Je viens de mettre en place un Résolveur DNSCrypt public. Celui-ci est accessible en IPv4 seulement pour le moment. L’IPv6 arrivera plus tard. Vous pouvez aussi si vous le souhaitez vous servir de ce résolveur comme d’un simple serveur DNS (connexion sur le port 53).
Résolveur DNSCrypt public : Késséssé ?
Lorsque vous vous connectez à un domaine votre ordinateur envoi une requête à un serveur DNS, requête contenant le FDQN que vous souhaitez consulter, qui lui renvoie l’adresse IP correspondante. La demande et la réponse sont transmises en clair ce qui signifie donc qu’un attaquant peut non seulement conserver un historique de tous les sites que vous avez consulté mais aussi modifier les réponses faites par le serveur DNS (DNS Spoofing). Plutôt flippant n’est-ce pas ?
Heureusement DNSCrypt vous permet de remédier à cela en chiffrant vos requêtes DNS. Des clients DNSCrypt sont disponibles sur tous les systèmes d’exploitation et dans certains directement depuis votre routeur.
Résolveur DNSCrypt public : Informations de connexion
Nom : dns.noobunbox.net
IPv4 : 163.172.170.36:4434
IPv6 : [2001:bc8:4400:2100::20:415]:4434 (DNSCrypt indisponible pour le moment)
Provider name : 2.dnscrypt-cert.dns.noobunbox.net
Clé publique : 70B3:ECC0:EF16:48D2:7F65:BEC2:25A2:0201:2F36:D777:E054:9BF3:F4B3:DF95:B960:4B4D
Résolveur DNSCRYPT public : Fonctionnalités
- Résolveur DNS basé en France
- Entièrement neutre
- Validation DNSSEC
- Aucun log
- Statistiques sur l’utilisation bientôt disponibles
Résolveur DNSCRYPT public : Transparence
Dans un soucis de transparence vous trouverez ci-dessous la configuration du serveur DNS (unbound)
server: interface: 0.0.0.0 interface: ::0 access-control: 0.0.0.0/0 allow access-control: ::/0 allow auto-trust-anchor-file: "/var/lib/unbound/root.key" root-hints: "/etc/unbound/root.hints" verbosity: 0 qname-minimisation: yes statistics-interval: 0 extended-statistics: yes statistics-cumulative: yes num-threads: 2 msg-cache-slabs: 4 rrset-cache-slabs: 4 infra-cache-slabs: 4 key-cache-slabs: 4 rrset-cache-size: 100m msg-cache-size: 50m outgoing-range: 465 so-rcvbuf: 4m so-sndbuf: 4m port: 53 do-ip4: yes do-ip6: yes do-udp: yes do-tcp: yes do-daemonize: yes hide-identity: yes hide-version: yes harden-glue: yes harden-dnssec-stripped: yes
La configuration unbound, telle que ci-dessous, permet seulement d’effectuer des statistiques sur l’utilisation du serveur DNS. Ces statistiques sont totalement anonymes et seront bientôt disponibles en ligne.
statistics-interval: 0 extended-statistics: yes statistics-cumulative: yes
Si vous souhaitez participer et me permettre de mettre en place de nouveaux serveurs vous pouvez soutenir ce projet via la plateforme Liberapay
Salute,
Sympa ! Transparance => Transparence
Tcho !
Salut 🙂
Ouch ! Merci beaucoup. C’est corrigé
Je m’attendais à un petit mémo sur l’installation de DNSCrypt 😛 Mais le fait de proposer ton serveur DNS est très appréciable et je t’en remercie, j’ai trouvé mon second serveur DNS une fois que j’aurai le mien en principal 😀
Ça viendra ça viendra 🙂
A noter qu’installer un serveur DNSCrypt son réseau local est inutile. Cela ne chiffrera que les requêtes internes et à la sortie de la box tout sera en clair.
C’est pour cela que j’ai pris un petit VPS chez OVH, en prévision justement du resolver DNS ainsi qu’un serveur mail et serveur DNS pour gérer mon domaine 🙂
Un petit pull request pour qu’il soit ajoute a la liste dnscrypt-resolver.csv ?
Oui ça sera fait. J’attends quelques jours. Histoire d’être sur que tout va bien 🙂
Salut,
ça fait quelques temps que j’hésitais à héberger mon propre résolveur mais là c’est vrai que je suis encore plus tenté. Quelles sont les ressources nécessaires sur un VM pour héberger correctement un serveur ?
Bonjour Thomas,
Avec un vCPU et 1Go de RAM tu seras très large.
Par exemple dnscrypt.org-fr tourne sur un ARM Scaleway (4 coeurs ARM et 2Go) et dnscrypt.pl tourne sur un serveur avec 2Go de RAM. Alors qu’ils résolvent surement pas mal de requêtes.
D’accord, ben dans ce cas j’ai une VM de dispo si tu souhaites avoir un résolveur secondaire à côté.
Merci pour ta proposition. Je peux te contacter par mail pour avoir plus d’infos ? (d’ici lundi)
Oui pas de soucis !
Salut, j’ai installer DNSCrypt sur mon PC en suivant ceci : https://github.com/jedisct1/dnscrypt-proxy/blob/master/README-WINDOWS.markdown et une question me vient à l’esprit.
Eux précisent le port 53 lors de l’installation et toi le 4434, or on ne peut mettre qu’une IP sans port dans les réglages DNS de Windows ? Est-ce DNSCrypt qui s’occupe de faire la transition ? De moi dois-je ajouter ton serveur dans le fichier de DNSCrypt ?
Mes paramètres DNS IPV4 sont comme cela :
Et en IPV6 :
Alors oui tu dois ajouter mon serveur dans la liste des resolveurs puisque je ne l’ai pas encore ajouter à la liste officielle.
Ensuite pour les réglages Windows le port importe peu.
« Open the network preferences (« Network connections », then select your network adapter and hit « Properties »). Then in the « Internet Protocol Version 4 (TCP/IPv4) » settings use 127.0.0.1 instead of the default DNS resolver address. »
salut, depuis quelque temps j’utilise pihole (antipub via dnsmasq sur un raspi en amont de la connexion)
j’ai découvert sur leur wiki qu’il était possible d’intégrer dnscrypt au système sans trop de prise de tête
si jamais, voici leur tuto
https://github.com/pi-hole/pi-hole/wiki/DNSCrypt
n’hésite pas à ajouter ton serveur à cette liste-ci
https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
Salut Moubai,
Désolé ton message avait été pris par la patrouille anti-spam
Oui il faut que j’ajoute mon serveur à la liste 🙂
Bonjour
Je Desirerais savoir si le dnscrypt-proxy apparait dans la liste des services sir windows 7
Merci
Bonjour Elric,
Tu peux utiliser https://simplednscrypt.org. Par contre je ne me souviens plus si il s’installe comme service.
DNSCrypt est configuré chez moi directement sur mon routeur.
[…] Je vous invite à jeter un coup d’œil sur le tutoriel de noobunbox. […]