Blocage par erreur d’Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?
Un DNS au long nez
Le 20 octobre 2016 à 12h34
12 min
Internet
Internet
Après le blocage de plusieurs sites majeurs par Orange, nous avons voulu comprendre comment une telle situation s'est installée, et comment elle peut évoluer. De la gestion des résolveurs DNS par les opérateurs aux alternatives en développement, tour d'horizon avec l'expert Stéphane Bortzmeyer.
Le 17 octobre au matin, Orange a redirigé ses clients accédant à plusieurs sites, dont au moins Google, OVH et Wikipédia vers la page de blocage des « sites terroristes » du Ministère de l'Intérieur. Un souci provoqué par une « erreur humaine » pendant la mise à jour du système de détournement, imposé par la place Beauvau.
Le Ministère a demandé des comptes à l'opérateur historique, et exigé la suppression des adresses IP concernées de la liste de consultation des sites illicites. Mais cet incident pose la question de la pertinence d'avoir imposé aux fournisseurs d'accès français de proposer des résolveurs DNS menteurs.
Pour rappel, un résolveur DNS permet de relier un nom de domaine (nextinpact.com par exemple) à l'adresse IP du serveur qui l'héberge. Sa seule fonction est donc d'apporter rapidement la bonne réponse. Le plus souvent gérée directement par les opérateurs, cette brique essentielle n'est pas (encore) utilisée en toute transparence, pour des raisons légales, sécuritaires ou commerciales.
Pour comprendre comment nous en sommes arrivés à cette situation, et les pistes à venir pour améliorer cet outil, nous avons discuté avec l'un de ses plus grands spécialistes français, Stéphane Bortzmeyer.
Pourquoi les opérateurs fournissent-ils un résolveur DNS ?
Il n'est pourtant pas évident qu'un fournisseur d'accès soit celui qui gère le résolveur DNS d'une connexion. Sur la base du modèle OSI, communément utilisé pour décrire les réseaux, « certains informaticiens répondront que les opérateurs gèrent le réseau (couche 3), donc n'ont pas à gérer le DNS (couche 7, applicatif) » explique Stéphane Bortzmeyer. Pourtant, « le DNS a cela de particulier qu'on ne peut pas s'en passer. Le DNS n'est pas une simple application, mais un service d'infrastructure indispensable à quasiment tout ».
En partant de ce principe, il est donc compliqué de fournir une connexion sans résolveur DNS, qui permet d'effectivement consulter des sites et services sans manipulation technique de la part du client. En tant que partie de l'infrastructure du réseau, chaque opérateur a donc intérêt à l'internaliser, pour garantir son bon fonctionnement.
Est-ce qu'ils pourraient le mettre en commun ? « Le problème est que s'il tombe en panne ou est piraté, c'est une catastrophe. La résilience de l'Internet dépend du fait de ne pas avoir de point unique de défaillance. Orange a eu un problème, les autres ont fonctionné » rappelle Bortzmeyer.
Comment un résolveur DNS peut-il mentir ?
« Ce service devrait effectivement être neutre » sans manipulation possible des réponses, estime le spécialiste. « À partir du moment où on commence à mettre une fonction de mensonge, on ajoute un composant. En informatique tout ce qu'on greffe peut déconner. À partir de bonnes intentions, on a affecté la stabilité générale d'Internet » note Bortzmeyer, qui estime que les opérateurs français mentent principalement pour des raisons légales, plutôt que par intérêt commercial.
Il existe néanmoins quelques exceptions. En 2009, SFR avait par exemple redirigé les internautes ayant mal saisi l'adresse d'un site vers une page maison... contenant de la publicité. Pour certains, il existe pourtant de « bonnes » raisons de détourner l'utilisateur de certains sites : protection de l'enfance, blocage de sites distribuant des malwares... d'autant que cette fonction est fournie par les principaux outils derrière les serveurs DNS, comme « RPZ » du logiciel BIND. En clair, faire mentir le système ne requiert pas de grand effort.
C'est ainsi par un décret de 2015 que les FAI ont été obligés de bloquer l'accès des sites provoquant à des actes de terrorisme ou en faisant l’apologie, ainsi que des sites pédopornographiques. C'est ce dispositif qui a déraillé chez Orange il y a quelques jours, sans qu'aucun système de vérification ou de sécurité ne l'en empêche. C'est là tout le problème : en institutionnalisant la possibilité de mentir pour les résolveurs DNS, on se prive de la possibilité de s'assurer que la réponse qu'ils fournissent est la bonne, ce qui est pourtant le fondement de leur existence.
Outre les questions philosophiques habituelles autour de la censure d'État, notre interlocuteur s'étonne d'ailleurs d'avoir peu vu la question du fonctionnement d'Internet émerger dans les débats autour du blocage administratif, donc sans intervention d'un juge. « Au lieu d'être menacé par un opérateur pour des raisons commerciales, la neutralité du Net est menacée par l'État pour des raisons politiciennes. Je ne suis pas sûr que ça ait un effet contre le djihadisme, mais c'est une action visible face à un problème grave » tance-t-il.
