On Mon, 2013-04-08 at 10:19 +0200, Stephane Bortzmeyer wrote: > On Mon, Apr 08, 2013 at 09:03:48AM +0100, > Florent Daigniere <[email protected]> wrote > a message of 100 lines which said: > > > Fermer les resolveurs ouverts ne résout pas le problème des DDoS > > amplifiés par DNS. > > En sécurité (ou en santé publique, domaine qui a beaucoup de points > communs avec la sécurité de l'Internet) aucune mesure ne « résoud » > les problèmes. On les minimise, c'est tout. > > > Le jour où il n'y aura plus de serveur récursifs sur Internet (et ce > > n'est pas demain la veille), > > On peut dire cela (« ça va prendre des siècles ») de toutes les > campagnes d'hygiène informatique (exemple de BCP 38 cité plus > bas). C'est plutôt pour moi une raison pour commencer tout de suite. > > > les attaques se feront sur les serveurs autoritaires. > > Je prends ma casquette de nazi grammairien deux secondes : un adjudant > est autoritaire. Un serveur DNS fait autorité. > > Ensuite, je repasse à la technique : il y a déjà eu des attaques sur > les serveurs faisant autorité. Comme toujours en sécurité (ou en santé > publique), la question n'est pas trouver LA bonne technique. Il > n'existe pas de balle en argent (comme disent les compatriotes de > Stephenie Meyer). Il faut fermer les résolveurs ouverts *et* il faut > sécuriser les serveurs faisant autorité. >
Un problème peut avoir une solution ultime. Dans ce cas précis, si le problème est: "Les attaques DDoS par amplification DNS", la solution c'est d'empêcher le spoofing à la source; pas de changer la configuration des serveurs DNS. > Ceci dit, si les serveurs faisant autorité présentent quelques > avantages pour les attaquants (grosses machines bien connectées), ils > ont aussi des inconvénients (contrairement aux résolveurs ouverts, ce > sont en général des machines gérées, donc surveillées et avec > déploiement de contre-mesures - comme la limitation de trafic). > > > Il est plus facile de construire une liste de serveurs autoritaires > > que d'open-resolvers! > > Comme le montre le travail cité au début de ce fil, construire une > liste de serveurs résolveurs ouverts est possible (et pas spécialement > difficile, sans vouloir dire du mal de l'excellent travail de Jared > Mauch). > > > La bonne solution c'est BCP-38 (rfc3704). > > Mais c'est quoi cettte obsession de LA bonne et vraie solution ? Dans > le monde réel, cela n'existe jamais. Si les geeks voulaient bien > sortir de l'informatique et étudier les domaines qui ont ce genre de > problème depuis des siècles (lutte contre la délinquance, santé > publique), ils sauraient qu'il n'y a pas de solution magique, qu'il > faut attaquer sur plusieurs fronts à la fois. > Si BCP-38 était implémenté, cela résoudrait toute une famille d'attaques par amplification - DNS, mais aussi smurfing, ... https://en.wikipedia.org/wiki/Smurf_attack > Se demander s'il faut déployer BCP 38 OU BIEN fermer les résolveurs > ouverts, c'est aussi à côté des pompes que de se demander s'il vaut se > laver les mains OU BIEN développer des antibiotiques. IL FAUT LES DEUX. > Je ne suis pas d'accord. Ni sur le fond, ni sur le choix de la métaphore. C'est un cas classique: "Donner des solutions sans formuler le problème". Le problème c'est vous qui l'avez formulé: premier paragraphe sur votre blog: "Suite, notamment, à une nouvelle attaque" > > - cache poisoning > > - cache snooping > > Ces deux problèmes ne gènent que les utilisateurs du résolveur > ouvert. Les attaques par amplification gênent tout l'Internet. > On est d'accord sur ce point.
signature.asc
Description: This is a digitally signed message part
