< OpenDNS pour sécuriser les accès WEB facilement | Roozeec Linux Blog
1 Star2 Stars3 Stars4 Stars5 Stars (7 votes, average: 5, 00 out of 5)
Loading...Loading...

OpenDNS pour sécuriser les accès WEB facilement

Aujourd’hui, un article un peu longuet pour vous parler de OpenDNS qui vous permet de sécuriser les accès WEB de votre ordinateur assez simplement. En fait, cet article m’est venu à l’esprit depuis assez longtemps, et plus précisément lorsque qes des proches m’ont parlé d’un soucis avec leur fille. En effet, en compagnie d’une amie, celle-ci s’est sont inscrites sur Meetic, le site de rencontre….. Bien sur, certains vont me dire qu »il ne faut pas laisser les enfants seuls sur le net, c’est exact, mais on n’a pas toujours l’oeil en permanence sur eux. Bref, le problème n’est pas là… Ayant réussi à la désinscrire de ce site de rencontre, les parents m’ont demandé comment faire pour éviter ca à l’avenir, je n’ai pas pu les renseigner beaucoup (ils sont sous windows) et je n’ai pas eu le temps d’approfondir le problème.

Sous Linux, il existe beaucoup de solution (squid, tiniproxy, dansguard et j’en passe), mais je voulais une solution simple et qui fonctionne qu’importe l’OS. C’est alors que m’est venu d’utiliser OpenDNS. Bien entendu, ici je parlerais de l’installation sous Linux. En fait OpenDNS permet de nombreuses choses :

  • Filtrage de contenu (achats, jeux, etc …)
  • Protection contre le Phishing
  • Blocage de domaines
  • Blocage contenu adulte
  • Liste blanche de domaines
  • Proxy Web
  • Correction typo (gogle.com -> google.com)
  • Statistiques et logs
  • Raccourci (gg -> http://www.google.fr)

Ca fait, beaucoup tout ca, je ne vais bien sur pas tout détailler…

Commencons tout d’abord par la création d’un compte sur openDNS, c’est gratuit : Création d’un compte sur OpenDNS.C’est très simple, quelques champs a remplir et c’est tout :

Unfois les champs remplis et un clic sur Create Account, un mail devrait arriver dans votre boite au lettre pour confirmer la création du compte. Il suffit de cliquer sur le lien dans ce mail. Ensuite , si ce n’est déjà fait vous vous connecter à votre compte openDNS :

Maintenant , il vous vaut donc créer un réseau, en fait un adresse IP qui sera connecté sur Opendns. Beaucoup de personnes (dont moi) sont utilisateurs d’une box (freebox, livebox, etc…) et donc possèdent une adresse IP dynamique qui leur est fournie par le prestataire internet (Free, orange). De ce fait, il faudra configurer OpenDNS pour lui signaler que notre adresse est dynamique. Pour l’instant, crééons donc le réseau avec l’adresse IP actuelle. Il faut donc tout d’abord aller dans le panneau de configuration (DashBoard) qui se trouve sur le panneau principal:


Puis dans l’onglet Network pour créer un réseau (si c’est le premier réseau que vous créer, ce sera prérempli avec votre adresse IP), il suffit alors de lui donner un nom :

Après le clic sur ADD THIS NETWORK? vous devriez avoir la confirmation de la création de ce réseau :

Maintenant configurons le fait que nous ayons un adresse IP Dynamique. Après avoir cliqué sur l’onglet SETTINGS, on a donc le menu suivant et il suffit de cliquer sur Set Up a Dynamic IP :

Ensuite, de cocher la fonctionnalité :

Une fois ceci fait, ,OpenDNS nous conseille un autre site DNSOMATIC (qui leur appartient) et qui permet de mettre a jour plusieurs site utilisants des adresses IP dynamiques. Par exemple En utilisant DNSOMATIC, on peut en le mettant a jour lui dire de mettre a jour DYNDNS.org, opendns et autre. J’ai de mon coté pris cette option. En allant donc sur DnsOMatic , si ce n’est déjà fait, vous vous connectez avec les mêmes identifiants que OpenDNS et vous devriez avoir quelque chose du genre :

Comme on peut le voir ici , le service est inactif, il suffit donc de l’activer en cliquant sur Update account info. Maintenant , une des choses les plus importantes a faire. En effet, il faut que DNSOMATIC connaisse notre adresse IP afin de mettre a jour OpenDNS, donc notre ordinateur doit envoyer son adresse IP a DNSOMATIC. Pour celà, plusieurs programmes existent, voici la liste sur cette page : Clients Dynamic IP
J’ai pour ma part choisi DDCLIENT. L’instalaltion sous Ubuntu se fait très simplement par ma commande : sudo apt-get install ddclient . A ce moment, de nombreux écrans vont apparaitre pour configurer ddclient :

