Comment se protéger contre les sites non appropriés en changeant son DNS

Comment le fait de changer de DNS nous aide-t-il à être mieux protégé contre les sites malicieux ou à contenu non approprié? Pour répondre à cette question voyons comment la machine fait pour afficher une page web sur un navigateur une fois on tape une URL.

On tape sur notre navigateur préféré une adresse, par exemple www.google.com
Pour communiquer avec les serveurs de google, la machine a besoin d’une adresse IP. Donc la première opération qui se fait est de trouver l’adresse IP qui correspond à l’adresse www.google.com grâce au service DNS.

C’est une opération qui peut d’ailleurs se faire manuellement. Dans une fenêtre DOS taper nslookup
Puis taper www.google.com

On obtient alors une adresse IP qui correspond à l’adresse tapée


L’échange entre la machine source et le serveur peut alors commencer.

Si le serveur DNS, au lieu de se contenter de faire la résolution de l’adresse IP fait une vérification supplémentaire et vérifie que le site est douteux ou inapproprié, on peut alors prendre les mesures qui s'imposent. C’est justement ce que fait, en quelque sorte, opendns.

Avant d’utiliser opendns et en allant sur www.internetbadguys.com qui est un site de démonstration, on obtient


Pour utiliser le service family shield d’opendns, commencer par renseigner  les serveurs DNS qui sont : 208.67.222.123 (resolver1-fs.opendns.com) et 208.67.220.123 (resolver2-fs.opendns.com)


Le site précédent donne maintenant





Ce qui permet à opendns d’informer l’utilisateur sur la nature du site.

Pour comprendre ce qui s’est passé, utilisant nslookup pour voir comment à chaque fois l’adresse a été résolue

Lorsqu’on utilise le serveur DNS d’opendns, l’adresse a été résolue en 146.112.61.108

En utilisant le serveur DNS de google (8.8.8.8) la même adresse a été résolue en 67.215.92.210 qui est la vraie adresse sur site internetbadguys.com

En faisant la résolution inverse de 146.112.61.108 sur 8.8.8.8 on voit qu’il s’agit d’un nom sur les serveurs d’opendns.com. Cela permet de catégoriser les sites et avoir plus de flexibilité sur ce qui va être permis ou pas.

Opendns a été fondée par David Ulevitch en juillet 2006 et a été rachetée par  Cisco depuis 2015.

Remarque : les avis sont partagés sur l’adoption d’opendns. A titre d’exemple voici un article qui explique pourquoi il ne faut pas l’utiliser


Personnellement, je connais une école primaire qui n’a pas les moyens techniques pour installer un firewall permettant de faire du filtrage url, ça a été une bonne solution.  Au moins les enfants sont protégés contre les sites inappropriés pour leur âge.


Commentaires

Posts les plus consultés de ce blog

Installation de glpi 0.9 sur un serveur Windows 2012 R2

Impossible de joindre un fichier dans OWA

Surveiller l’espace disque sur un serveur Windows 2008