SIMPLE DNSCRYPT
Sur le site il y a ce sujet
Simple DNSCrypt : sécuriser et chiffrer ses DNS
https://www.malekal.com/simple-dnscrypt-dns-securises/
Si on ne veut pas s'embêter à configurer un Yoga DNS etc il s'agit d'une solution simple et facile à mettre en oeuvre et accessible à tout le monde
RAPPEL DE CE QUE C'ESTSimple DNSCrypt est une application gratuite qui permet d’utiliser le protocole DNSCrypt.
- - Il empêche l’usurpation DNS
- Comme DNSSEC, Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n’ont pas été falsifiées (les messages sont toujours envoyés via UDP)
- Il chiffre la communication DNS
- Ne peut être la cible d’outil MiTM
- DNSCrypt et DoH peuvent également être servis simultanément sur le même port
! |
Problème : Récemment je me suis aperçu sur un de mes PC que le programme ne se mettait plus à jour Pour la partie interface etc ce n'est pas grave mais le programme inclut "DnsCrypt-Proxy" qui était en version 2.15 alors qu'il existe une version 2.1.12 |
https://github.com/DNSCrypt/dnscrypt-pr ... 2.1.12.zip
QUE CONTIENT LA MISE A JOUR 2.1.12 ?Il y a eu beaucoup de changements depuis la verison 2.1.5 livrée avec SimpleDNSCrypt
https://github.com/DNSCrypt/dnscrypt-proxy/releases
Le principal étant
- Une nouvelle puissance pondérée de deux ( wp2) La stratégie d'équilibrage de charge a été implémentée par défaut, offrant une meilleure distribution entre les résolveurs.
- Un point de terminaison de métriques Prometheus facultatif a été ajouté pour la surveillance et l'observabilité.
- L'utilisation de la mémoire pour le cache a été réduite.
- Le rechargement à chaud des fichiers de configuration a été implémenté, vous permettant de modifier les règles de filtrage et autres configurations sans redémarrer le proxy. Il suffit de modifier un fichier de configuration (comme blocked-names.txt) pour que les modifications soient appliquées instantanément.
- Le sondage HTTP/3 est désormais pris en charge via le http3_probeoption, qui essaiera d'abord HTTP/3 pour les serveurs DoH, même s'ils n'annoncent pas de support via Alt-Svc.
- Les dépendances ont été mises à jour.
- Les instances du détecteur DNS DHCP ont été réduites pour améliorer les performances.
- L'isolation Tor pour dnscrypt-proxy a été documentée pour améliorer la confidentialité.
- Les dépendances ont été mises à jour, notamment l'implémentation QUIC, qui pourrait être vulnérable aux attaques par déni de service.
- Dans les règles de transfert, la cible peut désormais inclure un numéro de port DNS non standard. Ce numéro de port est également facultatif en IPv6.
Dans les différents fichiers textes on peut jeter un oeil pour voir ce qu'il y a dedans, il y a beaucoup d'exemples
Par ex on peut ajouter les listes qui figurent ici dans la liste noire (il faut copier coller l'adresse qui figure)
Attention : les listes sont valables, mais les IP c'est pour l'exemple
Certaines sont à vérifier comme par ex https://www.iblocklist.com/lists dont certaines liste sont sur abonnement, d'autres gratuites
Il faut donc aller sur le site pour faire un choix
Bref faut fouiller, et faire attention de ne pas faire de doublon (avec les listes de Ublock Origin par ex, ad guard etc)
