Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19848ième jour après Epoch, BERTRAND Joël écrivait: > François TOURDE a écrit : [...] >> >> Il y a des chances que ton registrar te propose son propre DNS. Pourquoi >> ne pas l'utiliser ? > > Parce que pour certaines configurations spéciales, ça ne le fait pas ou > alors très difficilement. Typiquement pour un certificat * chez > Lestencrypt, il vaut mieux avoir son propre DNS. Il y a quand même beaucoup de plugins certbot pour différents fournisseurs de DNS: https://eff-certbot.readthedocs.io/en/latest/using.html#dns-plugins Mais effectivement, je me sens plus confortable avec mon propre DNS ;)
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19848ième jour après Epoch, NoSpam écrivait: > Le 04/05/2024 à 23:14, François TOURDE a écrit : >> Le 19846ième jour après Epoch, >> NoSpam écrivait: >> >>> Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel >>> est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND >>> avec sa vue local >>> >>> Perso, je connecterai tous les postes en VPN et ne ferait écouter le >>> serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de >>> sécurité >> Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le >> tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert >> pareil", je choisirais la version DNS plutôt que VPN :) > > Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN > est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut > tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx > est suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas > ouvert aux 4 vents. Désolé, j'avais interprété "Téléphone IP" comme "Smartphone low cost avec accès IP" au lieu de penser VOIP, SIP, etc...
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 04/05/2024 à 23:14, François TOURDE a écrit : Le 19846ième jour après Epoch, NoSpam écrivait: Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND avec sa vue local Perso, je connecterai tous les postes en VPN et ne ferait écouter le serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de sécurité Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert pareil", je choisirais la version DNS plutôt que VPN :) Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx est suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas ouvert aux 4 vents.
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
François TOURDE a écrit : > Le 19846ième jour après Epoch, > Olivier écrivait: > >> Bonjour, >> >> J'envisage de mettre en place un serveur DNS dont le rôle serait de >> résoudre des requêtes sur un de mes domaines. > > Il y a des chances que ton registrar te propose son propre DNS. Pourquoi > ne pas l'utiliser ? Parce que pour certaines configurations spéciales, ça ne le fait pas ou alors très difficilement. Typiquement pour un certificat * chez Lestencrypt, il vaut mieux avoir son propre DNS. signature.asc Description: OpenPGP digital signature
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 4 mai 2024 François TOURDE a écrit : >> Au minimum fermer le serveur par un firewall et autres. Et configurer le >> serveur dns en prenant les options les plus sécurisées, là ça dépend du >> serveur retenu. Mais au minimum bloquer les transferts et la >> récursion. > > Ok pour les transferts et la récursion, mais l'OP parle de "téléphones > IP", je vois mal comment mettre en place un firewall pour gérer ces > types d'accès. Je parlais d'un firewall pour le serveur vps, pour sécuriser globalement le serveur et pas seulement le DNS. Et même sur des IP inconnues un firewall permet de limiter des choses comme : rafales venant d'une IP, packets invalides, etc.
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19846ième jour après Epoch, NoSpam écrivait: > Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel > est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND > avec sa vue local > > Perso, je connecterai tous les postes en VPN et ne ferait écouter le > serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de > sécurité Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert pareil", je choisirais la version DNS plutôt que VPN :)
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19847ième jour après Epoch, Michel Verdier écrivait: > Le 3 mai 2024 Olivier a écrit : > >> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle >> suffisante ? > > Oui sauf si tu attends des milliers de requêtes Milliers par secondes ? Franchement, un prestataire qui loue des machine et qui ne peut pas supporter des floppées de requêtes DNS, j'en vois pas. >> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS >> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ? > > Ouvert pour fournir le dns à des personnes que tu ne connais pas ? > Au minimum fermer le serveur par un firewall et autres. Et configurer le > serveur dns en prenant les options les plus sécurisées, là ça dépend du > serveur retenu. Mais au minimum bloquer les transferts et la > récursion. Ok pour les transferts et la récursion, mais l'OP parle de "téléphones IP", je vois mal comment mettre en place un firewall pour gérer ces types d'accès.
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19846ième jour après Epoch, Olivier écrivait: > Bonjour, > > J'envisage de mettre en place un serveur DNS dont le rôle serait de > résoudre des requêtes sur un de mes domaines. Il y a des chances que ton registrar te propose son propre DNS. Pourquoi ne pas l'utiliser ? > Imaginons que je possède le domaine masociete.com > Le serveur recevra des requètes d'Internet sur des sous-domaines comme > client12345.masociete.com en provenance d'appareils (téléphones IP) > qui peuvent assez rustiques au niveau réseau. > > Mes exigences sont : > > 1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines Tout dépends de ce que tu appelles "facilement", mais par exemple le registrar GANDI propose des API pour gérer tes enregistrements. > > 2- personne ne puisse énumérer mes sous-domaines ie savoir que les > sous-domaines client1.masociete.com et client2.masociete.com > existent et le les sous-domaine client3.masociete.com n'existe pas > (encore), C'est dépendant de ce que tu vas choisir comme outil, mais en général ils possèdent un paramètre qui va restreindre qui a le droit de faire un transfert de données. > 3- le serveur soit protégée-protégeable contre les attaques par Déni > de Service Tu peux difficilement te battre contre une armée de 2^32 (ou plus) de machines zombies, mais des services comme CloudFlare vont pouvoir répondre à ce besoin. Moyennant finances bien sûr. Mais le déni de service n'a pas forcément de rapport avec le type de serveur DNS que tu vas choisir. > Mes questions : > > 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle > suffisante ? Carrément. C'est même presque overkill. > 2. Quel logiciel recommandez-vous ? Bind9 ? Un gros standard bien stable. > 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS > "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ? J'opère mon DNS depuis bientôt 25 ans (Ouch !) et je n'ai jamais eu de soucis majeurs avec. La migration bind8 vers bind9 a été un peu rugueuse, mais j'ai survécu ;) Je pense que la question majeure est: "Ai-je vraiment besoin d'opérer moi-même mon DNS?" Mes 2¢
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 3 mai 2024 Olivier a écrit : > 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante > ? Oui sauf si tu attends des milliers de requêtes > 2. Quel logiciel recommandez-vous ? yadifa ou unbound qui sont assez légers, bind9 qui a plus de fonctionnalités > 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS > "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ? Ouvert pour fournir le dns à des personnes que tu ne connais pas ? Au minimum fermer le serveur par un firewall et autres. Et configurer le serveur dns en prenant les options les plus sécurisées, là ça dépend du serveur retenu. Mais au minimum bloquer les transferts et la récursion.
Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Bonjour Le 03/05/2024 à 17:37, Olivier a écrit : Bonjour, J'envisage de mettre en place un serveur DNS dont le rôle serait de résoudre des requêtes sur un de mes domaines. Imaginons que je possède le domaine masociete.com Le serveur recevra des requètes d'Internet sur des sous-domaines comme client12345.masociete.com en provenance d'appareils (téléphones IP) qui peuvent assez rustiques au niveau réseau. Mes exigences sont : 1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines 2- personne ne puisse énumérer mes sous-domaines ie savoir que les sous-domaines client1.masociete.com et client2.masociete.com existent et le les sous-domaine client3.masociete.com n'existe pas (encore), 3- le serveur soit protégée-protégeable contre les attaques par Déni de Service Mes questions : 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ? 2. Quel logiciel recommandez-vous ? 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ? Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND avec sa vue local Perso, je connecterai tous les postes en VPN et ne ferait écouter le serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de sécurité
