Firewall DNS simple & pratique

Protéger son réseau avec un filtrage DNS simple à mettre en place. Analyse des fonctionnalités de la solution NextDNS et du rôle d'un résolveur DNS.

Un peu de théorie d'abord ...

Le DNS (Domain Name System) permet de réconcilier l'humain et l'ordinateur en nous épargnant de devoir communiquer avec des adresses IP. Nous pouvons utiliser des noms de domaine comme avart.be au lieu d'un XX.XX.XX.XX.

Le résolveur est un grand annuaire (je simplifie, très bon article ici) qui permet d'exposer les noms de domaines, les organiser, les structurer, etc. L'ICANN s'occupe de gérer cela en partie, différents serveurs DNS et entités existent pour assurer la résolution des noms de domaines au niveau mondial. Si vous souhaitez descendre dans la matière est comprendre dans le détail le fonctionnement d'Internet, du DNS, et des noms de domaine, je vous conseille l'excellent livre (cyberstructure) de Stéphane Bortzmeyer.

Non seulement le livre est accessible à toute personne (et c'est le souhait de son auteur) mais il permet de comprendre Internet sous différents angles souvent inconnus. A titre d'exemple, comment fonctionne l'évolution des protocoles et comment ils sont améliorés par l'intermédiaire des communautés et développeurs qui travaillent souvent bénévolement pour Internet.

Un extrait parlant :

« Les outils de communication ont d’emblée une dimension politique : ce sont les relations humaines, les idées, les échanges commerciaux ou les désirs qui s’y expriment. L’ouvrage [...] montre les relations subtiles entre les décisions techniques concernant l’Internet et la réalisation – ou au contraire la mise en danger – des droits fondamentaux. Après une description précise du fonctionnement de l’Internet sous les aspects techniques, économiques et de la prise de décision, l’auteur évalue l’impact des choix informatiques sur l’espace politique du réseau, et plus précisément sur les droits humains. Un ouvrage pour appuyer une citoyenneté informée, adaptée aux techniques du XXIe siècle et en mesure de défendre les droits fondamentaux. »

DNS et chiffrement. Les requêtes DNS sont relativement bavardent, il est donc possible d'intercepter facilement non pas le contenu mais les requêtes faites par un utilisateur (à différents endroits de la chaîne), sur votre wifi, au niveau de votre provider, au niveau du serveur DNS ou depuis votre ordinateur, etc. Concrètement ... on peut savoir ce que vous consultez !

Voici ce que peut voir l'autorité qui gère une résolution DNS sur un réseau semi-privé en 3 minutes. Cela en dit long ! On peut voir la consultation de différents sites et ces informations donnent de nombreux indices sur une période plus longue concernant vos habitudes, vos sites préférés, vos objets connectés, etc.

Ces informations sont à double tranchant, si elles sont bien protégées elles peuvent servir à protéger votre navigation par l'intermédiaire de techniques décrites plus loin. Mais si l'intention n'est pas la protection, on peut facilement tracer et construire votre profil et votre personnalité pour d'autres actions malveillantes.

Toutes ces informations sont précieuses car les métas-données ou les données agrégées sont plus intéressantes encore que le contenu. On ne peut pas voir ce que vous regardez sur Youtube mais par contre on peut savoir que vous y passez du temps. Cela vaut pour tout autre site web. Le DNS over HTTPS permet de chiffrer les requêtes et d'améliorer la confidentialité et les interceptions.

Sans entrer dans les détails, une vulnérabilité connue consiste au détournement du résolveur pour rediriger les utilisateurs vers un mauvais service. On parle de DNS menteur (DNS hijacking, DNS redirection ou DNS Mangling).

L'élément de confiance est donc le résolveur, le serveur qui s'occupe de faire la réconciliation et la vérification entre l'adresse IP et le nom de domaine. Par défaut, Google propose par exemple à qui le souhaite un résolveur. Cela peut aussi être le fournisseur d'accès, etc. C'est de toute façon un élément de la chaine de confiance qui comme vous l'aurez compris est sensible.

PrivacyGuides propose une liste intéressante de résolveurs DNS de confiance avec à chaque fois leurs particularités. Ici nous parlons de NextDNS.

NextDNS a été cofondé/créé par deux français bien que le siège de la société soit aux US. Cela peut faire "tiquer" mais attendez un peu ! Voici l'ambition ...

Vous l'aurez compris, le service va relativement loin :

  • Un résolveur DNS avec différentes garanties comme la suppression des traces.
  • L'utilisation de la protection DNS over HTTPS (DOH) qui propose donc de chiffrer les requêtes DNS.
  • NextDNS est sélectionné par Mozilla pour une partie de leurs services.
  • Un filtrage des requêtes détaillé peut être réalisé par l'intermédiaire de bases de données intégrées. Ce filtrage permet d'offrir des fonctionnalités dignes de logiciels et/ou de matériels professionnels. On y reviendra.

