[DNS et VPN] vie privée.
-
- newbie
- Messages : 6
- Inscription : mar. 21 mai 2013, 17:25
- Localisation : France RP
[DNS et VPN] vie privée.
Lorsque l’on fait une requête sur Google, la requête est enregistrée ainsi que l’adresse IP du demandeur, à des fins purement commerciales ou autres.
Lorsque l’on utilise une connexion VPN, on pourrait s’attendre à ce que l’ensemble du trafic passe par celui-ci. Ce n’est malheureusement pas tout le temps le cas.
Le DNS est utilisé pour traduire un domaine en adresse IP directement utilisable pour l’acheminement des paquets de données.
Seulement le problème est que la plupart des FAI attribuent à leurs clients des serveurs DNS dont ils ont le contrôle, ce qui leur permet, entre autres, l'enregistrement de votre activité sur Internet.
La solution est donc de changer le(s) DNS. Mais certains fournisseurs internet utilisent dorénavant une technologie appelée « Transparent DNS proxies ». Utilisant cette technologie, ils interceptent toutes les requêtes DNS (TCP/UDP port 53). Ceci vous force en sorte à utiliser leurs services DNS à chaque fois que vous accédez un site.
Si on a changé les serveurs DNS sur l'ordinateur et que l'on utilise des DNS libres comme Google, Comodo, OpenDNS ou openNIC, en espérant que tout le trafic DNS n’est désormais plus espionné par le FAI, si celui-ci utilise le « transparent DNS proxying » on risque d’être surpris.
Une manière de vérifier le DNS réellement utilisé par les connexions internet est de faire un DNS leaktest.
Le site : https://www.dnsleaktest.com/ permet de faire ceci.
Le VPN étant actif on lance le test. Dans notre cas le VPN est sur un serveur anglais et les DNS sont ceux de openNIC qui désormais a des serveurs DNS en France*.
Le résultat donne : IP : 83.170.69.2 ; Hostname : ns2.web-ns.net ; ISP : UK2 – Ltd ; Country : United Kingdom.
Le résultat dans mon cas est ecellent puisque rien ne correspond à la réalité.
On peut aussi vérifier ses traces sur le web en allant à : http://www.anonymat.org/vostraces/index.php ayant auparavant connecté le VPN. La seule « fuite » que nous avons trouvé est l’heure de la pendule, ce qui permet de voir que si l’on est sur un VPN anglais, heure GMT, la machine est dans un pays dont l’heure est GMT+1.
Sources : Voir l’article : https://freedom-ip.com/forum/viewtopic.php?id=2939 et les articles du site https://www.dnsleaktest.com/ pour ceux qui lisent l’anglais.
* Il est à noter qu’en cas de censure, ce n’est peu être pas une bonne idée de choisir un serveur DNS dans le pays où l’on habite, car celui-ci est soumis au lois du pays où il est hébergé, et donc censuré.
P.
Re: [DNS et VPN] vie privée.
Il existe des alternatives à google.pierre5549 a écrit :Lorsque l’on fait une requête sur Google, la requête est enregistrée ainsi que l’adresse IP du demandeur, à des fins purement commerciales ou autres.
Re: [DNS et VPN] vie privée.
Le test semble foireux vu qu'il me renvoie une ip qui n'héberge même pas de serveur dsnpierre5549 a écrit : Une manière de vérifier le DNS réellement utilisé par les connexions internet est de faire un DNS leaktest.
Le site : https://www.dnsleaktest.com/ permet de faire ceci.
It just happens to be selective about who it makes friends with.
-
- newbie
- Messages : 6
- Inscription : mar. 21 mai 2013, 17:25
- Localisation : France RP
Re: [DNS et VPN] vie privée.
P.
Re: [DNS et VPN] vie privée.
Je déterre peut-être un peu le sujet, mais je viens récemment de constater que le nameserver DNS de chez FDN que j'avais configuré sur mon ordi via resolv.conf ne servait a rien, car par ce système de « Transparent DNS proxies » du réseau, ma résidence déroute les résolutions de nom de domaine vers un DNS menteur de chez orange.
Comment fait-on pour contrer ce « Transparent DNS proxies » techniquement parlant et causer directement avec le nameserveur de FDN?
