[INFO] DNS: Informations, Tests et choix

[zidane30]

Salut,

Vous êtes vous déjà un peu penchés sur votre DNS?

Le DNS, Domain Name System est un système qui utilise un serveur tiers et qui est indispensable a un système informatique pour utiliser internet.

Dans internet, il y a la partie des données et, à part, la partie DNS, qui sont sur des ports différents (port 443 pour le https et port 53 pour le DNS) et voyagent séparément.

Le DNS traduit un nom de domaine par exemple google.fr en IP qui est elle utilisable par le système.
Donc lors de votre utilisation, une requête est envoyée au serveur via le DNS pour lui donner une IP en échange, qu'il puisse utiliser pour connecter l'utilisateur au serveur désiré donc ici exemple, celle de https://www.google.fr.

Le DNS c'est aussi vos données et elles valent aussi de l'argent car elles permettent de monter des profils commerciaux pour du ciblage publicitaire par exemple. C'est donc a un sacré business pas transparent du tout.


Où se règle le DNS?

La chaine de réglage de DNS est en ce sens pour l'application:
Navigateur>carte réseau>modem ou box

On peut régler le DNS avec une IP ou avec une adresse selon si c'est du DNS dit classique ou du DNS crypté (chiffré, voir plus loin).

Il y a plusieurs endroits. Au modem ou à la box si c'est une IP (ipv4 et/ou ipv6) et qu'on veut l'appliquer sur tout le réseau. Cela n'empêchant pas d'en utiliser d'autres dans le système qui prendront le dessus.

Cela se règle aussi à la carte réseau du Windows. Voir paramètres DNS, ipv4 et/ou ipv6.
Quand c'est réglé sur automatique c'est le DNS en amont qui s'applique soit souvent celui du modem ou de la box.
Si vous n'avez rien modifié sur le modem ou la box, l'attribution y est aussi en automatique et c'est donc le DNS opérateur internet qui est utilisé.

Ici le réglage DNS s'appliquera sur le système entier sauf paramétrage navigateur.

Pour les administrateurs, il y a aussi des réglages par gpedit.


Un DNS doit avoir plusieurs qualités.

Il doit être rapide oui c'est sur, c'est a dire que s'y connecter doit être rapide autant que la "traduction" du nom de domaine en IP réelle. Google est un des plus rapides.

Il doit être aussi DNSSEC (Domaine Name System Security Extensions), c'est une sécurité que j'estime importante. Certain opérateurs font l'impasse dessus.

Le DNSSEC c'est une validation de la réponse du serveur DNS, qui va vérifier que la page est bien la bonne et qu'elle est bien référencée dans sa base (... pour faire simple).

Un bon DNS doit avoir suffisamment de serveur(s) pour fournir en fonction de sa part de marché.

La localisation des serveurs doit être transparente et correspondre a ce qui est annoncée par l'opérateur.

Normalement, on préfèrera des DNS dans son propre pays, plus proches donc plus rapides.

Ou des gros comme google, cloudflare, opendns, dns.watch, quad9, etc, etc.

D'autres exemple:
https://european-alternatives.eu/category/public-dns


Il y a plusieurs types de DNS, des censurés, des cryptés et des normaux qui suffisent largement.

Votre opérateur internet, vous en fourni un automatiquement, que vous payez celui là.

Les sociétés de DNS sont soumises a différentes législations de part leur localisation et celles de leurs serveurs.
Et la localisation engendre un marché différent pour vos données qui peuvent voyager internationalement.


Les DNS cryptés (chiffrés).

Exemples, les plus utilisés:
DOH: DNS-Over-HTTPS Les requêtes DNS utilisent le port HTTPS
DOT: DNS-Over-TLS Les requêtes DNS utilisent le port TLS
dnscrypt, etc.


Ce sont des DNS qui voyagent "cachés" dans un tunnel spécial comme un mini VPN. Ils sont cryptés (chiffrés) pour que personne entre vous et le serveur DNS ne puisse intercepter les données de requêtes.
Même votre opérateur internet ne peut pas voir vos requêtes DNS. Il pourrait par contre possiblement voir votre trafic réseau.

On peut aussi donc utiliser un DNS crypté (chiffré) type DOH (adresse internet) dans un navigateur internet. Cela se règle dans les paramètres du navigateur.
Pour Edge c'est dans confidentialité recherches et services.
On cherche "utiliser un DNS sécurisé" (crypté) et on choisi un opérateur.
Il y en a de proposés par défaut. On peut aussi en mettre un manuellement.

Ici le DNS s'appliquera uniquement à l'utilisation du navigateur.

Firefox et Google aussi peuvent être réglés pour utiliser du DOH. Je n'ai pas testé sur Opéra, Vivaldi, Safari, ou Brave mais cela semble s'être généralisé en quelques années.

Dernière solution avancée, c'est utiliser un logiciel qui va s'occuper du DNS crypté (chiffré), avec des options très avancées, de filtrage ou autre. Par exemple dnscrypt-proxy de Jedisct1. Utilisation de DOH, DOT et d'autres.
Cela vous demandera par contre pas mal de temps et de connaissances, mais quand c'est réglé c'est top pour celui qui en a besoin. Il y a se servir de dnscrypt-proxy et... se servir de dnscrypt-proxy.

Les opérateurs internet Français ( SFR, FREE, BouyguesTelecom, ORANGE,...) ne fournissent pas de moyen d'utiliser leur DNS de manière cryptée (chiffrée), à l'heure actuelle.

Alors on passe aux tests.

Comment tester son DNS et savoir où il est localisé?

Déjà quelques recherches sur le net peuvent aider, voir leur site officiel.

Puis il y a des pages sur le net destinées a tester tout cela.

Allez on y va :

dnsleaktest.com
https://dnsleaktest.com/

Déjà on a sa propre IP et sa propre localisation.

On clique sur "extended test".

On laisse faire.

On va voir le nombre de serveurs DNS auxquels on peut accéder et leur localisation indiquée officiellement (c'est pas toujours très juste).

Un autre différent avec visibilité sur d'autres informations:
ipleak.net
https://ipleak.net/


Deuxième test.

On va vérifier que le DNS est DNSSEC.

Voir ici: dnssec-tools.org/test/
https://dnssec-tools.org/test/

La réponse est quasi immédiate. Si le pouce est levé c'est au top, sinon, manque de sérieux.
Pour en trouver d'autres, cherchez "test DNSSEC" dans un moteur de recherche.

C'est tout un monde, j'y ai passé quelques années. C'est de la culture Gé en informatique.


Voila vous en savez un peu plus sur les DNS.


A plus