Pour un internet décentralisé
24-05-2019, 09:45 AM,
#1
Pour un internet décentralisé
Je lance ici un nouveau sujet pour pouvoir discuter des trucs et astuces pour pouvoir se protéger un peu sur internet

également pour décrire les trucs et astuces qui permettent de simplifier ou automatiser certaines taches que l'on souhaite réaliser sur son PC ou son serveur
Pour moi un PC ou un serveur ou n'importe quelle machine est à la base conçu pour pouvoir effectuer des taches répétitives
par exemple si j'ai besoin de redimensionner mes vidéos ou mes images, je ne pense pas que traiter chacune d'entre elles à la main soit normal
Aussi un bon script en bash ou en powershell doit être la règle

cela permettra aussi de créer de nouveau tutos sur https://cajj.co/blog/ en fonction des idées exposées par chacun

le premier sujet en réponse @prog-amateur concernant l'installation d'un serveur DNS

Unbound, DNSSEC, ou encore DNSCRYPT ne font pas la même chose
De plus cela impose une installation plus complexe que les tutos que je fait habituellement et demande un peu d'expérience
Mais il est bien sur possible de créer ce tuto si cela peut servir le plus grand nombre
Par contre l'installation dépend de la machine sur laquelle tu souhaite l'installer

Unbound
unbound est un serveur DNS qui tend à remplacer bind, il est léger et puissant
pour Unbound, je me suis inspiré de ce très bon tuto : https://calomel.org/unbound_dns.html

DNSSEC n'est pas à proprement parler un serveur DNS, c'est un protocole normalisé
c'est une couche de sécurité supplémentaire apportée au serveurs DNS existant pour permettre de crypter les échanges
Dans le cas d'une utilisation personnelle (à la maison), aucun risque de modifications des enregistrements DNS par une machine externe, donc à mon sens DNSSEC n'a pas d'intérêt flagrant.

DNSCrypt même chose que ci-dessus, à la nuance près qu'il n'est pas normalisé à IETF
Répondre
24-05-2019, 08:23 PM,
#2
RE: Pour un internet décentralisé
Merci eugene. J'ajoute une vidéo très bien expliquée sur DNSCRYPT et DNSSEC :
https://www.youtube.com/watch?v=ttprp24ksaU

J'ai beau comprendre ton message ci-dessus sur le fait que DNSCRYPT n'est pas nécessaire pour un particulier, je trouve que sur la vidéo que j'ai posté, ça parait nécessaire à tous. Qu'en penses-tu, qu'est-ce qui te fait dire que les DNS ne peuvent être modifiés par une machine externe pour les particuliers ?
Répondre
24-05-2019, 10:18 PM,
#3
RE: Pour un internet décentralisé
(24-05-2019, 08:23 PM)prog-amateur a écrit : Merci eugene. J'ajoute une vidéo très bien expliquée sur DNSCRYPT et DNSSEC :
https://www.youtube.com/watch?v=ttprp24ksaU

J'ai beau comprendre ton message ci-dessus sur le fait que DNSCRYPT n'est pas nécessaire pour un particulier, je trouve que sur la vidéo que j'ai posté, ça parait nécessaire à tous. Qu'en penses-tu, qu'est-ce qui te fait dire que les DNS ne peuvent être modifiés par une machine externe pour les particuliers ?

Comme la discussion partait de pihole en tant que serveur DNS local et que ta question portait sur la différence entre Unbound, DNSSEC, ou encore DNSCRYPT, ce que je dit c'est que si tu crées un serveur DNS sur ton réseau local, il ne sera pas possible depuis l'extérieur de venir compromettre la communication entre ton serveur et tes clients, donc tes clients n'auront pas besoin d'avoir un client DNSCRYPT. Comme DNSSEC est utilisé uniquement entre les serveurs DNS, tu n'en as pas besoin non plus sur tes clients

Par contre, si tu installes un serveur DNS sur ton réseau local, il s'agit de mesurer si tu as besoin de ces protocoles de sécurité entre ton serveur et le DNS de référence extérieur. si tu n'utilises pas ces protocoles, il est évident que les réponses faites à ton serveur DNS peuvent être fausses

à noter :
quand le serveur DNS est installé et géré par toi, tu peux le configurer en remplissant l'annuaire à la main. C'est à dire que si tu configure les couples URL/nom de dommaine en dur, le serveur te répondra directement sans demander à l'extérieur
De la même façon tu peux blacklister des sites que tu connais comme étant indésirable
c'est le cas chez moi avec pihole ou j'ai bloqué tous les accès à *.samsung.com pour éviter que mon téléviseur aille constamment rapporter mon utilisation (entre 25000 et 50000 requêtes par jour)

Tu peux également sans serveur DNS personnel, entrer en dur les couples IP/nom de domaine dans tes fichiers : /etc/hosts sous linux et C:\Windows\System32\Drivers\etc\hosts sous Windows
Ces fichiers sont lus avant d'interroger un DNS (externe ou local)

L'intérêt, est que tu peux comme ça contrôler les IP des sites qui sont sensibles pour toi

En conclusion, la vidéo que tu indiques explique clairement comme améliorer la fiabilité de la navigation internet pour tous, sans avoir besoin d'être spécialiste et de savoir configurer des serveurs comme par exemple un raspberry pi.
C'est une bonne vidéo très claire
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)