[DNS et VPN] vie privée.

Applications, problèmes de configuration réseau
Répondre
pierre5549
newbie
Messages : 6
Inscription : mar. 21 mai 2013, 17:25
Localisation : France RP

[DNS et VPN] vie privée.

Message par pierre5549 »

Lorsque l’on utilise le DNS de son FAI, c’est grosso modo comme si, pendant que vous faites vos courses dans un super marché, quelqu’un vous suivait et notait tous les produits que vous regardez et tous ceux que vous achetez. La liste est ensuite analysée pour connaître vos goûts, vos tendances, et être éventuellement vendue.

Lorsque l’on fait une requête sur Google, la requête est enregistrée ainsi que l’adresse IP du demandeur, à des fins purement commerciales ou autres.

Lorsque l’on utilise une connexion VPN, on pourrait s’attendre à ce que l’ensemble du trafic passe par celui-ci. Ce n’est malheureusement pas tout le temps le cas.

Le DNS est utilisé pour traduire un domaine en adresse IP directement utilisable pour l’acheminement des paquets de données.
Seulement le problème est que la plupart des FAI attribuent à leurs clients des serveurs DNS dont ils ont le contrôle, ce qui leur permet, entre autres, l'enregistrement de votre activité sur Internet.

La solution est donc de changer le(s) DNS. Mais certains fournisseurs internet utilisent dorénavant une technologie appelée « Transparent DNS proxies ». Utilisant cette technologie, ils interceptent toutes les requêtes DNS (TCP/UDP port 53). Ceci vous force en sorte à utiliser leurs services DNS à chaque fois que vous accédez un site.

Si on a changé les serveurs DNS sur l'ordinateur et que l'on utilise des DNS libres comme Google, Comodo, OpenDNS ou openNIC, en espérant que tout le trafic DNS n’est désormais plus espionné par le FAI, si celui-ci utilise le « transparent DNS proxying » on risque d’être surpris.

Une manière de vérifier le DNS réellement utilisé par les connexions internet est de faire un DNS leaktest.
Le site : https://www.dnsleaktest.com/ permet de faire ceci.

Le VPN étant actif on lance le test. Dans notre cas le VPN est sur un serveur anglais et les DNS sont ceux de openNIC qui désormais a des serveurs DNS en France*.

Le résultat donne : IP : 83.170.69.2 ; Hostname : ns2.web-ns.net ; ISP : UK2 – Ltd ; Country : United Kingdom.
Le résultat dans mon cas est ecellent puisque rien ne correspond à la réalité.

On peut aussi vérifier ses traces sur le web en allant à : http://www.anonymat.org/vostraces/index.php ayant auparavant connecté le VPN. La seule « fuite » que nous avons trouvé est l’heure de la pendule, ce qui permet de voir que si l’on est sur un VPN anglais, heure GMT, la machine est dans un pays dont l’heure est GMT+1.

Sources : Voir l’article : https://freedom-ip.com/forum/viewtopic.php?id=2939 et les articles du site https://www.dnsleaktest.com/ pour ceux qui lisent l’anglais.

* Il est à noter qu’en cas de censure, ce n’est peu être pas une bonne idée de choisir un serveur DNS dans le pays où l’on habite, car celui-ci est soumis au lois du pays où il est hébergé, et donc censuré.

P.
Achinux Mate 1.8 64 bits - Boitier tour Antec Sonata 4 - Carte mère : Asus P8H77-V - carte graphique : Asus GeForce GT 640 - 2 Go (GT640-2GD3) - mémoire : Corsair Dominator GT 4 x 4 Go DDR3 PC15000 CAS 9, soit 16 Go de RAM - disque dur - Western Digital WD VelociRaptor SATA III 6 Gb/s - 500 Go - 64 Mo - processeur : Intel Core i7 3770 ; + 2 ordi vieillissant sous Arch.
Tucnacek
Chu Ko Nu
Messages : 332
Inscription : sam. 28 sept. 2013, 22:40

Re: [DNS et VPN] vie privée.

Message par Tucnacek »

À défaut de réagir au reste :
pierre5549 a écrit :Lorsque l’on fait une requête sur Google, la requête est enregistrée ainsi que l’adresse IP du demandeur, à des fins purement commerciales ou autres.
Il existe des alternatives à google.
Avatar de l’utilisateur
chipster
Maître du Kyudo
Messages : 2063
Inscription : ven. 11 août 2006, 22:25
Localisation : Saint-Étienne (42)
Contact :

Re: [DNS et VPN] vie privée.

