>>> Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe >>> aucun moyen de prévenir un OS client qu'il dispose d'un serveur >>> DoH/DoT utilisable sur le réseau de l'opé/l'entreprise. >> >> Heureusement, car cela ne servirait à rien (ou plutôt à pas >> grand'chose).
Split horizon DNS est-il une meilleure solution que le NAT Hairpinning ? Vous avez quatre heures. >Une utilisation que je vois à l'instant : se protéger contre un hack du CPE >qui permettrait d'y rajouter un DNS menteur ? >Mais on en revient à la problématique de split horizon qui va probablement >faire que personne ne s'amusera à ça. >J'anticipe simplement sur le moment au les gars de systemd-resolved vont >annoncer qu'ils utilisent le DoH de Google par défaut si aucun autre n'est >défini. En fait la problématique existe déjà : /etc/systemd/resolved.conf [Resolve] #DNS= #FallbackDNS= Vide sur deb', pour les copains qui utilisent Arch Linux ( pour ceux qui conaissent pas, Arch Linux, c'est comme courir dans la forêt amazonienne a poil, si tu survis, t'es un vrai, et t'auras des histoires-de-coin-du-feu sur 7 générations ) on trouve les informations suivantes dans la doc : *Note: The fallback DNS are in this order: Cloudflare, Quad9 (without filtering and without DNSSEC) and Google; see the systemd PKGBUILD where the servers are defined.* >>> Et pour ceux qui sont encore dans le brouillard, je propose un débat >>> sur le support des résolveurs DoH dans vos CPE préférés type krotik, >>> Cisco, Netgear, whatelse. Ca devrait nous occuper un moment. >> >> Un client DoH dans le CPE (s'il fait résolveur DNS), je vois >> l'intérêt, mais un serveur ? Ce n'est pas sur le réseau local qu'est >> l'adversaire. >Je pensais effectivement à la partie client DNS du CPE. Dans tous les cas, le >CPE ne pourrait pas avoir de certificat TLS valide (ou alors ce sera un >calvaire à gérer). +1 sur le calvaire du DNS en local. DoH demande forcément un certificat SSL valide, compliquant les déploiements en local. Microsoft en profitera sûrement pour Clouder les gens qui ont du DNS local. >Mais l'idée de faire confiance à son résolveur local (maîtrisable) qui est lui >même capable de résoudre avec DoH me paraît une chose intéressante à >atteindre, en particulier si DNSSEC décolle. >Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il ai >(aussi) la possibilité de le récupérer de manière un minimum dynamique non ? Obligatoire pour les admins utilisant AD, DNS doit être le Contrôleur de Domaine. >> PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets >> qu'il n'y a pas de logs, puisque je n'ai pas compris comment les activer. > Et je suis censé te faire confiance ? Davantage qu'à Cloudflare ? ;-) Au niveau éthique, Bortzflare est sans équivalent. C'est que du bio en paquet IP, de la RFC en agriculture raisonnée, bref, du travail fait avec amour. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
