Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
Le 21/09/2022 à 23:30, Alarig Le Lay a écrit : Mettre des enregistrements A avec une IP privée ne me choque pas. Déprendre de services externes pour la résolution DNS me choque, par contre. Un port qui flappe, un lien qui déconne, un DDoS, une ACL moisie, etc. et bam, plus de DNS, plus rien. +1. Et çà ne fonctionnera pas du tout s'il y a de l'Active Directory, car AD utilise le DNS pour y ranger ses affaires. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
Bonsoir, Mettre des enregistrements A avec une IP privée ne me choque pas. Déprendre de services externes pour la résolution DNS me choque, par contre. Un port qui flappe, un lien qui déconne, un DDoS, une ACL moisie, etc. et bam, plus de DNS, plus rien. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
Le 21/09/2022 à 15:12, Viktor Colas via frnog a écrit : Pour le coup ça marche assez bien Oui. Les « view » de Bind marchent bien. Utilisé depuis longtemps ici. J. /aol -- GnuPg : 156520BBC8F5B1E3 Because privacy matters. « Quand est-ce qu'on mange ? » AD (c) (tm) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
On Wed, 2022-09-21 at 13:28 +, gaetan-fr...@pignouf.fr wrote: > > En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver > > DNS et > > quand elle recherche www.google.com, elle récupère 216.58.214.163. > > Par > > contre sur une recherche du genre "mon-serveur- > > interne.monentreprise.fr" et > > bien le serveur DNS répond 192.168.0.100. > > > > Techniquement, ça marche. > > Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui > veulent ton bien en répondant un NXDOMAIN (pas sur) quand c'est une IP > RFC1918 (Coucou Free et Numericable). C'est pas un bug c'est une feature, cf https://en.wikipedia.org/wiki/DNS_rebinding Il est bien entendu possible d'avoir une liste blanche de domaines pour lesquelles la protection ne doit pas s'appliquer. Florent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
My 2cents sur le sujet. 1) le split dns (avoir des zones dites privée et publique sur le meme nom dns) à mon avis c'est vraiment se tirer une belle balle dans le pieds. Je conseille de nettement séparer les zones publiques (qui ne devrait pas contenir grand chose normalement), et une zone avec des enregistrements rfc1918 (mais avec un vrai domaine et pas forcément un sous domaine de la 1ere. Par exemple : - masuperlicorne.io => public facing - priv-unikorne.net => private 2) est ce que les enregistrement de ton domaine "privé" doivent être accessible publiquement ? humm ca parait pratique mais en pratique c'est vite error prone (au delà du petit leak d'information). Comme on le mentionne de nombreux resolver de FAI vont les filtrer. Pire certaines box (coucou SFR/NC) font de l'inspection DNS et donc filtrer quoi qu'il arrive (meme si tu change pour pointer sur un resolver google ou cloudflare...). La ou ca devient plus embrouillant encore c'est que cela va résoudre depuis la plupart des navigateurs car ils font maintenant du DoH. Bref tant qu'à vouloir exposer des choses privés (via possiblement un vpn) autant fournir avec le résolveur imo. -- Raphael Mazelier On 21/09/2022 14:49, David Neto wrote: Salut à tous, J'ai une question liée à un cas d'usage que je rencontre chez un clients et pour lequel j'ai du mal à trouver de arguments / contre-arguments. Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS, le client souhaite utiliser uniquement un resolver DNS public avec les enregistrements publics et privés. En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et quand elle recherchewww.google.com, elle récupère 216.58.214.163. Par contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et bien le serveur DNS répond 192.168.0.100. Techniquement, ça marche. Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec les services privés (ELB, entre autres), certains ne voient pas de contraintes à faire pareil.) J'en viens donc à me demander si parmi vous certains ont déjà eu recours à cette pratique et si oui quels sont les arguments le justifiant. Si certains s'offusquent de ce genre de pratique, je suis preneur également des arguments et raisons techniques / sécurité. Merci de vos aides. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
> > Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS, > > le client souhaite utiliser uniquement un resolver DNS public avec les > > enregistrements publics et privés. > Le split DNS c'est quand même un nid à ennui ++ +1 (...) > > Techniquement, ça marche. > Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui veulent ton > bien en répondant un NXDOMAIN (pas sur) quand c'est une IP RFC1918 (Coucou > Free > et Numericable). +1 Il faut bien avoir cette limitaion a l'esprit si les ressources privées sont accessibles via un VPN par exemple, et qu'on ne maitrise pas les resolver DNS des utilisateurs (clientless SSL VPN par exemple). (...) > Oui, je l'ai fait plusieurs fois, le seul soucis que je vois c'est de leaker à > l'extérieur le plan d'adressage interne, mais bon ça ne me semble pas une > information si utile à un attaquant (les ranges RFC 1918 sont pas si vastes) > par rapport aux ennuis créés par le split dns. On n'est pas vendredi donc je > ne > vais pas parler de zero-trust. Sans parler de zero-trust, avoir des entrées dans la zone DNS publique pour des sans IP publique joignable permet aussi de déployer des certificats SSL avec ACME (let's encrypt, zerossl, etc) et validation DNS. Evidemment, il n'est pas nécessaire que ces entrées DNS pointent vers une IP (privée ou publique). Donc je suis pas contre non plus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
21 septembre 2022 à 14:49 "David Neto" a écrit: > > Salut à tous, > > J'ai une question liée à un cas d'usage que je rencontre chez un clients et > pour lequel j'ai du mal à trouver de arguments / contre-arguments. > > Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS, > le client souhaite utiliser uniquement un resolver DNS public avec les > enregistrements publics et privés. > Le split DNS c'est quand même un nid à ennui ++ > En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et > quand elle recherche www.google.com, elle récupère 216.58.214.163. Par > contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et > bien le serveur DNS répond 192.168.0.100. > > Techniquement, ça marche. Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui veulent ton bien en répondant un NXDOMAIN (pas sur) quand c'est une IP RFC1918 (Coucou Free et Numericable). > Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec > les services privés (ELB, entre autres), certains ne voient pas de > contraintes à faire pareil.) > Est-ce que le protocole ne le permet pas ? > J'en viens donc à me demander si parmi vous certains ont déjà eu recours à > cette pratique et si oui quels sont les arguments le justifiant. > Oui, je l'ai fait plusieurs fois, le seul soucis que je vois c'est de leaker à l'extérieur le plan d'adressage interne, mais bon ça ne me semble pas une information si utile à un attaquant (les ranges RFC 1918 sont pas si vastes) par rapport aux ennuis créés par le split dns. On n'est pas vendredi donc je ne vais pas parler de zero-trust. > Si certains s'offusquent de ce genre de pratique, je suis preneur également > des arguments et raisons techniques / sécurité. J'image que dig ad.maboite.com ça doit faire une ligne rouge dans le rapport de pentest > > Merci de vos aides. Gaëtan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics
Salut, Chez nous, on utilise les zones de BIND9 pour séparer les entrées de notre réseau public de celles de nos réseaux privés. Du coup on se retrouve avec 1 seul serveur DNS à maintenir avec quand même une séparation enter les entrées. Pour le coup ça marche assez bien et étant une Asso étudiante on essaye de limiter le nombre de services afin d'assurer une passation des connaissances qui doit se faire chaque année et de manière optimum. Je ne sais pas si c'est la meilleure façon, je suis aussi preneur d'arguments et de retours. Viktor Association MiNET On 9/21/22 14:49, David Neto wrote: Salut à tous, J'ai une question liée à un cas d'usage que je rencontre chez un clients et pour lequel j'ai du mal à trouver de arguments / contre-arguments. Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS, le client souhaite utiliser uniquement un resolver DNS public avec les enregistrements publics et privés. En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et quand elle recherche www.google.com, elle récupère 216.58.214.163. Par contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et bien le serveur DNS répond 192.168.0.100. Techniquement, ça marche. Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec les services privés (ELB, entre autres), certains ne voient pas de contraintes à faire pareil.) J'en viens donc à me demander si parmi vous certains ont déjà eu recours à cette pratique et si oui quels sont les arguments le justifiant. Si certains s'offusquent de ce genre de pratique, je suis preneur également des arguments et raisons techniques / sécurité. Merci de vos aides. --- Liste de diffusion du FRnOG http://www.frnog.org/