Le plus simple a faire est en fait de passer vite fait sur ces écrans et de configurer directement le fichier de configuration qui se trouve sous /etc et qui se nomme ddclient.conf. Donc un simple sudo gedit /etc/ddclient.conf suffira a l’éditer. Ensuite, il faut remplir les champs de cette manière :

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

pid=/var/run/ddclient.pid
protocol=dyndns2
use=web, web=myip.dnsomatic.com
server=updates.dnsomatic.com
login=VOTREPSEUDO
password=’VOTREPASSWORD’
all.dnsomatic.com

Une fois ceci fait, il aut redémarrer le service ddclient par la commande : sudo /etc/init.d/ddclient restart , ce qui doit donner normalement :

* Restarting Dynamic DNS service update utility ddclient [ OK ]

On peut vérifier que ddcleitn est lancé en tache de fond avec la commande : ps -eaf|grep ddclient qui donne

root 6630 1 0 07:26 pts/0 00:00:00 ddclient – sleeping for 280 seconds

Maintenant , allons faire un petit tour chez DNSOMATIC et en cliquant sur Your Services , vous devriez avoir quelques chose du genre :

Au bout d’un certain temps (normalement 280 secondes) vous devriez avoir ceci avec votre adresse IP, ce qui confirme que ca fonctionne correctement.

Dernière étape et non des moindres. Pour pouvoir utiliser les services de OpenDNS, il faut que notre ordinateur utilises les DNS de OpenDNS. En effet, actuellement il utilise les DNS de notre presatataire de service (free, orange, etc …). pour faire ceci, il suffit de modifier le fichier /etc/resolv.conf et d’y ajouter les 2 serveurs OPENDNS :

  • nameserver 208.67.222.222
  • nameserver 208.67.220.220

DE plus une chose importante a faire aussi, est d’informer le client dhcp de l’ordinateur d’utiliser toujours ces serveurs. Si vous ne le faites pas , au prochain reboot , les serveurs DNS utilisés seront ceux de votre prestataire internet. Pour ceci, il faut modifier le fichier /etc/dhcp3/dhclient.conf et rajouter en fin de fichier :

  • prepend domain-name-servers 208.67.222.222,208.67.220.220;

Un redémarrage du service réseau est nécessaire par l’intermédiaire de la petite icone avec 2 écrans en bas a droite de votre écran (ou ailleurs suivant votre configuration de bureau). Il suffit de désactiver le réseau (décoché) et de réactiver par un clic droit sur cet icone :

Pour vérifier que vous utilisez bien les serveurs DNS de OpenDNS il suffit de se rendre sur la page de test : http://www.opendns.com/welcome/
Vous devriez alors avoir un message du genre :

Voilà, c’est fait ca fonctionne. Maintenant il reste a personnaliser OpenDNS pour parfaire à ceux que vous voulez en matière d’accès au net par votre ordinateur, mais ca c’est pour un autre article….

Si vous avez aimé cet article, merci de voter pour lui ! :
Both comments and pings are currently closed.


Contrat Creative Commons
Cet article est sous licence Creative Commons Paternité
Partage des Conditions Initiales à l'Identique 2.0 France License

27 Responses to “OpenDNS pour sécuriser les accès WEB facilement”

  1. renard dit :

    Bravo pour l’article, bien fait et très intéressant. merci!

  2. Will dit :

    Euh… chez Free, tout le monde par défaut a une adresse IP fixe depuis au moins 5 ans. :) (sauf erreur de ma part, ce n’est pas par défaut chez Orange mais ça se demande, et chez Neuf c’est fixe par défaut en dégroupé mais obligatoirement dynamique en non-dégroupé).

  3. Roozeec dit :

    Slut,

    Pour info : Je suis chez Free (non dégroupé) depuis longtemps et j’ai une adresse IP dynamique …. mais si je veux je peux effectivement demander une fixe également .

  4. Poupoul2 dit :

    Les adresses IP fixes chez free ne sont automatiques que pour les dégroupés. En non dégroupé, ça n’est effectivement qu’une option.

    Très bon article. Comme je suis évidemment confronté à ce même problème (3 nains à la maison), je vais suivre cette affaire de près, parce que les solutions de contrôle parental ne sont pas légions sous Linux, et insuffisamment efficaces sous 20 doses

  5. Diabollo dit :

    Merci et bravo pour cet article qui va me faire gagner un temps fou !!!

  6. Jeff dit :

    Un article très utile et très pratique.
    Simplement une petite erreur :
    le chemin du fichier a editer n’est pas /etc/dhclient.conf mais /etc/dhcp3/dhclient.conf

    Bon continuation
    Jeff

  7. Capof dit :

    OpenDNS est censuré par Maroc Télécom :( je trouve ça très dommage que je ne puisse pas bénéficier de ce service que j’avais déjà tenter d’installer sur Ubuntu 7.10

  8. Diti dit :

    Testé et aussitôt supprimé. Il me fout de la perde dans ma navigation, plus moyen de taper une recherche Google dans la barre d’adresses sans tomber sur le moteur de recherche OpenDNS. Voudraient-ils concurrencer Google et son « j’ai de la chance » ;) ?

  9. matcheux dit :

    Si j’ai bien compris, c’est le serveur de nom de domaine qui est choisi. Un ado un peu malin pourra donc récupérer les adresses ip des sites interdit chez un copain ou avec whois pour détourner le pb.
    Mais c’est déjà bien pour mes enfants (5 ans) même s’ils ne surfent évidemment pas seuls et de façon pour l’instant très limitée.

  10. traaf dit :

    je m’apprêtait justement à tester ce service :)
    au fait, la plupart des routeurs (et autres box) contiennent un service de mise à à jour des IP dynamiques, point besoin d’installer un quelconque programme sur le PC dans ce cas

  11. Roozeec dit :

    @matcheux : ben, si je ne me trompe pas c’est tout l’intérêt du service !. En effet, si tu tapes un nom de site web interdit, le serveur DNS connaît donc l’adresse IP blacklistee et la bloque. Donc rentrer directement l’adresse IP du site web, a mon avis donnerait la même chose. A tester tout de même.

    @traaf : Oui, peut être mais la c’est un peu différent quand meme, car OPENDNS doit connaître ton adresse IP afin d’autoriser ou non les sites que tu as blacklistes dans ta configuration. C’est l’intérêt de DNSOMATIC. Sinon comment tu fait ? tu n’as pas d’autre moyen , a mon avis, c’est pas ta box qui ira le dire a OPenDNS …

  12. matcheux dit :

    @Roozeec : Non, si tu tapes directement l’ip du site, il n’y a pas besoin de passer par un serveur de nom de domaine (DNS) et donc on va directement au site non ?

    Ce qui me gène c’est aussi que l’on garde une trace de tout ce que l’on fait sur un site tiers. En plus de faire confiance à son fournisseur d’accès à internet (qui stocke toutes ces info pdt on ne sait combien de temps) il faut aussi faire confiance à opendns.
    Big Brother m’entends-tu ?

  13. Roozeec dit :

    @matcheux : Ok, t’as surement raison, je dois m’emmeler les pinceaux la dedans. Pour ce qui est des traces et des logs, il faut activer ccela dans ton interface de config il me semble.

  14. Toxoplasme dit :

    En ce qui concerne surfer directement sur l’ip il y’a de forte chance que cela ne fonctionne pas.

    En effet les 3/4 des sites sont héberger sur des serveurs hébergant eux meme plusieurs site.
    Ca s’apelle les « virtualhost »,
    en très simple plusieur domaines sur un meme serveur sex1.com sex2.com sex3.com adult.com sur ip 91.238.XY.ZZ
    le serveur sais ce quelle page il vous affiche suivant l’url que vous avez tapée

    Ce qui veux dire que si chez un pote vous savez que sex1.com pointe vers 91.238.XY.ZZ et que de chez vous, derrière votre opendns, vous tapez http://91.238.XY.ZZ, il y’a forte chance que ca ne marche pas car le serveur derrière ne sait pas quel site vous voulez afficher

    vous aurez donc la page par défaut du serveur, souvent un logo de l’hébergeur… punt

  15. cybernet dit :

    Intéressant !
    Mais comment gère t’on les adresses NAT ???

  16. Roozeec dit :

    @matcheux : j'(ai fait le test par exemple sur meetic.fr que j’ai mis en blacklist dans ma configuration. Eh bien , ca fonctionne , le site est bien indiqué nnaccessible : Désolé, le site 208.69.32.134 est interdit !. Un traceroute sur meetic.fr et son IP n’abouti pas non plus … Donc impec.

  17. Profiterole dit :

    Très intéressant, maintenant j’ai quelques questions. Et oui, aussi bien les poser à quelqu’un qui à l’air de s’y connaître avant de tout briser.

    J’ai une adresse dynamique fournie par mon fai, mais elle passe par un routeur relié à 3 pc qui ont des adresses ip fixes. J’imagine que c’est l’ip que le fournisseur me donne que je dois donner à opendns, mais il n’y a qu’un seul pc que je veux contrôler et non pas les 3. Puis-je faire cela?

    Merci

  18. dsi0743 dit :

    Très intéressant article. Une question, y-a-t-il un moyen pour que le filtrage ne se fasse que pour un utilisateur sur ma machine ? En effet, sur Ubuntu, les enfants ont leur session, et moi j’ai la mienne. Je ne voudrais pas que cette configuration me pose des problèmes sur ma session.
    est-ce possible ?

  19. Roozeec dit :

    @dsi0743 : J’ai bien peur que ce ne soit pas possible, car l’ip de l’ordinateur est la même. Opendns ne peut pas distinguer un utilisateur d’un autre.

    @profiterole : Pour les router je ne suis pas un spécialiste, car je n’en n’ais pas, mais cependant il faudrait essayer ceci. Tu as donc 3 PC avec 3 IP différentes. Tu déclares donc dans ta config opendns tes 3 réseaux : pc1,pc2,pc3 avec chacun une adresse IP différentes, puis tu configures les blacklist et whitelist de chaque PC dans opendns. Ensuite tu configure donc ces PC de facons a utiliser les serveurs DNS de openDNS. .Il faudra peut être aussi configurer le routeur pour utiliser les serveurs DNS de opendns (a voir). Si quelqu’un pouvait faire la manip, tester si ca marche et faire un petit topo (et me l’envoyer), ca serait sympa. Je le rajouterais ensuite dans l’article.

  20. tenshu dit :

    Moi je suis sceptique :
    Outre le côté stupide de nommé leur service Open machin alors que c’est du proprio, ce service pose un énorme problème de sécurité des données …

    A banir si vous voulez mon avis.

  21. traaf dit :

    Salut,
    je reviens sur ma précédente affirmation :

    la plupart des routeurs (et autres box) contiennent un service de mise à à jour des IP dynamiques, point besoin d’installer un quelconque programme sur le PC dans ce cas

    Effectivement, je pensais que opendns pouvait exploiter mon adresse en dyndns.org (updatée directement par mon routeur), mais ca n’est pas le cas, c’est l’inverse, dnsomatic permet en 1 seule MAJ d’updater un ensemble de services, dont dyndns, et opendns qui nous intéresse particulièrement ici.

    de plus, j’ai, comme indiqué sur la doc, activé la mise à jour via SSL en rajoutant la ligne
    ssl=yes
    au début du fichier /etc/ddclient.conf
    (necessite l’installation d’un paquet supplémentaire : libio-socket-ssl-perl)

  22. bhericher dit :

    Excellent article, merci beaucoup!
    Dans le fichier ddclient.conf, il ne faut pas mettre le mot-de-passe entre quotes. Sinon, impeccable!

  23. ronan dit :

    Bonjour,

    Merci pour le tuto : super.

    Un petit problème néanmoins : je ne peux plus envoyer de mail via Evolution (mais je peux en recevoir). Est-ce que ça a un rapport avec OpenDNS ou c’est un hasard malchanceux ?…

    Compléments :
    – OS : linux Ubutnu 8.04
    – mon FAI est Orange.
    – je peux envoyer des mails par le WebMail depuis le portail Orange.

    Merci des réponses (et solutions) possibles à ce problème.

  24. naima dit :

    Bonjour,
    je voulais vous parler d’un problème que je rencontre: openDns s’affiche quand je surf même lorsque je vais chez yahoo (et yahoo mail). je ne me suis pas inscrite pourtant, et je suis seule à utiliser mon pc. C’est très désagréable de se faire bloquer l’accès à mes sites favoris par un service que je n’ai pas demandé. Je fais comment pour le bloquer?

  25. julien dit :

    Bonjour,

    Quel est le modèle économique d’OpenDNS ? A qui revendent-ils les requêtes qu’on leur envoie ?

  26. figaro dit :

    @Profiteroleon 07 mar 2008 at 4:29

    J’ai une adresse dynamique fournie par mon fai, mais elle passe par un routeur relié à 3 pc qui ont des adresses ip fixes. J’imagine que c’est l’ip que le fournisseur me donne que je dois donner à opendns, mais il n’y a qu’un seul pc que je veux contrôler et non pas les 3. Puis-je faire cela?

    Réponse: il suffit de mettre les OpenDNS sur le PC que tu veux controler et pas sur le routeur. Voir le site OpenDNS pour la procédure.

  27. alain dit :

    Super !!! Merci
    Juste une petite question; à chaque coupure (tres frequent), il faut 5 mn à opendns pour redevenir efficace.
    Normal ou pas ?
    Est ce mon ddclient qui demande ce temps ?

Propulsé par WordPress


Contrat Creative Commons
Site sous licence Creative Commons Paternité
Partage des Conditions Initiales à l'Identique 2.0 France License
Web Analytics