Il estime d'ailleurs les remontrances publiques du ministère de l'Intérieur contre Orange « scandaleuses ». « C'est eux qui ont imposé ce système aux opérateurs ! » rappelle l'expert.
Peut-on se passer du résolveur de son opérateur ?
D'autant que dans la pratique, un tel blocage est simple à contourner. Il est ainsi tout à fait possible de se passer du résolveur DNS proposé par son fournisseur d'accès, en utilisant un résolveur maison, ou une alternative que l'on pense de confiance. Car même celles parmi les plus utilisés mondialement, ce point peut être un problème.
OpenDNS de Cisco « est lui-même un résolveur menteur, partiellement débrayable en s'inscrivant » note Bortzmeyer (qui a détaillé son point de vue sur le sujet en 2015), quand celui de Google pâtit du fait d'appartenir au géant du Net.
De plus, la concentration de ces alternatives, pour certaines utilisées plus massivement que celles des fournisseurs d'accès, constitue un nouveau problème. Cela pose la question de la neutralité d'outils si massifs, qui sont devenus une réponse par défaut à un souci qui devrait être corrigé de manière plus profonde.
« Il est anormal qu'un hôtel ou hotspot fainéant passe les requêtes DNS de ses clients chez Google, vu que c'est fournir leurs données sans leur accord » estime Bortzmeyer, qui s'étonne aussi de l'habitude de certaines universités d'appeler à imposer ce genre de solutions. « J'ai discuté récemment avec les élèves d'un IUT, où on leur disait de mettre en place le résolveur de Cisco OpenDNS. Pour les 20 années qui suivent leur sortie d'IUT, ils vont partout et changent la configuration dès qu'il y a un problème, pour placer ce résolveur » appuie-t-il.
Il reste que les alternatives « libres » sont peu nombreuses, et loin d'être aussi imposantes que ces mastodontes mondiaux. Celui de French Data Network ou OpenNIC (qui propose des noms de domaine alternatifs) sont des solutions difficiles à conseiller massivement.
Il est aussi possible de monter son propre résolveur DNS chez soi, via un outil clé en main comme le routeur Turris Omnia, financé avec la contribution d'internautes, ou en montant soi-même son outil, par exemple via un Raspberry Pi. Pourtant, rien de simple et économique ne semble exister pour auto-héberger son résolveur DNS. « La liberté de consulter tous les contenus qu'on veut devrait être fournie à tous les citoyens, pas seulement aux geeks » regrette d'ailleurs notre interlocuteur.
Peut-on avoir confiance dans le réseau ?
Si l'on peut douter du résolveur DNS que l'on utilise, on peut aussi s'inquiéter du réseau qui transporte la réponse jusqu'à notre terminal. Les requêtes et réponses DNS sont très rarement protégées, donc assez simples à manipuler. Un opérateur peut par exemple empêcher l'usage d'un résolveur personnel, installé derrière la box du client, en bloquant le port 53 en sortie. Une pratique qui serait habituelle sur les hotspots publics.
Pourtant, « il y a pire que le blocage du port 53, c'est son détournement. En Turquie, le gouvernement avait imposé un DNS menteur aux opérateurs pour bloquer l'accès à Twitter. Donc les gens avaient basculé en général vers Google Public DNS [souvent connu pour son adresse IP, 8.8.8.8], et la solution du gouvernement a été de détourner le trafic dirigé vers le 8.8.8.8. C'est difficilement parable » explique encore Stéphane Bortzmeyer.
En clair, quand les Turcs ont voulu utiliser le résolveur DNS de Google, à la place de celui de leurs fournisseurs d'accès (contraints de bloquer Twitter), le trafic dirigé vers celui de Google a été rapatrié vers un résolveur contrôlé.
Kadıköy'ün yolları DNS / While #TwitterisblockedinTurkey, take a look at the Kadıköy streets pic.twitter.com/doVEc4II26
— kaan sezyum (@kaansezyum) March 21, 2014
Comment savoir si un résolveur DNS ment ?
Pour vérifier si son résolveur DNS dit la vérité, et que son trafic n'est pas détourné vers le mauvais site, la solution la plus simple reste encore de comparer ses résultats avec ceux d'internautes chez d'autres opérateurs. Une commande traceroute (ou tracert sous Windows) permet de voir quel chemin est emprunté pour accéder au site, et éventuellement déceler une anomalie. Des solutions qui ne sont pas très pratiques, de l'aveu même de Bortzmeyer.
Pourtant, des moyens techniques existent pour s'assurer de la véracité de la réponse du résolveur. La principale est DNSSEC. « C'est une signature cryptographique des enregistrements DNS », qui permet de comparer celle émise par le site avec celle reçue. Le problème est que, même dans le cas de l'incident d'Orange, cela n'aurait servi à rien. « Ni Google, ni Wikipédia n'ont signé leur zone DNS. Cela aurait marché pour mon blog, mais malheureusement il n'est jamais censuré ! » déplore-t-il.
