Pour ma part, j’ai noté que l’apparition sur le marché de nano-ordinateurs comme les box Android ou les Raspberry Pi permet d’envisager de mettre en oeuvre des services qui semblaient horriblement chers et difficiles à déployer auparavant.

J’ai donc décidé d’acheter un Raspberry Pi 3 B+ qui offre une solution qui ne coûte pas cher, qui ne consomme pas beaucoup d’énergie, qui peut rester branchée en permanence, et qui est programmable intégralement. Je voulais déployer les services de base d’un réseau tout en me donnant la maîtrise la plus complète possible.

Le minimum à assurer :

• Un serveur DHCP (pour attribuer les adresses IP en local sur le réseau avec la possibilité de fixer des adresses statiques, pour une meilleure gestion)
• Un serveur DNS qui assure à la fois
  • le cache des recherches DNS (pour accélérer l’ensemble des opérations Internet des utilisateurs)
  • la fourniture de noms pour le réseau local
  • des réserves pour permettre le futur filtrage des recherches DNS (je ne m’intéresse guère au filtrage des contenus adultes, mais je me préoccupe sensiblement de bloquer les phishers, même si les deux problèmes sont techniquement identiques)

Dans le futur, il faudra aussi assurer des services complémentaires (pas étudiés ici) comme :

• Serveur de base temps NTP
• Serveur de noms WINS pour Windows

Comparaison

De fait, j’ai noté que deux serveurs semblaient aptes à gérer simultanément le DHCP et le DNS : Unbound et dsnmasq.

Unbound:

• Serveur léger
• Support DNSSEC
• plutôt tourné vers la sécurité
• Pas de serveur DNS authoritative (mais capable de gérer un domaine local)

dnsmasq:

• Serveur léger
• Support DNSSEC
• DHCP et DNS sont integrés dans un seul serveur
• Capable d’exploiter /etc/hosts pour alimenter le serveur DNS
• Pas de serveur récursif DNS (seulement forward vers un serveur récursif ou authoritative comme 8.8.8.8 ou 9.9.9.9 ou le serveur DNS de votre propre FAI)
• Pas de serveur DNS authoritative (mais capable de gérer un domaine local)

Cela m’a mené à exploiter dnsmasq, principalement à cause de la possibilité de gérer simultanément DNS et DHCP.

Découvertes intéressantes

Première information vite découverte : les serveurs NAS Synology sont tout à fait incompatibles avec le filtrage de DNS de CleanBrowsing. Celui-ci compte synology.me (service nécessaire pour le DDNS de Synology) dans les domaines à risque. De nombreux services du NAS cessent immédiatement de fonctionner.

Je n’ai pas vérifié mais il est probable que de nombreux autres services DDNS (Dynamic DNS) soient black-listés pour les mêmes raisons : devant le nombre de petits serveurs Synology (ou autres) mal configurés, ces DDNS renvoient sans doute vers une forte proportion de domaines qui ont été pris en otage par les hackers.

Il faut donc pouvoir gérer cela plus finement si vous avez vous-même votre propre NAS Synology (et sans doute d’autres marques).

Observations

Après quelques mois d’utilisation de dnsmasq sur Rapsberry Pi, il est temps de faire quelques commentaires pour partager cette expérience.

Tout d’abord, cela a très bien fonctionné. J’ai bien eu un cas où le serveur DHCP semble s’être arrêté sans autre forme de procès. J’ai essayé de comprendre la cause mais il s’est révélé plus simple de rebooter le serveur (bouton On-Off) pour retrouver le service. Evidemment, quelques dizaines de minutes de recherche m’auront valu quelques regards inquiets de l’autre utilisatrice du réseau…

Les filtres DNS mis en place pour limiter l’accès à des domaines particulièrement dangereux fonctionnent bien, mais il est exact qu’il ne semble pas y avoir eu de déclenchement intempestif (ce n’est pas la seule barrière que j’utilise contre les sites malveillants). Le script de création du filtre est ci-dessous :

