Auteur Sujet: FRnOG 33 le 13/09/2019  (Lu 5471 fois)

0 Membres et 1 Invité sur ce sujet

Thornhill

  • Client SFR fibre FttH
  • *
  • Messages: 3 863
  • Saint-Médard-en-Jalles (33)
FRnOG 33 le 13/09/2019
« Réponse #24 le: 22 septembre 2019 à 14:48:13 »

C'est également le cas en entreprise, je connais peu d'entreprises qui laissent tous les ports ouvert en open bar.

Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?

PhilippeMarques

  • Expert
  • *
  • Messages: 503
FRnOG 33 le 13/09/2019
« Réponse #25 le: 22 septembre 2019 à 14:59:51 »
La vrai question actuellement, c'est si Mozilla prends une tournure pro CloudFare et venait à imposer, au nom de "l'amélioration" cette option par défaut, enfouie dans des paramètres difficilement modifiables par la majorité. Les autres navigateurs emboîtant le pas et dirigent chez des "alliés". (on en est pas encore là)
Si tous les navigateurs (ayant une part de marché importante) implèmentent directement une résolution de noms au navigateur,je n'ose imaginer ce qui peut en suite en devenir des libertés individuelles.

hwti

  • Client Orange Fibre
  • *
  • Messages: 1 636
  • Chambly (60)
FRnOG 33 le 13/09/2019
« Réponse #26 le: 22 septembre 2019 à 16:13:18 »
Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
Firefox utilise mozilla.cloudflare-dns.com (104.16.248.249, 104.16.249.249), donc ça ferait deux IP à bloquer en plus (voire bloquer la résolution DNS initiale de cloudflare-dns.com, parce que ces IP ne sont pas forcèment fixes).
Le "VPN over HTTPS", dans le contexte du navigateur, c'est un peu ce que Mozilla propose avec Firefox Private Network (avec Cloudflare encore).

Il y a un cas de DoH, certes pas supporté par Firefox, qui n'est pas blocable : Google, car le domain fronting fonctionne !
$ curl -H 'Host: dns.google.com' 'https://www.google.com/resolve?name=example.com&type=A'
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": true,"CD": false,"Question":[ {"name": "example.com.","type": 1}],"Answer":[ {"name": "example.com.","type": 1,"TTL": 3684,"data": "93.184.216.34"}]}

Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
Ca passe comme du HTTPS, à part si le proxy bloque certains noms de domaine.
CONNECT mozilla.cloudflare-dns.com:443 HTTP/1.1

renaud07

  • Client Orange adsl
  • *
  • Messages: 2 273
FRnOG 33 le 13/09/2019
« Réponse #27 le: 22 septembre 2019 à 18:40:16 »
Je confirme que bloquer le domaine mozilla.cloudflare-dns.com via le DNS normal suffit à ce que firefox fasse toujours des requêtes classiques. Et cerise sur le gâteau ça ne ralenti même pas la résolution des noms (en tout cas je n'ai rien remarqué).

Merci bind et le RPZ :)

dig mozilla.cloudflare-dns.com

; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> mozilla.cloudflare-dns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 51854
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 5a4e035f7025ce6e1977656d5d87a5e25070696f40d2693b (good)
;; QUESTION SECTION:
;mozilla.cloudflare-dns.com. IN A

;; ADDITIONAL SECTION:
blocked.lpa.lan. 3600 IN SOA blocked.lpa.lan. root.lpa.lan.blocked.lpa.lan. 2011031800 7200 1800 2592000 3600

;; Query time: 34 msec
;; SERVER: 192.168.1.10#53(192.168.1.10)
;; WHEN: Sun Sep 22 18:48:34 CEST 2019
;; MSG SIZE  rcvd: 147


Par contre, il y va, à demander 4 fois d'affilé un domaine qui n’existe pas  :P
« Modifié: 22 septembre 2019 à 19:06:54 par renaud07 »

vivien

  • Administrateur
  • *
  • Messages: 39 445
    • Twitter LaFibre.info
FRnOG 33 le 13/09/2019
« Réponse #28 le: 22 septembre 2019 à 22:28:27 »
En entreprise, cas général, les ports inutiles sont bloqués mais DoH fonctionne bien.
Toutefois cela sera peut-être autrement dans quelques années, si DoH se généralise et qu'il n'y a pas un grand choix de serveurs DoH.

Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.

hwti

  • Client Orange Fibre
  • *
  • Messages: 1 636
  • Chambly (60)
FRnOG 33 le 13/09/2019
« Réponse #29 le: 22 septembre 2019 à 23:36:20 »
Et pour ceux qui s’inquiètent pour les requêtes vers l'intranet : pas de problème, si DoH ne connais pas il fait une requête local.
Il y a quand même des cas où ça peut poser problème, quand le réseau n'est pas très bien configuré.
Par exemple à mon travail :
 - La résolution des noms de domaines internes via un DNS public retourne une IP bidon au lieu d'échouer (ça semble être une "fonction" de Nordnet, dont les DNS ns*.lerelaisinternet.com renvoient 194.51.85.76, qui redirige vers leurs offres de DNS/hébergement, pour les sous-domaines inconnus...)
 - au moins un des serveurs est accessible aussi depuis l'extérieur, mais utiliser l'IP publique depuis le réseau interne renvoie sur un autre service (donc erreur SSL)
J'ai donc signalé ça par anticipation, pour éviter des problèmes si jamais le DoH se retrouve activé par défaut dans les navigateurs en France.