Simple DNSCrypt est une application gratuit qui permet d'utiliser le protocole DNSCrypt.
- Il empêche l'usurpation DNS
- Comme DNSSEC, Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n'ont pas été falsifiées (les messages sont toujours envoyés via UDP).
- Il chiffre la communication DNS
- Ne peut être la cible d'outil MiTM
- DNSCrypt et DoH peuvent également être servis simultanément sur le même port
Enfin, Simple DNSCrypt permet aussi de filtrer des requêtes DNS pour bloquer des domaines (les wildcards sont gérés) ou des URLs.
Cet article vous présente l'installation et l'utilisation de Simple DNSCrypt pour sécuriser vos connexions DNS.
Table des matières
Principe de DNSCrypt pour sécuriser ses DNS
Comme évoqué en introduction, Simple DNSCrypt permet une résolution à travers DNSCrypt.
Ce dernier est une méthode d'authentification des communications entre un client DNS et un résolveur DNS.
Grâce à DNSCrypt, les résolutions DNS sont sécuriséee t chiffrées, en UDP et sur le port 443 (par défaut).
Les requêtes sont signées, ce qui interdit les falsifications.
Cela rend notamment les attaques Man in the Middle (MITM) plus difficiles.
Simple DNSCrpt agit comme un proxy DNS, le serveur DNS déclaré dans les interfaces réseau sera 127.0.0.1 afin de passer par Simple DNSCrypt qui sera en écoute.
Le programme se connecte ensuite au serveur DNS déclarés dans sa configuration.
Plus de détails :
Simple DNSCrypt : Sécuriser ses DNS
Temps nécessaire : 10 minutes.
Installer et utiliser DNSCrypt pour sécuriser ses DNS
- Télécharger et installer DNSCrypt
Vous pouvez le télécharger depuis ce lien Télécharger Simple DNSCrypt
Choisissez x64 ou x86 selon l'architecture de Windows.
- Activer les DNS sécurisés avec DNSCrypt
Le principe est simple, vous sélectionnez les interfaces réseaux sur lesquelles vous souhaitez utiliser DNSScrypt.
Pour rappel :
- Ethernet = connexion filaire (câble).
- Wifi = bha wifi =)
A priori, vous n'avez pas à toucher aux paramètres. DNSCrypt et DNS over HTTPS, ainsi que DNSSEC seront utilisés.
Éventuellement activer l'IPV6.
Ensuite activer le service en 1 s'il ne l'est pas.
Enfin cochez l'interface/carte réseau où activer DNSCrypt en 2
- Choisissez le mode DNSCrypt et le résolveur
Depuis l'onglet Résolveurs, vous pouvez choisir le résolveur depuis une liste.
Par défaut DNSCrypt est en mode automatique, il utilise n'importe quel serveur et le plus rapide.
Vous pouvez désactiver le mode automatique pour forcer un serveur en particulier.
- Vérifier les DNS
Ouvrez l'invite de commandes de Windows en effectuant une recherche sur ce dernier.
Plus d'informations : Comment ouvrir l'invite de commandes.
Une fois dedans utilisez la commande ipconfig de cette manière :ipconfig /all
Cherchez les ligne serveur DNS, vous devez avoir 127.0.0.1.
Ensuite saisissez la commande suivante :nslookup www.google.fr
Là aussi, si 127.0.0.1 ressort alors la résolution DNS passe bien par Simple DNSCrypt.
Interface de Simple DNSCrypt
Pour mieux vous y retrouver dans l'interface de Simple DNSCrypt, voici une brève explication :
- Les menus de paramètres, journaux et à propos 1
- Les menus de catégories du client DNS
- La page principale
Filtrer es bloquer les résolutions DNS
Simple DNSCrypt permet ensuite de bloquer des résolutions DNS.
Ainsi il peut agir comme filtrage DNS.
- Pour cela, cliquez en haut sur l'icône roue crantée puis cocher : Afficher l'onglet "Liste noire de domaine".
- Ensuite cliquez sur l'onglet Liste noire de domaine.
- Puis activez en haut à droite la liste
- Cliquez à droite sur l'icône + pour ajouter une entrée dans la liste noire ou blanche. Les wildcards sont gérés, ainsi, si vous souhaitez bloquer toutes les adresses commencent par ads. cela est possible.
- Une fois les éléments ajoutés, cliquez sur l'icône + avec les étoiles en bas à droite afin de fusionner les listes.
Par exemple, ci-dessous, on bloque facebook ou le site bloque.
La résolution DNS ne se fait pas sur Chrome qui renvoie une erreur DNS_PROBE_FINISHED_NXDOMAIN.
nslookup confirme bien qu'on obtient pas l'adresse IP des serveurs.
On peut alors importer des listes de blocage par exemple celles de Disconnect.
Si besoin, voici les listes de Disconnect :
- Serveur de publicités : https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
- Adresses de Malware : https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
- Adresses de pistages utilsiateur : https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
- Adresse de Malvertising (publicités malicieuses) : https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
Enfin sachez que l'on peut aussi créer un journal du filtrage et blocage DNS.
Enregistrer les résolutions DNS dans un journal
Simple DNSCrypt permet aussi de journaliser les requêtes DNS.
Cela peut parfois être utile afin de détecter des résolutions DNS anormales avec comme source un Trojan ou Virus.
- Cliquez sur l'onglet Récupérer les journaux puis activez le journal en haut à droite.
- A partir de là, toutes les requêtes DNS seront consignés.
De même on peut aussi générer un journal des domaines bloqués.
Pour cela, il faut activer ce dernier dans les paramètres.
Puis le fonctionnement est identique.
Désinster Simple DNSCrypt
Enfin si vous ne voulez plus utiliser Simple DNSCrypt, vous pouvez le retirer de votre PC.
- Désinstallez Simple DNSCrypt depuis le Panneau de configuration > Programmes et fonctionnalités.
- Repassez les DNS (serveurs de noms) en automatique sur toutes vos interfaces réseaux. Pour cela, reportez-vous à la page :
Liens DNS
YogaDNS permet de gérer plusieurs serveurs DNS et créer des règles de résolution DNS.
Plus d'informations : YogaDNS : un client DNS avancé
Enfin pour sécuriser ses connexions DNS :
Enfin pour aller plus pour sécuriser son PC :