yann.verry.org/content/posts/dns/resolvons-de-maniere-securise/index.md

+++
author = "Yann Verry"
categories = ["dns"]
date = 2021-04-14T13:47:47Z
description = ""
draft = false
image = "doh-dot-1.jpg"
slug = "resolvons-de-maniere-securise"
tags = ["dns"]
title = "Resolvons de manière sécurisé"

+++


Le DNS, brique de base pour Internet évolue à son rythme. Depuis plusieurs années l'ensemble de la toile s'est sécurisé en activant du TLS un peu partout.

Et donc le DNS à suivi, une première tentative avec _DNSCrypt_ mais ça n'a pas été un succès. Deux nouvelles façon ont émérgé après ce premier échec :

* DNS over TLS
* DNS over HTTPs

Cela restais compliqué à mettre en œuvre, peu de client compatible, mais ça c'était avant. Depuis je dirais 12 à 18 mois c'est de plus en plus simple.

## DNS Dist

DNSDist est proposé par [PowerDNS](https://www.powerdns.com/). Ce logiciel est dans la ligné de tout ce que produit powerdns: excellent.
Si je fais l'analogie c'est un reverse proxy du DNS.

Pour commencer je me suis donc créé un container à base d'alpine puis installé dnsdist.

On commence donc par lui fournir un backend, ici mon dns resolveur menteur chez moi:

```
newServer({address="2a01:e0a:49e:2b83::2", name="home", qps=10, checkInterval="30"})
```

Je souhaite que ce résolveur soit ouvert à tous pour DoT et DoH, pour cela ajoutons une ACL "open bar" :

```
addACL('::/0')
addACL('0.0.0.0/0')

```

Qui dit DNS ouvert il faut se méfier et donc ajouter un peu de ratelimiting

```
addAction(MaxQPSIPRule(50), DropAction())

```

Je laisse ouvert cette URL, mais sans garantie sur son fonctionnement bien que je l'utilise au quotidien. On va voir pour mettre une charte et tout ce qui va avec un peu plus tard.

### Monitoring & Graphing

Avant de faire DoT & DoH je n'imagine pas utiliser un service sans un minimum d'observabilité avec prometheus. Ici pas besoin d'exporter spécifique c'est natif au serveur web qu'il faut donc activer.

```
webserver("[::]:8083", "webinterfacepassword", "apipassword", {}, "prometheusIP")
```

J'ai donc un serveur web qui tourne et répond à `/metrics` il fait plein d'autre chose mais j'aurais la même dans grafana.

La configuration prometheus est aussi simple:

```
- job_name: 'dnsdist'
    basic_auth:
      username: dontcare
      password: mysuperextrapassword
    static_configs:
      - targets: ['dnsdist:8083']

```

Et me voila avec des metrics \o/

## DNS over TLS (DoT)

Pas de roue réinventé ce qui n'est pas plus mal, ce n'est "que" du TLS ajouté au protocole DNS. Cela impose TCP uniquement, exit donc UDP.

Sa mise en place côté dnsdist est simple en v4 et v6, forçons un minimum de TLSv1.2:‌

```
addTLSLocal('::','/ssl/certs/verry.org/fullchain.pem','/ssl/certs/verry.org/privkey.pem', {minTLSVersion: "tls1.2"})
addTLSLocal('0.0.0.0','/ssl/certs/verry.org/fullchain.pem','/ssl/certs/verry.org/privkey.pem', {minTLSVersion: "tls1.2"})
```

dnsdist va donc se mettre à faire du DoT sur le port par défaut à savoir `853/TCP` :

```
Listening on [::]:853 for TLS
Listening on 0.0.0.0:853 for TLS
```

Il est compatible nativement sur mon téléphone Android et ça c'est vraiment top, ici sur un samsung par exemple

Paramètres -> Connexions -> Plus de paramètres de connexion :

![android DOT](android_dot.png)

‌Un peu de TCPdump m'indique que mon serveur est utilisé (en plus des metrics)

## DNS over HTTPS (DoH)

Les navigateurs implémentent aussi DoH, car un flux sécurisé c'est bien mais si on indique à notre fournisseur ce qu'on visite il y a comme un petit loupé. C'est la que DoH intervient, il est sur HTTPS donc autorisé partout à contrario de DoT qui utilise un port spécifique et peu donc être bloqué.

Côté dnsdist:

```
addDOHLocal("[::]:8053", nil, nil, "/", { reusePort=true })
```

Et ensuite j'ajoute mon serveur web Caddy

```
doh.verry.org {
  import logs
  import headers
  import tls_verry
  reverse_proxy http://dnsdist:8053
}
```

Et ... c'est tout côté serveur. Pour le client firefox le prend en charge, dans les paramètres chercher _DoH_ :

![Firefox DOH](firefox_doh.png)


## Conclusion

Il est devenu facile avec dnsdist de se créer son propre serveur DoT et DoH, la compatibilité avec mon téléphone android (coucou l'anti pub) est ce qui m'a motivé à le mettre en place. Le besoin d'utilisation de mon vpn wireguard est vraiment remis en question car l'utilité première était la confidentialité, dans un hôtel (ahahah), en vadrouille (re hahahaha) deviens quasi nul.

