[FRnOG] Re: [TECH] DNS Serveur

2013-01-23 Par sujet Stephane Bortzmeyer 
On Tue, Jan 22, 2013 at 07:31:20PM +0100,
 Dominique DERRIER  wrote 
 a message of 100 lines which said:

[DNSSEC]

> Est-ce que vous avez de bonnes pratiques / QuickWin pour la gestion
> des modifications/clefs/master-slave/...

La question est très vague. Voyons dans l'ordre :

- modification : il faut re-signer. OpenDNSSEC
 le fait automatiquement, sinon, si on a
un Makefile à soi aux petits oignons, il faut rajouter une ligne
dedans.

- clefs : les fous le font à la main, les demi-fous avec un script
Perl qu'ils ont écrit eux-même et qui va planter souvent
. Les autres se servent
d'OpenDNSSEC .

- master/slave : pas compris. Avec DNSSEC, nul besoin d'installer quoi
que ce soit sur les serveurs esclaves, il faut juste s'assurer qu'ils
gèrent DNSSEC (pas seulement le serveur mais aussi l'éventuel
pare-feu bogué que certains s'obstinent à mettre devant le serveur).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer 
On Tue, Jan 22, 2013 at 07:31:20PM +0100,
 Dominique DERRIER  wrote 
 a message of 100 lines which said:

> Il y a aussi Djbdns pour les fanatiques, qui est aussi une bonne
> alternative,

Non, une très mauvaise. Pas maintenu, ne met en œuvre que ce que djb a
choisi, et ne gère aucune des nouveautés apparues depuis dix ans.

> Un élément essentiel reste que la résolution de noms est super
> longue 100/300ms

Euh, sur la planète Mars, OK, mais sur un service normal, dix fois
moins.

Depuis une ligne ADSL chez le fournisseur qui filtre les pubs pour
notre bien :

% dig A www.linkbynet.com
...
;; Query time: 36 msec

Et, après, c'est gardé dans le cache. Si www.linkbynet.com rame
parfois, c'est parce que le TTL est extrêmement bas. On ne peut pas
avoir le beurre et l'argent du beurre.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Clement Cavadore 
On 01/22/2013 09:34 AM, Stephane Bortzmeyer wrote:
> Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
> pas encore tout à fait secs et PowerDNS me fait peur).

Je confirme: nsd est vraiment puissant pour de l'autoritaire ;-)

Merci encore aux gens de l'AFNIC pour le conseil pour l'AS112, ca a
changé la donne au niveau de la charge infligée à la machine (quoique le
setup est tout de même très spécifique).

-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer 
On Mon, Jan 21, 2013 at 11:00:30PM +0100,
 Cyril HLAKKACHE  wrote 
 a message of 41 lines which said:

> Quelles BCP conseillent explicitement ça ?

RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks


Voir aussi 

Si on le fait quand même, il faut *impérativement* limiter le trafic

sinon, cinq minutes après la mise en route, on est utilisé pour des
attaques par réflexion contre des sites de jeux en Chine.

> Pour un cache, le mieux est d'informer tes futurs clients des 2 ou 3
> IP de ces serveurs

Le problème est que la bascule d'un résolveur à un autre est bien trop
lente pour la plupart des clients (5 secondes par défaut sur un OS
Linux typique comme Debian). Les clients finaux ne mémorisent
typiquement pas la panne du premier listé et continuent à
reessayer. Donc, question redondance, ce n'est pas extra.

Je crains qu'on ne puisse pas échapper à VRRP ou équivalent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS Serveur

2013-01-22 Par sujet Stephane Bortzmeyer 
On Mon, Jan 21, 2013 at 07:34:12PM +0100,
 eduper...@franceunicom.fr  wrote 
 a message of 20 lines which said:

> Je suis sur un projet d'implémentation de serveur DNS public 

Vues les réactions (justifiées), il faudrait préciser. Serveur faisant
autorité ou bien résolveur ? Ce sont deux choses complètement
différentes (le terme de « serveur DNS » est bien trop vague).

> Quelles solutions utilisez-vous?

Serveur faisant autorité : BIND et NSD (Knot et Yadifa ne me semblent
pas encore tout à fait secs et PowerDNS me fait peur).

Résolveur : Unbound (je dois avoir encore des BIND quelque part)

> Quiz de la redondance?

Pour des serveurs faisant autorité, elle est bâtie dans le DNS depuis
le début, donc pas grand'chose à dire. Il faut avoir plusieurs
serveurs, sans SPOF (les mettre tous dans le même rack est donc une
mauvaise idée).

Pour des résolveurs, c'est plus compliqué, mais Pierre David avait
fait un bon exposé à JRES sur la technique utilisée par le réseau
Osiris => Ask Not-Evil Google

> Quelles sont les limites d'une solution open source comme Bind?

BIND a des défauts (comme ses concurrents) mais je ne vois pas le
rapport avec le fait que ce soit du logiciel libre.

Par contre, ce que je ne comprends pas, c'est pourquoi tout le monde
installe BIND sans même réflechir : il en existe, des serveurs DNS !

> Quiz de l'ipv6?

Ça marche. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/