[FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
On Mon, Apr 08, 2013 at 10:15:33PM +0200, Solarus wrote a message of 12 lines which said: > Je serais curieux de savoir comment il fait ? Il en avait parlé sur NANOG mais guère donné de détails. http://openresolverproject.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
2013/4/8 Wallace > > En même temps un serveur dns faisant autorité est bien autoritaire > puisqu'il impose sa réponse à une question donnée :) > Quand on impose son point de vue on est bien autoritaire non? Ah ben non, dans ce cas on est péremptoire. Ça sonne bien ça, « serveur DNS péremptoire » ;-) -- Guillaume, péremptoirement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
On Mon, 2013-04-08 at 10:19 +0200, Stephane Bortzmeyer wrote: > On Mon, Apr 08, 2013 at 09:03:48AM +0100, > Florent Daigniere wrote > a message of 100 lines which said: > > > Fermer les resolveurs ouverts ne résout pas le problème des DDoS > > amplifiés par DNS. > > En sécurité (ou en santé publique, domaine qui a beaucoup de points > communs avec la sécurité de l'Internet) aucune mesure ne « résoud » > les problèmes. On les minimise, c'est tout. > > > Le jour où il n'y aura plus de serveur récursifs sur Internet (et ce > > n'est pas demain la veille), > > On peut dire cela (« ça va prendre des siècles ») de toutes les > campagnes d'hygiène informatique (exemple de BCP 38 cité plus > bas). C'est plutôt pour moi une raison pour commencer tout de suite. > > > les attaques se feront sur les serveurs autoritaires. > > Je prends ma casquette de nazi grammairien deux secondes : un adjudant > est autoritaire. Un serveur DNS fait autorité. > > Ensuite, je repasse à la technique : il y a déjà eu des attaques sur > les serveurs faisant autorité. Comme toujours en sécurité (ou en santé > publique), la question n'est pas trouver LA bonne technique. Il > n'existe pas de balle en argent (comme disent les compatriotes de > Stephenie Meyer). Il faut fermer les résolveurs ouverts *et* il faut > sécuriser les serveurs faisant autorité. > Un problème peut avoir une solution ultime. Dans ce cas précis, si le problème est: "Les attaques DDoS par amplification DNS", la solution c'est d'empêcher le spoofing à la source; pas de changer la configuration des serveurs DNS. > Ceci dit, si les serveurs faisant autorité présentent quelques > avantages pour les attaquants (grosses machines bien connectées), ils > ont aussi des inconvénients (contrairement aux résolveurs ouverts, ce > sont en général des machines gérées, donc surveillées et avec > déploiement de contre-mesures - comme la limitation de trafic). > > > Il est plus facile de construire une liste de serveurs autoritaires > > que d'open-resolvers! > > Comme le montre le travail cité au début de ce fil, construire une > liste de serveurs résolveurs ouverts est possible (et pas spécialement > difficile, sans vouloir dire du mal de l'excellent travail de Jared > Mauch). > > > La bonne solution c'est BCP-38 (rfc3704). > > Mais c'est quoi cettte obsession de LA bonne et vraie solution ? Dans > le monde réel, cela n'existe jamais. Si les geeks voulaient bien > sortir de l'informatique et étudier les domaines qui ont ce genre de > problème depuis des siècles (lutte contre la délinquance, santé > publique), ils sauraient qu'il n'y a pas de solution magique, qu'il > faut attaquer sur plusieurs fronts à la fois. > Si BCP-38 était implémenté, cela résoudrait toute une famille d'attaques par amplification - DNS, mais aussi smurfing, ... https://en.wikipedia.org/wiki/Smurf_attack > Se demander s'il faut déployer BCP 38 OU BIEN fermer les résolveurs > ouverts, c'est aussi à côté des pompes que de se demander s'il vaut se > laver les mains OU BIEN développer des antibiotiques. IL FAUT LES DEUX. > Je ne suis pas d'accord. Ni sur le fond, ni sur le choix de la métaphore. C'est un cas classique: "Donner des solutions sans formuler le problème". Le problème c'est vous qui l'avez formulé: premier paragraphe sur votre blog: "Suite, notamment, à une nouvelle attaque" > > - cache poisoning > > - cache snooping > > Ces deux problèmes ne gènent que les utilisateurs du résolveur > ouvert. Les attaques par amplification gênent tout l'Internet. > On est d'accord sur ce point. signature.asc Description: This is a digitally signed message part
Re: [FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
Le 08/04/2013 10:19, Stephane Bortzmeyer a écrit : >> les attaques se feront sur les serveurs autoritaires. > Je prends ma casquette de nazi grammairien deux secondes : un adjudant > est autoritaire. Un serveur DNS fait autorité. Tu m'avais déjà fait cette remarque mais en cherchant bien autorité en tant que nom féminin, je ne vois pas quel adjectif autre qu'autoritaire pour l'accoler à serveur dns sans mettre un verbe. En même temps un serveur dns faisant autorité est bien autoritaire puisqu'il impose sa réponse à une question donnée :) Quand on impose son point de vue on est bien autoritaire non? signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
On Mon, Apr 08, 2013 at 09:03:48AM +0100, Florent Daigniere wrote a message of 100 lines which said: > Fermer les resolveurs ouverts ne résout pas le problème des DDoS > amplifiés par DNS. En sécurité (ou en santé publique, domaine qui a beaucoup de points communs avec la sécurité de l'Internet) aucune mesure ne « résoud » les problèmes. On les minimise, c'est tout. > Le jour où il n'y aura plus de serveur récursifs sur Internet (et ce > n'est pas demain la veille), On peut dire cela (« ça va prendre des siècles ») de toutes les campagnes d'hygiène informatique (exemple de BCP 38 cité plus bas). C'est plutôt pour moi une raison pour commencer tout de suite. > les attaques se feront sur les serveurs autoritaires. Je prends ma casquette de nazi grammairien deux secondes : un adjudant est autoritaire. Un serveur DNS fait autorité. Ensuite, je repasse à la technique : il y a déjà eu des attaques sur les serveurs faisant autorité. Comme toujours en sécurité (ou en santé publique), la question n'est pas trouver LA bonne technique. Il n'existe pas de balle en argent (comme disent les compatriotes de Stephenie Meyer). Il faut fermer les résolveurs ouverts *et* il faut sécuriser les serveurs faisant autorité. Ceci dit, si les serveurs faisant autorité présentent quelques avantages pour les attaquants (grosses machines bien connectées), ils ont aussi des inconvénients (contrairement aux résolveurs ouverts, ce sont en général des machines gérées, donc surveillées et avec déploiement de contre-mesures - comme la limitation de trafic). > Il est plus facile de construire une liste de serveurs autoritaires > que d'open-resolvers! Comme le montre le travail cité au début de ce fil, construire une liste de serveurs résolveurs ouverts est possible (et pas spécialement difficile, sans vouloir dire du mal de l'excellent travail de Jared Mauch). > La bonne solution c'est BCP-38 (rfc3704). Mais c'est quoi cettte obsession de LA bonne et vraie solution ? Dans le monde réel, cela n'existe jamais. Si les geeks voulaient bien sortir de l'informatique et étudier les domaines qui ont ce genre de problème depuis des siècles (lutte contre la délinquance, santé publique), ils sauraient qu'il n'y a pas de solution magique, qu'il faut attaquer sur plusieurs fronts à la fois. Se demander s'il faut déployer BCP 38 OU BIEN fermer les résolveurs ouverts, c'est aussi à côté des pompes que de se demander s'il vaut se laver les mains OU BIEN développer des antibiotiques. IL FAUT LES DEUX. > - cache poisoning > - cache snooping Ces deux problèmes ne gènent que les utilisateurs du résolveur ouvert. Les attaques par amplification gênent tout l'Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Chassons le résolveur DNS ouvert
On Sun, Apr 07, 2013 at 09:59:40PM +0200, Stephane Bortzmeyer wrote a message of 161 lines which said: > Indiquez votre numéro d'AS à l'auteur Donc, à Jared Mauch, pas à moi (je dis ça parce que j'ai déjà reçu plusieurs demandes). --- Liste de diffusion du FRnOG http://www.frnog.org/