Si jamais il est disponible via [https://doh.verry.org](https://doh.verry.org)
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
+								+++
 								author = "Yann Verry"
-												major rework

											
										
										
											2022-04-24 14:03:30 +00:00
+								categories = ["dns"]
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
+								date = 2021-04-14T13:47:47Z
 								description = ""
 								draft = false
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								image = "doh-dot-1.jpg"
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
+								slug = "resolvons-de-maniere-securise"
-												major rework

											
										
										
											2022-04-24 14:03:30 +00:00
+								tags = ["dns"]
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
+								title = "Resolvons de manière sécurisé"
 								+++
 								Le DNS, brique de base pour Internet évolue à son rythme. Depuis plusieurs années l'ensemble de la toile s'est sécurisé en activant du TLS un peu partout.
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Et donc le DNS à suivi, une première tentative avec _DNSCrypt_ mais ça n'a pas été un succès. Deux nouvelles façon ont émérgé après ce premier échec :
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								* DNS over TLS
 								* DNS over HTTPs
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Cela restais compliqué à mettre en œuvre, peu de client compatible, mais ça c'était avant. Depuis je dirais 12 à 18 mois c'est de plus en plus simple.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								## DNS Dist
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								DNSDist est proposé par [PowerDNS](https://www.powerdns.com/). Ce logiciel est dans la ligné de tout ce que produit powerdns: excellent.
 								Si je fais l'analogie c'est un reverse proxy du DNS.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								Pour commencer je me suis donc créé un container à base d'alpine puis installé dnsdist.
 								On commence donc par lui fournir un backend, ici mon dns resolveur menteur chez moi:
 								```
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								newServer({address="2a01:e0a:49e:2b83::2", name="home", qps=10, checkInterval="30"})
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
+								```
 								Je souhaite que ce résolveur soit ouvert à tous pour DoT et DoH, pour cela ajoutons une ACL "open bar" :
 								```
 								addACL('::/0')
 								addACL('0.0.0.0/0')
 								```
 								Qui dit DNS ouvert il faut se méfier et donc ajouter un peu de ratelimiting
 								```
 								addAction(MaxQPSIPRule(50), DropAction())
 								```
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Je laisse ouvert cette URL, mais sans garantie sur son fonctionnement bien que je l'utilise au quotidien. On va voir pour mettre une charte et tout ce qui va avec un peu plus tard.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								### Monitoring & Graphing
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Avant de faire DoT & DoH je n'imagine pas utiliser un service sans un minimum d'observabilité avec prometheus. Ici pas besoin d'exporter spécifique c'est natif au serveur web qu'il faut donc activer.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								```
 								webserver("[::]:8083", "webinterfacepassword", "apipassword", {}, "prometheusIP")
 								```
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								J'ai donc un serveur web qui tourne et répond à `/metrics` il fait plein d'autre chose mais j'aurais la même dans grafana.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								La configuration prometheus est aussi simple:
 								```
 								- job_name: 'dnsdist'
 								    basic_auth:
 								      username: dontcare
 								      password: mysuperextrapassword
 								    static_configs:
 								      - targets: ['dnsdist:8083']
 								```
 								Et me voila avec des metrics \o/
 								## DNS over TLS (DoT)
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Pas de roue réinventé ce qui n'est pas plus mal, ce n'est "que" du TLS ajouté au protocole DNS. Cela impose TCP uniquement, exit donc UDP.
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								Sa mise en place côté dnsdist est simple en v4 et v6, forçons un minimum de TLSv1.2:‌
 								```
 								addTLSLocal('::','/ssl/certs/verry.org/fullchain.pem','/ssl/certs/verry.org/privkey.pem', {minTLSVersion: "tls1.2"})
 								addTLSLocal('0.0.0.0','/ssl/certs/verry.org/fullchain.pem','/ssl/certs/verry.org/privkey.pem', {minTLSVersion: "tls1.2"})
 								```
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								dnsdist va donc se mettre à faire du DoT sur le port par défaut à savoir `853/TCP` :
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								```
 								Listening on [::]:853 for TLS
 								Listening on 0.0.0.0:853 for TLS
 								```
 								Il est compatible nativement sur mon téléphone Android et ça c'est vraiment top, ici sur un samsung par exemple
 								Paramètres -> Connexions -> Plus de paramètres de connexion :
-												major rework

											
										
										
											2022-04-24 14:03:30 +00:00
+								![android DOT](android_dot.png)
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								‌Un peu de TCPdump m'indique que mon serveur est utilisé (en plus des metrics)
 								## DNS over HTTPS (DoH)
 								Les navigateurs implémentent aussi DoH, car un flux sécurisé c'est bien mais si on indique à notre fournisseur ce qu'on visite il y a comme un petit loupé. C'est la que DoH intervient, il est sur HTTPS donc autorisé partout à contrario de DoT qui utilise un port spécifique et peu donc être bloqué.
 								Côté dnsdist:
 								```
 								addDOHLocal("[::]:8053", nil, nil, "/", { reusePort=true })
 								```
 								Et ensuite j'ajoute mon serveur web Caddy
 								```
 								doh.verry.org {
 								  import logs
 								  import headers
 								  import tls_verry
 								  reverse_proxy http://dnsdist:8053
 								}
 								```
 								Et ... c'est tout côté serveur. Pour le client firefox le prend en charge, dans les paramètres chercher _DoH_ :
-												major rework

											
										
										
											2022-04-24 14:03:30 +00:00
+								![Firefox DOH](firefox_doh.png)
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00
 								## Conclusion
 								Il est devenu facile avec dnsdist de se créer son propre serveur DoT et DoH, la compatibilité avec mon téléphone android (coucou l'anti pub) est ce qui m'a motivé à le mettre en place. Le besoin d'utilisation de mon vpn wireguard est vraiment remis en question car l'utilité première était la confidentialité, dans un hôtel (ahahah), en vadrouille (re hahahaha) deviens quasi nul.
-												add more details on doh/dot

											
										
										
											2022-04-24 20:59:21 +00:00
+								Si jamais il est disponible via [https://doh.verry.org](https://doh.verry.org)
-												first commit

											
										
										
											2022-04-24 12:21:15 +00:00