Le DNSsec n’étant pas suffisamment répandu pour ne pas subir une attaque MITM, le mieux actuellement est de sécurisé son trafic jusqu’à un tiers de confiance.

Pour sécuriser encore plus la résolution de nos DNS on peut passer par DoH (dns over https) ou DoT (DNS over TLS). C’est le deuxième qui sera retenu, car il est inutile d’ajouter des couches HTTP. Le DoT est plus natif, un peu comme imaps pour les mails, https pour le web, etc

Les requêtes sortantes peuvent se faire via :

• DNScrypt
• DNS over https DoH
• DNS over TLS DoT

Quel protocole utiliser ? Un article anglais explique bien que le DoT est le choix le plus judicieux

2 choix

• Un container tout fait stateless basé sur unbound
  • container
  • github
• Sa propre configuration Unbound
  • Container unbound avec descriptif
  • Configuration d’exemple pour Unbound utilisé avec DoT

Installation du service DoT

Unbound via l’image qmcgaw/dns permet de générer les fichiers de configuration unbound à partir de varniable d’environement pour une installation rapide et stateless.

Voici la configuration du service à ajouter à celle de l’installation de Pihole vue précédemment.

services:
  dot:
    image: qmcgaw/dns:latest
    container_name: pihole-unbound-DoT
    environment:
      PROVIDERS: 'cloudflare,quad9'
      BLOCK_MALICIOUS: 'on'
      CACHING: 'off'
    networks:
      dnsnet:
        ipv4_address: 10.10.10.34
    restart: unless-stopped

Configurer un relais DNS sécurisé dans Pihole

Après l’installation du container DoT, il faut modifier l’IP du serveur personnalisé.
Aller dans Settings > DNS pour décocher tous les serveurs de gauche et activé un custom avec l’IP de notre container docker unbound-dot :

docker inspect -f '{{ .NetworkSettings.Networks.pihole_dnsnet.IPAddress }}' unbound-dot
10.10.10.34

Attention à bien fixer les IP de vos container cette fois-ci vu que les serveurs DNS ont besoin d’IP et non de nom

Tester si nos DNS sont sécurisés via https://1.1.1.1/help, le résultat qui nous intéresse est « Using DNS over TLS (DoT) » :

Tester la résolution DNS DoT (DNS-over-tls) en ligne de commande. Cela nécessite le paquet knot-dnsutils

kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com mondomain.tld

Passage en revue de l’installation complète avec Pihole

Dans mon exemple, c’est le container pihole qui reçoit les requêtes des clients pour les transférer au container Unbound DoT et de manière sécurisée jusque Cloudflaire. Ils partageront donc un réseau afin de segmenter le tout, plus besoin d’avoir le port de l’host ouvert.
Dans l’exemple le réseau 10.10.10.32/29 nous donne 8 IP dispo dans l’absolut mais :

• 10.10.10.32 est notre network
• 10.10.10.33 étant réservée pour l’host, et faisant gateway pour les containers de ce réseau
• il reste 5 IP dispo de 10.10.10.34 à 10.10.10.38
• 10.10.10.39 est le broadcast

Pour les DNS cela travail essentiellement avec des IP, on fixe donc les IP des containers.
Et on oublie pas la dépendance du service pihole envers notre Unbound pour faire propre.

version: '3.7'

networks:
  dnsnet:
    driver: bridge
    ipam:
      driver: default
      config:
        - subnet: 10.10.10.32/29
  proxy-net:
    external: true

services:

  dot:
    image: qmcgaw/dns:latest
    container_name: pihole-unbound-DoT
    environment:
      PROVIDERS: 'cloudflare,quad9'
      CACHING: 'off'
      BLOCK_MALICIOUS: 'on'
    networks:
      dnsnet:
        ipv4_address: 10.10.10.34
    restart: unless-stopped

  pihole:
    image: pihole/pihole:latest
    container_name: pihole
    ports:
      - "53:53/tcp"
      - "53:53/udp"
    volumes:
      - '/var/lib/docker/data/pihole/config/etc-pihole/:/etc/pihole/'
      - '/var/lib/docker/data/pihole/config/etc-dnsmasq.d/:/etc/dnsmasq.d/'
    environment:
      TZ: 'Europe/Paris'
      ADMIN_EMAIL: 'YOUR_EMAIL'
      WEBPASSWORD: 'tttttt'
      DNS1: 10.10.10.34
      DNS2: 10.10.10.34
      VIRTUAL_HOST: pihole.domain.tld
    depends_on:
      - dot
    networks:
      proxy-net:
      dnsnet:
          ipv4_address: 10.10.10.35
    restart: unless-stopped

