[tor / vie privée] Requêtes DNS trop bavardes ?

Le
Armande
--BEGIN PGP SIGNED MESSAGE--
Hash: SHA1

Bonjour ¢ tous,

Pour l'instant le r←seau TOR ne route que les requ↑tes directement ¢
destination d'une adresse IP. Par contre, pour la r←solution de noms
wireshark me montre que les requ↑tes DNS sont parfaitement visibles, ce
dont je n'ai pas envie !

1) Du coup, comment faire pour g←rer autrement les requ↑tes DNS ?
2) Une autre solution est de disposer d'un VPN ext←rieur et de tout
faire transiter par l¢. Quelles solutions peut-il exister pour obtenir
un VPN qui anonymise ?

Merci d'avance !

- --
armande.
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/

iQIcBAEBAgAGBQJSsGJAAAoJEEp61LZTQi4yHe4P/jiZyufbkPmnxJo7labEbGh4
ryVbbeFaNc60Ylp52tz2DqyKxvzP9j4bflgs5cmCW81OFW4W6GwKX+qAYRURsFM9
u4RbTALrjig4BWerbMDmL/iG5AaSGf/gCJkO6gNntuSVehNKt/zD3ttgIPmJRVE2
DwcDAESr4w+V6hBOE5ZlGvla9QqpWd6xm1frwsyhuqoK/B+G11z9ziqCOoACDQcm
iPX1icTJqIXHIaU8jVYrszwQiIXMgr0LBvxjQF7lUlX3KCJTd995mxpXK0QnpQkT
trDKpHv3hdo1sXWqb21WAAnN2ySDqQ7U1RB69GkYIcqH5AhFjKAbn06YEk5uF76I
ausmiOIwL10dfLlNw/tppggCvP2n5RVnmvMdW0fOvds3mDMiper15Z7jzKd/uODK
F9KY4d4YIaE8u1EvahGHxgUoOmHjtwCMX3T/cez21G9E1RFRzbdFHRKVeiY25hwH
oi5rAl7RqIiDQ/xTZOJCa3vbJbGzsL75dMb4Z1Jw27TIBsdWJsu1Qdb9NxDHCAkq
cS4rfvUJGp8WmXaJvSNJafZh100dWHCvfon2y5t3ch81LpRqBQfXosEkE5vhDv/E
WbILXsRQsa5S64T1boMbpnUIVjZBqH8K97QqOlBptjnMGQDiTuivUEMRIZFzCz5c
dpyTQ4H8lfDCNSBksmKi
=Dkzd
--END PGP SIGNATURE--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/52B06247.7060800@x16.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bzzz
Le #25878152
On Tue, 17 Dec 2013 15:40:07 +0100
Armande
1) Du coup, comment faire pour g←rer autrement les requ↑t es DNS ?
2) Une autre solution est de disposer d'un VPN extï¿©rieur et de to ut
faire transiter par lï¿ . Quelles solutions peut-il exister pour
obtenir un VPN qui anonymise ?



1- RTFM:
https://trac.torproject.org/projects/tor/wiki/doc/Preventing_Tor_DNS_Leaks

2- Quasiment _aucun_ VPN commercial n'est sûr parce que la plupart
ont leur siège dans des pays très 'démocratiques' (comme les usa)
où la nsa locale a l'arsenal de loi nécessaire pour exiger la
remise des clés de chiffrage et donc décrypter _tout_ le traff ic
(évidemment, comme tout le monde est TTTTTloin d'avoir l'intég rité
de Ladar Levison (fondateur de Lavabit), aucune publicité n'est
faite sur ce point-là - business is business, but YOU are the
product).

--
ptinou: non moi le seul truc qui m'a surpris avec vista
ptinou: c'est quand il m'a dit qu'il allait désactiver
mon clavier pour la stabilité de mon système

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves Bossard
Le #25878362
--047d7bb039469ea10904edbd0ce9
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour la liste,

Peut être faut il regarder du côté de darknet : darknet.com
Il y a une solution de vpn sur leur site (non testée) . Mais c'est une
solution payante.

--
Jean-Yves Bossard
/***
Linux user registered as #363916
http://jeanyves.bossard.free.fr



Le 17 décembre 2013 15:53, Bzzz
On Tue, 17 Dec 2013 15:40:07 +0100
Armande
> 1) Du coup, comment faire pour gï¿©rer autrement les requï¿ ªtes DNS ?
> 2) Une autre solution est de disposer d'un VPN extï¿©rieur et de tout
> faire transiter par lï¿ . Quelles solutions peut-il exister pour
> obtenir un VPN qui anonymise ?