#!/bin/sh
#Dated 2020-11-10 1.0 Addition of --quiet to wget (to reduce clutter to /var/mail/pi)
#                     *** STABLE RELEASE ***

cd /var/lib/work

#Get anti-phishing filter lists from Internet
wget -q -O ./isc-low.txt 'https://isc.sans.edu/feeds/suspiciousdomains_Low.txt'
wget -q -O ./isc-med.txt 'https://isc.sans.edu/feeds/suspiciousdomains_Medium.txt'
wget -q -O ./isc-hig.txt 'https://isc.sans.edu/feeds/suspiciousdomains_High.txt'
wget -q -O ./yoyo.dnsmasq.txt 'https://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&hostformat=nohtml&showintro=0&mimetype=plaintext'
#Remodel the lists into DNSmasq filters
catcherIP='192.168.1.250'
inputfile="./isc-med.txt"
tmpfile="/tmp/.adlist.$$"
tmpconffile="/tmp/.dnsmasq.conf.$$"
configfile="/etc/dnsmasq.filter.conf"
configheader="/etc/dnsmasq.filter.header"

#Start with putting our own header
    [ -f "$configheader" ] && cat $configheader >> $tmpconffile
#check if TmpFile could be init'd with header
if [ ! -s $tmpconffile ]
then
    echo "temp fil '$tmpconffile' could not be found or is empty; quitting"
    exit
fi
#Remove list headers
cat $inputfile | grep -v "^#" | grep -v "^Site$" > $tmpfile
#Buid list to DNSmasq format, and add it to the file
sed "s/(.*)/address=\/\1\/${catcherIP}/" $tmpfile >> $tmpconffile
#Move the final list to destination
sudo cp $tmpconffile $configfile

Un des avantages de ce serveur est sa rapidité. Je pouvais m’en inquiéter avant de connaître le Raspberry Pi, mais étant donné la faible charge de travail sur ce serveur (malgré un petit serveur HTTP, des connexions à distance et quelques scripts locaux) et la bonne puissance de la CPU, tout se passe très bien même devant la dizaine de clients qui font appel au serveur DNS en mode à peu près continu (les iPhones sont particulièrement exigeants).

dnsmasq est parfaitement capable de gérer le DHCP IPv6, et le DNS IPv6 correspondant. La documentation à ce sujet est faible (c’est le moins qu’on puisse en dire), mais ça fonctionne bien et j’ai pu assurer un fonctionnement fiable dans ce domaine également (temporairement, le Raspberry Pi m’a même servi de proxy pour tout le trafic IPv6 sans faiblir ou être remarqué ; là, j’ai été surpris par sa puissance).

Après une installation initiale qui fonctionnait avec une allocation dynamique des adresses IP, j’ai passé le serveur DHCP en configuration presqu’exclusivement statique (c’est un choix personnel qui me permet de reconnaître plus facilement le contenu de mon réseau). Là aussi aucune difficulté, aussi bien en IPv4 qu’en IPv6.

Conclusion : totalement positive.

Dans le futur, je peux être tenté de déployer des serveurs DHCP et DNS plus puissants (peut-être ou peut-être pas) et surtout un espion de réseau genre SNORT ou SURICATA. Mais c’est une autre histoire. Et peut-être que dans ce dernier cas, je serai tenté par un calculateur avec beaucoup plus de puissance de calcul (j’ai un Avenger96 à l’essai, mais il ne me semble pas idéalement supporté en matière de soft).

Quelques autres liens intéressants

• D’autres solutions pour un serveur DHCP :
  • Installation de DNSmasq (DHCP seul)
  • Dragon : installation de DNSmasq (DHCP et DNS)
  • Instructables : installation de DNSmasq (DHCP et DNS)
  • Serveur ISC-DHCP sur Debian
  • Serveur ISC-DHCP sur Ubuntu
  • Outils prévus pour fonctionner avec ISC-DHCP
  • Guide rapide pour l’installation de serveurs DHCP, DNS et NTP sur Raspberry Pi
• Des informations sur l’installation d’un serveur DNS :
  • Serveur DNS BIND en local sur Debian 9
  • Serveur DNS BIND authoritative sur Ubuntu
  • Serveur DNS BIND comme « caching » ou « forward-only » sur Ubuntu
• Filtres DNS :
  • LE guide sur le nettoyage du DNS à partir de listes du domaine public
• La mise en oeuvre sur un NAS ou un routeur Synology :
  • Configuration de serveur DNS sur DSM
• Comparaisons de serveurs :
  • BIND vs. dnsmasq vs PowerDNS vs Unbound