- benjarobin
- Maître du Kyudo
- Messages : 17285
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [DNS et VPN] vie privée.
Par curiosité comment as tu détecté ceci ? En détail si possible car ce n'est pas une chose facile à détecter.
La seule solution est de trouver un serveur DNS avec comme port 5353 et d'utiliser un serveur de cache DNS en locale qui peut être configuré pour utiliser un autre port
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [DNS et VPN] vie privée.
Comme je suppose que les requêtes DNS de mon ordinateur à la sortie de ma machine sont toutes identiques si on demande le même site web.
Avec une même config en resolv.conf, nm, dhcpc , etc.
Si lorsque je passe par mon VPN, j'ai la bonne réponse. Alors que quand je passe par le réseau de base, cela ne l'est pas. Car DNS menteur orange retournant 127.0.0.1. (tester avec les commande "host", "traceroute", "dnstracer")
Je suppose donc qu'il se passe quelque chose, une fois qu'elles sont sorties de mon ordinateur, qui les modifie en fonction de la route qu'elles empruntent.
Et si j'ai bien tout compris, le « Transparent DNS proxies » fait cela. Après peut-être que c'est autre chose, je ne sais pas, mais actuellement j'ai rien trouvé d'autre qui l'expliquerait.
Si je rajoute :5353 au nameserver de resolv.conf, c'est suffisant a ton avis?
- benjarobin
- Maître du Kyudo
- Messages : 17285
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [DNS et VPN] vie privée.
Pour tester ce que tu dis, chose que je trouve très étrange en France, c'est de faire ceci comme test (depuis le VPN et sans VPN) :
Code : Tout sélectionner
dig @8.8.8.8 addresse-web-a-tester.com
@
est l'ip du serveur DNS.Tous tes autres tests ne valent rien si tu as mal configuré quelque chose de ton côté.
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [DNS et VPN] vie privée.
Avec VPN sur google.fr avec DNS google
Code : Tout sélectionner
~$ dig @8.8.8.8 google.fr
;; ANSWER SECTION:
google.fr. 299 IN A 173.194.40.151
google.fr. 299 IN A 173.194.40.143
google.fr. 299 IN A 173.194.40.159
google.fr. 299 IN A 173.194.40.152
Code : Tout sélectionner
~$ dig @80.67.169.12 google.fr
;; ANSWER SECTION:
google.fr. 108 IN A 173.194.40.159
google.fr. 108 IN A 173.194.40.143
google.fr. 108 IN A 173.194.40.151
google.fr. 108 IN A 173.194.40.152
Code : Tout sélectionner
~$ dig @8.8.8.8 t411.io
;; ANSWER SECTION:
t411.io. 299 IN A 108.162.204.254
t411.io. 299 IN A 108.162.203.254
Code : Tout sélectionner
~$ dig @80.67.169.12 t411.io
;; ANSWER SECTION:
t411.io. 283 IN A 108.162.204.254
t411.io. 283 IN A 108.162.203.254
Code : Tout sélectionner
~$ dig @8.8.8.8 google.fr
;; ANSWER SECTION:
google.fr. 122 IN A 173.194.78.94
Code : Tout sélectionner
~$ dig @80.67.169.12 google.fr
;; ANSWER SECTION:
google.fr. 212 IN A 173.194.78.94
Code : Tout sélectionner
~$ dig @8.8.8.8 t411.io
;; ANSWER SECTION:
t411.io. 3515 IN A 127.0.0.1
Code : Tout sélectionner
~$ dig @80.67.169.12 t411.io
;; ANSWER SECTION:
t411.io. 3534 IN A 127.0.0.1
- benjarobin
- Maître du Kyudo
- Messages : 17285
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [DNS et VPN] vie privée.
Donc déjà trouve un serveur de DNS acceptant le port 5353, test le avec la commande du type :
Code : Tout sélectionner
dig @1.2.3.4 -p5353 serveur.fr
Code : Tout sélectionner
dig @127.0.0.1 -p5353 serveur.fr
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [DNS et VPN] vie privée.
Les DNS openNIC fonctionne sur ce port.