Selon les données de l'Apnic, moins de 15 % des noms de domaine utilisent la validation DNSSEC, dont 27,70 % en France. En clair, son usage est encore très loin d'être répandu. Les raisons invoquées sont souvent celles du poids du déploiement de DNSSEC, sa complexité et d'anciennes faiblesses. « La sécurité nécessite qu'on acquière des compétences qu'on n'avait pas avant » répond Stéphane Bortzmeyer. « Ceux les plus victimes de détournement, les grands réseaux sociaux, les journaux ou les banques, sont ceux qui utilisent le moins DNSSEC » pense-t-il, rappelant que les fournisseurs d'accès rechignent aussi à valider ces signatures.
Ces validations des signatures DNSSEC doivent permettre de vérifier qu'un tiers certifie les données envoyées par le site. Si un opérateur avec des millions de clients valide une signature, elle est donc sûrement juste. « Le seul opérateur français qui valide DNSSEC par défaut est Free. Tous les abonnés de Free sont protégés, mais la validation étant faite par Free, cela n'empêche pas le mensonge légal, la liste noire de Beauvau » résume encore l'expert.
Des solutions en développement, à généraliser
Il ne faut pourtant pas croire que la situation est bloquée. Les projets se voulant révolutionnaires se multiplient, dont une partie est déjà utilisée par certains internautes. C'est par exemple le cas des noms de domaine en « .onion » du réseau Tor, qui ne s'appuie pas sur le système DNS pour lier l'adresse du site avec le serveur. Son avantage : être déjà utilisé par des internautes sans grandes compétences techniques, qui passent par Tor via un navigateur clé-en-main.
D'autres systèmes reposent, eux, sur la blockchain, qui doit garantir que les informations sont vraies en faisant automatiquement valider chaque modification par les membres du réseau. C'est par exemple le cas de Namecoin, un projet expérimental qui s'appuie sur un nom de domaine de premier niveau unique, le « .bit ». Il existe aussi GNUnet, qui propose un système décentralisé. « C'est celui que je préfère, mais c'est le moins déployé » déclare l'expert.
Plus concrètement, au sein de l'IETF, le principal organe de conception des standards du Net, des solutions ont été aussi validées pour améliorer la sécurité du DNS existant. C'est par exemple le cas de DNS sur TLS (voir ce billet de Stéphane Bortzmeyer), dont la RFC a été finalisée il y a quatre mois à peine. Il faut donc commencer à le déployer, pour en finir avec le voyage des données DNS en clair sur Internet. C'est aussi le but de DNSCrypt, un projet extérieur à l'IETF, qui propose lui aussi d'authentifier la connexion entre le résolveur DNS et le client.
« Ce que propose l'IETF, c'est un résolveur accessible en DNS sur TLS, avec une validation des données par DNSSEC. Avec cela, normalement, on est bon. Si les gens ne le déploient pas, ce n'est pas la faute de l'IETF » affirme Stéphane Bortzmeyer.
L'internaute condamné à faire confiance à son résolveur DNS
Pourtant, malgré une meilleure sécurité du réseau (via DNS sur TLS ou DNSCrypt) ou la vérification des données échangées (via DNSSEC), l'internaute doit toujours faire confiance à son résolveur DNS. Dans le système actuel, il doit fatalement faire confiance à un serveur, dans l'immense majorité des cas passant lui-même par Internet pour se connecter à l'utilisateur.
Pour Stéphane Bortzmeyer, le vrai problème de fond est la connaissance de ces enjeux par les utilisateurs, qui dépendent du bon fonctionnement de ces systèmes sans les connaître. « L'état de la compréhension de l'informatique est consternant, dans une société où il y en a partout. Il y a un écart important entre l'argent consacré à la déployer et celui consacré au développement de la littératie numérique » estime-t-il.
Blocage par erreur d’Orange et DNS : quelle fiabilité pour cet élément essentiel du Net ?
-
Pourquoi les opérateurs fournissent-ils un résolveur DNS ?
-
Comment un résolveur DNS peut-il mentir ?
-
Peut-on se passer du résolveur de son opérateur ?
-
Peut-on avoir confiance dans le réseau ?
-
Comment savoir si un résolveur DNS ment ?
-
Des solutions en développement, à généraliser
-
L'internaute condamné à faire confiance à son résolveur DNS
Commentaires (102)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/10/2016 à 16h03
Pour ça que je cherche un routeur qui remplacerait ma box (en plus des bugs/desynchro tout ça). Et là t’es tranquille tu gères tout sur ton routeur et non unitairement sur chaque équipement.
Le 20/10/2016 à 16h21
Le principe du DNS est bien sûr prévu au programme du “plan numérique à l’école” de l’exécutif " />
Le 20/10/2016 à 16h39
« Ce que propose l’IETF, c’est un résolveur accessible en DNS sur TLS, … Si les gens ne le déploient pas, ce n’est pas la faute de l’IETF »
Il faut juste que Windows, OSX et GNU/Linux l’implémentent sur la partie client DNS. Quand on voit que DNSSEC ne décolle pas… on ne se fait guère d’illusion " />
PS: Excellent article Guénaël !
