Auteur Sujet: SFR: Routage vers 1.1.1.1 problématique (Lu 19640 fois)

Steph · « **Réponse #36 le:** 26 avril 2020 à 12:49:03 »

Que se passe-t-il pour les serveurs racines si tout le monde les pointent?

alain_p · « **Réponse #37 le:** 26 avril 2020 à 12:59:36 »

Citation de: Steph le 26 avril 2020 à 12:49:03

Que se passe-t-il pour les serveurs racines si tout le monde les pointent?

En fait, tu les as en cache, ce sont les serveurs des domaines (free.fr...) surtout que tu interroges. Et heureusement que les serveurs racine ne tombent pas facilement, car ils seraient attaqués souvent.

Steph · « **Réponse #38 le:** 26 avril 2020 à 13:39:30 »

Unbound pointe directement les racines, non?
Si tout le monde passe sur Unbound local, les serveurs racines tiennent?

StardustOne · « **Réponse #39 le:** 26 avril 2020 à 20:49:42 »

Ton serveur local interroge les serveurs racines en clair

petrus · « **Réponse #40 le:** 26 avril 2020 à 20:52:47 »

Les serveurs racine sont massivement distribués. Pas de soucis de ce coté là.

Mais oui, idéalement il faut faire tourner un resolver par réseau, pas un par machine, ça ne sert pas à grand chose et c'est même plutôt préjudiciable (moins d'utilisation du cache, plus de fingerprinting possible d'un seul utilisateur en analysant les requetes...).

Le faire tourner sur le routeur, ou un serveur si on en a un, c'est mieux.

hwti · « **Réponse #41 le:** 26 avril 2020 à 20:56:34 »

Citation de: petrus le 26 avril 2020 à 20:52:47

Mais oui, idéalement il faut faire tourner un resolver par réseau, pas un par machine, ça ne sert pas à grand chose et c'est même plutôt préjudiciable (moins d'utilisation du cache, plus de fingerprinting possible d'un seul utilisateur en analysant les requetes...).

Et il faut qu'il soit en DoH pour pouvoir activer l'ESNI dans Firefox.

vivien · « **Réponse #42 le:** 26 avril 2020 à 21:32:08 »

Citation de: alain_p le 26 avril 2020 à 12:12:31

Il y a une autre solution qui est d'installer son propre résolveur en local. Comme cela on n'interroge personne, et les requêtes ne passent pas par un serveur centralisé. Car même en TLS, c'est déchiffré au bout sur le serveur.

Là tout est en clair à la sortie de ton PC.

Avec du DoH, tout est chiffré jusqu'au serveur central. Il faut donc avoir confiance dans celui-ci mais si c'est le cas impossible pour un attaquant de savoir les requêtes que tu as demandé, a condition que le serveur DoH soit mutualisé avec de nombreuses personnes.

alain_p · « **Réponse #43 le:** 26 avril 2020 à 21:43:44 »

C'est possible à faire avec unbound :

https://medspx.fr/blog/Sysadmin/unbound/
https://www.bortzmeyer.org/doh-mon-resolveur.html

D'autre part, mes requêtes ne passent pas par mon fournisseur d'accès, Google, ou cloudflare, et surtout ne me mentent pas. C'est un gros progrès pour la vie privée. Et elles sont très rapides, alors qu'un serveur DNS peut être engorgé, être lent à répondre.

hwti · « **Réponse #44 le:** 26 avril 2020 à 22:02:22 »

Citation de: alain_p le 26 avril 2020 à 21:43:44

C'est possible à faire avec unbound :

https://medspx.fr/blog/Sysadmin/unbound/
https://www.bortzmeyer.org/doh-mon-resolveur.html

D'autre part, mes requêtes ne passent pas par mon fournisseur d'accès, Google, ou cloudflare, et surtout ne me mentent pas. C'est un gros progrès pour la vie privée. Et elles sont très rapides, alors qu'un serveur DNS peut être engorgé, être lent à répondre.

Si tu utilises les serveurs racine, tes requêtes sont visibles en clair sur le réseau, donc ton fournisseur d'accès les voit.
L'architecture DNS fait qu'on est obligé de faire confiance à au moins un intermédiaire fournisseur de DoT/DoH, ou à son FAI (voire un peu des deux selon la situation).

alain_p · « **Réponse #45 le:** 26 avril 2020 à 22:16:24 »

Citation de: hwti le 26 avril 2020 à 22:02:22

Si tu utilises les serveurs racine, tes requêtes sont visibles en clair sur le réseau, donc ton fournisseur d'accès les voit.

Ou peut les voir, cela m'étonnerait quand même qu'il analyse et enregistre tout le trafic qui peut passer par lui ! Tandis que les requêtes DNS, alors là pas sûr du tout, et Google encore moins.

A ce propos, je trouve regrettable que Firefox, dans ses dernières versions insiste pour que la barre d'adresse soit aussi une barre de recherche Google, ce que j'avais explicitement désactivé. Alors que Firefox se targue du respect de la vie privée. Il a fallu que je retourne dans les options pour le re-désactiver.

vivien · « **Réponse #46 le:** 26 avril 2020 à 22:17:58 »

Pour la vitesse, quand on utilise un résolveur DNS tel que celui de son FAI, on a généralement une meilleur latence car le gros des requêtes sont en cache (vous n’êtes pas le seul à aller voir le site toto.fr) et le DNS de votre FAI est généralement le plus proche au niveau latence (ils sont régionalisés chez certains FAI)

Quand on a un résolveur DNS sur sa propre machine, un site qui n'a pas été visité les dernières minutes n e sera pas en cache et il faudra faire une demande au DNS autoritaire.

alain_p · « **Réponse #47 le:** 26 avril 2020 à 22:25:52 »

En tout cas, au feeling, je trouve que mes résolutions DNS sont très rapides, et je ne suis jamais impacté par les problèmes de résolution DNS de mon FAI, ce qui est un problème récurrent (il n'y a qu'à voir le nombre de sujets sur ce forum).