Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Nico CARTRON]

On 26 Jun 2018, at 14:55, David Ponzone  wrote:
> 
> Et PowerDNS a l’air de se reposer sur dnsdist, si j’ai bien compris

oui, et ça marche :)

https://twitter.com/PowerDNS_Bert/status/1004013160469356545 
 




> 
> 
> 
> 
>> Le 26 juin 2018 à 14:43, Stephane Bortzmeyer  a écrit :
>> 
>> On Tue, Jun 26, 2018 at 01:46:35PM +0200,
>> Erwan David  wrote 
>> a message of 15 lines which said:
>> 
>>> Et DNS over TLS ou DNS over HTTPS ?
>> 
>> DNS-over-TLS est normalisé depuis des années, et il existe des
>> versions officielles publiées des logiciels qui le mettent en œuvre.
>> 
>> DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
>> mises en œuvre sont des trucs expérimentaux locaux.
>> 
>>> Et avec quels produits le faire de manière propre et satisfaisante ?
>> 
>> Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
>> nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
>> toujours mettre un proxy TLS devant.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Michel Py]

> Stephane Bortzmeyer a écrit :
> Avec un raisonnement pareil, on peut arrêter de faire du HTTPS tout de suite
> (faire du TLS avec Gmail n'empêche pas Gmail de filer les données à la NSA).

Tu crois qu'ils le font pas ?

On est en train d'arriver à un point ou c'est contre-productif. Toute la 
journée, je travaille sur des pages HTTPS qui ont un problème de certificat et 
j'ignore le problème. Mettre HTTPS partout avec des certificats jamais 
maintenus, çà fabrique l'habitude d'ignorer les erreurs.

Pour qu'un mécanisme de sécurité soit efficace, il faut qu'il soit déployé, et 
dans un état qui ne soit pas "tout le monde s'en fout".
Récemment je me suis posé la même question à propos de RPKI : qui s'en sert, 
quel est le niveau de déploiement, qu'est-ce que çà m'apporte si je le déploie, 
qu'est-ce que çà m'enlève si je ne le déploie pas.

Qui s'en sert : dans la région ARIN, pratiquement personne.
Quel est le niveau de déploiement : pratiquement zéro.
Qu'est-ce que çà m'apporte si je le déploie : rien. Le travail de le faire et 
de le maintenir, les emmerdes si il y a un problème quelconque, aucun gain.
Qu'est-ce que çà m'enlève si je ne le déploie pas : rien. Tout le monde s'en 
fout.

C'est bien de prêcher la bonne parole, mais vu de mon coté de la lorgnette 
c'est encore un emmerdement supplémentaire qui me fait perdre mon temps.
DNS sur TLS c'est pareil. La sécurité c'est bien, mais quand çà devient 
tellement compliqué que les utilisateurs écrivent le mot de passe sur une note 
post-it collée à l'écran, faut changer quelque chose.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Michel Py]

>> David Ponzone a écrit :
>> Et donc Stéphane, à ton avis, il faut activer DNS over TLS,

> Stephane Bortzmeyer a écrit :
> Oui, si on se soucie de la vie privée de ses utilisateurs :-)

Je ne suis pas convaincu que çà va beaucoup l'améliorer. Ca ne vas pas empêcher 
les gens de revendre les données des requêtes DNS qu'ils reçoivent, après les 
avoir déchiffrées. Et çà va probablement pas empêcher les gens de faire des DNS 
menteurs à travers TLS non plus.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

['Stephane Bortzmeyer']

On Tue, Jun 26, 2018 at 03:38:58PM +,
 Michel Py  wrote 
 a message of 9 lines which said:

> Ca ne vas pas empêcher les gens de revendre les données des requêtes
> DNS qu'ils reçoivent, après les avoir déchiffrées. Et çà va
> probablement pas empêcher les gens de faire des DNS menteurs à
> travers TLS non plus.

Avec un raisonnement pareil, on peut arrêter de faire du HTTPS tout de
suite (faire du TLS avec Gmail n'empêche pas Gmail de filer les
données à la NSA).

Mais, à tout hasard, je répète l'Avertissement Standard: AUCUNE
TECHNIQUE DE SÉCURITÉ N'EST PARFAITE. LES PILES NE SONT PAS
INCLUSES. CHAQUE TECHNIQUE DE SÉCURITÉ TRAITE CERTAINS PROBLÈMES
SEULEMENT, ET IL FAUT DONC DÉPLOYER PLUSIEURS TECHNIQUES. LES OBJETS
DANS LE RÉTROVISEUR SONT PLUS GROS QU'IL N'Y PARAIT. LE PROBLÈME N'EST
PAS PUREMENT TECHNIQUE, ÉCRIVEZ À VOTRE DÉPUTÉ.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX

[Fabien H]

Bonsoir,

est-ce que vous constatez des pics trafic UDP anormalement elevé cet
après-midi : 2 pics vers 16H30 et 17H30 dans le sens transit vers clients ?