Le 20/10/2016 à 16h49
Cette actualité est exceptionnellement en accès libre pour 24h, elle sera ensuite réservée à nos abonnés pendant 1 mois.
Merci!
Promis quand j’ai des sous je prends un abo 2 ans
Le 20/10/2016 à 17h24
Si tu es en wifi, tu fais un appui long sur le nom du ssid, modifier le réseau, cocher afficher les options avancées, et paf le dns paramètres IP, tu prends statique, et tu choisis le DNS en dessous.
En 3G/4G je ne sais pas…
Le 20/10/2016 à 18h11
Pourtant, rien de simple et économique ne semble exister pour auto-héberger son résolveur DNS.
Heu… lol ? C’est trois commandes à taper sur un ordinateur…
Le 20/10/2016 à 18h21
ça fait du bien des explications claires par un pro. Merci M. Bortzmeyer
Le 20/10/2016 à 18h46
Le 20/10/2016 à 18h55
Super article, ça me conforte dans l’idée de rester Premium (même si l’article est en libre accès actuellement).
Le 20/10/2016 à 19h00
Euh si tu fais juste un résolveur, tu peux oublier les histoires de zones, forwarders déjà
Le 20/10/2016 à 20h12
Le 20/10/2016 à 20h13
Le 20/10/2016 à 20h37
Avez-vous des exemples de sites bloqués en France ?
Le 20/10/2016 à 20h38
Bah le souci c’est que si tu fais des zones ça veut dire que ton BIND est aussi un serveur faisant autorité, il est fortement déconseillé que le serveur soit et récursif et faisant autorité. Best Practice (après pour une solution interne ça peut passer je pense)
Le 20/10/2016 à 20h44
t411, piratebay (après site terro et pédo je peux pas te dire, pas le genre que je fréquente)
Le 20/10/2016 à 21h07
très bonne article et merci pour la mise a disposition 24h :)
j’ai du me créer une serveur DNS local pour contourner le blocage de la livebox.
J’ai un site hebergé en local et la livebox ne permet pas de faire de loopback (je dois systématique entrée l’adresse ip locale pour accedé au site en local, impossible d’accéder au site avec sa propre url si on est connecté en wifi…).
Et je ne comprends pas bien l’intérêt de la commande “ response-policy ” (le fameux RPZ). Je ne l’ai pas mise et pourtant j’ai bien un serveur dns “menteur” . (il n’indique pas une ip publique comme sur le dns de mon registar mais une ip locale et mes périphériques n’y voit que du feu et se connecte en local en wifi, et en 4G ils utilisent l’ip public)
des idées ?
Le 21/10/2016 à 10h23
L’annuaire sera toujours tiers (serveurs faisant autorité sur chaque domaine), par contre avoir son serveur récursif chez soi permet de contrôler qu’à ce niveau (résolution, aller/retour vers les serveurs faisant autorité pour récupérer des réponses à la requête que tu as faites) personne ne te ment (comme les FAI), t’espionnes (google) ou te spoof (dns resolveur ouvert sur internet X ou Y).
Unbound, Bind, PowerDNS recursor peuvent être configurés ainsi avec un cache pour que ça soit plus rapide lors de tes prochaines requêtes.
Le 21/10/2016 à 12h10
Le 21/10/2016 à 12h17
Ce que j’aime bien dans ce genre d’article (outre le fait qu’il est gratuit pour 24h ce qui va probablement me décider à prendre un abo vu l’excellente qualité) c’est le fait que les commentaires sont aussi intéressants que l’article en lui-même ;)
J’ai regardé la conférence de Bortzmeyer sur le DNS, c’est vraiment intéressant. J’ai appris par la même occasion que la “propagation” DNS était un vilain abus de langage pour ne pas dire complètement faux " /> .
Bref après avoir vu la conférence et lu tous les commentaires ici, je pense que je vais m’orienter vers un serveur DNS local (résolveur) sur mon NAS de type Unbound ou Bind, ça me semble un bon compromis.
Le 21/10/2016 à 12h23
Sa question n’était pas posé comme ça (je l’ai interprêté comme), il parle certainement du fait d’installer directement un applicatif DNS comme ceux annoncé style BIND, Unbound directement dans la box au lieu d’avoir un raspi dans ton réseau local. Je l’ai plus vu comme ça (ou alors j’ai pas bien compris)
Mais dans certaines box oui tu peux changer les deux adresses DNS (primaire/secondaire) qui seront à fortiori donner à tes équipements locaux si leurs config réseaux est par défaut (DHCP activé)
Le 21/10/2016 à 12h50
Le 21/10/2016 à 12h57
Je ne critiquais pas non plus la tienne, mais j’aurai pu ne pas comprendre le fond de sa remarque. On a pas tous la même perception des mots et des phrases. Je m’étais peut être loupé !
