Simple DNSCrypt : DNS sécurisés et chiffrés

Simple DNSCrypt est une application gratuit qui permet d’utiliser des serveurs DNS sécurisés (DNSSec).
Ainsi les interrogations DNS sont chiffrées.

Enfin, Simple DNSCrypt permet aussi de placer des filtrages de résolutions DNS pour bloquer des domaines (les wildcards sont gérés) ou des URLs.

Simple DNSCrypt : DNS sécurisés
Simple DNSCrypt : DNS sécurisés

Principe de DNSCrypt

Comme évoqué en introduction, Simple DNSCrypt permet une résolution à travers DNSCrypt.
Pour plus d’informations sur DNSCrypt, se rendre sur la page : https://dnscrypt.org/

Grâce à DNSCrypt, Les résolutions DNS sont sécurisées, elles sont transmises de manière chiffrées, en UDP et sur le port 443 (par défaut).
Les requêtes sont signées, ce qui interdit les falsifications.
Cela rend notamment les attaques Man in the Middle (MITM) plus difficiles.

Principe de fonctionnement de DNSCrypt

Simple DNSCrpt agit comme un proxy DNS, le serveur DNS déclaré dans les interfaces réseau sera 127.0.0.1 afin de passer par Simple DNSCrypt qui sera en écoute.
Le programme se connecte ensuite au serveur DNS déclarés dans sa configuration.

Noter qu’il existe d’autres solutions pour chiffrer les requêtes DNS : Chiffrement DNS : DNS over HTTPS
Notamment Firefox possède des fonctionnalités pour sécuriser les connexions DNS.

Comment utiliser DNSCrypt

Enfin, le programme SimpleDNSCrypt va plus loin car il permet aussi de filtrer des adresses à travers une interdiction de résolution DNS.

=> Télécharger Simple DNSCrypt

Premier démarrage

L’installation est très simple, elle ne sera donc pas détaillée.
Ci-dessous, une capture d’écran de Simple DNSCrypt.
En haut les menus (Réglages standards, réglages avancés, Block and Blacklist, etc).

  1. En dessous, les interfaces réseaux
  2. A gauche le DNS primaire, à droite le DNS secontaire.
  3. Les services que l’on actif, DNS primaire et/ou secondaire.
Premier démarrage de DNSCrypt

Le principe est simple, vous sélectionnez les interfaces réseaux sur lesquelles vous souhaitez utiliser DNSScrypt.
Pour rappel :

  • Ethernet = connexion filaire (câble).
  • Wifi = bha wifi =)

Dans l’exemple ci-dessous, nous avons une connexion Ethernet, ci-dessous, une connexion Ethernet et Wifi.
Notez qu’il faut activer les cartes cachées (en haut à droite) pour voir notre connexion Ethernet 2.

configurer Simple DNSCrypt

Après avoir sélectionnez les interfaces (en verte).
On sélectionne le serveur DNS primaire, il est conseillé de prendre un serveur français afin de pas avoir trop de latence.
A notez que dans la liste, se trouve les DNS d’ADGuard qui filtre les publicités.

Notez que tous les serveurs ne permettent pas le DNSSec (requêtes DNS chiffrées), Simple DNS Filter vous informe par une croix rouge lors du choix du serveur. Les serveurs supportant DNSSec ont la mention [DNSSEC] à la fin du nom.

configurer Simple DNSCrypt

L’icône Réveil permet de tester les serveurs DNS et obtenir la latence pour déterminer le serveur DNS le plus rapide.

configurer Simple DNSCrypt

Puis en bas, on active le serveur primaire (et secondaire, si l’on souhaite) tout en bas à droite.
Puis cliquez sur l’icône disquette.

configurer Simple DNSCrypt

Vérifier les DNS

Si vous souhaitez vérifier le tout, il faut utiliser la commande ipconfig pour visualiser la configuration réseau.
Vous pouvez aussi effectuer un test de résolution DNS avec la commande nslookup.
(plus d’informations sur la page  la configuration réseau de Windows.)

Ouvrez l’invite de commandes de Windows en effectuant une recherche sur ce dernier.
Plus d’informations : Comment ouvrir l’invite de commandes.

Une fois dedans utilisez la commande ipconfig de cette manière :

ipconfig /all

Cherchez les ligne serveur DNS, vous devez avoir 127.0.0.1 puis saisissez :

nslookup www.google.fr

vous devez aussi avoir en serveur 127.0.0.1

Vérifier les DNS

Logger

Simple DNSCrypt permet aussi de journaliser les requêtes DNS.
Cela peut parfois être utile afin de détecter des résolutions DNS anormales avec comme source un Trojan ou Virus.

Rendez-vous sur la page Réglages avancés puis le bouton à droite des extensions.

Logs et journaux Simple DNSCrypt

Au milieu sur Enregistrement, cliquez sur l’icône avec la feuille pour indiquer le fichier de journal à créer.
Active la journalisation.

Logs et journaux Simple DNSCrypt
Logs et journaux Simple DNSCrypt

et hop, notre fichier de journalisation avec les requêtes DNS.

Filtrage DNS

Le programme permet aussi de bloquer des domaines.
Les wildcards sont gérés, ainsi, si vous souhaitez bloquer toutes les adresses commencent par ads. cela est possible.

La gestion du blocage se fait depuis le menu Block and Blacklist.
En haut, vous pouvez bloquer des adresses en bas des IPs.

Cette icône permet d’ajouter un domaine ou adresse à bloquer.

Permet de charger une liste de domaine à bloquer, ainsi vous pouvez charger des listes publiques d’adresses de serveurs de publicités, malwares, pistages utilisateur.

Supprime l’élément dans la liste.

Met à jour la liste, si vous avez ajouté un nouvel élément afin qu’il soit pris en compte.

Le menu est vide.
Cliquez à droite sur la feuille afin de créer le fichier qui contiendra les règles.
Vous pouvez cliquer sur la première icône pour ajouter un élément ou une liste à partir de la seconde icône.

Le filtrage DNS de Simple DNSCrypt
Le filtrage DNS de Simple DNSCrypt

Par exemple, si vous désirez bloquer Facebook, ajouter simplement *Facebook* comme règle.

Une fois vos règles créez penser, à activer sous l’icône feuille le filtrage.
Cliquez sur l’icône de mise à jour des règles.

Si besoin, voici les listes de Disconnect :

  • Serveur de publicités : https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
  • Adresses de Malware : https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
  • Adresses de pistages utilsiateur : https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
  • Adresse de Malvertising (publicités malicieuses) : https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt

De même, si vous voulez tester nslookup est l’outil idéal.
Une tentative de résolution DNS filtrée doit retourner « Query refused ».
Exemple, ci-dessous où les domaines .xyz sont interdits.

Le filtrage DNS de Simple DNSCrypt

Désinstaller Simple DNSCrypt

Désinstallez Simple DNSCrypt depuis le Panneau de configuration > Programmes et fonctionnalités.

Désinstaller Simple DNSCrypt

Repassez les DNS (serveurs de noms) en automatique sur toutes vos interfaces réseaux.
Pour cela, reportez-vous à la page : Comment changer les DNS sur Windows

image_pdfimage_print
(Visité 4 302 fois, 1 visites ce jour)