Code : Tout sélectionner
##############################
# IP blocklist #
##############################
## Rules for blocking DNS responses if they contain
## IP addresses matching patterns.
##
## Sample feeds of suspect IP addresses:
## - https://github.com/stamparm/ipsum
## - https://github.com/tg12/bad_packets_blocklist
## - https://www.iblocklist.com/lists (Sur abonnement)
163.5.1.4
94.46.118.*
fe80:53:* # IPv6 prefix example
- Serveur de publicités : https://s3.amazonaws.com/lists.disconne ... ple_ad.txt
Adresses de Malware : https://s3.amazonaws.com/lists.disconne ... alware.txt
Adresses de pistages utilsiateur : https://s3.amazonaws.com/lists.disconne ... acking.txt
Adresse de Malvertising (publicités malicieuses) : https://s3.amazonaws.com/lists.disconne ... tising.txt
COMMENT L'INSTALLER ?C'est tout simple (Et c'est la méthode qui se trouve cachée dans une des pages auteur)
- Il suffit de télécharger la version de DnsCrypt-Proxy en .ZIP (lien direct ci dessous)
- D'extraire le tout dans un dossier temporaire
- De renommer "dnscrypt-proxy.exe " en "dnscrypt-proxy64.exe"
et de remplacer le fichier existant qui se trouve par défaut dans le dossier
Code : Tout sélectionner
C:\Program Files\SimpleDNSCrypt\dnscrypt-proxyPar contre il faut relancer le PC pour que cela prenne effet
Au final la version 2.1.12 apparait bien
LIENS DES PROGRAMMESLe lien auteur du dépôt de Simple DNSCrypt (1) où on voit que la dernière version date de 2023. Ce n'est pas grave en soi
Il faut savoir que le package d'installation prend en charge DnsCrypt Proxie mais en version 2.15. Il n'y a donc pas lieu d'installer à part celui ci mais cela ne sera pas mis à jour (Le fork semble en sommeil ou à l'abandon)
https://github.com/instantsc/SimpleDnsCrypt
Le lien auteur du dépôt de DnsCrypt-Proxie (1)
https://github.com/DNSCrypt/dnscrypt-proxy/releases
Site auteur : https://dnscrypt.info/
TELECHARGEMENTSympleDnsCrypt en version 8.2
Téléchargement direct : https://github.com/instantsc/SimpleDnsC ... _0.8.2.msi
DnsCrypt-Proxy en version 2.1.12
Téléchargmenet direct https://github.com/DNSCrypt/dnscrypt-pr ... 2.1.12.zip
Vérifier sa configuration
Se rappeler que sous Windows 10 DNS sur TLS (DoT) ne fonctionne pas (C'est implémenté sous Windows 11)
Par ex sous Win10 le test ci dessous indiquera meme si on a les bon DNS que ce n'est pas en place
https://one.one.one.one/help/
Et le test (ancien mais toujours actif) de Cloudflare
https://www.cloudflare.com/ssl/encrypted-sni/
Au final cela devrait ressembler à cela
Pour l'échec au SNI c'est normal
A lire : viewtopic.php?p=508074
----------------------------------
ACCESSOIREMENTIl a été vu sur certaines configurations un problème "visuel" où l'îcone de la barre de tâches indiquait "pas de réseau" alors que celui ci était fonctionnel
On peut avoir le meme symptôme avec l'usage de certains programmes dont PrivacySexy
viewtopic.php?t=74002
Avant de marquer une interface réseau comme disponible pour les applications, Windows essaie de résoudre les noms de domaine codés en dur, ainsi que de récupérer le contenu de http://www.msftncsi.com/ncsi.txt.
Si ces noms sont résolus ou si le téléchargement HTTP réussit, NCSI signale l'interface réseau comme « Accès Internet ». Ou bien, l'alerte réseau apparaît dans la barre des tâches indiquant « Pas de connectivité » ou « Accès Internet limité » (selon les requêtes ayant échoué).
Si vous rencontrez des problèmes avec Windows qui affiche votre réseau comme hors ligne lors de l'utilisation de dnscrypt-proxy, cela peut être dû à un échec de vérification de l'indicateur d'état de connectivité réseau (NCSI) de Windows.
Cela peut se manifester par une icône jaune ou pas, dans la barre des tâches ou une info-bulle indiquant une connectivité réseau inexistante ou limitée.
Sous Windows 10 build 1709 ou version ultérieure, vous pouvez configurer la vérification pour effectuer sa recherche DNS sur l'interface où dns-proxy est exécuté en activant la stratégie
Spécifier la stratégie DNS globale dans la stratégie de groupe locale (Exécuter) gpedit.msc).
Le paramètre se trouve sous Configuration ordinateur > Modèles d'administration > Réseau > Indicateur d'état de connectivité réseau .
Si vous n’avez pas l’éditeur de stratégie de groupe disponible sur votre version de Windows, vous pouvez également activer la stratégie dans le registre en exécutant la commande suivante en tant qu’administrateur (via CMD) :
Code : Tout sélectionner
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES\MICROSOFT\Windows\NetworkConnectivityStatusIndicator" /v UseGlobalDNS /t REG_DWORD /d 1 /fUn redémarrage est nécessaire pour que le paramètre prenne effet.
Plusieurs autres paramètres plus détaillés permettent de désactiver ou de modifier la vérification NCSI. Ils peuvent améliorer votre confidentialité et accélérer le démarrage. « Indicateur d'état de connectivité réseau (NCSI) » . Pour plus d'informations, veuillez consulter la page
https://github.com/DNSCrypt/dnscrypt-pr ... ndows-NCSI
----------------------
(1) Avertissement :Ces programmes figurent sur d'autres sites ou sont disponibles via des torrents
Il ne faut surtout pas les télécharger "même " si cela annonce une version TRES récente
Ils contiennent des malwares
Le lien que j'ai donné pour Simple Dns Crypt est un fork mais il n'y a RIEN à craindre
Le seul problème est qu'il n a pas été mis à jour, du moins le package, pour la version 2.18 de DnsCrypt Proxy
Maintenant vous avez la méthode pour y procéder :-)