NextDNS ou comment sécuriser ses requêtes DNS

Si vous avez des enfants/adolescents à la maison, et que vous souhaitez éviter qu’ils aient accès à certains sites, il existe une solution élégante et relativement aisée à mettre en place.

Cette solution se base sur le système DNS. Pour les néophytes, les DNS servent à faire la conversion d’un nom de domaine (par exemple www.youtube.com) en une adresse ip afin que votre ordinateur s’y adresse.

On peut créer plusieurs profils différents, un pour les enfants, un pour les parents et cela fonctionne également sur les périphériques mobiles (smartphones, tablettes) et l’avantage est que cela fonctionne même en dehors du domicile, vu que tout passe par cette résolution de noms DNS.

Toute la configuration se fait par web. On commence par créer un profil (par exemple Enfants) et on peut commencer à configurer les points suivants :

Copie d'écran de l'onglet sécurité
  • Sécurité – paramètres pour se protéger
    • Flux de renseignement sur les menaces (pour se protéger contre du phishing)
    • Détection des menaces basée sur l’IA (fonction béta), permet de se protéger de sites dangereux en fonction d’une IA)
    • Navigation sécurisée Google, utilise la technique de Google pour se protéger de sites malveillants)
    • Protection contre le cryptojacking, permet d’éviter que vos appareils soient utilisés pour miner de la crypto monnaie
    • Protection contre les attaques par DNS rebinding, empêchez les attaquants de prendre le contrôle de vos appareils locaux via Internet en bloquant automatiquement les réponses DNS contenant des adresses IP privées.
    • Protection contre les attaques par homographes IDN, protection contre les attaques par homographes IDN
    • Protection contre le typosquattage, bloquez les domaines enregistrés par des acteurs malveillants ciblant les utilisateurs qui saisissent incorrectement une adresse web dans leur navigateur — par exemple gooogle.fr au lieu de google.fr.
    • Protection contre les algorithmes de génération de noms de domaine (DGA), bloquez les domaines générés par des algorithmes de génération de domaine (DGA) inclus dans diverses familles de logiciels malveillants et pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et contrôle.
    • Blocage des domaines nouvellement enregistrés (NRD), bloquez les domaines enregistrés il y a moins de 30 jours. Ces domaines sont souvent utilisés pour lancer des campagnes malveillantes. Attention, activer ce paramètre pourrait potentiellement bloquer l’accès à des sites valides.
    • Bloquer les noms d’hôtes DNS dynamiques (fonction béta), les services DNS dynamiques (ou DDNS) permettent aux acteurs malveillants de créer rapidement et gratuitement des noms d’hôtes sans aucune validation ou vérification d’identité. Alors que les noms d’hôtes DDNS légitimes sont rarement consultés au quotidien, leurs homologues malveillants sont largement utilisés dans les campagnes de phishing, par exemple paypal-login.duckdns.org.
    • Blocage des domaines parqués, les domaines parqués sont des sites web à une page souvent remplie de publicité et dépourvus de toute valeur. La monétisation de domaine parqué peut parfois se mêler à des pratiques suspectes et à du contenu malveillant.
    • Blocage de domaines de premier niveau (TLD), pour bloquer certains domaines de premier niveau et leurs sous-domaines. (utilité limitée dans un cadre familial à mon avis)
    • Blocage des contenus pédopornographiques, bloquez les domaines hébergeant du contenu pédopornographique avec l’aide du Projet Arachnid, géré par le Centre canadien de protection de l’enfance. Aucune information n’est transmise au Projet Arachnid lorsqu’un domaine est bloqué.
Copie d'écran de l'onglet confidentialité
  • Confidentialité – paramètres pour protéger sa vie privée
    • Liste de blocage des publicités et des traqueurs par NextDNS, une liste de blocage complète pour bloquer les publicités et les traqueurs dans tous les pays.
    • Protection contre le suivi natif (fonction béta), bloquez les traqueurs à spectre large — opérant le plus souvent au niveau du système d’exploitation — qui suivent votre activité sur un appareil. Cela peut inclure tous les sites web que vous visitez, ce que vous tapez ou votre emplacement à tout moment.
    • Blocage des traqueurs tiers déguisés,dDétectez et bloquez automatiquement les traqueurs tiers se déguisant en « first-party » pour contourner les fonctionnalités de protection de la confidentialité des navigateurs comme l’« Intelligent Tracking Prevention » (ITP) d’Apple.
    • Autoriser les liens d’affiliation et de suivi, autorisez les domaines d’affiliation et de suivi courants sur les sites web d’offres, dans les e-mails ou dans les résultats de recherche. Ceux-ci ne sont généralement contactés qu’après avoir cliqué manuellement sur un lien.
Copie d'écran de l'onglet contrôle parental
  • Contrôle parental – paramètre pour protéger les têtes blondes (et les autres couleurs également)
    • Sites web, applications et jeux, restreignez l’accès à certains sites web, applications et jeux, permet d’ajouter des exceptions personnalisées.
    • Catégories, restreignez l’accès à certaines catégories de sites web et d’applications. La liste des catégories comprend pornographie, jeux d’argent, rencontres, piratage, réseaux sociaux, online gaming et vidéo streaming.
    • Temps de récréation, définissez une période pour chaque jour de la semaine au cours de laquelle certains sites web, applications, jeux ou catégories ne seront pas bloqués — par exemple, autorisez Facebook les lundis et mardis entre 18h et 20h.
    • SafeSearch, filtrez les résultats explicites sur les principaux moteurs de recherche, y compris les images et les vidéos. L’accès aux moteurs de recherche ne supportant pas cette fonctionnalité sera bloqué.
    • Mode restreint de YouTube, filtrez les vidéos matures sur YouTube ou intégrées sur d’autres sites web. Tous les commentaires seront masqués.
    • Blocage des méthodes de contournement, empêchez ou entravez l’utilisation de méthodes permettant de contourner le filtrage NextDNS sur le réseau. Cela inclut les VPN, les proxys, les logiciels utilisant Tor et les fournisseurs DNS chiffrés.
Copie d'écran de l'onglet Liste noire
  • Liste noire – Ajouter un domaine à la liste noire bloquera automatiquement tous ses domaines
Copie d'écran de l'onglet liste blanche
  • Liste blanche – Ajouter un domaine à la liste blanche autorisera automatiquement tous ses sous-domaines. La liste blanche a priorité sur tout le reste, y compris la liste noire et les fonctionnalités de sécurité.

