La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: kgersen le 08 décembre 2020 à 14:39:42
-
Une proposition de standard DNS de Cloudflare en collaboration avec Apple et Fastly :
https://blog.cloudflare.com/oblivious-dns/
ODoH - Oblivious DNS over HTPP
Sommairement cela fonctionne au dessus de DoH (DNS over HTTPS) avec un proxy, un "target" et du chiffrement pour que l'IP du client faisant la requête DNS ne soit pas connu du serveur résolveur DNS.
(https://blog.cloudflare.com/content/images/2020/12/image6-2.png)
- le client choisi le proxy et le target
- Le proxy se contente de relayer les requêtes DoH. Il est le seul a connaitre l'IP du client et l'IP du target.
- Le client et le target utilise du chiffrement de facon a ce que le proxy se sache pas le contenu de la requête (Q) et de la réponse (R). Le target ne connait pas l'IP du client mais seul lui et que lui peut déchiffrer les messages du client.
- Le reste du monde DNS standard ne voit que l'IP du target et les requêtes/réponses.
Ceci garantie la confidentialité de la requête et protege l'identité du client mais a une seule condition: que le proxy et le target n'agissent pas de connivence.
Idealement et pour une meilleur performance le target devrait être aussi résolveur DNS. Le résolveur Cloudflare 1.1.1.1 est déja activé comme target ODoH.
Le blog détaille le fonctionnement et présente ce qui est déjà disponible.
A cette heure il y a :
target: Cloudflare 1.1.1.1
proxy: PCCW, SURF, and Equinix
Une implémentation en Go et une en Rust du client et du target sont dispo sur github.
-
Super intéressant, mais pour un profane:
- Comment configurer Cloudflare dans Linux Mint ?
- Comment configurer un proxy ? Sous Linux Mint ? Sous Windows ?
::)
-
Ça doit commencer à sévèrement augmenter le temps de réponse non ?
-
Ça doit commencer à sévèrement augmenter le temps de réponse non ?
oui mais ca reste moins que ToR par exemple. Il y a des stats dans le blog et un article plus complet ici: https://arxiv.org/pdf/2011.10121.pdf
Apres ca s'adresse a ceux qui ne veulent pas être trackés/pisté par leur résolutions DNS, il y a un prix de latence a payer mais suivant les usages ce n'est pas forcement gênant, la plupart des requetes dns étant mis en cache coté client.
Super intéressant, mais pour un profane:
- Comment configurer Cloudflare dans Linux Mint ?
- Comment configurer un proxy ? Sous Linux Mint ? Sous Windows ?
::)
Ce n'est pas pour le profane pour le moment. Il s'agit d'une proposition de standard.
-
...Ce n'est pas pour le profane pour le moment. Il s'agit d'une proposition de standard.
Donc, le profane n'est pas digne de tes conseils avisés ! :(
-
Donc, le profane n'est pas digne de tes conseils avisés ! :(
Si tu lis le paragraphe "Interesting! Can I experiment with ODoH? Is there an open ODoH service?" dans la source, il est mentionné :
- deux clients de test : odoh-client-rs et odoh-client-go, qui permettent juste de faire ds requêtes en ligne de commande
- ils travaillent à l'ajout du support ODoH à cloudflared, qui est leur "stub resolver" (un service qu'on lance sur le PC ou une machine du LAN, et qui expose un serveur DNS local vers lequel on fait pointer la configuration de la machine, et qui transmet les requêtes à un serveur DoH, et dans le futur ODoH)
- Firefox (qui a déjà un client DoH, activé par défaut avec Cloudflare dans certains pays) s'est dit intéressé, donc il y a aura peut-être une option ODoH (mais à part peut-être dans Nightly, ça risque de prendre du temps)
Donc pour l'instant il n'y a rien, pour celui qui veut tester il y aura des choses prochainement (au moins sous Linux), mais ça restera probablement expérimental assez longtemps.
-
Si tu lis le paragraphe "Interesting! Can I experiment with ODoH? Is there an open ODoH service?" dans la source, il est mentionné :
- deux clients de test : odoh-client-rs et odoh-client-go, qui permettent juste de faire ds requêtes en ligne de commande
- ils travaillent à l'ajout du support ODoH à cloudflared, qui est leur "stub resolver" (un service qu'on lance sur le PC ou une machine du LAN, et qui expose un serveur DNS local vers lequel on fait pointer la configuration de la machine, et qui transmet les requêtes à un serveur DoH, et dans le futur ODoH)
- Firefox (qui a déjà un client DoH, activé par défaut avec Cloudflare dans certains pays) s'est dit intéressé, donc il y a aura peut-être une option ODoH (mais à part peut-être dans Nightly, ça risque de prendre du temps)
Donc pour l'instant il n'y a rien, pour celui qui veut tester il y aura des choses prochainement (au moins sous Linux), mais ça restera probablement expérimental assez longtemps.
