slurps sécurité - kick #7 - filtrage via DNS

 

Chaque semaine, les auteurs du blog sécurité vous proposent de découvrir leurs Slurps. Bonbons acidulés et sucrés en gélatine, les Slurps sont leur carburant principal, symbole de leurs coups de cœur, coups de gueule, coups de kick.

slurps explication

Il arrive qu'il faille bloquer un site Internet.

Les raisons peuvent être multiples et variées : décision de justice, censure gouvernementale, limitation des usages en entreprise, blocage d'un site malicieux diffusant des malwares, contrôle parental ou blocage de traceurs publicitaires.

Le filtrage de sites Internet est donc un besoin avec de multiples facettes. Ce blocage peut être souhaité ou subit : cela est dépendant du contexte et un sujet très controversé. On laissera ce débat de coté car on va parler du DNS comme moyen de filtrage.

Et oui, utiliser le DNS (Domain Name System) -ce grand annuaire distribué qui permet de convertir des noms de sites (genre www.thesupersitedelamort.com) en une adresse IP (192.168.1.23)- permet de bloquer l'accès à un site.

slurps plus

Le système est techniquement assez simple à mettre en place, il "suffit" de modifier la configuration des serveurs DNS pour qu'ils répondent par une adresse erronée ou dirigée vers un site affichant un avertissement spécifique.

Il est possible de faire du distribué via des mécanismes comme du DNSBL (Gestion de Blacklists via le DNS), truc très utilisé par les SpamCop et consorts dans la lutte contre le spam.

Il est aussi possible de mettre en place un système de diffusion des fichiers de configuration via du SCP (SSH Copy) authentifié via des clefs publiques/privées le tout en crontab pour automatiser les changements et éviter ainsi les manipulations humaines.

slurps moins

Suite à un blocage, pour rester accessible, un site internet peut changer d'adresse (www.unautresite.com) ou encore être répliqué à plusieurs endroits (www.site1.com, www.site2.com). On va avoir droit à une course de rapidité entre le site et les bloqueurs...

L'internaute pourra aussi modifier la configuration de son poste afin d'utiliser des serveurs DNS ne mettant pas en place le filtrage (ex: les serveurs DNS de Google 8.8.8.8). Il pourrait aussi faire tourner un serveur DNS de résolution de noms en local sur son réseau ou sur sa machine...

Si DNSSEC est utilisé, changer le contenu d'une réponse à une requête de façon détournée sera compris comme une tentative d'attaque ou de détournement.

L'utilisation de serveurs proxy libres d'accès (ou la mise en place de son proxy privé sur Google AppEngine par exemple) est un moyen simple de contourner le blocage.

slurps bonus

Le plugin Firefox "MAFIAAFire: ThePirateBay Dancing!" permet de faciliter le contournement d'éventuelles mesures de filtrage. L'approche est simple : pour une liste de sites identifiés, les requêtes sont envoyées via des serveurs proxy... Du tout packagé.

slurps conclusion

En conclusion ? Le filtrage via DNS est loin d'être LA solution ultime. Il ne sera efficace dans 80% des cas car un internaute un peu technophile aura vite fait de passer outre. C'est madame Michu qui doit se faire du mouron... de toute façon, pour elle le DNS elle ne sait pas ce que c'est et n'en a absolument rien à faire. Donc pour elle le filtrage sera efficace ! Les autres savent quoi faire depuis bien longtemps...

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens