Info16.fr

Le blog de B@rtounet

opendns

#Gnu/Linux, Planet Libre

Controle Parental Avec OpenDNS : Une solution alternative au Proxy

nasmaison Control Parental Avec OpenDNS : Une solution alternative

opendns logo


A la maison, les enfants commencent à toucher à tout.
Et à l'ère du numérique ils sont de plus en plus connectés.

Mon petit, a eut une tablette Android à son dernier Noel et sans le vouloir aboutit quelques fois sur des sites pas forcément recommandables.

j'y réfléchi depuis un petit moment : Comment filtrer facilement les accès internet sans pour autant se lancer dans l'usine à gaz.

Quelques solutions s'offrent à moi:

  • L'installation d'un logiciel de controle parental sur tous les équipement de la maison --> Trop lourd , pas centralisé
  • L'installation d'un Proxy filtrant type Squid + SquidGuard + DansGuardian --> Très bonne solution que j'ai déjà installé en entreprise et qui à fait ses preuves.
  • Utilisation des serveurs DNS de OpenDNS
  • La surveillance continue des actions de son enfant --> C'est indispensable mais on ne peut pas être là 24h/24
  • Pas d'internet :)
J'en oublie surement

La solution la plus sure et péreine est à mon avis le proxy.
Mais cela implique, un serveur qui tourne 24h/24 ( Même si ce n'est plus trop un problème puisque beaucoup d'entre nous on un nas qui tourne)
De plus cette solution nécessite pas mal d'installation et de configuration.

Au final pour commencer j'avais envie de tester la solution que propose OpenDNS en gratuit.

Le filtrage OpenDNS attaque le problème d'un angle différents: La résolution de nom.
C'est pas bête en effet quand on surl, une des première chose que fait notre machine est de résoudre le nom du site en adresse IP.
On pointe donc sur un serveur DNS à chaque requêtes ( hors cache)

C'est donc OpenDNS qui va se charger de filtrer !
En fonction du domaine demandé il va autoriser la requete ou pas, et rediriger vers une page de bloquage le cas échéant.

La première chose à faire est de se créer un compte OpenDNS; Même si ce n'est pas indispensable, cela va vous permettre de gérer vos catégories et de bénéficier de statistiques.
Dans les paramétrages de OpenDNS on entre son IP Publique.

opendnsconfig



Il y pas mal de paramétrages possibles; Notemment les règles de filtrages










Une fois votre compte paramétré à votre convenance, il suffit d'ajouter les serveurs DNS d'OpenDNS sur vos différentes machines.

Les adresses IP OpenDNS sont:

  • 208.67.220.220
  • 208.67.222.222
Voilà vous êtes protégés.
Un petit test sur un site bloqué:




J'ai voulu aller un peu plus loin, même si mes enfants ne sont pas encore en age de bricoler les options réseaux des équipements de la maison.
J'ai pris un peu d'avance pour essayer de vérouiller le truc.

Mes objectifs:
  • Forcer tous les équipements de la maison à utiliser OpenDNS ( sauf postes admins)
  • Ne pas être obligés de limiter les sessions utilisateurs sur les postes.
  • Eviter au maximum au système d'être contourné.

Les règles PfSense.

Pour forcer les équipements à utiliser les serveurs OpenDNS, il suffit d'ajouter ces DNS dans les paramètres DHCP de PfSense



J'ai mis des baux DHCP statiques pour les postes Admin avec les DNS de Google.




Pour éviter que l'on contourne le système, il faut bloquer les accès DNS depuis le LAN vers d'autres serveurs qu'OpenDNS

Par contre pour permettre au postes Admin de faire des reqêtes DNS sur tous les serveurs il faut leur créer une règle spécifique

J'ai utiliser la notion d'Aliases dans PfSense qui permet de définir un Objet groupant plusieures IP.



Les règles donnent ça:



L'ordre des règles a une importance

On authorise les admin en any vers l'exterieur sur le port 53
On authorise à tout le monde l'accès vers l'extérieur sur le port 53 des serveurs OpenDNS
on Bloque tous les accès vers l'extérieur sur le port 53

Voilà, en théorie on ne peut plus faire des requetes DNS vers l'extérieur sur d'autres serveurs que ceux de OpenDNS
Les admin peuvent requeter sur n'importe quels serveurs.

Ca à l'air de pas mal fonctionner.
Les équipements récupèrent en DHCP les bon dns filtrants.
Si un petit malin veut forcer les DNS en dur, les requetes sont bloqués au niveau du Firewall

Seuls les PC Admin font ce qu'ils veulent.

La seule faille est bien sur de prendre les IP Admins.
Mais j'ai encore un peu de temps devant moi pour trouver la parade.








29 novembre 2014 4 commentaires