Quentin Demoulière

Mon blog personnel

Mise en place d'un DNS menteur avec Bind 9.8 et RPZ

Rédigé par Quentin Demouliere - - Aucun commentaire

Nous avons pris connaissance d'un petit problème concernant notre filtrage avec SquidGuard et l'utilisation obligatoire du Safe Search pour les postes passant par notre proxy.

En effet, l'utilisation du protocole HTTPS avec Google rend le Safe Search totalement inopérant. Après quelques recherches, je me suis dit : Pourquoi  pas un www.google.fr. IN CNAME nosslsearch.google.com. ? Impossible ! Bind ne ment pas et mon serveur DNS ne fait pas autorité sur la zone google.fr !

C'est alors que je suis tombé sur RPZ, cette technologie implémentée dans Bind depuis la version 9.8 qui permet très facilement de faire mentir le serveur DNS qui gère notre zone. Je trouve cette technologie assez limite notamment en terme de neutralité du net. Dans notre cas cela nous arrange...

Des copies d'écran valent mieux que qu'un long discours :

named-local

 

named-options

fichier-zone

 

dig1

 

firefox-debian

Simple, efficace et effrayant...

Pour des informations complémentaires, je vous renvoie à l'excellent article de Stéphane Bortzmeyer : http://www.bortzmeyer.org/rpz-faire-mentir-resolveur-dns.html

Cool

Debian and Unix Addict

Écrire un commentaire

Quelle est la quatrième lettre du mot jsukr ? :