DNS menteur, une autre méthode anti-curieux
Proxies filtrants
Si le responsable du réseau est un pratiquant du FLOSS il utilisera très certainement une solution à base de proxies filtrants tels que Privoxy, Squid ou encore Polipo (je vous conseille l’excellent article de bragon).
Fonctionnement générique d’un proxy filtrant
Nous sommes toujours dans notre scénario d’une visite de courtoisie sur Geekfault.
- La première étape pour afficher la page d’accueil de Geekfault est la résolution du nom de domaine en adresse IP par un DNS externe (configuration par défaut des navigateurs et des proxies communs) :
- Une connexion INdirecte sur la machine par HTTP permet de récupérer le fichier index (typiquement index.php) à travers un proxy:
- Le navigateur lit cette page pour établir la liste des fichiers à télécharger en plus (js,png,css, …) et la liste des éléments externes au site (dont ceux des web-espions). Les éléments externes doivent d’abord être recherchés par leur adresse IP toujours avec un DNS externe :
- Le navigateur télécharge et traite les fichiers présents sur le serveur de Geekfault :
- En même temps que l’étape 4, le navigateur tente de télécharger les éléments tiers, mais le proxy filtrant l’en empêchera.
Qu’en conclure ?
Le proxy filtrant est la solution généralement la plus efficace. Les filtres à base d’expression régulières permettent un action chirurgicale sans égal, la contrepartie est que pour proxifier une centaine de poste client la machine doit être correctement dimensionnée.
Comme nous le rappelle khemael le proxy transparent çaymal® mais c’est le prix à payer pour protéger les terminaux qui ne proposent pas de réglages relatifs au proxy (au hasard une TV…).
Le dernier inconvénient est que les systèmes espions ne communiquent pas tous sur HTTP.
Les avantages l’emportant largement sur les inconvénients, la popularité de ce système est facilement compréhensible. Néanmoins il existe une autre approche basée sur les DNS menteurs que nous allons aborder dans le prochain chapitre.
Bel article ! Petite question, où as tu trouver ces jolies clipart, qui semble être vectoriel ? Ils sont magnifiques, ça produit d’excellent schéma !
Merci 😉
Ces illustrations ont été réalisées avec Cacoo, un flow-chart en ligne basé sur flash.
Ce que l’on perd en souplesse par rapport à un Dia est compensé par la richesse des ‘cliparts’ (qui n’en sont pas en fait) et par la disponibilité d’un outil ‘in the cloud’. A tester sur un petit projet pour se faire un avis.
La galerie originale est ici https://cacoo.com/diagrams/Z1pvc3fomB1cMnoi
Il manque juste un petit quelque chose: l’ajout des nouveaux domaines espions ou publicitaires, à la volée, par les utilisateurs.
Comme ce que permet Ad-Block: hop ça me plait pas, hop je vire. Sauf que je ne vois pas comment on pourrait faire ça de façon pratique sur tous les navigateurs..
Effectivement c’est encore une autre limite d’un système tel que décrit dans l’article.
Mon petit doigt me dit que le prochain article traitera de l’import conditionnel de règles adblock 😉
bonjour.
je tiens a préciser que le fichiers hosts existe également sur un windows !!!
il est même ici : %windir%\system32\drivers\etc\hosts
(remarquez l’extrême similitude entre le /etc/hosts d’un Linux et le \etc\hosts d’un Windows ^_^…même les commentaires sont quasi identiques…)
(pas testé sur win7, désolé…)
jbdzdd
pmopp7