En regardant un peu sur les différentes statistiques sur internet, ça
semble généralisé.

A priori beaucoup de port 53, mais pas que .. Donc surement un Ddos mais
provoqué par quoi ??

Fabien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX

[Fabien H]

Ah oui, tout à fait, même chute vers 16h45-17h, ça correspond effectivement
au match, je n'y avais pas pensé !



Le 26 juin 2018 à 21:40, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Tue, Jun 26, 2018, at 18:17, Fabien H wrote:
> > est-ce que vous constatez des pics trafic UDP anormalement elevé cet
> > après-midi : 2 pics vers 16H30 et 17H30 dans le sens transit vers
> clients ?
>
> Je ne sais pas si c'etait du UDP, mais on a bien eu une bonne montee en
> traffic dans les deux directions en provenance/direction des principaux FAI
> francais entre ~16h00 et ~17h50, avec une petite "chute" vers 16h45-17h00.
>
> Comme le phenomene etait present sur les liens pro/entreprise (beaucoup)
> plus que sur les liens GP, on suspecte un/des player(s) TV type Molotov ou
> MyTF1 qui fonctionneraient (aussi) en mode P2P - des gens qui regardent le
> match au bureau.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX

[r...@futomaki.net]

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Nico CARTRON]

Re,

> On 26 Jun 2018, at 16:04, Nico CARTRON  wrote:
> 
> On 26 Jun 2018, at 14:55, David Ponzone  > wrote:
>> 
>> Et PowerDNS a l’air de se reposer sur dnsdist, si j’ai bien compris
> 
> oui, et ça marche :)
> 
> https://twitter.com/PowerDNS_Bert/status/1004013160469356545 
>  
>> 

Juste pour être précis, David ayant répondu à un email de Stéphane qui parlait 
de DoT *ET* de DoH:
dnsdist supporte uniquement DNS-over-TLS, et ce depuis la version 1.3.0: 
https://dnsdist.org/guides/dns-over-tls.html 
 

Cheers,
Nico.

>>> Le 26 juin 2018 à 14:43, Stephane Bortzmeyer >> > a écrit :
>>> 
>>> On Tue, Jun 26, 2018 at 01:46:35PM +0200,
>>> Erwan David mailto:er...@rail.eu.org>> wrote 
>>> a message of 15 lines which said:
>>> 
 Et DNS over TLS ou DNS over HTTPS ?
>>> 
>>> DNS-over-TLS est normalisé depuis des années, et il existe des
>>> versions officielles publiées des logiciels qui le mettent en œuvre.
>>> 
>>> DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
>>> mises en œuvre sont des trucs expérimentaux locaux.
>>> 
 Et avec quels produits le faire de manière propre et satisfaisante ?
>>> 
>>> Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
>>> nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
>>> toujours mettre un proxy TLS devant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX

[Radu-Adrian Feurdean]

On Tue, Jun 26, 2018, at 18:17, Fabien H wrote:
> est-ce que vous constatez des pics trafic UDP anormalement elevé cet
> après-midi : 2 pics vers 16H30 et 17H30 dans le sens transit vers clients ?

Je ne sais pas si c'etait du UDP, mais on a bien eu une bonne montee en traffic 
dans les deux directions en provenance/direction des principaux FAI francais 
entre ~16h00 et ~17h50, avec une petite "chute" vers 16h45-17h00.

Comme le phenomene etait present sur les liens pro/entreprise (beaucoup) plus 
que sur les liens GP, on suspecte un/des player(s) TV type Molotov ou MyTF1 qui 
fonctionneraient (aussi) en mode P2P - des gens qui regardent le match au 
bureau. 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

['Stephane Bortzmeyer']

On Tue, Jun 26, 2018 at 09:32:08AM +0200,
 Giles R DeMourot  wrote 
 a message of 29 lines which said:

> Il a été créé par d'anciens du Guardian mécontent de ce que ce
> dernier ne voulait pas suivre WkiLeaks, Assange et Snowden dans des
> activités qui représentaient un risque légal pour le journal.