Je possède un nom de domaine (Roumazeilles.net) mais depuis ma migration vers une FreeBox, il semble plus comfortable d’émettre mes mails via le serveur SMTP de Free. Sauf que, pour se protéger du SPAM, la plupart des opérateurs de courrier électronique vérifient l’origine du mail pour s’assurer qu’il arrive bien d’une origine autorisée (ce qui permet de distinguer beaucoup de SPAM et de mails de phishing).

SPF record – Tentative #1

L’idée de base (la plus évidente) consistait à créer un SPF record de la forme suivante :

…qui ressemble à la valeur par défaut recommandée par OVH (mon hébergeur et le gestionnaire de mon DNS).

Mais cela pose à vrai problème : Free n’a rien déclaré ni pour free.fr, ni pour smtp.free.fr, ce qui mène à une erreur d’interprétation du record SPF par la plupart des opérateurs de courrier électronique. Un SPF record invalide garantit presque que le mail ne sera pas diffusé correctement.

SPF record – Tentative #2

Comme les serveurs de mail de Free (et ils sont nombreux) sont de la forme :

Il est possible de passer plutôt par une déclaration d’adresse IP. C’est moins élégant, mais on peut faire.

De fait, la déclaration s’allonge singulièrement. Au point que le record devient invalide parce que comportant trop d’entrées. Il faut donc sérieusement optimiser.

SPF record final

La solution a finalement été de créer un SPF record taillé sur mesure.

Il donne une tranche d’adresses IPv4 pour les serveurs STMP de Free, et une autre tranche de 16 adresses IPv6 pour les mêmes serveurs. Compact et efficace.

Conclusion

Le principal inconvénient (mais il n’y a guère de contournement tant que Free n’aura pas fait son travail pour décrire correctement son propre SPF record dans son DNS) est que les adresses de Free sont « en dur ». Au moindre changement chez eux, je serai pris par surprise et je risque de perdre quelques mails.

Au delà, je recommande l’excellent site de test de courriers électroniques mail-tester.com qui permet de vérifier quasi-instantanément (c’est plaisant pour des modifs de DNS) les essais de configuration et qui donne un excellent rapport de test, très lisible.

Sources d’information

Merci à ces sites/auteurs qui m’ont aidé à m’y retrouver :

• Nicolass sur ForumNews
• Julien Falconnet

Et merci à Vincent Rubiolo pour avoir détecté l’erreur de copier-coller dans la version originale de l’article.

La version 1.7 de Cygnus est disponible qui supporte maintenant Windows 7 (mais abandonne aussi les Windows 95, 98 & Me).

Comme si cela ne suffisait pas cette version offre aussi la possibilité de configurer IPv6 (si vous êtes déjà attiré par cette solution) ou le support d’installation multiples.

Cygnus v1.7-1.1 new release.

A noter si vous utilisez Opera : j’ai rencontré un problème plutôt difficile à résoudre ces derniers temps.

Alors que je bricolais avec IPv6 en vue de convertir mon réseau personnel et mon PC principal, j’ai commencé par goûter l’eau en essayant d’en valider le fonctionnement sur ma config Windows XP. Pour mon malheur, Opera est complétement prêt à passer à IPv6 mais mon routeur ne l’est pas. Alors le premier effet observable a été qu’Opera, en décidant d’utiliser absolument IPv6 pour naviguer sur tout site qui signalait sa capacité IPv6 dans son DNS (pas nombreux, mais Google et Free mon FAI font partie de cette liste), a essayé de se connecter à ces sites en IPv6 mais a systématiquement échoué (parce que le reste de ma configuration n’est pas 100% IPv6). Pour 99% des sites web, cela ne faisait aucune différence, mais Google et Free étaient devenus inaccessibles…

Il m’aura fallu plusieurs jours (et l’aide de Google – à travers Firefox, Safari et Chrome) pour comprendre que c’est un problème connu et pour retirer IPv6 de ma configuration Windows pour le moment.

