Simple DNSCrypt est une application gratuit qui permet d’utiliser des serveurs DNS sécurisés (DNSSec).
Ainsi les interrogations DNS sont chiffrées.
Enfin, Simple DNSCrypt permet aussi de placer des filtrages de résolutions DNS pour bloquer des domaines (les wildcards sont gérés) ou des URLs.
Table des matières
Principe de DNSCrypt
Comme évoqué en introduction, Simple DNSCrypt permet une résolution à travers DNSCrypt.
Pour plus d’informations sur DNSCrypt, se rendre sur la page : https://dnscrypt.org/
Grâce à DNSCrypt, Les résolutions DNS sont sécurisées, elles sont transmises de manière chiffrées, en UDP et sur le port 443 (par défaut).
Les requêtes sont signées, ce qui interdit les falsifications.
Cela rend notamment les attaques Man in the Middle (MITM) plus difficiles.
Simple DNSCrpt agit comme un proxy DNS, le serveur DNS déclaré dans les interfaces réseau sera 127.0.0.1 afin de passer par Simple DNSCrypt qui sera en écoute.
Le programme se connecte ensuite au serveur DNS déclarés dans sa configuration.
Noter qu’il existe d’autres solutions pour chiffrer les requêtes DNS : Chiffrement DNS : DNS over HTTPS
Notamment Firefox possède des fonctionnalités pour sécuriser les connexions DNS.
Comment utiliser DNSCrypt
Enfin, le programme SimpleDNSCrypt va plus loin car il permet aussi de filtrer des adresses à travers une interdiction de résolution DNS.
=> Télécharger Simple DNSCrypt
Premier démarrage
L’installation est très simple, elle ne sera donc pas détaillée.
Ci-dessous, une capture d’écran de Simple DNSCrypt.
En haut les menus (Réglages standards, réglages avancés, Block and Blacklist, etc).
- En dessous, les interfaces réseaux
- A gauche le DNS primaire, à droite le DNS secontaire.
- Les services que l’on actif, DNS primaire et/ou secondaire.
Le principe est simple, vous sélectionnez les interfaces réseaux sur lesquelles vous souhaitez utiliser DNSScrypt.
Pour rappel :
- Ethernet = connexion filaire (câble).
- Wifi = bha wifi =)
Dans l’exemple ci-dessous, nous avons une connexion Ethernet, ci-dessous, une connexion Ethernet et Wifi.
Notez qu’il faut activer les cartes cachées (en haut à droite) pour voir notre connexion Ethernet 2.
Après avoir sélectionnez les interfaces (en verte).
On sélectionne le serveur DNS primaire, il est conseillé de prendre un serveur français afin de pas avoir trop de latence.
A notez que dans la liste, se trouve les DNS d’ADGuard qui filtre les publicités.
Notez que tous les serveurs ne permettent pas le DNSSec (requêtes DNS chiffrées), Simple DNS Filter vous informe par une croix rouge lors du choix du serveur. Les serveurs supportant DNSSec ont la mention [DNSSEC] à la fin du nom.
L’icône Réveil permet de tester les serveurs DNS et obtenir la latence pour déterminer le serveur DNS le plus rapide.
Puis en bas, on active le serveur primaire (et secondaire, si l’on souhaite) tout en bas à droite.
Puis cliquez sur l’icône disquette.
Vérifier les DNS
Si vous souhaitez vérifier le tout, il faut utiliser la commande ipconfig pour visualiser la configuration réseau.
Vous pouvez aussi effectuer un test de résolution DNS avec la commande nslookup.
(plus d’informations sur la page la configuration réseau de Windows.)
Ouvrez l’invite de commandes de Windows en effectuant une recherche sur ce dernier.
Plus d’informations : Comment ouvrir l’invite de commandes.
Une fois dedans utilisez la commande ipconfig de cette manière :
ipconfig /allCherchez les ligne serveur DNS, vous devez avoir 127.0.0.1 puis saisissez :
nslookup www.google.frvous devez aussi avoir en serveur 127.0.0.1
Logger
Simple DNSCrypt permet aussi de journaliser les requêtes DNS.
Cela peut parfois être utile afin de détecter des résolutions DNS anormales avec comme source un Trojan ou Virus.
Rendez-vous sur la page Réglages avancés puis le bouton à droite des extensions.
Au milieu sur Enregistrement, cliquez sur l’icône avec la feuille pour indiquer le fichier de journal à créer.
Active la journalisation.
et hop, notre fichier de journalisation avec les requêtes DNS.
Filtrage DNS
Le programme permet aussi de bloquer des domaines.
Les wildcards sont gérés, ainsi, si vous souhaitez bloquer toutes les adresses commencent par ads. cela est possible.
La gestion du blocage se fait depuis le menu Block and Blacklist.
En haut, vous pouvez bloquer des adresses en bas des IPs.
Cette icône permet d’ajouter un domaine ou adresse à bloquer.
Permet de charger une liste de domaine à bloquer, ainsi vous pouvez charger des listes publiques d’adresses de serveurs de publicités, malwares, pistages utilisateur.
Supprime l’élément dans la liste.
Met à jour la liste, si vous avez ajouté un nouvel élément afin qu’il soit pris en compte.
Le menu est vide.
Cliquez à droite sur la feuille afin de créer le fichier qui contiendra les règles.
Vous pouvez cliquer sur la première icône pour ajouter un élément ou une liste à partir de la seconde icône.
Par exemple, si vous désirez bloquer Facebook, ajouter simplement *Facebook* comme règle.
Une fois vos règles créez penser, à activer sous l’icône feuille le filtrage.
Cliquez sur l’icône de mise à jour des règles.
Si besoin, voici les listes de Disconnect :
- Serveur de publicités : https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
- Adresses de Malware : https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
- Adresses de pistages utilsiateur : https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
- Adresse de Malvertising (publicités malicieuses) : https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
De même, si vous voulez tester nslookup est l’outil idéal.
Une tentative de résolution DNS filtrée doit retourner « Query refused ».
Exemple, ci-dessous où les domaines .xyz sont interdits.
Désinstaller Simple DNSCrypt
Désinstallez Simple DNSCrypt depuis le Panneau de configuration > Programmes et fonctionnalités.
Repassez les DNS (serveurs de noms) en automatique sur toutes vos interfaces réseaux.
Pour cela, reportez-vous à la page : Comment changer les DNS sur Windows