Code : Tout sélectionner
dig google.fr @37.59.72.228 -p5353
;; ANSWER SECTION:
google.fr. 220 IN A 216.58.208.227
Code : Tout sélectionner
server {
label = "opennic";
ip = 37.59.72.228;
port=5353;
reject_policy = fail;
timeout = 4;
uptest = ping;
ping_timeout = 100;
interval = 15m;
preset = off;
proxy_only=on;
purge_cache=off;
}
Code : Tout sélectionner
dig google.fr @127.0.0.1
;; ANSWER SECTION:
google.fr. 900 IN A 216.58.208.227
Code : Tout sélectionner
dig google.fr @127.0.0.1 -p5353
;; connection timed out; no servers could be reached
Comme je n'arrive pas a forcer l'utilisation du port 5353, ni bloquer le port 53 pour les résolution DNS nul part.
Du coup, la résolution repasse systématiquement sur le port 53 et elle se fait court-circuité de nouveau.
Comment dois-je faire pour résoudre cela?
Truc bizarre aussi, j'ai découvert que sur OpenBSD dans resolv.conf, on peut choisir le port DNS par "nameserver [37.59.72.228]:5353" , mais pas sur la version de resolv de Archlinux pourquoi ?
L'autre truc marrent en particulier avec le site t411.io, qui me sert de test par sa situation d’être bloquer par Orange,.
C'est qu'avec
Code : Tout sélectionner
dig t411.io @127.0.0.1
Code : Tout sélectionner
dig www.t411.io @127.0.0.1
- benjarobin
- Maître du Kyudo
- Messages : 17285
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [DNS et VPN] vie privée.
Donc tu dois tester ceci :
Code : Tout sélectionner
dig www.t411.io @37.59.72.228 -p5353
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [DNS et VPN] vie privée.
Code : Tout sélectionner
dig www.t411.io @37.59.72.228 -p5353
;; ANSWER SECTION:
t411.io. 146 IN A 108.162.203.254
t411.io. 146 IN A 108.162.204.254
J'ai essayé tous les soft de DNS cache, et j'ai l'impression qu'ils ne prennent pas en compte correctement le port 5353, une fois configurés.
- kozaki
- Chu Ko Nu
- Messages : 422
- Inscription : mer. 13 sept. 2006, 22:49
- Localisation : London > . < Paris
- Contact :
Re: [DNS et VPN] vie privée.
-p53 ou -p5353 les gars ?benjarobin a écrit :Si tu configure un serveur DNS locale alors ce dernier sera sur le port 53 et non sur le port 5353 et comme il est locale alors aucune interception n'est possible !
Donc tu dois tester ceci :Code : Tout sélectionner
dig www.t411.io @37.59.72.228 -p[b]53[/b]53
A noter que j'utilise t411 sans soucis avec dnsmask (et hostblocks)
« Demande un conseil à ton ennemi et fais le contraire (proverbe juif)
SVP intéressé par tout retour d'exp. sur Arch ARM en général, et sur portable (CrOS) en particulier.
Re: [DNS et VPN] vie privée.
Ce qui me pose problème, c'est la résolution DNS corrompu de ma résidence. Cela m’interpelle sur le fait que je ne suis pas à l’abri d'une censure massive.
Car ajouter une adresse aux hosts, cela va un temps quand tu n'as que 3 adresses censurées à gérer. mais les jours où l'on en a plus de 100 cela va vite devenir galère a maintenir.
Re: [DNS et VPN] vie privée.
https://wiki.archlinux.org/index.php/Un ... validationDistag a écrit :Aller sur T411, ce n'est pas le vrai problème, ici. Je l'ai pris comme exemple pour voir si sa censure m’atteignait. Si je paramètre /etc/hosts, je n'ai aucun problème pour y accéder.
Ce qui me pose problème, c'est la résolution DNS corrompu de ma résidence. Cela m’interpelle sur le fait que je ne suis pas à l’abri d'une censure massive.
Car ajouter une adresse aux hosts, cela va un temps quand tu n'as que 3 adresses censurées à gérer. mais les jours où l'on en a plus de 100 cela va vite devenir galère a maintenir.
schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière)
toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough
deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable
popho.be : Kimsufi KS-3, FreeBSD 11.0
Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !