- État Nouveau
- Pourcentage achevé
- Type Évolution
- Catégorie LAN
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Haute
- Priorité Très Basse
- Basée sur la version 4.8.11
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par reivax89 - 04/06/2024
Ouverte par reivax89 - 04/06/2024
FS#39516 - Pouvoir bloquer les requêtes DNS vers d'autre serveurs que ceux spécifiés
Bonjour,
Afin de sécuriser l’accès internet, il serait intéressant de pouvoir bloquer les requêtes DNS vers d’autre serveurs que ceux spécifiés. Cela permettrait de mettre en place un filtrage DNS ( par exemple des urls malicieuses et/ou adultes ).
Car si l’on peut aujourd’hui spécifier les serveurs DNS poussés par DHCP, rien n’empêche une machine d’en utiliser d’autres.
Merci.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Si un ado pense à aller bidouiller les paramètres réseau de son appareil, pour aller changer les DNS, c'est qu'il trouvera un moyen de contourner la limitation de serveur dns que tu proposes.
Non seulement, ça voudrait dire
- qu'il faut que Free analyse tout le trafic qui passe par ton réseau perso (et peu de gens accepteraient ça)
- mais en plus, ce que tu proposes est plutôt facile à contourner
Regarde ce que permet de faire Firefox par exemple, ils font passer les requêtes DNS en https, donc tu ne peux pas savoir que ce sont des requêtes dns :
https://support.mozilla.org/fr/kb/configurer-niveaux-protection-dns-via-https
A moins de bloquer tout trafic https, tu ne pourras pas bloquer les requêtes vers l'autre dns !
Bonjour
En lisant votre demande et la réponse tout à fait valide de @rr, je ne peux que compléter par :
Imaginez la machine de guerre qu'il faut pour inspecter 100% des flux TLS sur une ligne 10G …
Pour faire ça les entreprises ont besoin de beaucoup de hardware + d'une PKI + d'une équipe d'ingénieur en permanence pour maintenir tout ça.
Avec les ADOS et la maitrise des flux internet, privilégiez le dialogue et des échanges transparents sur les sujets que vous voudriez contrôler plutôt que de tenter de bloquer les flux.
Cordialement
nbanba
Il est question de bloquer uniquement le port 53, donc très facile à réaliser.
Et concernant le DOH, Mozilla indique bien qu'ils font quelques tests et désactivent DOH si un filtrage DNS est en place :
https://support.mozilla.org/en-US/kb/dns-over-https-doh-faqs#w_how-will-doh-impact-parental-controls
merci @reivax89 pour l'info, je ne savais pas que Mozilla avait pris ces précautions (ce n'était pas le cas avant)
Après, je ne sais pas si les autres navigateurs font la même chose ?
Demain, un simple plugin pourra peut-être permettre de contourner cette vérification, et laissera utiliser le DoH ?
Bloquer le port 53 pourrait peut-être être possible, mais en passant par un vpn (dont des vpn gratuits) par exemple, ça peut toujours se contourner
Une autre méthode :
- tu as la règle, tu la suis
- si tu essaies de faire le malin, de tricher (en changeant les DNS) ?
- il y aura des conséquences : je récupère ton appareil/smartphone, pendant que tu es à la maison
(tu le récupères le lendemain matin)
Je ne te prends pas en traître, tu es prévenu ! ;)