Une fois les paramètres configurés à votre convenance, vous devrez configurer vos appareil pour utiliser NextDNS.

Pour un ordinateur, vous pouvez soit modifier vos serveurs DNS à la main, soit utiliser un programme disponible sur leur site, vous aurez uniquement à configurer le numéro du profil créé et votre ordinateur l’utilisera.

Pour des smartphones ou tablettes (iOS ou Android), vous pouvez télécharger une app et là encore il faudra indiquer l’id du profil, ou passer par un générateur de profil en ligne.

Après quelques jours, vous aurez accès à des statistiques sur les blocages effectués.

Copie d'écran de l'onglet statistiques

Pour faire du troubleshooting, une section logs est également présente qui permet de voir quel appareil fait des requêtes.

Copie d'écran de l'onglet logs

Dans l’onglet paramètre, vous pourrez définir le nom du profil, si vous voulez activer les logs, enregistrer les IP, les noms de domaine. Une option intéressante permet de définir le lieu de stockage des logs car on peut choisir la Suisse si on ne désire pas héberger ce genre d’informations dans d’autres pays.

Copie d'écran de l'onglet paramètres

On peut sécuriser l’accès au site avec une identification à 2 facteurs, ce qui devient un standard.

Je teste cette solution depuis plusieurs mois et elle me convient parfaitement, pour un coût modique de 20,- par année.

D’ailleurs, si vous voulez vous y abonner, vous pouvez utiliser ce lien, cela me permet de recevoir 30 % de tous les abonnements souscrits pendant les 12 premiers mois et surtout cela me permet de rembourser un peu mes frais d’hébergement…

Impossible de se connecter à un VPN Synology L2TP depuis Windows 10

Les NAS Synology proposent un paquet pour installer un serveur VPN. Les protocoles OpenVPN, PPTP et L2TP sont disponibles.

Par contre, si on souhaite utiliser le protocole L2TP pour se connecter au VPN depuis une machine Windows 10, il faut ajouter une clé de registre.

La clé de registre à créer à l’endroit suivant: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent. La clé doit s’appeler AssumeUDPEncapsulationContextOnSendRule. Elle est à créer de type DWORD 32 bits avec la valeur 2.