« Le journalisme, c'est publier des informations que quelqu'un de
puissant ne veut pas voir publiées. Tout le reste, c'est de la comm' »


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] [The Intercept] The wiretap rooms

[Stephane Bortzmeyer]

https://theintercept.com/2018/06/25/att-internet-nsa-spy-hubs/

L'article sur un programme d'interception de la NSA dans le réseau
AT est intéressant mais l'auteur aurait dû faire relire : ses
explications sur le peering sont confuses, et sa description
sensationnaliste des datacenters d'AT décridibilise l'article.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] [The Intercept] The wiretap rooms

[Giles R DeMourot]

Stéphane Bortzmeyer: The Intercept n'est pas considéré comme une publication 
très sérieuse aux US. Son fonds de commerce est de publier des documents qu'il 
ne comprend pas toujours dérobés aux agences du gouvernement des Etats-Unis. Il 
a été créé par d'anciens du Guardian mécontent de ce que ce dernier ne voulait 
pas suivre WkiLeaks, Assange et Snowden dans des activités qui représentaient 
un risque légal pour le journal.

Giles R DeMourot

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of Stephane 
Bortzmeyer
Sent: Tuesday, June 26, 2018 9:07 AM
To: frnog-m...@frnog.org
Subject: [FRnOG] [MISC] [The Intercept] The wiretap rooms

https://theintercept.com/2018/06/25/att-internet-nsa-spy-hubs/

L'article sur un programme d'interception de la NSA dans le réseau AT est 
intéressant mais l'auteur aurait dû faire relire : ses explications sur le 
peering sont confuses, et sa description sensationnaliste des datacenters 
d'AT décridibilise l'article.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

[Breizh]

Le Tue, 26 Jun 2018 10:52:01 +0200,
"Giles R DeMourot"  a écrit :

> Stéphane Bortzmeyer: Violer la loi sur l'espionnage ce n'est pas du
> journalisme. Deux personnes sont en prison à cause de The Intercept.

Ou plutôt, à cause du gouvernement états-unien.


> Giles R DeMourot
> 
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of
> 'Stephane Bortzmeyer' Sent: Tuesday, June 26, 2018 9:50 AM
> To: Giles R DeMourot 
> Cc: frnog-m...@frnog.org
> Subject: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms
> 
> On Tue, Jun 26, 2018 at 09:32:08AM +0200,  Giles R DeMourot
>  wrote  a message of 29 lines which said:
> 
> > Il a été créé par d'anciens du Guardian mécontent de ce que ce
> > dernier ne voulait pas suivre WkiLeaks, Assange et Snowden dans des
> > activités qui représentaient un risque légal pour le journal.  
> 
> « Le journalisme, c'est publier des informations que quelqu'un de
> puissant ne veut pas voir publiées. Tout le reste, c'est de la comm' »
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

[Giles R DeMourot]

Breizh: Non, cela ne dépendu aucunement du gouvernement en place. Les 
poursuites sont automatiques pour les agents du gouvernement américain qui 
volent des documents classifiés à leur propre agence et les font publier par 
WikiLeaks ou The Intercept.

La loi qu'ils/elles ont violé est 18 U.S. Code § 798 - Disclosure of classified 
information, https://www.law.cornell.edu/uscode/text/18/798#

La majorité des gens poursuivis l'ont été sous l'administration Obama.

Le nouveau gouvernent équatorien veut régler le cas Assange.

Je vous ferais remarquer qu'en France vous êtes plus sévères pour ce genre de 
choses.

Giles R DeMourot

-Original Message-
From: Breizh  
Sent: Tuesday, June 26, 2018 11:00 AM
To: Giles R DeMourot 
Cc: frnog-m...@frnog.org
Subject: Re: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

Le Tue, 26 Jun 2018 10:52:01 +0200,
"Giles R DeMourot"  a écrit :

> Stéphane Bortzmeyer: Violer la loi sur l'espionnage ce n'est pas du 
> journalisme. Deux personnes sont en prison à cause de The Intercept.

Ou plutôt, à cause du gouvernement états-unien.


