, mais c'est pas tjs evident en pratique ( par ex : BBOX3 n'autorise pas de modifier le DNS renvoyé par le dhcp sans avoir accès au pass admin de la bbox3... )


PS:
Dernière remarque ; le 9.9.9.9 de notre ami qui a lancé la thread est un chouya plus rapide que Google dans tous mes tests :)
 
Demoniak_Angel

Demoniak_Angel

Le + beau ;-)
Sebulba a dit:
Pour ceux que ca intéresse,



SI vous avez un box linux 24/7 sur le reseau (raspi, etc) le mieux c'est de l'utiliser (vous installez bind/named, config resolver)



Si vous avec un NAS , vous pouvez le faire facilement avec un package, voici pour un NAS synology



Voici la config a appliquer



Voir la pièce jointe 41171



Préalable ; le NAS doit avoir une ip statique dans le LAN (c'est généralement le cas)



Vous devez activer le "service de resolution" (cela crée un dns cache)

Vous pouvez "limiter les ips" mais ca sert pas a grand chose dans le cadre d'un LAN



Vous devez par contre désactiver les redirecteurs (c'est activé par défaut)



Et vous avez ainsi un DNS cache sur votre LAN, qui fera les resolutions vers les root servers etc comme le ferait belgacom ou le 8.8.8.8 a votre place.



Reste plus ensuite qu'a utiliser l'ip de ce NAS comme DNS dans vos settings reseaux sur certaines machines, ou mieux, a les publier comme settings DNS dans votre DHCP - et toute votre maison surfe secure.



Ca se complexifie un peu si vous voulez aussi couvrir l'ipv6 ( faut que le NAS ait aussi une IPV6 , idealement statique ou link-local )
Cliquez pour agrandir...


Merci et le même tuto en QNAP, c'est possible ? :love:
 
Sebulba

Sebulba

Dieu
Staff
Ca serait volontiers si j'avais un gnap :)

j'imagine que ya un package "dns" ; après faut voir les options qu'il y a dedans...
 
  • J'aime
Les réactions: Tronyx
El_Mecanico

El_Mecanico

Elite
Ah que j'aimerais ça comprendre ce que vous dites, ça m'intéresse mais j'ai jamais pris la peine '' d'étudier'' le domaine :dead:

:p
 
1er
OP
Tronyx

Tronyx

Elite
[IrishSetter] a dit:
Ah que j'aimerais ça comprendre ce que vous dites, ça m'intéresse mais j'ai jamais pris la peine '' d'étudier'' le domaine :dead:

:p
Cliquez pour agrandir...
C'est là que le bas blesse.
Pour beaucoup on va suivre ce que Sebulba dit et encore pleins d'IT d'autres domaines n'y cacheront strictement rien.

Attention aussi au faite que j'ai dis "libre" et "secure" je n'ai jamais dit qu'ils étaient no logs en full anonymat.

FDN & Quad9 sont fiable mais pour un anonymat maximale alors oui faut passer par ce que suggère Sebulba (mais cela implique que toute votre chaine d'usage informatique suive la même règle...) donc ajout de pas mal d'autres services et changements d'usage :D

Donc pour les lambda ou même des mecs qui s'y connaissent mais ne souhaitent pas s'occuper de la gestion de leurs DNS et de ce que cela implique => FDN & Quad9 ;) (OpenDNS appartient à Cisco désormais)

Sinon comme toi Sebulba j'avais fait ce choix durant un moment. Merci pour ton retour d'expérience également et le petit "tuto" explicatif c'est TOP :love:

(Je ne souhaite pas me lancer dans le débat de l'anonymat et sécu, le web de l'hyper prudent est lent et chiant autant couper les câbles et ne plus accéder au web ou presque :cool: J'ai moi même fait un "comeback" pour plusieurs points )
 
Sebulba

Sebulba

Dieu
Staff
Le DNS cache "bien utilisé" (partagé par toute une famille) permet de gagner pas mal en vitesse surtout si on surfe tout le temps aux mêmes endroits, ce qui il faut l'avouer est un peu le cas de tout le monde en 2018...

Après les aspects "sécurité" c'est discutable ; je ne suis pas un terroriste donc il est douteux qu'on enquête sur mes queries DNS. J'utilise Chrome donc pour ce qui est du surf pur ; google possède déjà mes queries DNS s'ils les veulent vraiment.

J'utilise un dns local essentiellement pour avoir des infos dns correctes, non modifiées, et pour un certain gain de perf qu'on obtient quand c'est bien fait.

Par contre envoyer vos queries sur 8.8.8.8 c'est pas anodin, j'ai eu vent en entreprise de quelqu'un qui a été renvoyé pour avoir ajouté ce dns (+ une règle fw pour laisser sortir) dans un parc de serveurs securisés. Il avait fait ca "temporairement" car il n'avait plus l'adresse du DNS cache en tête. Le mec a du faire son carton et partir le jour même. C'est dire le bien qu'on pense des dns google dans les environnements où la sécurité importe.
 
Sebulba

Sebulba

Dieu
Staff
je crains qu'on nous ai menti

j'utilise cette bbox3 uniquement car elle me donne une ipv6 (et le vectoring) sinon elle aurait déjà été rejoindre les vieux aspirateurs dans les bacs en bois du recypark.
 
1er
OP
Tronyx

Tronyx

Elite
Sebulba Allez sérieux ? Trop fort quoi... DNS Google => C4 tu sors ! :D

Bah là on a un autre DNS très simple à retenir qui évitera peut-être des licenciement :cool:

Trève de plaisanterie pour un mec qui joue sur sa machine et ne fait rien d'autres why not les DNS google mais sinon c'est chaud quand même :/
 
Sebulba

Sebulba

Dieu
Staff
Wip, le gars relativement junior a voulu que son serveur reponde vite fait, pas de bol c'est resté ainsi plus d'un mois car il l'a oublié et c parti en prod, et le brave serveur web faisait donc ses queries "super secrètes" (en l'espèce ; reverse dns des gens s'y connectant) sur google.
Ca l'a foutu mal. Repéré lors d'un audit des règles du FW -> au revoir merci.
Domaine "pharma" qui n'a aucun humour.
 
Lagwagon

Lagwagon

Jésus
Staff
Sebulba a dit:
Wip, le gars relativement junior a voulu que son serveur reponde vite fait, pas de bol c'est resté ainsi plus d'un mois car il l'a oublié et c parti en prod, et le brave serveur web faisait donc ses queries "super secrètes" (en l'espèce ; reverse dns des gens s'y connectant) sur google.
Ca l'a foutu mal. Repéré lors d'un audit des règles du FW -> au revoir merci.
Domaine "pharma" qui n'a aucun humour.
Cliquez pour agrandir...
Chez quel Pharma ? :D
 
Connectez-vous pour réagir !
Haut