Si t’as une LB3 et/ou 4 tu peux déjà oublier, après si tu veux changer les DNS tu le fais directement sur ta machine. (Penser à le faire pour tout nouvel équipement). Free tu peux de mémoire, neufbox SFR aussi.
Sinon tu peux changer ta box par un routeur (mais il faut souvent faire des compromis comme la TV / téléphone (il y a des tutos sur le net, pas forcément évident parfois)
Le 21/10/2016 à 13h21
Concrètement, si j’ai bien compris le serveur DNS est utilisé pour chaque navigation, mais il est possible d’avoir un cache sur son ordinateur pour que l’accès réseau ne soit pas nécessaire après la première navigation sur un site, c’est ça ?
Tu aurais un tuto pour faire ça ?
Edit : ah non apparemment il y a un cache DNS de base sur Windows. Du coup je suis pas sûr d’avoir compris ce dont tu parles.
Le 21/10/2016 à 13h28
Oui c’est ça, tu as des caches partout (serveur récursif de ton FAI, ta box, ton OS, ton application type firefox). Et c’est ce qui pose problème comme lors du surblocage d’Orange. Une fois l’information dans le cache, seul la personne qui gère le cache de l’équipement peut le vider. En attendant tu récupères un mauvais enregistrement DNS (une IP, un champ TXT etc..)
Chaque enregistrement a une durée de vie appelée TTL (en secondes), une fois le compteur arrivé à 0 tu devras “retourner sur Internet” pour trouver la réponse et ainsi la remettre en cache (bis repetita)
Le 21/10/2016 à 13h34
Le 21/10/2016 à 13h44
Pour ça que j’ai mis entre guillemet le “retourner sur Internet”, en gros tu sors de ton réseau local. Sinon j’étais parti dans un pavé qui aurait fait vomir les plus courageux (je pense).
Vaut mieux regarder la vidéo (1h16) après au dodo !
Le 21/10/2016 à 14h30
Si tu veux des tutos pour installer unbound comme serveur DNS, tu as ces deux tutos qui sont pas trop mal:
Sinon, on ne dit pas unbinder son serveur DNS " />
C’est juste que tu vas faire tourner un serveur DNS (dans ce cas Unbound), sur lequel tu feras pointer tes PC. Après, tu peux le mettre sur ton routeur, si c’est possible, ou sur une autre machine du réseau. Dans ce cas, il faudra modifier ta configuration réseau pour indiquer quelle est la machine gérant la résolution des noms de domaine.
D’ailleurs, Unbound est un logiciel serveur DNS de type Resolver, autrement, qui fait de la résolution de nom de domaine. Après, tu peux en avoir d’autres, comme dnsmasq ou Bind, qui lui, gère tous les rôles possibles d’un serveur DNS, comme être serveur faisant autorité sur un nom de domaine. Par contre, il est un peu plus compliqué à configurer.
Le 21/10/2016 à 15h02
Le 21/10/2016 à 15h18
Oui ça m’étonne pas, c’est super light pour les box en terme de conso ressource.
Le 21/10/2016 à 15h58
J’ai installé LE rôle DNS sur mon synology ds214play étant donné que j’ai qu’une vingtaine de postes à gérer (je garde le 216+ pour des usages plus gourmands). J’ai juste mis en route la résolution et entré l’ip du nas dans le routeur. Ça fonctionne très bien par contre je n’ai pas d’enregistrements du coup si je configure la zone master en utilisant un de mes noms de domaine j’aurais ces enregistrements ? Sinon je rallume un de mes Dell T110 II mais c’est plus gourmand en énergie du coup. Merci
Le 22/10/2016 à 06h58
Oui on peut aussi ajouter une zone et définir des enregistrements locaux, par contre cet aspect là du DNS de Synology je l’avais trouvé peu pratique à configurer.
Le 22/10/2016 à 08h47
Ok mais ca restera un relay DNS. Dans tous les cas, un DNS perso reste dépendant d’un autre DNS pour répondre au requêtes des nom/ip inconnu du DNS local.. Ou je n’ai pas compris?
Le 20/10/2016 à 14h35
Excellent article!
Le 20/10/2016 à 14h42
Le 20/10/2016 à 14h43
Hello,
News INtéressante, ça m’a fait plaisir de relire un papier sur un sujet sur lequel j’étais resté à… ce qu’écrivait votre interviewé (“opendns non merci”) il y a des années, faute d’avoir trouvé plus abouti et construit depuis.
Bravo.
Le 20/10/2016 à 14h51
Bon article, qui montre à quel point la question est complexe…
Le 20/10/2016 à 14h52
Pour info, les données que garde Google avec leur DNS :
GooglePour une fois qu’ils sont clair sur ce qu’ils gardent comme données, c’est plutôt rassurant, non?
Perso, je ne prend pas le risque d’utiliser ces serveurs DNS, mais c’est probablement le service de Google le moins intrusif au niveau de la rétention de données privées.
Par contre je note ceux de FDN, ça pourra être utile.