Message par chipster »

Et quand on utilise ses propres DNS ? :D
Damien
Hankyu
Messages : 10
Inscription : sam. 06 oct. 2012, 20:47

Re: [DNS et VPN] vie privée.

Message par Damien »

pierre5549 a écrit : Une manière de vérifier le DNS réellement utilisé par les connexions internet est de faire un DNS leaktest.
Le site : https://www.dnsleaktest.com/ permet de faire ceci.
Le test semble foireux vu qu'il me renvoie une ip qui n'héberge même pas de serveur dsn :mrgreen:
Contrary to popular belief, Unix is user friendly.
It just happens to be selective about who it makes friends with.
pierre5549
newbie
Messages : 6
Inscription : mar. 21 mai 2013, 17:25
Localisation : France RP

Re: [DNS et VPN] vie privée.

Message par pierre5549 »

J'ai testé avec un autre site : http://ipleak.net/ qui me retourne les mêmes informations que https://www.dnsleaktest.com/. Les DNS ne correspondent pas à ceux que j'ai dans mon ordi. Mais j'ai remarqué qu'en fonction du pays où se situe le serveur VPN, les DNS utilisés sont situés dans le même pays. Donc je pense qu'on peut en déduire que dans la connection VPN les DNS utilisés sont fournis par le serveur VPN. Mais n'étant pas un expert, ce n'est qu'une suggestion.

P.
Achinux Mate 1.8 64 bits - Boitier tour Antec Sonata 4 - Carte mère : Asus P8H77-V - carte graphique : Asus GeForce GT 640 - 2 Go (GT640-2GD3) - mémoire : Corsair Dominator GT 4 x 4 Go DDR3 PC15000 CAS 9, soit 16 Go de RAM - disque dur - Western Digital WD VelociRaptor SATA III 6 Gb/s - 500 Go - 64 Mo - processeur : Intel Core i7 3770 ; + 2 ordi vieillissant sous Arch.
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Bonjour,

Je déterre peut-être un peu le sujet, mais je viens récemment de constater que le nameserver DNS de chez FDN que j'avais configuré sur mon ordi via resolv.conf ne servait a rien, car par ce système de « Transparent DNS proxies » du réseau, ma résidence déroute les résolutions de nom de domaine vers un DNS menteur de chez orange.

Comment fait-on pour contrer ce « Transparent DNS proxies » techniquement parlant et causer directement avec le nameserveur de FDN?
x86_64 | KDE | Clavier Bépo
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [DNS et VPN] vie privée.

Message par benjarobin »

Bonjour,
Par curiosité comment as tu détecté ceci ? En détail si possible car ce n'est pas une chose facile à détecter.
La seule solution est de trouver un serveur DNS avec comme port 5353 et d'utiliser un serveur de cache DNS en locale qui peut être configuré pour utiliser un autre port
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Je ne suis pas un expert en réseau, j'ai un petit peu étudié les chapitres CCNA.

Comme je suppose que les requêtes DNS de mon ordinateur à la sortie de ma machine sont toutes identiques si on demande le même site web.

Avec une même config en resolv.conf, nm, dhcpc , etc.

Si lorsque je passe par mon VPN, j'ai la bonne réponse. Alors que quand je passe par le réseau de base, cela ne l'est pas. Car DNS menteur orange retournant 127.0.0.1. (tester avec les commande "host", "traceroute", "dnstracer")

Je suppose donc qu'il se passe quelque chose, une fois qu'elles sont sorties de mon ordinateur, qui les modifie en fonction de la route qu'elles empruntent.

Et si j'ai bien tout compris, le « Transparent DNS proxies » fait cela. Après peut-être que c'est autre chose, je ne sais pas, mais actuellement j'ai rien trouvé d'autre qui l'expliquerait.

Si je rajoute :5353 au nameserver de resolv.conf, c'est suffisant a ton avis?
x86_64 | KDE | Clavier Bépo
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [DNS et VPN] vie privée.