1- RTFM:
https://trac.torproject.org/projects/tor/wiki/doc/Preventing_Tor_DNS_Leak s

2- Quasiment _aucun_ VPN commercial n'est sûr parce que la plupart
ont leur siège dans des pays très 'démocratiques' (comm e les usa)
où la nsa locale a l'arsenal de loi nécessaire pour exiger l a
remise des clés de chiffrage et donc décrypter _tout_ le tra ffic
(évidemment, comme tout le monde est TTTTTloin d'avoir l'intà ©grité
de Ladar Levison (fondateur de Lavabit), aucune publicité n'est
faite sur ce point-là - business is business, but YOU are the
product).

--
ptinou: non moi le seul truc qui m'a surpris avec vista
ptinou: c'est quand il m'a dit qu'il allait désactiver
mon clavier pour la stabilité de mon système

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/








--047d7bb039469ea10904edbd0ce9
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 17 décembre 2013 15:53, Bzzz On Tue, 17 Dec 2013 15:40:07 +0100<br>
Armande &lt; <br>
&gt; 1) Du coup, comment faire pour gï¿©rer autrement les requï¿ ªtes DNS ?<br>
&gt; 2) Une autre solution est de disposer d&#39;un VPN extï¿©rieur e t de tout<br>
&gt; faire transiter par lï¿ . Quelles solutions peut-il exister pour <br>
&gt; obtenir un VPN qui anonymise ?<br>
<br>
1- RTFM:<br>
<br>
2- Quasiment _aucun_ VPN commercial n&#39;est sûr parce que la plupart <br>
   ont leur siège dans des pays très &#39;démocrat iques&#39; (comme les usa)<br>
   où la nsa locale a l&#39;arsenal de loi nécessaire p our exiger la<br>
   remise des clés de chiffrage et donc décrypter _tout _ le traffic<br>
   (évidemment, comme tout le monde est TTTTTloin d&#39;avoi r l&#39;intégrité<br>
   de Ladar Levison (fondateur de Lavabit), aucune publicité n&#39;est<br>
   faite sur ce point-là - business is business, but YOU are the<br>
   product).<br>
<span class=""><font color="#888888"><br>
--<br>
ptinou: non moi le seul truc qui m&#39;a surpris avec vista<br>
ptinou: c&#39;est quand il m&#39;a dit qu&#39;il allait désactiver<br>
        mon clavier pour la stabilité de mon syst ème<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</div></div>

--047d7bb039469ea10904edbd0ce9--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
andre_debian
Le #25878562
On Tuesday 17 December 2013 17:02:03 Jean-Yves Bossard wrote:
Bonjour la liste,
Peut être faut il regarder du côté de darknet : darknet.com
Il y a une solution de vpn sur leur site (non testée) . Mais c'est une
solution payante.



https://www.darknet.com/ => réponse :
"Apache is functioning normally "

http://www.darknet.com/ => réponse :
"Welcome to the home of darknet.com
To change this page, upload your website into the public_html directory
Date Created: Sat Feb 9 17:35:26 2013"

Le site (darknet) porte bien son nom ...

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
juke
Le #25880192
--a8i0lXXx49qphuFT
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

1) Du coup, comment faire pour g←rer autrement les requ↑t es DNS ?



Pourquoi ne pas heberger son propre serveur DNS ?

--a8i0lXXx49qphuFT
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=hfrg
-----END PGP SIGNATURE-----

--a8i0lXXx49qphuFT--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #25880522
a écrit :
1) Du coup, comment faire pour gérer autrement les requêtes DNS ?



Pourquoi ne pas heberger son propre serveur DNS ?



Cela n'empêchera pas les requêtes DNS de sortir en clair.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Armande
Le #25881972
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 17/12/2013 15:53, Bzzz a écrit :
On Tue, 17 Dec 2013 15:40:07 +0100
Armande
1) Du coup, comment faire pour g←rer autrement les requ↑tes DNS ?
2) Une autre solution est de disposer d'un VPN ext←rieur et de tout
faire transiter par l¢. Quelles solutions peut-il exister pour
obtenir un VPN qui anonymise ?