    labels:
      - traefik.enable=true
      - traefik.http.services.pihole.loadbalancer.server.port=80
      - traefik.http.routers.pihole.entrypoints=websecure
      - traefik.http.routers.pihole.tls.certresolver=le
      - "traefik.http.routers.pihole.rule=Host(`pihole.domain.tld`)"

On peut lancer et inspecter les IP des containers via :

docker network inspect pihole_dnsnet

L’article Sécuriser ses DNS avec Pihole et DoT (dns-over-tls) est apparu en premier sur Mon linux.

Il existe aussi quad9 qui block des domaines malicieux gratuitement.

Configuration docker-compose Pihole

Configuration pihole simple

Fichier docker compose de base (sans dhcp) en écoute sur port 2080 en http :

version: '3.7'

services:
  pihole:
    image: pihole/pihole:latest
    container_name: pihole
    ports:
      - "53:53/tcp"
      - "53:53/udp"
      #- "67:67/udp"
      - "2080:80/tcp"
      #- "2443:443/tcp"
    volumes:
      - '/var/lib/docker/data/pihole/etc-pihole/:/etc/pihole/'
      - '/var/lib/docker/data/pihole/etc-dnsmasq.d/:/etc/dnsmasq.d/'
    environment:
      TZ: 'Europe/Paris'
      ADMIN_EMAIL: 'YOUR_EMAIL'
      WEBPASSWORD: 'TEMP_ADMIN_PASSWORD'
      VIRTUAL_HOST: pihole.domain.tld

    restart: unless-stopped

Après le premier démarrage et configuration on peut changer le mot de passe admin avec cette commande pour ne pas le laisser traîner dans le fichier de configuration : docker exec -it pihole pihole -a -p

Configuration Pihole avec Traefik

Fichier docker avec configuration de traefik devant l’interface web et les dns cloudflare de choisi :

version: '3.7'

networks:
  proxy-net:
    external: true

services:
  pihole:
    image: pihole/pihole:latest
    container_name: pihole
    ports:
      - "53:53/tcp"
      - "53:53/udp"
    volumes:
      - '/var/lib/docker/data/pihole/etc-pihole/:/etc/pihole/'
      - '/var/lib/docker/data/pihole/etc-dnsmasq.d/:/etc/dnsmasq.d/'
    environment:
      TZ: 'Europe/Paris'
      ADMIN_EMAIL: 'YOUR_EMAIL'
      WEBPASSWORD: 'tttttt'
      DNS1: '1.1.1.1'
      DNS2: '1.0.0.1'
      VIRTUAL_HOST: 'pihole.domain.tld'

    networks:
      - proxy-net
    restart: unless-stopped

    labels:
      - traefik.http.services.pihole.loadbalancer.server.port=80
      - traefik.http.routers.pihole.entrypoints=websecure
      - traefik.http.routers.pihole.tls.certresolver=le
      - "traefik.http.routers.pihole.rule=Host(`pihole.domain.tld`)"
      - "traefik.http.routers.pihole.middlewares=home-whitelist@file"

Configuration de PiHole via l’interface web

DNS forwarder

Si ce n’est déjà fait via les variables docker, on change les DNS utilisés, car ceux par défaut sont ceux de Google… Pour quelque chose évitant la pub, c’est un peu contradictoire…
Aller dans Settings > onglet DNS
Il est possible de prendre Google, OpenDNS, Level3, Comodo, DNS.WATCH, quad9, cloudflare ou bien des serveurs dns customisés.

Voici une liste des serveurs et leurs qualités, tel que la vie privée :

Pour plus d’info, un bon article décrivant les qualités de chacun de ces fournisseurs de DNS gratuits.