Message par benjarobin »

Non, tu es obligé de passer par un serveur de cache DNS, cela à un énorme avantage : cela rend en plus la navigation Web bien plus rapide.
Pour tester ce que tu dis, chose que je trouve très étrange en France, c'est de faire ceci comme test (depuis le VPN et sans VPN) :

Code : Tout sélectionner

dig @8.8.8.8 addresse-web-a-tester.com
Ce qui est après le @ est l'ip du serveur DNS.
Tous tes autres tests ne valent rien si tu as mal configuré quelque chose de ton côté.
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Mais je l'ai déjà fais ça:

Avec VPN sur google.fr avec DNS google

Code : Tout sélectionner

~$ dig @8.8.8.8 google.fr
;; ANSWER SECTION:
google.fr.		299	IN	A	173.194.40.151
google.fr.		299	IN	A	173.194.40.143
google.fr.		299	IN	A	173.194.40.159
google.fr.		299	IN	A	173.194.40.152
Avec VPN sur google.fr avec DNS FDN

Code : Tout sélectionner

~$ dig @80.67.169.12 google.fr
;; ANSWER SECTION:
google.fr.		108	IN	A	173.194.40.159
google.fr.		108	IN	A	173.194.40.143
google.fr.		108	IN	A	173.194.40.151
google.fr.		108	IN	A	173.194.40.152
Avec VPN sur t411.io (judiciairement bloqué) avec DNS google

Code : Tout sélectionner

~$ dig @8.8.8.8 t411.io 
;; ANSWER SECTION:
t411.io.		299	IN	A	108.162.204.254
t411.io.		299	IN	A	108.162.203.254
Avec VPN sur t411.io (judiciairement bloqué) avec DNS FDN

Code : Tout sélectionner

~$ dig @80.67.169.12 t411.io
;; ANSWER SECTION:
t411.io.		283	IN	A	108.162.204.254
t411.io.		283	IN	A	108.162.203.254
Sans VPN sur google.fr avec DNS google

Code : Tout sélectionner

~$ dig @8.8.8.8 google.fr
;; ANSWER SECTION:
google.fr.		122	IN	A	173.194.78.94
Sans VPN sur google.fr avec DNS FDN

Code : Tout sélectionner

~$ dig @80.67.169.12 google.fr
;; ANSWER SECTION:
google.fr.		212	IN	A	173.194.78.94
Sans VPN sur t411.io (judiciairement bloqué) avec DNS google

Code : Tout sélectionner

~$ dig @8.8.8.8 t411.io 
;; ANSWER SECTION:
t411.io.		3515	IN	A	127.0.0.1
Sans VPN sur t411.io (judiciairement bloqué) avec DNS FDN

Code : Tout sélectionner

~$ dig @80.67.169.12 t411.io
;; ANSWER SECTION:
t411.io.		3534	IN	A	127.0.0.1
x86_64 | KDE | Clavier Bépo
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [DNS et VPN] vie privée.

Message par benjarobin »

Je confirme donc ton analyse :-) Je voulais juste être sur que tu n'ai pas fait d'erreur
Donc déjà trouve un serveur de DNS acceptant le port 5353, test le avec la commande du type :

Code : Tout sélectionner

dig @1.2.3.4 -p5353 serveur.fr
Une fois ceci fait, met en place un cache DNS et configure le pour utiliser ce serveur DSN avec le port 5353, teste le directement

Code : Tout sélectionner

dig @127.0.0.1 -p5353 serveur.fr
Une fois que ceci fonctionne tu as fait 99% du travail
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Je vais peut-être avoir besoin d'un peu aide sur ce point.

Les DNS openNIC fonctionne sur ce port.

Code : Tout sélectionner

dig google.fr  @37.59.72.228 -p5353
;; ANSWER SECTION:
google.fr.		220	IN	A	216.58.208.227
J'ai configuré pdnsd.

Code : Tout sélectionner

server {
	label = "opennic";
	ip = 37.59.72.228;
	port=5353;
	reject_policy = fail; 

	timeout = 4;
	uptest = ping;    
        ping_timeout = 100;   
	interval = 15m;  
	preset = off;

	proxy_only=on;
	purge_cache=off;
}

Code : Tout sélectionner

dig google.fr  @127.0.0.1
;; ANSWER SECTION:
google.fr.		900	IN	A	216.58.208.227
Mais

Code : Tout sélectionner

dig google.fr  @127.0.0.1 -p5353
;; connection timed out; no servers could be reached
ne marche pas et ne renvoie rien

Comme je n'arrive pas a forcer l'utilisation du port 5353, ni bloquer le port 53 pour les résolution DNS nul part.
Du coup, la résolution repasse systématiquement sur le port 53 et elle se fait court-circuité de nouveau.

Comment dois-je faire pour résoudre cela?