Merci pour ta réponse, mais je ne vois pas ce qui empêche kgersen (ou toi-même par exemple, pourquoi pas ?) de répondre à mes questions:
Super intéressant, mais pour un profane:
- Comment configurer Cloudflare dans Linux Mint ?
- Comment configurer un proxy ? Sous Linux Mint ? Sous Windows ?
::)
Pour Cloudflare sous win7, je sais faire. Mais pour Linux, je débute. Alors, quoi de mieux que de demander aux pros ? :o
-
Bonjour, tu entends quoi par comment configurer cloudflare ? Si tu veux cloudflare comme dns tu remplaces les dns par 1.1.1.1, si tu veux cloudflare comme dns https il y a une option déjà dans Firefox...
-
Marco POLO, pour expérimenter ODoH il faut développer du logiciel.
Ni Windows ni Mint ne propose ODoH.
-
Moi ce qui me gêne avec ces solutions, c’est le prix potentiel à payer en terme de performances. C’est particulièrement vrai d’ailleurs depuis longtemps pour cloudflare puisque leurs resolveurs filtrent les données ECS des requêtes client transmises aux serveurs autoritaires des zones concernées.
A ce que je sache, tous les CDN majeurs ne sont pas en anycast, et, sans connaissance du subnet du client il est donc impossible de le diriger vers le serveur le plus adapté à sa localisation et son FAI.
Perso j’ai des différences de performances importantes les jours de sortie des mises à jour des produits d’Apple selon que j’utilise les serveurs dns d’orange ou ceux de cloudflare... Après, certes, c’est pas tous les jours
-
Il faut voir que si en Europe les résolveur DNS sont plutôt propre (c'est une obligation que l'Arcep surveille), dans d'autres pays, c'est fun.
C'est comme pour la neutralité, on voit que certains débordent d'idées...
-
Moi ce qui me gêne avec ces solutions, c’est le prix potentiel à payer en terme de performances. C’est particulièrement vrai d’ailleurs depuis longtemps pour cloudflare puisque leurs resolveurs filtrent les données ECS des requêtes client transmises aux serveurs autoritaires des zones concernées.
A ce que je sache, tous les CDN majeurs ne sont pas en anycast, et, sans connaissance du subnet du client il est donc impossible de le diriger vers le serveur le plus adapté à sa localisation et son FAI.
Perso j’ai des différences de performances importantes les jours de sortie des mises à jour des produits d’Apple selon que j’utilise les serveurs dns d’orange ou ceux de cloudflare... Après, certes, c’est pas tous les jours
l'article recommande que le proxy soit au plus pres du client final. Idéalement c'est au FAI de fournir les proxy, le plus pres possible (nro par exemple) des clients de façon a préserver le fonctionnement des CDN par géolocalisation par DNS.
-
Bonjour, tu entends quoi par comment configurer cloudflare ? Si tu veux cloudflare comme dns tu remplaces les dns par 1.1.1.1, si tu veux cloudflare comme dns https il y a une option déjà dans Firefox...
Bonjour Buddy,
C'est déjà fait dans l'interface de gestion de Win7 mais, comme je ne vais plus sur Internet que sur Linux Mint, je ne sais pas le faire dans ce dernier. :-\
Marco POLO, pour expérimenter ODoH il faut développer du logiciel.
Ni Windows ni Mint ne propose ODoH.
Salut Vivien,
Merci pour cette précision: je comprends mieux. :)
l'article recommande que le proxy soit au plus du client final. Idéalement c'est au FAI de fournir les proxy, le plus prêt possible (nro par exemple) des clients de façon a préserver le fonctionnement des CDN par géolocalisation par DNS.
C'était le sujet de l'une de mes deux questions: comment configurer un proxy sous Windows et sous Linux Mint. ;)
-
Bonjour Buddy,
C'est déjà fait dans l'interface de gestion de Win7 mais, comme je ne vais plus sur Internet que sur Linux Mint, je ne sais pas le faire dans ce dernier. :-\
Salut,
Google, bing, duckduckgo, qwant a pas mal d'info hein ..
https://www.numetopia.fr/changer-de-dns-dans-linux-mint/
-
Salut,
Google, bing, duckduckgo, qwant a pas mal d'info hein ..
https://www.numetopia.fr/changer-de-dns-dans-linux-mint/
Merci Buddy ;)
-
Très intéressant, merci pour le partage.
Ça corrige le principal reproche que je faisais au DoH.