Je vais devoir améliorer mon routeur avant de ré-essayer.

Principalement destinée à contrer le téléchargement illégal, cette loi n’a visiblement pas pris en compte la réalité du réseau Internet (nous y viendrons dans un instant) et les obligations d’une démocratie. Sur ce dernier point, le Conseil Constitutionnel, vous le savez, a bloqué la troisième étape de la réponse graduée (voir l’analyse très complète et très documentée de Maitre Eolas). Après deux avertissements, l’escalade devait mener à la fermeture de l’accès Internet par une simple décision administrative. Ce n’est plus possible, même si le (nouveau) gouvernement devrait prochainement proposer une nouvelle solution probablement acceptable par les élus et par le Conseil Constitutionnel. Nous verrons…

En attendant, il se trouve que la technologie évolue très rapidement et nos députés et sénateurs qui n’ont aucune idée de ce qu’ils combattent (voir vidéo ci-contre). D’ores et déjà des solutions de contournement sont en cours d’étude :

• Plusieurs trackers P2P (comme ThePirateBay) ont commencé à semer de fausses adresses IP (dans certains cas, ce sont les adresses de routeurs ou autres imprimantes parfaitement incapables de faire du P2P ; dans d’autres cas, ce sont de vraies adresses IP de vrais utilisateurs Internet ce qui va obliger les polices du Net à vérifier formellement le bon fonctionnement de chaque adresse)
• On nous annonce l’arrivée de réseaux privés virtuels (VPN) qui, pour le prix de quelques euros par mois, permettront de faire du P2P absolument hors de l’observation de l’extérieur (y compris hors de la vue de votre propre FAI). C’est déjà en cours de déploiement.
• Les logiciels de P2P (en particulier du côté de BitTorrent, semble-t-il) commencent à intégrer des interfaces réseau IPv6 qui sont certainement le premier pas vers une communication totalement cryptée (et donc inaccessible à la police comme à la justice, sans parler de la SACEM).

photo credit: photogestion

Pire encore, c’est dès aujourd’hui, avec des techniques déjà existantes que la loi peut être contournée. Le législateur, visiblement pas au courant de ce qui existe, n’a pas su proposer de solutions aux vrais problèmes posés :

• Comment assurer la condamnation de millions d’internautes (à tout le moins, de centaines ou de milliers d’internautes : aux USA, les poursuites ont atteint les dizaines de milliers – sans aucun effet sur le succès du téléchargement illégal)
• Comment repérer les contrevenants : il ne suffit pas de proposer un moyen de chasser les utilisateurs des moyens les plus connus actuellement (comme Kazaa, eMule/eDonkey, BitTorrent), il faut aussi pouvoir repérer les autres (comme les téléchargements depuis les newgroups)
• Comment identifier de manière positive le contrevenant à partir de données aussi peu fiables qu’une adresse IP (qui -au mieux- permet d’identifier un ordinateur mais certainement pas un utilisateur)

En fait, les solutions sont très nombreuses comme vous pourriez l’apprendre sur Linux Manua :

• 10 antidotes anti-Hadopi
• Plan de Résistance ABCDEFUCK

C’est dans ce contexte, alors que l’Internet Engineering Task Force (IETF) préparait une nuit sans IPv4 pour sensibiliser le public, Google a lancé la version réservée à IPv6 de son moteur de recherche : ipv6.google.com (si vous êtes comme presque tout le monde, vous ne trouverez sans doute rien au bout de ce lien).

Il ne nous reste plus qu’à changer tous le plus tôt possible.

Cela veut dire que IPv6 va maintenant pouvoir devenir une réalité dans la plupart des régions du monde, même s’il reste encore beaucoup à faire dans ce domaine pour le rendre absolument omniprésent.

Les FreeBox v4 n’ont que l’IPv6. Les FreeBox v5 ont droit à la totale.

Un rappel de sécurité pour les utilisateurs : IPv6 a tendance à rendre plus important de disposer d’un vrai firewall correctement configuré sur l’ordinateur.