Pages: 1 [2]   En bas

Auteur Sujet: DNS Spoofing Pi Hole  (Lu 4200 fois)

0 Membres et 1 Invité sur ce sujet

kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 339
  • Lyon 7ème (69)
DNS Spoofing Pi Hole
« Réponse #12 le: 14 août 2021 à 10:22:07 »
Au delà du VPN potentiellement overkill, voici d'autres pistes, sur un hébergement @home :
  • Bloquer les IP non Française / d'un FAI autre que ceux que tu utilises. Ça réduira mathématiquement les attaques sans que ça change ton utilisation.
  • Si tu utilises ton serveur DNS sur mobile, maintenant que les opérateurs mobiles proposent - quasi - tous de l'ipv6, passe ton DNS en ipv6. Idem, ça réduira mathématiquement les attaques.
  • Mettre en place DoH (DNS over https) avec une auth https de ton choix (certificat, Basic Auth, etc.)
IP archivée

Max284

  • Abonné Orange Fibre
  • *
  • Messages: 86
DNS Spoofing Pi Hole
« Réponse #13 le: 14 août 2021 à 11:58:15 »
Pour le coup c'est plus un rapsberry pi mais un mini-pc un poil plus puissant que j'utilise car le raspi supportait difficilement Nextcloud j'ai dû passer au niveau sup niveau mémoire.

Citation de: doctorrock le 13 août 2021 à 18:26:09
Je plussois : utilise un VPN.

Le VPN sert à ça : ouvrir ton réseau (tout ou partie) à l'exterieur, MAIS, via authentification forte :-)
C'est pas pour rien que tout le monde en utilise, après, il faut bien le sécuriser aussi (ce qui n'est pas exceptionnellement difficile)

Justement c'est ce que je vais faire. J'ai déja un VPN Wireguard pour l'administration (je suis pas con au point d'ouvrir SSH et le webadmin de Pi Hole sur Internet non plus ;D).

Citation de: zoc le 13 août 2021 à 20:22:19
Des tentatives de connexions sur des ports « intéressant » tu en as probablement des milliers chaque jour, comme tout le monde (cf. le screenshot ci-dessous sur ma connexion depuis minuit). Il y a des bots qui passent leurs journées à scanner absolument toutes les adresses IPv4 publiques (ce n’est pas si long à faire de nos jours) à la recherche de ports ouverts qui pourraient être exploités.

Si on devait porter plainte à chaque fois on n’en sortirait plus, et ce d’autant plus que mes statistiques montrent que ça vient majoritairement de Russie ou de chine…

Donc on se protège, on n’ouvre pas de ports vers des systèmes non sécurisés. Dans le cas du dns il est impossible de sécuriser, donc on n’ouvre pas le port 53 et si on a besoin d’utiliser un serveur dns particulier on met en place un vpn comme déjà dit de multiples fois.

Depuis que j'ai ouvert le DNS sur Internet je vois plein d'IP inconnues qui s'y connectent tous les jours, en général ça faisait quelques requêtes, mais je m'en fichais car ça n'impactais pas mon utilisation quotidienne du serveur. Maintenant, que mon serveur serve d'intermédiaire pour faire du DDoS, je suis moins fan surtout si ça peut me retomber dessus.

Citation de: kgersen le 13 août 2021 à 22:07:19
@Max284: je recommande https://tailscale.com/ pour un VPN simple , gratuit et sans configuration complexe. Ils ont meme un tuto qui correspond pile poil a ton cas: https://tailscale.com/kb/1114/pi-hole/
Jamais testé mais si ça offre de meilleures perfs et une meilleure sécu que Wireguard pourquoi pas...

Citation de: kazyor le 14 août 2021 à 10:22:07
Au delà du VPN potentiellement overkill, voici d'autres pistes, sur un hébergement @home :
  • Bloquer les IP non Française / d'un FAI autre que ceux que tu utilises. Ça réduira mathématiquement les attaques sans que ça change ton utilisation.
  • Si tu utilises ton serveur DNS sur mobile, maintenant que les opérateurs mobiles proposent - quasi - tous de l'ipv6, passe ton DNS en ipv6. Idem, ça réduira mathématiquement les attaques.
  • Mettre en place DoH (DNS over https) avec une auth https de ton choix (certificat, Basic Auth, etc.)
  • Bonne idée le géo-blocage IP (au moins pour mon serveur web), mais j'ai pas les pare-feux stormshield à 800 € comme au boulot. Peut-être que CrowdSec peut le faire avec un module pour IPTables cela dit...
  • Maintenant je peux plus m'en servir sur mobile à moins de lancer wireguard mais bon c'est plus une perte de temps qu'autre chose, et malheureusement mon FAI ne propose pas d'IPv6.
  • Pour DoH faudrait que je me renseigne, je sais pas si c'est possible avec Pi Hole.
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 091
  • Paris (75)
DNS Spoofing Pi Hole
« Réponse #14 le: 14 août 2021 à 12:24:56 »
Citation de: Max284 le 14 août 2021 à 11:58:15
Depuis que j'ai ouvert le DNS sur Internet je vois plein d'IP inconnues qui s'y connectent tous les jours, en général ça faisait quelques requêtes, mais je m'en fichais car ça n'impactais pas mon utilisation quotidienne du serveur. Maintenant, que mon serveur serve d'intermédiaire pour faire du DDoS, je suis moins fan surtout si ça peut me retomber dessus.