Le 20/10/2016 à 14h54
Le 20/10/2016 à 14h55
Indépendant de leur infrastructure. Donc placer en DNS secondaire, un DNS de Free bah ça le fait. " />
Le 20/10/2016 à 15h01
Le 20/10/2016 à 15h01
C’est une racine alternative à celle de l’ICANN. En plus des problèmes déjà présent à l’ICANN (politique, gouvernance…) s’ajoute le fait que le jour où un des TLD bidons servis par OpenNIC sera ajouté à la racine ICANN, ça sera un beau bordel pour les utilisateurs d’OpenNIC " />
Le 20/10/2016 à 15h09
Téléphone / TV je m’en sers pas donc ça c’est pas bien grave. Le souci c’est que je veux absolument remplacer ma LB qui plante constamment. Je ne sais pas si en mode bridge le résultat sera une déconnexion quand même, pour ça qu’un routeur m’intéresse un peu plus.
Je vais creuser ça quand même, niveau coût ça peut être intéressant. Merci !
Le 20/10/2016 à 15h21
Sinon, installez Unbound sur votre machine et utilisez le comme DNS.
http://korben.info/installer-unbound-serveur-dns-sous-linux.html
Le 20/10/2016 à 15h41
Sur Android on fait comment pour changer les DNS ?
Le 20/10/2016 à 15h43
Tu peux pas mettre les DNS dans les config de la LB? La freebox permet une telle manip, et donc pas besoin de désactiver le DHCP. En ayant mon propre cache DNS chez moi, sur un PI, j’ai remarqué une accélération intéressante de la navigation, une fois un nom de domaine résolu. J’utilise dnsmask.
Le 20/10/2016 à 15h47
Sur la LB3/4 c’est bloqué, peut être sur les anciennes. En tout cas ce n’est plus possible aujourd’hui. Après plus ton cache est proche de ton équipement plus le temps de réponse sera faible.
Après passer de 3/5ms à 0/1 est-ce que c’est perceptible ?
Le 20/10/2016 à 15h59
C’est pour ça que je parle en perception. MAis sur les pages qui balencent des requetes vers pas mal de domaines, ça semble plus fluide. Ensuite les DNS de free sont ptet vraiment pourris.
Le 20/10/2016 à 16h00
A priori, c’est la même chose sur les versions pro… Nawak " />
Pour Orange, si vous activez le DHCP, les DNS ne sont pas configurables : vous êtes impérativement sur les résolveurs “menteurs” de l’agrume (blague de maraîcher " />)
Enfin, “menteurs” à l’insu de leur plein gré aussi tant qu’on y est " />
La seule solution donnée par le support est de modifier à la main la configuration IP. Pratique sur certains terminaux pas fait pour ce genre de manips " />
Le 20/10/2016 à 12h46
Il reste que les alternatives « libres » sont peu nombreuses, et loin d’être aussi imposantes que ces mastodontes mondiaux. Celui de French Data Network ou OpenNIC (qui propose des noms de domaine alternatifs) sont des solutions difficiles à conseiller massivement.
Pourquoi une solution comme OpenNIC est difficile à conseiller ? Je n’ai jamais eu de soucis depuis que je l’utilise !
Le 20/10/2016 à 12h47
Les NAS (syno par exemple) peuvent faire de bons ré-solveurs DNS en vous appuyant bien sur sur celui de la FDN par exemple ;-)
Le 20/10/2016 à 12h50
Le 20/10/2016 à 12h53
Je ne comprends pas comment fonctionne son propre résolveur. A moins d’entrer manuellement tous les noms possibles, on doit bien se baser sur une “liste” déjà existante ? Donc maintenue par un tiers ? " />
Le 20/10/2016 à 12h58
Oui bien sur mais on parle pas de plusieurs millions d’utilisateurs du jour au lendemain, j’imagine que si on se mettait a conseiller OpenNIC en masse, la montée en charge serait progressive, ça laisse le temps au fournisseur du service de s’adapter ! Mais effectivement il faut du budget pour ça :/
Le 20/10/2016 à 13h03
Ton résolveur commence sa quête sur les serveurs racines du DNS, dont les adresses sont fixes et connues ;-)
Le 20/10/2016 à 13h05
C’est bien ce qu’il dit, cette liste de serveurs racines (13 en vue logique +500 physique/virtuel à travers le monde) est maintenue par un tiers (en l’occurence 12 tiers indépendants) ce qui minimise le fait qu’on puisse “tricher”.
Le 20/10/2016 à 13h06
Question bête : Pourquoi « bloquer » au niveau du DNS et pas au niveau du routage chez l’opérateur ?
Le 20/10/2016 à 13h07
Très INtéressant. La conclusion est très pertinente.
Le 20/10/2016 à 13h09
Wikipedia
Le 20/10/2016 à 13h09
Trop cher, trop lourd et pas centralisé.
Le 20/10/2016 à 13h12
Excellent article de fond, qui profite d’un événement marquant pour revenir dessus et détailler les enjeux associés et l’analyser à froid !
Génial, continuez comme ça NextInpact !
