- par
- TheLight
- le
- 09/08/2012 à 19:20
- catégorie
- Réseau
Gardez le contrôle
Je me suis toujours demandé comment il était possible de limiter efficacement l’accès Internet d’un réseau local afin d’empêcher l’accès à certains sites douteux, brider les téléchargements, garder un œil sur le trafic de ce dernier… Que ce soit en entreprise ou plus particulièrement dans le cadre plus classique d’un partage de connexion Wifi, il est toujours difficile de prévoir le comportement sur Internet d’un utilisateur lambda que l’on autorise à se connecter sur notre réseau. Si celui-ci peut se montrer exemplaire et respecter la charte de bonne conduite que vous exigez sur votre territoire numérique, certains ne se priveront pas de bafouer les règles instaurées en saturant toute la bande passante dès que l’occasion se présente et pénaliser le reste des utilisateurs. D’ailleurs en passant dans ce genre de situation il n’y a jamais de coupable, la réponse classique des fautifs est toujours « Maaaaaiiiiiis je regarde juste mes mails ! ».
Comme si ce n’était pas suffisant, il se trouve que le partage de connexion Internet avec des amis, collègues ou autres locataires se révèle assez suicidaire et complexe au niveau de la Loi, puisque vous êtes légalement responsable de votre connexion et cela quel que soit le comportement des internautes que vous hébergez gracieusement. Vous ne voudriez pas que votre FAI vous soupçonne de tendances zoophiles sur des Poneys et vous traine devant les tribunaux pour la mise en ligne sur du nouvel album de Justin Bieber quelques jours avant sa sortie n’est-ce pas ? =) Cela dit en passant, le monnayage de votre connexion internet ou la mise en place d’un hotspot Wifi ouvert à tous sans l’accord de qui que ce soit est assez mal vu par les autorités. En effet cela vous place dans le rôle d’un FAI clandestin, alors ne faites pas n'importe quoi avec votre réseau sinon gare à vos fesses !
En fait je me suis surtout posé la question de la protection Internet de mon domicile lorsqu’il a été question de la partager avec avec une maison de location juste en face de chez moi. Evidemment le risque de tomber sur un touriste pédophile névrosé accroc de 4Chan est carrément mineur, mais comme le dit si bien le philosophe La Voix :
« Méfiez-vous des apparences ».
Comme je le disais précédemment le même problème se pose en entreprise, certains employés ou stagiaires relativement incontrôlables ou tout simplement pas sensibilisés aux règles de bonne conduite ne se priveront pas d’user et d’abuser de la connexion Internet mise à leur disposition pour toutes sortes d’activités parallèles aussi peu productives que légales. Attention tout de même si vous êtes administrateur réseau dans une boite et que vous souhaitez adopter un filtrage Internet despotique, il faudra voter cette décision avec l’accord du conseil de votre entreprise. En effet la liberté de surfer sur Internet fait partie des droits fondamentaux des employés à la base (lolilol). Pensez également à stipuler les sanctions encourues pour de mauvais comportements dans votre charte informatique de bonne conduite à faire signer aux employés à leur arrivée. Généralement cela suffira à en calmer plus d’un.
Pour en revenir à cette histoire du partage de ma connexion Internet avec une maison de location, j’étais tout d’abord parti dans l’optique d’une solution logicielle de contrôle parental, hélas impossible à mettre en place car les locataires arrivent généralement avec leur PC et il n’était pas question de leur mettre une machine à disposition. La deuxième solution était le blocage manuel sur un firewall des accès à certains sites web (plateformes de téléchargement ect.), également ingérable à mettre en œuvre car très délicat à tenir à jour efficacement (il aurait alors fallu que je crée des règles manuellement pour bloquer les sites interdits un par un, imaginez le problème …)
C’est finalement pendant un stage en entreprise qu’un prestataire informatique de passage m’a délivré la clé du problème : une solution redoutablement efficace est d’effectuer un blocage des sites Internet par l’intermédiaire d’un serveur DNS de filtrage de sites Internet. En le substituant au serveur DNS classique fourni par votre FAI, il devient alors possible de s'interposer directement entre l'utilisateur et la ressource numérique qu'il cherche à obtenir et permettre ainsi le blocage de certains domaines !
Ce service totalement gratuit se nomme OpenDNS.
« DNS ? Domaine ? Filtrage ? Je veux en savoir plus ! » C’est tout … pour le moment !
Commentaires
Pour ma part, je change régulièrement de dns selon mes activités mais celà ne passe que sur mon ordinateur, pas sur tout le réseau comme pour open dns.
Qu'il s'agisse de recherches sécurisées ou de jouer à un jeu online nécessitant une bande passante élevée notamment.
Modifier ses dns permet t-il de passer outre la censure chinoise?
En effet, pour ce qui est de la censure il suffit d'utiliser un serveur DNS extra-territorial au pays ou tu résides. Par exemple un chinois n'a qu'a utiliser un DNS Americain (GoogleDNS ou OpenDNS par exemple) pour accéder à tous les sites qu'il veut, les FAI des pays censurés étant soumis à la loi de leur pays ! (Je pense pas qu'ils s'amusent à censurer ces adresses sur tous les routeurs Chinois)
Après changer de DNS n'augmentera pas significativement la rapidité de ta connexion je pense, une fois les IP des sites récupérées elles restent un petit moment en cache sur ta machine :-) (Je vais faire quelques recherches là dessus pour le billet suivant)
Tu utilises quoi comme DNS pour surfer de manière anonyme ?
En fait sa à l'air plus compliqué que sa comme il semblerait qu'il filtre DNS soit mis en place, il faut passer par des proxy et tout le bazar :
http://fr.wikibooks.org/wiki/Contourner_le_grand_pare-feu_de_la_Chine
Je viens de lire ce wiki sur le grand pare-feu chinois, qui parle de FreeNet, qui parle de Mike Godwin, qui a créé le point Godwin. Amusante coïncidence :P
Sinon j'ai une question m'sieu : avec OpenDNS, tu peux bloquer des noms de domaines, mais qu'est-ce qui se passe si tu tombes sur un nerd extrême qui navigue en tapant directement les adresses IP de ses sites favoris ?
Alors pour ta question, je viens de faire le test d'accéder à un site interdit directement avec son adresse IP dans un navigateur Internet. Je ne connais pas exactement la raison, mais OpenDNS filtre quand même le site et le rend inaccessible !
J'ai lancé une capture Wireshark pour voir, il semblerait que le navigateur envoie une requête DNS de vérification dans tous les cas, et forcément il tombe sur un os à chaque fois. Je vais jeter un oeil là dessus de plus près ! :P
D’ailleurs c'est quoi l'adresse ip de kergoz?
Il considère peut être l'adresse ip comme une redirection; ou fais une recherche par mots clés avant de l'interdire
Page :