> Giles R DeMourot
> 
> -Original Message-
> From: frnog-requ...@frnog.org  On Behalf Of 
> 'Stephane Bortzmeyer' Sent: Tuesday, June 26, 2018 9:50 AM
> To: Giles R DeMourot 
> Cc: frnog-m...@frnog.org
> Subject: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms
> 
> On Tue, Jun 26, 2018 at 09:32:08AM +0200,  Giles R DeMourot 
>  wrote  a message of 29 lines which said:
> 
> > Il a été créé par d'anciens du Guardian mécontent de ce que ce 
> > dernier ne voulait pas suivre WkiLeaks, Assange et Snowden dans des 
> > activités qui représentaient un risque légal pour le journal.
> 
> « Le journalisme, c'est publier des informations que quelqu'un de 
> puissant ne veut pas voir publiées. Tout le reste, c'est de la comm' »
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] CDI Abu Dhabi UAE - Ingénieur System / IT Manager

[Thomas Nogueira]

Bonjour à toutes et tous,

Je retourne vivre en France je partage donc l'offre suivante pour reprendre
ma position.

Envie de soleil 360 jours par an ?
OTG société éditrice de logiciel d'analyse réseaux cherche un ingénieur
système *multitâche*

Descriptif de poste :
- Installation & maintenance des systèmes d'analyse réseaux sur les sites
clients
- Management et gestion de l'IT interne de l'entreprise
- Supporter l’équipe de développement pour intégrer les mises à
jour aux systèmes d'analyse

Les compétences appréciées :
- L'Anglais lu, écrit et parlé est *obligatoire*
- Linux ( CentOS / Fedora )
- Pxe, Kickstart, Ansible, Offline packages management
- Nginx, PostgreSQL, Elasticsearch, Dpdk, Docker, Teamcity, Atlassian
- Windows Server ( AD / Exchange )
- Cisco Firewall / Cisco Switch
- Ixia network packet broker / Gigamon
- Monitoring Observium + collectd, Grafana + Graphite + statd
- Scripting Bash / Python
- Pfsense / Bsd ( Bonus )

Rémunération : selon profil et expérience, de 5000 - 8000 €/mois ( 20k -
35K AED/mois ).

Avantages : visa, un vol aller-retour pour le pays d'origine par an (vous +
conjoint / conjointe et enfant), *absence d’impôt sur le revenu*,
couverture santé, 25 jours de congés par an, la plage a trois minutes du
bureau.

Si des barbus Linuxien cherche a compléter leur équipe en Île-de-France, je
suis à la recherche de mon prochain poste.

N’hésitez pas si vous avez des questions sur le poste / la vie aux Emirats
Arabes Unis.

Cordialement
Thomas Nogueira
www.linkedin.com/in/thomas-nogueira

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

[Giles R DeMourot]

Stéphane Bortzmeyer: Violer la loi sur l'espionnage ce n'est pas du 
journalisme. Deux personnes sont en prison à cause de The Intercept.

Giles R DeMourot

-Original Message-
From: frnog-requ...@frnog.org  On Behalf Of 'Stephane 
Bortzmeyer'
Sent: Tuesday, June 26, 2018 9:50 AM
To: Giles R DeMourot 
Cc: frnog-m...@frnog.org
Subject: [FRnOG] Re: [MISC] [The Intercept] The wiretap rooms

On Tue, Jun 26, 2018 at 09:32:08AM +0200,  Giles R DeMourot 
 wrote  a message of 29 lines which said:

> Il a été créé par d'anciens du Guardian mécontent de ce que ce dernier 
> ne voulait pas suivre WkiLeaks, Assange et Snowden dans des activités 
> qui représentaient un risque légal pour le journal.

« Le journalisme, c'est publier des informations que quelqu'un de puissant ne 
veut pas voir publiées. Tout le reste, c'est de la comm' »


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Ipsec/l2tp Mikrotik vs Smartedge

[Kevin Thiou]

bonjour,

Un génie aurait il réussit à faire monter une connexion L2TP/Ipsec entre
une CPE Mikrotik et un Redback Smartedge ?

Si vous avez un exemple de la conf du smartedge je suis preneur.

En attendant la providence je continue à chercher :)

Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Ramanou S. BIAOU]

​Certaines réponses sont peut-être dans le RFC 7858

Un peu de lecture pour commencer serait bien intéressant :
http://www.bortzmeyer.org/7858.html
https://tools.ietf.org/html/rfc7858​

Ramanou


Le 26 juin 2018 à 13:46, Erwan David  a écrit :

> On Tue, Jun 26, 2018 at 01:03:16PM CEST, David Ponzone <
> david.ponz...@gmail.com> said:
> > Et donc Stéphane, à ton avis, il faut activer DNS over TLS, ou ça peut
> attendre 10 ans ? :)
>
> Et DNS over TLS ou DNS over HTTPS ? Et avec quels produits le faire de
> manière propre et satisfaisante ?
>
> Plein de questions donc.
>
>
> --
> Erwan
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 

*--BIAOU Ramanou**--*
--www.biaou.net--

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Stephane Bortzmeyer]

On Tue, Jun 26, 2018 at 01:03:16PM +0200,
 David Ponzone  wrote 
 a message of 185 lines which said:

> Et donc Stéphane, à ton avis, il faut activer DNS over TLS,

Oui, si on se soucie de la vie privée de ses utilisateurs :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Stephane Bortzmeyer]

On Tue, Jun 26, 2018 at 01:46:35PM +0200,
 Erwan David  wrote 
 a message of 15 lines which said:

> Et DNS over TLS ou DNS over HTTPS ?