Le 20/10/2016 à 13h23
Très bon article. En tant que non abonné, c’est la première fois que je suis incité à vous rejoindre en payant.
Le 20/10/2016 à 13h36
Super article merci de l’avoir mis en accès libre!
Le 20/10/2016 à 13h37
Très bon article, ça c’est cool d’expliquer les tenants et aboutissants d’un problème comme celui là.
Au passage si quelqu’un a un omnia turris, je suis preneur de tout retour. J’ai déjà lu l’article de monsieur Bortzmeyer mais je suis ouvert pour d’autres avis !
Le 20/10/2016 à 13h41
Ben c’était la guerre, Gogleu marchait pu pendant tout le lundi matin.
C’était même marqué que s’tait un coup des terreaux-ristes.
Le 20/10/2016 à 13h46
Il n’est pas encore en vente. Livraison en décembre d’après le site du projet. Et sans oublier le prix de l’engin : 246$ ! Pour un routeur “grand public” c’est tout simplement très cher.
Voir le site
Le 22/10/2016 à 17h34
Si tu monte ton propre résolveur, il dépend de l’intégralité des serveurs DNS qui font autorité sur chaque domaine composant internet. Quand tu veux aller sur www.nextinpact.com, ton résolveur demande à la racine l’adresse du serveur DNS faisant autorité sur le domaine (tld) .com, puis demande à ce serveur l’adresse du serveur DNS faisant autorité sur le domaine nextinpact.com, puis à ce dernier l’adresse de la machine www.nextinpact.com. Chaque réponse est mise en cache.
C’est comme ceci que fonctionne le résolveur de ton FAI. En utilisant le tien, tu ne fais que supprimer un intervenant dont tu sais qu’il te ment.
Le 22/10/2016 à 17h43
Merci pour ces explications claires.
Donc, plutôt que de (mal..) monter un DNS perso, mieux vaut choisir un DNS qui ne ment pas. Lequel? OpenNic?
Le 22/10/2016 à 19h10
L’inconvénient d’OpenNIC, c’est qu’il implémente une racine alternative, avec des TLD supplémentaires, donc il y a un risque de collision avec les noms de domaine du DNS canonique, surtout avec la vogue de créer des nouveaux TLD par paquet de douze. Les résolveurs de FDN me semblent une bonne solution, si on fait confiance à cette association.
Le 22/10/2016 à 23h19
Le 22/10/2016 à 23h27
Le 20/10/2016 à 13h48
Hum si certains l’ont déjà notamment monsieur Bortzmeyer, donc je pense que c’est ouvert mais que c’est livré petit à petit le temps de lancer la production.
Après oui le prix est important, mais vu les fonctionnalités ça peut se rentabiliser. Pour ça que j’aimerai des retours (avec un peu de chance)
Le 20/10/2016 à 13h52
Question bete : pourquoi ne pas directement inclure dans les box un serveur DNS ?
Le 20/10/2016 à 13h52
Excellent article ! " />
Ca me fait penser que tous les FAI devraient paramétrer sur leurs box, un DNS secondaire indépendant de leurs infrastructures.
Ca éviterait un SPOF DNS niveau FAI " />
Le 20/10/2016 à 13h55
Pour faire quoi ? La box appartient à l’opérateur donc ça ne t’épargneras pas du blocage.
Le 20/10/2016 à 14h16
Il faut faire un recherche sur google pour le savoir car il n’est pas dit dans l’article que Bortzmeyer en possède un. Enfin bref, passons.
Sinon il existe d’autres marques de routeur moins cher ou on peut aussi monter son serveur DNS. Genre chez synology.
Mais bon, sans parler du prix, le fait que ce routeur ai des composants libres est un bon point.
Le 20/10/2016 à 14h17
très bon article !
Le 20/10/2016 à 14h18
Effectivement, vu le prix, ça fait vraiment cher.
Perso, avec une carte APU1d4, équipée d’un SSD, d’une SD 8Go, du boitier et de l’alim, je m’en suis tiré pour 220€. Et dessus, j’ai mis PfSense qui est pour moi la meilleure distribution routeur à l’heure actuelle.
Le 20/10/2016 à 14h20
http://www.bortzmeyer.org/turris.html
D’après son blog, le routeur est bien chez lui. Si tu regardes le site du routeur tu vois aussi dans les commentaires certaines personnes qui l’ont.
J’étudie toutes les pistes effectivement, mais le fait que le routeur soit libre me tente bien (quitte à payer un peu plus cher)
Le 20/10/2016 à 14h20
Sinon, très simplement, un raspberry PI, avec Unound configuré pour taper sur les racines DNS. Et ça fonctionne très bien.
Evidemment, c’est une solution geek et technique. Mais c’est pas bien compliqué à mettre en oeuvre.
Sinon, pour ceux qui utilisent les dernières versions de PfSense, c’est déjà configuré comme ça, de base.
Le 20/10/2016 à 14h23
indépendant? et donc qui n’obéirait pas à la loi anti-consultation de sites illégaux?