DNS et d'autres protocoles font partie des protocoles qui peuvent servir aux attaques par amplification ( https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification ).
Il faut savoir que toutes les addresses IPv4 du monde sont régulièrement scannées pour trouver les ports ouverts (y'a meme des moteurs de recherche pour cela, comme shodan.io ou tu peux tester ton adresse IP).

Citation de: Max284 le 14 août 2021 à 11:58:15
Jamais testé mais si ça offre de meilleures perfs et une meilleure sécu que Wireguard pourquoi pas...
Tailscale c'est Wireguard... c'est une couche au dessus qui gere les accès via une interface web et une application plus simple.

Tailscale permet d'utiliser le VPN que pour le DNS et l'accès machine a machine (ssh) mais tout le reste du traffic Internet ne passe pas dans le VPN.
L'avantage aussi est qu'on n'a pas besoin d'ouvrir les ports sur le routeur meme pour le serveur: Tailscale permet a 2 clients Wireguard de se connecter entre eux en étant chacun derriere un firewall/NAT et sans avoir a ouvrir de port.



IP archivée

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 932
  • Draguignan 83
DNS Spoofing Pi Hole
« Réponse #15 le: 14 août 2021 à 14:50:00 »
La plupart des tuto sur ce forum montrent comment installer un routeur derrière (ou mieux encore, à la place de) la box. La plupart des routeurs proposent des solutions VPN intégrées, très connues. Donc la personne un peu futée aura noté qu'il ne sert à rien de passer par un service externe (qui au passage peut logguer, voire déchiffrer tout ce qui passe par chez lui) , notamment pour accéder à des ressources derrières son propre routeur "de maison".

Une fois de plus, un peu de documentation - en complément des lectures sur le forum - quelques sessions de lab - et on a rapidement mis en place un VPN privé et sécurisé pour accéder à ses ressources depuis l’extérieur, et pour router tel ou tel trafic au travers :-p
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 091
  • Paris (75)
DNS Spoofing Pi Hole
« Réponse #16 le: 14 août 2021 à 18:08:43 »
Citation de: doctorrock le 14 août 2021 à 14:50:00
La plupart des tuto sur ce forum montrent comment installer un routeur derrière (ou mieux encore, à la place de) la box. La plupart des routeurs proposent des solutions VPN intégrées, très connues. Donc la personne un peu futée aura noté qu'il ne sert à rien de passer par un service externe (qui au passage peut logguer, voire déchiffrer tout ce qui passe par chez lui) , notamment pour accéder à des ressources derrières son propre routeur "de maison".

Une fois de plus, un peu de documentation - en complément des lectures sur le forum - quelques sessions de lab - et on a rapidement mis en place un VPN privé et sécurisé pour accéder à ses ressources depuis l’extérieur, et pour router tel ou tel trafic au travers :-p

C'est un choix . Tout le monde n'a pas forcement envie de passer des heures a suivre un tuto, faire des sessions de lab...

Le point de lafibre.info c'est de donner des infos adaptées a tout type de public et de presenter toutes les options sans être dogmatiques, manichéens et élitistes. Si on ne contente de truc pour ceux qui ont le temps et le niveau on n'a meme pas besoin d'en parler ici...ils savent et font déjà.

et Tailscale n'est pas un VPN comme les autres services, aucun traffic ne passe chez eux hormis la configuration. Donc le juger sans savoir de quoi il s'agit c'est un peu rapide.
Perso je préfère cette approche ou aucun port n'est ouvert donc plutôt que le laisser des ports ouverts sur sa box ou son routeur maison... Meme moi qui pendant des années gérait mes propres routeurs/serveurs VPN j'ai virer tout ca pour Tailscale et y'a pas photos sur les avantages.


IP archivée
Pages: 1 [2]   En haut