Liste de filtrage RPZ
Principes de fonctionnement
Nos équipes ont mis au point un système de filtrage entièrement développé par DynFi et basé sur le protocole RPZ. Ce protocole permet de modifier les requêtes DNS à destination des certaines Zones faisant partie de politiques de filtrage.
Nous avons établi une liste d’environ 60 thématiques principales permettant de réaliser un filtrage RPZ.
Categories (EN) |
|||||
|---|---|---|---|---|---|
advertise |
dating |
gamble |
library |
porn |
search_engnines |
aggressive |
doh |
gambling |
malware |
pornsmall |
sexual_education |
alcohol |
drugs |
games |
manga |
privacy |
shopping |
bank |
education |
government |
military |
radio |
social_media |
blog |
filter_bypass |
hacking |
movies |
reaffected |
sports |
celebrity |
finance |
homestyle |
music |
redirector |
translation |
chat |
fortunetelling |
hospitals |
news |
religion |
urlshortener |
cooking |
forum |
imagehosting |
phone |
remote_control |
video |
crypto |
fr_exam_cheaters |
isp |
piracy |
ringtones |
vpn |
dangerous_material |
fraud |
jobsearch |
podcasts |
science |
webmail |
Ce qui se traduit par :
Catégories (FR) |
|||||
|---|---|---|---|---|---|
advertise |
rencontre |
casino et lotterie |
librairie |
pornographie |
moteur de recherche |
agressif |
DNS over HTTPS |
paris en ligne |
malware |
pornographie (petit) |
éducation sexuelle |
alcool |
drogues |
jeux vidéo |
manga |
vie privée |
shopping |
banque |
éducation |
gouvernement |
militaire |
radio |
média sociaux |
blog |
échappement de filtrage |
hacking |
films |
réaffecté |
sports |
célébrité |
finance |
décoration |
musique |
redirecteur |
traduction |
chat |
voyance |
hôpitaux |
nouvelles |
religion |
réducteur d’URL |
cuisine |
forum |
imagehosting |
téléphone |
télécommande |
vidéo |
crypto |
triche aux examens fr |
FAI |
piratage |
sonneries |
VPN |
matériel_dangereux |
fraude |
recherche d’emploi |
podcasts |
science |
webmail |
Note
Votre serveur DNS doit être utilisé pour la résolution des requêtes DNS à l’exclusion de tout autre et ainsi permettre de filtrer les requêtes de vos clients à destination des Zones inclus dans vos thématiques de filtrage.
Origine de nos listes de filtrage
Nos listes de filtrage RPZ ont été compulsées à partir de différentes listes existant en ligne. Les listes font ensuite l’objet d’un traitement permettant d’éliminer les doublons et de consolider les différentes catégories pour gagner en précision et en efficacité.
Une fois assainies, les listes sont transformées en liste de filtrage RPZ et mise à disposition sur notre serveur central RPZ.
Chaque pare-feu DynFi peut ensuite accéder à ces listes de façon transparente et récupérer localement les zones de filtrage.
Mise en œuvre du filtrage RPZ
Pour mettre en œuvre le filtrage RPZ rendez-vous dans la section Services >> Unbound DNS >> Listes de filtrage RPZ et cliquez sur le “+”.
Une fenêtre pop-up s’ouvre et vous permet de configurer votre filtrage.
Champs |
Commentaires |
|---|---|
Activé |
Permet l’activation ou la désactivation de la liste de filtrage éditée. |
Nom |
Nom de la liste |
Catégories |
Permet de sélectionner les catégories / thématiques sur lesquelles le
filtrage va porter.
Attention : certaines catégories sont très volumineuses et contiennent
plusieurs millions de zones.
Le pop-up indique pour chaque zone : la thématique - le nombre d’entrées
la taille
|
Restreindre à |
Le champ de restriction permet de limiter la portée du filtre à un
alias, une interface ou
Attention : veillez à utiliser exclusivement des alias contenant des
IPs ou un sous-réseau, les alias de type suite d’IPs ne sont pas
pris en compte.
|
Validez votre sélection et cliquez sur Appliquer afin d’activer le jeux de règles que vous aurez choisi. Le firewall va automatiquement se synchroniser avec les bases DynFi de filtrage et ainsi permettre le téléchargement des listes depuis notre serveur central.
Une fois les listes téléchargées, DynFi Firewall vous indiquera que le téléchargement est terminé. Les zones de filtrage sont téléchargées et stockées sur votre pare-feu, le filtrage est ainsi 100% autonome et sans aucun besoin de requêtes vers l’extérieur.
Contournement des règles pour certains domaines
Certaines zones de filtrage vont bloquer des sites auxquels vous souhaitez tout de même donner accès. Il est donc important de pouvoir rapidement autoriser certains sites.
Pour pouvoir donner accès à ces sites, il vous suffit d’utiliser l’onglet Liste blanche proposé par Unbound.
Ajoutez une entrée par zone et sauvegardez votre configuration. Veillez à bien saisir les zones avec et sans le www afin de couvrir les éventuelles redirections. De même si une feuille de style utilise une URL distincte, il faudra bien prendre soin de l’autoriser aussi.
Warning
Attention le rechargement d’Unbound peut prendre un certain temps, car l’ensemble des zones doivente être rechargées en mémoire lors du rechargement du service.
Graphiques et logs du filtrage RPZ
La section Services >> Unbound DNS >> Graphique RPZ offre un aperçu des différents sites bloqués par les listes RPZ activées ainsi que les IPs des utilisateurs ayant provoqué l’activation du blocage.
Un tableau de synthèse affiché en haut de la page présente un rapport des thématiques ayant provoqués le plus de blocage.
- Pour chaque thématique de blocage deux graphiques sont proposés :
Top Sites : détail les sites ayant fait l’objet d’un blocage
Top Offenders : présente les IPs des utilisateurs ayant provoqués l’aller-retour
Pour chaque graphique, il est possible d’afficher un tableau listant les items ayant été bloqué (aussi bien IPs que URL).
Note
Il est possible de disposer dans vos logs des éléments ayant été filtrés, cela permet de comprendre rapidement quelle est la liste RPZ qui a provoqué le filtrage et ainsi éventuellement identifier les “faux positifs”. Pour activer les options de journalisation, activez l’option Journaliser les requêtes et les réponses.
Sources de filtrage utilisées
Source |
URL |
|---|---|
Liste de l’Université de Toulouse Capitole |
|
Abuse.ch |
|
Liste de Crazy Max (inactive) |
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker |
Liste de disconnect |
|
Listes diverses de chadmayfield |
|
Listes diverses de cbuijs |