Les DNS customisés sont pratiques si vous voulez chainer avec un bind9 ou powerDNS et beaucoup de dns internes.
Pour une utilisation domestique, tout est prévu dans l’interface pour le faire directement.

résolution dns locaux

C’est une partie qui va remplacer mon serveur bind9 interne, que j’utilisais pour résoudre des services « cloud » maison via leur IP locale quand on est à la maison et l’ip publique quand on est à l’extérieur.

gestion de listes supplémentaires

Il est possible d’ajouter des listes d’hosts à blacklisté autres que la pub, comme les fakenews, réseaux sociaux, porno, etc.
Il est possible de bloquer certaines catégories uniquement pour un certain group d’host.

De base, lorsqu’une url est ajoutée, elle s’applique à tous les clients, qui sont par défaut dans le gorupe « default ».

Une liste des catégories disponibles par la communauté se trouvent sur le github de StevenBlack.

Le site firebog regroupe des listes par catégories dangeureux, publicitaire, tracking

1. J’ajoute donc la liste https://raw.githubusercontent.com/StevenBlack/hosts/master/extensions/fakenews/hosts dans Group Management > Adlists
   

   

2. Ensuite on fait un update manuel pour avoir la nouvelle liste
   

   

3. un test avant/après :
   

   

Gestion des groupes

1. Création d’un groupe « restricted »
   

   

2. On met un client dans ce groupe: en sélectionnant un client connu du serveur dns et en l’associant au groupe « restricted » uniquement. Attention à bien valider
   

   

3. On ajouter la liste gambling et on sélectionne uniquement pour le groupe « restricted », et on ajoute les 2 autres listes au groupe « restricted » également
   

   

4. On fait une mise à jour de Gravity
5. Les clients de base ont une blackliste adware+walware+fakenews et le client « domopi » adware+walware+fakenews+gamebling

Application Android Pi-hole Connect

Une application Android Pi-hole Connect est également disponible afin de gérer facilement une mise en pause du blocage, ajouter un domaine à la whitelist ou actualiser les filtres par exemple.

L’article Pihole pour se passer de publicité et sites malicieux est apparu en premier sur Mon linux.

Il y a 2 grands sites de DNS dynamique. DynDns et No-Ip. Le premier est malheureusement devenu exclusivement payant depuis quelques mois. Il était pourtant implémenté dans de nombreuses box… Je vous conseille donc no-ip qui est gratuit pour l’utilisation de ses sous-domaines. On peut utiliser max 3 sous-domaines pour le compte gratuit, ce qui est largement suffisant pour une utilisation perso.

 Configuration sous Debian

Pour ceux qui n’ont pas de box pouvant intégrer la gestion des dns dynamiques avec no-ip, voici ce qu’il est possible de faire sous Debian et donc avec un raspberry pi ou un banana pi.

Les clients possibles sont :

• ddclient
• inadyn

Dans mon cas j’ai pris ddclient qui existe depuis un petit temps dans les dépôts Debian.

apt-get install ddclient

Ensuite on modifie le fichier de configuration :

# /etc/ddclient.conf
protocol=dyndns2
use=web, web=checkip.dyndns.com/, web-skip='IP Address'
server=dynupdate.no-ip.com
login=MY_LOGIN
password='MY_PASS'
MYSUBDOMAIN.no-ip.biz

Ce client est à l’origine pour dyndns, mais no-ip utilise le même protocole pour la mise à jour de l’IP correspondante au DNS dynamique.

• on change le champ login par l’identifiant no-ip
• on fait la même chose pour le mot de passe, malheureusement no-ip ne fourni pas d’API-KEY on se contentera du mot de passe
• on indique le sous domaine ou le domaine de chez eux

On peut lancer ddclient à la main :

ddclient -file /etc/ddclient.conf

Utilisation du daemon

Il est préférable que cette action soit automatique pour prévenir d’un changement automatique d’IP par le provider

On vérifie les paramètres default pour voir si le daemon est configuré :

# cat /etc/default/ddclient

run_daemon="true"

daemon_interval="300"

Adapter intervalle de rafraichissement si besoin, il est exprimé en secondes.

On redémarre ddclient et on vérifie que le daemon est bien en exécution :

# /etc/init.d/ddclient start

# ps aux | grep ddclient
root      2434  0.0  0.5   7256  4936 ?        S    aoû27   0:14 ddclient - sleeping for 100 seconds
root      6180  0.0  0.0   4012   828 pts/0    S+   10:12   0:00 grep ddclient

L’article DNS dynamique – client no-ip et dyndns sous Debian est apparu en premier sur Mon linux.