Une fois la clé créée, il faut redémarrer la machine.

Au niveau des propriétés de la carte réseau VPN, sur l’onglet sécurité, il faut configurer comme ci-dessous. Une fois cette configuration effectuée, la connexion devrait fonctionner

Perte de connexion au pont Hue avec l’application Hue Sync

Cela fait quelques mois que je me suis installé une paire de lumières Philips Hue Play dans mon bureau.

Outre le fait de fournir une lumière d’ambiance agréable, elles offrent également une fonction de synchronisation de la lumière avec les couleurs affichées à l’écran, ce qui donne un rendu impressionnant lors de sessions de gaming 🙂

Malheureusement, depuis quelques temps, pour une raison inconnue, l’application avait perdu la connexion avec le pont et donc plus de synchronisation…

Donc procédure standard, vérification que l’application est bien autorisée dans le firewall, test d’accès à l’ip du pont (qu’on peut obtenir depuis l’application mobile Philips Hue), désinstallation/réinstallation… rien n’y fait, à chaque lancement, l’application persiste à ne pas trouver le pont, bien qu’il fonctionne puisque mes autres lumières fonctionnent toujours depuis l’application mobile.

La solution (brutale, j’en conviens…) ?

Ouvrir un explorateur de fichiers, quitte l’application Hue Snyc, aller dans le dossier %appdata%\huesync, supprimer tous les fichiers qui s’y trouvent et relancer l’application.

Il ne me restait plus qu’à refaire l’association avec le pont et j’avais de nouveau une application fonctionnelle !

Joindre une conférence Webex depuis Skype pour entreprises

En ces temps de pandémie, le besoin de communiquer entre organisations s’avère primordial. Que faire si des systèmes à priori différents veulent communiquer ensemble ?

Par exemple, comment joindre un meeting Cisco Webex si votre entreprise utilise Microsoft Skype pour entreprises ?

La réponse se trouve chez Cisco et fonctionne pour autant que votre organisation ait installé l’infrastructure nécessaire pour connecter Skype pour entreprises à Internet.

Configuration d’un serveur Windows 2016 en ligne de commande

Sur un serveur Core ou même un serveur disposant d’une interface graphique, sconfig.cmd permet d’avoir une interface en mode texte qui permet de configurer les paramètres suivants du serveur :

– paramétrage du workgroup/domaine
– changement du nom du serveur
– paramètres réseaux
– paramètres Windows Update
– paramètres RDP
– paramètres heure et jour
– etc.

plus d’infos sur la documentation officielle

Protti Consulting est maintenant partenaire Peoplefone

Cela va nous permettre de fournir des services de téléphonie Internet (technologie VOIP).

Par exemple, un central téléphonique avec des fonctions avancées, à même de répondre aux besoins de PME, des solutions de conférences audio et vidéo, ou des solutions plus adaptées pour des particuliers.

N’hésitez pas à nous contacter pour des conseils adaptés à vos besoins.

Changement de la taille de l’affichage dans Lync

Il arrive que certains utilisateurs de Lync 2010 se retrouvent avec une taille de police toute petite dans l’historique des conversations du client.

C’est généralement dû à la saisie d’une combinaison de touches erronée.

Cependant, pour revenir en arrière, le procédé est quelque peu délicat, la combinaison de touches à faire étant valide uniquement sur un clavier américain.

Le plus simple reste donc d’installer le clavier américain, d’afficher la barre des langues et lorsqu’on est sur le client Lync, d’activer ce clavier américain.

Il suffit ensuite d’utiliser la combinaison de touches CTRL + è (la touche figurant sur un clavier suisse. Pour un clavier français, c’est CTRL + ^) pour diminuer la taille de l’affichage et CTRL +  » pour l’augmenter (pour un clavier français, CTRL + $).

Une fois l’affichage corrigé, on peut à nouveau masquer la barre des langues et enlever le clavier américain.

Gestionnaire de mots de passe

Après mon dernier article sur LastPass, je vous propose un logiciel Open Source bien agréable d’utilisation pour ceux qui ont de la peine à se rappeler leurs nombreux mots de passe, KeePass vous permet de stocker à un seul endroit (par exemple une clé USB) toutes vos informations confidentielles.

Après faut-il encore se  rappeler où on a mis cette clé ! 😉