Oui mais on passe par une solution Cloud et il faut payer. Oui ... mais j'en parle car ce service est particulièrement accessible à toute personne contrairement à des solutions locales comme Pi-hole qui demandent certaines compétences techniques.

Se protéger efficacement sur le web

Une série de catégories sont disponibles et proposent des protections avancées sur la vérification des domaines connus pour être malveillants.

Les publicités et les trackers

Pas mal ! Une liste de bases de données sont activées par défaut mais vous pouvez en ajouter et elles sont importées directement. Vous pouvez donc même utiliser la base de données de AdGuard (résolveur concurrent).

Une particularité intéressante est la protection contre le suivi natif. Si vous avez un téléviseur Samsung par exemple mais que vous ne voulez pas que la télémétrie traverse votre réseau (quand vous regardez, ce que vous regardez, etc.) et bien vous pouvez cocher la case. C'est impressionnant de voir tout ce qui est bloqué (centaines de requêtes par jour), ces options sont abouties.

Contrôle parental

Vous pouvez sélectionner les catégories, définir un temps de récréation, etc. On peut sentir que l'interface est relativement fiable et intuitive pour toute personne même n'ayant pas de connaissances particulières.

Un monitoring avancé

L'intérêt d'une telle solution c'est aussi de mieux visualiser les requêtes sur le réseau de vérifier l'activité des utilisateurs. On peut facilement voir le nombre de requête et un résultat sur une utilisation normale d'une famille d'un blocage de plus de 11% des requêtes ! Cela veut donc dire que 1 requête sur 10 a été bloquée et que les appareils sont sans doute relativement moins "bavards".

Différentes visualisations intéressantes.

Gestion des traces

C'est ici que le service propose (toujours très simplement) les éléments les plus importants. Un engagement à supprimer les traces de manière automatique. Il est possible d'activer l'enregistrement par exemple pour une durée de 1 semaine ce qui permet de vérifier le traffic global ou d'ajuster un peu les paramètres et surtout de récolter les statistiques. Il est aussi possible de les sauvegarder et de les consulter.

Il est conseillé après avoir utilisé un peu les statistiques de ne pas activer les logs pour éviter toute forme de compromission ou d’indiscrétion de l’administrateur.

En ce qui concerne la localisation des traces (si activées) et du résolveur, il est possible de choisir la région, l’Europe est conseillée 😀

Comment installer NextDNS

C'est simple et je ne vais donc pas m'attarder. Il est possible d'utiliser le service depuis sont smartphone et/ou depuis chaque ordinateur en installant un petit client.

Le mieux est de l'installer sur votre routeur si vous en avez la possibilité. Cela permet de couvrir l'ensemble du réseau et d'éviter des installations sur chaque ordinateurs. Point intéressant, si vous avez un smartphone, l'application va détecter automatiquement si vous êtes sur le wifi ou sur la 4G. Si vous êtes en 4G alors l'application va s'occuper d'appliquer la configuration contrairement au wifi si votre routeur est configuré pour utiliser NextDNS.

Sont-ils engagés ?

Ce qui est convainquant

Différents points peuvent faire la différence avec d'autres services.

  • Le positionnement clair des fondateurs et du site web sur la protection de la vie privée.
  • L'accessibilité et la facilité.
  • Le coût relativement limité par rapport à un Firewall dernière génération. Cette solution peut tout à fait convenir pour une petite PME (avec des limitations bien entendu).
  • Le positionnement avec le soutien de grands acteurs comme Mozilla.
  • Les fonctionnalités innovantes comme la compatibilité sur IOS et les possibilités de protection.

Ce qui est moins convainquant

  • Bien que l'on peut choisir le serveur, le siège reste aux US et c'est un problème notamment dans le cadre du PrivacyShield.
  • La suppression des traces est garantie. Mais il n'est évidemment pas possible de vérifier si la solution supprime vraiment ces traces …
  • L'hébergement Cloud expose directement ou indirectement des problèmes possibles d'usurpation ou de violation de compte ou de piratage des serveurs (la double authentification est plus que conseillée étant de donné la sensibilité des données traitées). Pour une maitrise totale, le mieux est d’opter pour un Pi-hole.

En bref

En fonction de vos attentes et de votre contexte, c'est une solution très convaincante et aucun ralentissement (au contraire) n'est perceptible. Si vous cherchez une solution efficace et à moindre coût, NextDNS devrait vous convaincre.