1- RTFM:
https://trac.torproject.org/projects/tor/wiki/doc/Preventing_Tor_DNS_Leaks

2- Quasiment _aucun_ VPN commercial n'est sûr parce que la plupart
ont leur siège dans des pays très 'démocratiques' (comme les usa)
où la nsa locale a l'arsenal de loi nécessaire pour exiger la
remise des clés de chiffrage et donc décrypter _tout_ le traffic
(évidemment, comme tout le monde est TTTTTloin d'avoir l'intégrité
de Ladar Levison (fondateur de Lavabit), aucune publicité n'est
faite sur ce point-là - business is business, but YOU are the
product).



Merci pour les infos, je regarde ça !

@juke et Pascal : j'avais pensé à aller vers l'hébergement d'un serveur
DNS. Mais après, ça ne sert à rien effectivement si le serveur en
question n'a pas la vocation d'être la copie d'un vrai serveur racine !
Si c'est le cas, alors le serveur DNS @home récupère l'ensemble des
données des hôtes, et là plus aucune requête DNS des machines locales ne
filtre à l'extérieur.
Si par contre c'est un serveur DNS qui enregistre progressivement où se
trouve qui et quoi (si donc la BDD se construit au fur et à mesure des
requêtes, que le serveur doit donc forwarder vers un DNS racine), alors
là ça n'a plus aucun intérêt, car si ça diminue au final le nombre de
whois, il y en a quand-même.


- --

armande.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
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=Wl97
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pascal Hambourg
Le #25882132
Armande a écrit :

j'avais pensé à aller vers l'hébergement d'un serveur
DNS. Mais après, ça ne sert à rien effectivement si le serveur en
question n'a pas la vocation d'être la copie d'un vrai serveur racine !



Une copie d'un serveur racine, qui par définition ne contient que la
zone racine, ne te servira pas plus.

Si c'est le cas, alors le serveur DNS @home récupère l'ensemble des
données des hôtes, et là plus aucune requête DNS des machines locales ne
filtre à l'extérieur.



Tu fais erreur. Le DNS est une base de données multi-niveau répartie.
Les serveurs DNS racines ne contiennent pas l'ensemble du DNS mais
seulement les noms et adresses des serveurs DNS faisant autorité pour
tous les TLD (com, org, net, fr...). Les serveurs d'un TLD ne
contiennent à leur tour que son tour que les noms et adresses des
serveurs DNS faisant autorité pour les domaines sous ce TLD (ex:
example.com). Enfin ce sont les serveurs DNS d'un domaine particulier
qui contiennent les enregistrements pour ce domaine (ex:
www.example.com). Rien n'empêche qu'il y ait encore des niveaux
supplémentaires.

Si par contre c'est un serveur DNS qui enregistre progressivement où se
trouve qui et quoi (si donc la BDD se construit au fur et à mesure des
requêtes,



Ce qu'on appelle un fonctionnement en cache récursif. Mais chaque
enregistrement a une durée de vie limitée (TTL), finit par expirer du
cache et doit être rechargé par une nouvelle requête au serveur DNS
compétent.

que le serveur doit donc forwarder vers un DNS racine)



Le serveur DNS racine n'est que la première étape du processus de
résolution récursive.

là ça n'a plus aucun intérêt, car si ça diminue au final le nombre de
whois, il y en a quand-même.



Les protocoles whois et DNS n'ont rien à voir.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
juke
Le #25882202
--VywGB/WGlW4DM4P8
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Cela n'empêchera pas les requêtes DNS de sortir en clair.



Pas avec DNSSEC non ? Et ça reduit quand meme le traffic et sa visibilit é.

Il peut supprimer un tiers et chiffrer son traffic vers son serveur dns.


--VywGB/WGlW4DM4P8
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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JD1
-----END PGP SIGNATURE-----

--VywGB/WGlW4DM4P8--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Yves Rutschle
Le #25882272
On Thu, Dec 19, 2013 at 12:15:47PM +0100, wrote:
Pas avec DNSSEC non ? Et ça reduit quand meme le traffic et sa visibilité.

Il peut supprimer un tiers et chiffrer son traffic vers son serveur dns.




Non, DNSSEC garanti l'intégrité et l'authenticité, pas la
confidentialité.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25882632
On Thu, 19 Dec 2013 15:00:19 +0100
wrote:

Ouais c'est bien ce que je pensais, en revanche il reste possible
de chiffrer le transport ou d'utiliser dnscrypt.



Et où trouveras-tu un DNS extérieur susceptible de chiffrer ses
conversations?

--
<Knghtbrd> Europe Passes Pro-spam Law
<Knghtbrd> I though only Americans were that fucking stupid =>
<Espy> apparently americans are quite naive :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme