Notions de base sur les réseaux : A propos du DNS et de son rôle dans le fonctionnement de notre filtre

Dans notre habitat naturel, nous, développeurs, discutons de nos problèmes en utilisant généreusement des acronymes et des abréviations informatiques, souvent assez généreusement pour remplacer complètement le terme original. Bien que cela nous semble parfaitement clair, cela ne permet pas toujours d’expliquer en langage courant ce que nous avons fait avec notre dernière mise à jour.
Aujourd’hui, nous avons pensé qu’il serait intéressant de nous pencher sur la manière dont les humains et les machines lisent différemment les adresses de sites web : DNS et IP.

DN… quoi ?

DNS est l’acronyme de Domain Name Service (service de noms de domaine). Il s’agit d’un élément important, mais invisible, de l’internet et de la manière dont nous l’utilisons tous les jours. Il consiste à traduire les noms de sites web lisibles par l’homme, comme www.example.com, en adresses IP numériques lisibles par la machine, comme 203.0.113.51. Avant que votre navigateur ne puisse extraire le contenu d’un site web, cette traduction du nom de domaine doit être effectuée.

C’est ce qui nous a permis de mettre au point la dernière fonction de filtrage que nous sommes heureux de présenter : le tout nouveau filtre web basé sur le DNS.

Attendez… qu’est-il arrivé au filtre de contenu ?

Notre filtre de contenu actuel est basé sur le filtrage par proxy HTTP transparent. Auparavant, il fonctionnait sans problème avec le trafic web non crypté. Au cours des deux dernières années, comme vous l’avez probablement remarqué, de plus en plus de sites web sont passés à la version sécurisée du protocole de transfert de texte hypertexte, HTTPS. Cela signifie que toutes les communications entre votre navigateur et le site web sont cryptées via le protocole TLS. Le proxy HTTP n’est donc pas en mesure d’identifier les contenus indésirables dans les connexions cryptées – c’est là que notre nouveau filtre DNS vient à la rescousse.

Outre la tendance générale vers un web mieux sécurisé, ce changement a été renforcé par l’initiative Let’s Encrypt, qui fournit gratuitement des certificats SSL/TLS. Ces certificats sont nécessaires pour la partie cryptée du protocole HTTPS. Let’s Encrypt a déjà émis des millions de certificats et aujourd’hui (2018-01) il y a 48 millions de certificats en ligne.

Ce graphique montre le pourcentage de pages cryptées chargées (utilisateurs de firefox). La ligne bleue pour tous les utilisateurs est actuellement à environ 70%. Évidemment, une bonne part de ces chiffres élevés est due au fait que les grandes plateformes comme Google, Facebook,… sont entièrement chiffrées.

Génial, je peux utiliser le filtre DNS tout de suite ?

La nouvelle fonctionnalité est disponible sur tous les IACBOX mis à jour avec la version 17.2, à condition que le système dispose d’au moins 4 Go de mémoire. Ceci est nécessaire parce que les listes de filtres entières sont chargées dans la mémoire locale afin de garantir la meilleure performance possible.

Comment cela fonctionne-t-il ?

Au lieu de filtrer la connexion HTTP et le contenu lui-même, les requêtes DNS pour les sites web figurant sur la liste noire sont bloquées. Le filtrage DNS fonctionne toujours, quel que soit le protocole utilisé pour envoyer ou recevoir des données.

Un cycle normal de requête non filtrée se présente comme suit :

Lorsqu’un domaine demandé correspond à notre liste noire, notre filtre DNS indique que ce domaine n’existe pas (NXDOMAIN) :

Communication avec l’utilisateur final

Lorsqu’un utilisateur final souhaite accéder à une page figurant sur une liste noire, le navigateur répond simplement que cette page n’est pas valide/inconnue dans le cas de HTTPS. Il s’agit là d’un manque de transparence et d’un problème de débogage. Pour pallier cet inconvénient, nous proposons une option permettant de lister les 5 à 30 derniers domaines sur la page de connexion, accessibles via http://logon.now. Cela permet à quiconque de vérifier les domaines bloqués. Le nombre d’entrées et la durée de conservation de ces domaines peuvent être définis dans les paramètres de WebAdmin. Cette fonctionnalité est disponible pour les pages d’atterrissage standard ainsi que pour le plugin Login-API.

Autre chose ?

Un bon filtre a également besoin d’une liste blanche permettant l’accès aux pages accidentellement mises sur liste noire ou devant rester accessibles pour toute autre raison que l’opérateur pourrait avoir.

Nos listes noires sont mises à jour chaque semaine pour chaque système ayant une maintenance logicielle valide.