Accueil > Linux et Open-Source, Planet-libre, Securite Informatique > Chiffrer le trafic DNS entre votre machine et votre fournisseur

Chiffrer le trafic DNS entre votre machine et votre fournisseur

09/12/2011 Commenter Allez aux commentaires

Il est de notoriété publique que le protocole DNS est construit sur des bases assez friables offrant ainsi des cibles faciles à de potentiels attaquants. La partie la plus faible est ce qu’OpenDNS nomme  » The Last Mile « , soit la dernière partie de l’acheminement du trafic à savoir de votre fournisseur à votre machine personnelle. Avoir son propre serveur DNS en interne permet éventuellement de renforcer un peu la sécurité en s’affranchissant des serveurs DNS de son fournisseur d’accès.

Quoi qu’il en soit OpenDNS propose maintenant une solution aux utilisateurs de ses services permettant de chiffrer le trafic DNS entre chez vous et leurs serveurs. Au travers de DNSCrypt, OpenDNS fournit un programme capable de chiffrer les requêtes DNS à la manière de l’HTTPS pour les sites WEB. L’algorithme utilisé est l’ECC (elliptical-curve cryptography ou cryptographie sur courbes elliptiques) et plus précisément le Curve25519 destiné justement à sécuriser les échanges DNS. Le seul défaut du programme, est qu’il n’est pour le moment disponible que pour MAC. Des versions pour Linux devraient bientôt être disponibles.

Utilisé conjointement avec DNSSEC voici une solution permettant de s’affranchir un peu des regards indiscrets et d’éventuelles attaques ( DNS Poisoning …. ). En ces temps de censure et de DPI voilà une initiative plus que bienvenue.

Tags: , , , , ,
Categories: Linux et Open-Source, Planet-libre, Securite Informatique
  1. Olivier H.
    09/12/2011 à 15:26 | #1
    Répondre | Citer

    A noter que l’outil se base sur dnscrypt-proxy, disponible sur github ( https://github.com/opendns/dnscrypt-proxy). Le tout compile très bien sur une debian squeeze.
    Cerise sur le gateau, c’est suffisamment bien documenté pour être rapidement utilisé.

  2. masseuro
    09/12/2011 à 16:50 | #2
    Répondre | Citer

    Le genre de fonctionnalité intéressante même pour monsieur tout le monde dans son pack ant-ivirus-spy-bidule

  3. Elessar
    09/12/2011 à 17:11 | #3
    Répondre | Citer

    Attention, OpenDNS sont des résolveurs DNS notoirement menteurs !

  4. Bruno
    09/12/2011 à 19:03 | #4
    Répondre | Citer

    Je t’invite à lire ce billet de Stéphane Bortzmeyer sur OpenDNS : http://www.bortzmeyer.org/opendns-non-merci.html

  5. openwebtech
    10/12/2011 à 10:17 | #5
    Répondre | Citer

    Bonjour merci pour l’article.
    Je me posais justement la question de la confiance que l’on peut placer en OpenDNS. Utiliser « leur solution » de cryptage entre soi et leurs DNS ne me satisfait pas vraiment mais tu me donnes une piste intéressante pour la mise en place de mon propre DNS sur mon serveur.
    Merci à olivier H pour son lien. Je pense l’utiliser :)

  6. Stéphane Bortzmeyer
    10/12/2011 à 13:55 | #6
    Répondre | Citer

    Ceci dit, ce que je pense du service OpenDNS n’interdit pas de regarder de près DNScrypt, une technologie qu’on peut utiliser sans OpenDNS (la documentation de dnscrypt-proxy explique comment).

  1. Pas encore de trackbacks