Le 20/10/2016 à 14h24
Ouai mais t’as raspi tu peux pas la mettre à la place de ta LB, freebox (et autres). C’est pas un vrai routeur ?! Sinon faut acheter un adaptateur fibre / une antenne wifi etc..
Le 20/10/2016 à 14h24
Chez moi, c’est bind sur debian assez personnalisé : redirection de mes noms de domaines en local (merci le loopback de la livebox ! Faut vraiment que je m’en débarrasse) + blocage de certains domaines. J’ai aussi un raspberry PI qui me sert de secours ou quand j’éteins mon serveur.
Le 20/10/2016 à 14h26
et sinon, mettre les IP de serveurs racines dans la config du routeur (pour ceux qui le permettent), ca ne suffit pas?
Le 20/10/2016 à 14h27
Non les serveurs root sont des serveurs faisant autorité et non des serveurs chargés de la résolution. Ils ne donneront en réponse que ce qu’ils connaissent soit une info sur les serveurs qui sont en charge (faisant autorité) de gérer un TLD (.net/.com/.fr etc…)
Le 20/10/2016 à 14h29
Cf commentaire ci-dessus. Même si c’est stupide techniquement, “c’est la loi” et les opérateurs doivent s’y conformer
Le 20/10/2016 à 14h32
Il s’agit surement d’un des meilleurs articles de Next Inpact ses dernières années.
Constat, pédagogie, point à améliorer, des pistes de solutions ou alternatifs.
Très très bon papier.
Le 20/10/2016 à 21h36
Le 21/10/2016 à 01h12
Le 21/10/2016 à 02h29
C’est grand publique aussi ce truc : Amazon
Le 21/10/2016 à 02h31
Remplace la livebox par un vrai routeur ou change de fournisseur d’accès.
Le 21/10/2016 à 04h30
Contrairement à ce qui est écrit dans la news, à ma connaissance cela fait quelques années que OpenDNS n’est plus menteur.
Par contre, il y a la vie privée, comme pour Google…
En public il y a aussi Level 3 (à éviter car menteur, j’ai vérifié), et il y a Hurricane Electric (pas menteur, c’est 74.82.42.42).
Le 21/10/2016 à 04h59
Super article! Merci. Certains ont patlé de mettre un résolveur sur un syno.
J’imagine alors que c’était comme un cache DNS local et relay mais quel intérêt pour un particulier? Autant mettre les IP des bons DNS sur le routeur/serveur DHCP ou en dur sur les stations ?
Le 21/10/2016 à 07h24
“Cette actualité est exceptionnellement en accès libre pour 24h, elle sera ensuite réservée à nos abonnés pendant 1 mois.“Merci, je n’ai pas renouvelé encore mon abo mais je félicite la rédaction de cette initiative. " />
Le 21/10/2016 à 07h27
Ca te permet d’avoir le contrôle sur le serveur, donc savoir ce qu’il s’y passe. Mettre les IP d’un autre DNS c’est avoir confiance dans l’entité qui l’administre (et la conduite peut changer avec le temps)
Le 21/10/2016 à 07h34
Thepiratebay ne devrait plus être bloqué : la durée du blocage était d’un an et a expiré.
Il est toujours bloqué chez Orange et renvoie gentiment 127.0.0.1 !
A priori Free ne bloque plus.
Le 21/10/2016 à 07h38
Ha possible, je regarderai ça en détail. Après je me souviens plus exactement de chaque date de mise en blocage + la durée. J’ai donné des sites de mémoire (après suivant son FAI j’ai pas tout faux " />)
Le 21/10/2016 à 08h52
Le 21/10/2016 à 08h54
Celui dans ta box c’est juste un cache+ relais, il n’est en rien un serveur faisant autorité (en tout cas sur la LB) donc déclaration de zones/reverses etc c’est pas possible. D’ailleurs sur la LB c’est dnsmasq
Le 21/10/2016 à 08h57
Le 21/10/2016 à 09h05
Bah si suivant la nature de l’applicatif et de sa configuration il y a des fonctionnalités que tu pourras utiliser ou non. Typiquement si tu as juste ta box (LB dans mon cas), si je veux me faire une zone interne (genre pc1.bobmoutarde / pc2.bobmoutarde / www.bobmoutarde etc..) je ne peux le faire avec la box.
Après oui tes adresses de résolveurs sont provisionnées dans la box, étant passerelle c’est ces dernières que récupère ton pc ou ton équipement local.
Le 21/10/2016 à 09h23
Le 21/10/2016 à 10h15
OK, tout ça ça dépasse mon petit niveau.
J’ai déjà remplacé le serveur local de caching DNS de la box orange avec DNSMasq, serveur lui même piochant dans les DNS d’OpenNic.
Mais apparemment, vu ce que j’ai lu dans les commentaires des news récentes, on pourrait aussi unbounder son resolver DNS et le rendre récursif, pour en gros avoir tous les pointages du monde chez soi plutôt que de dépendre d’un annuaire tiers ?
Quelqu’un a bon tuto (engliche/french) pour cette opération de haute volée ?
" />