Truc bizarre aussi, j'ai découvert que sur OpenBSD dans resolv.conf, on peut choisir le port DNS par "nameserver [37.59.72.228]:5353" , mais pas sur la version de resolv de Archlinux :( pourquoi ?

L'autre truc marrent en particulier avec le site t411.io, qui me sert de test par sa situation d’être bloquer par Orange,.
C'est qu'avec

Code : Tout sélectionner

dig t411.io @127.0.0.1
j'arrive a avoir l’adresse du site, mais avec

Code : Tout sélectionner

dig www.t411.io @127.0.0.1
j’obtiens 127.0.0.1.
x86_64 | KDE | Clavier Bépo
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [DNS et VPN] vie privée.

Message par benjarobin »

Je crains que tu mélanges un peu tout. Si tu configure un serveur DNS locale alors ce dernier sera sur le port 53 et non sur le port 5353 et comme il est locale alors aucune interception n'est possible !
Donc tu dois tester ceci :

Code : Tout sélectionner

dig www.t411.io @37.59.72.228 -p5353
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Code : Tout sélectionner

dig www.t411.io @37.59.72.228 -p5353
;; ANSWER SECTION:
t411.io.		146	IN	A	108.162.203.254
t411.io.		146	IN	A	108.162.204.254
Comment tu expliques que je n'obtiens pas la bonne résolution?
J'ai essayé tous les soft de DNS cache, et j'ai l'impression qu'ils ne prennent pas en compte correctement le port 5353, une fois configurés.
x86_64 | KDE | Clavier Bépo
Avatar de l’utilisateur
kozaki
Chu Ko Nu
Messages : 422
Inscription : mer. 13 sept. 2006, 22:49
Localisation : London > . < Paris
Contact :

Re: [DNS et VPN] vie privée.

Message par kozaki »

interessant le post, deja pour les.non spe'
benjarobin a écrit :Si tu configure un serveur DNS locale alors ce dernier sera sur le port 53 et non sur le port 5353 et comme il est locale alors aucune interception n'est possible !
Donc tu dois tester ceci :

Code : Tout sélectionner

dig www.t411.io @37.59.72.228 -p[b]53[/b]53
-p53 ou -p5353 les gars ?

A noter que j'utilise t411 sans soucis avec dnsmask (et hostblocks) :mrgreen:
~ Configs ~ PGP Key: 1C2A554EFF0157D9
« Demande un conseil à ton ennemi et fais le contraire (proverbe juif)
SVP intéressé par tout retour d'exp. sur Arch ARM en général, et sur portable (CrOS) en particulier.
Avatar de l’utilisateur
Distag
yeomen
Messages : 272
Inscription : dim. 03 avr. 2011, 15:58

Re: [DNS et VPN] vie privée.

Message par Distag »

Aller sur T411, ce n'est pas le vrai problème, ici. Je l'ai pris comme exemple pour voir si sa censure m’atteignait. Si je paramètre /etc/hosts, je n'ai aucun problème pour y accéder.
Ce qui me pose problème, c'est la résolution DNS corrompu de ma résidence. Cela m’interpelle sur le fait que je ne suis pas à l’abri d'une censure massive.
Car ajouter une adresse aux hosts, cela va un temps quand tu n'as que 3 adresses censurées à gérer. mais les jours où l'on en a plus de 100 cela va vite devenir galère a maintenir.
x86_64 | KDE | Clavier Bépo
Moviuro
Elfe
Messages : 765
Inscription : dim. 17 juin 2012, 22:49

Re: [DNS et VPN] vie privée.

Message par Moviuro »

Distag a écrit :Aller sur T411, ce n'est pas le vrai problème, ici. Je l'ai pris comme exemple pour voir si sa censure m’atteignait. Si je paramètre /etc/hosts, je n'ai aucun problème pour y accéder.
Ce qui me pose problème, c'est la résolution DNS corrompu de ma résidence. Cela m’interpelle sur le fait que je ne suis pas à l’abri d'une censure massive.
Car ajouter une adresse aux hosts, cela va un temps quand tu n'as que 3 adresses censurées à gérer. mais les jours où l'on en a plus de 100 cela va vite devenir galère a maintenir.
https://wiki.archlinux.org/index.php/Un ... validation
psycho : Latitude E6430 ; BTRFS over LUKS, UEFI & secureboot
schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière)
toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough
deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable
popho.be : Kimsufi KS-3, FreeBSD 11.0
Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !
Répondre