DNS-over-TLS est normalisé depuis des années, et il existe des
versions officielles publiées des logiciels qui le mettent en œuvre.

DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
mises en œuvre sont des trucs expérimentaux locaux.

> Et avec quels produits le faire de manière propre et satisfaisante ?

Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
toujours mettre un proxy TLS devant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] [The Intercept] The wiretap rooms

[Michel Py]

> Giles R DeMourot a écrit :
> The Intercept n'est pas considéré comme une publication très sérieuse aux US.

En effet, c'est du sensationnel plus ou moins bidon a pas cher.

> Son fonds de commerce est de publier des documents qu'il ne comprend pas 
> toujours dérobés aux agences du gouvernement des Etats-Unis.

Et n'importe quoi d'autre tant que çà fait vendre de l'encre. On n'a pas marché 
sur la Lune, c'est un complot du gouvernement. Il y a des extra-terrestres à 
area 51, et le gouvernement nous le cache. Etc.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] [The Intercept] The wiretap rooms

[Ge DUPIN]

Pour l’instant je lis leurs articles gratuitement
Ge

> Le 26 juin 2018 à 23:40, Michel Py  a 
> écrit :
> 
>> Giles R DeMourot a écrit :
>> The Intercept n'est pas considéré comme une publication très sérieuse aux US.
> 
> En effet, c'est du sensationnel plus ou moins bidon a pas cher.
> 
>> Son fonds de commerce est de publier des documents qu'il ne comprend pas 
>> toujours dérobés aux agences du gouvernement des Etats-Unis.
> 
> Et n'importe quoi d'autre tant que çà fait vendre de l'encre. On n'a pas 
> marché sur la Lune, c'est un complot du gouvernement. Il y a des 
> extra-terrestres à area 51, et le gouvernement nous le cache. Etc.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Stephane Bortzmeyer]

On Tue, Jun 26, 2018 at 01:46:04PM +0200,
 Solarus  wrote 
 a message of 15 lines which said:

> Il y a quelque chose à faire dans Bind et Unbound niveau conf ?

Un exemple de configuration Unbound qui marche figure à la fin de :

https://dns-resolver.yeti.eu.org/

[À noter que ce site Web n'est pas utilisable avec les machines du XXe
siècle.]


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[David Ponzone]

Et PowerDNS a l’air de se reposer sur dnsdist, si j’ai bien compris




> Le 26 juin 2018 à 14:43, Stephane Bortzmeyer  a écrit :
> 
> On Tue, Jun 26, 2018 at 01:46:35PM +0200,
> Erwan David  wrote 
> a message of 15 lines which said:
> 
>> Et DNS over TLS ou DNS over HTTPS ?
> 
> DNS-over-TLS est normalisé depuis des années, et il existe des
> versions officielles publiées des logiciels qui le mettent en œuvre.
> 
> DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
> mises en œuvre sont des trucs expérimentaux locaux.
> 
>> Et avec quels produits le faire de manière propre et satisfaisante ?
> 
> Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
> nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
> toujours mettre un proxy TLS devant.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[David Ponzone]

Ok mais si je me basais sur les RFC pour savoir si une nouveauté va être 
globalement adopté, j’aurais déjà déployé IPv6 (TROLL).

Ma question était plus de savoir s’il y a des gros lourds derrière, à part 
Google, qui poussent pour que ça se diffuse, ou si ça va rester comme QUIC.



> Le 26 juin 2018 à 14:33, Ramanou S. BIAOU  a écrit :
> 
> ​Certaines réponses sont peut-être dans le RFC 7858
> 
> Un peu de lecture pour commencer serait bien intéressant :
> http://www.bortzmeyer.org/7858.html
> https://tools.ietf.org/html/rfc7858​
> 
> Ramanou
> 
> 
> Le 26 juin 2018 à 13:46, Erwan David  a écrit :
> 
>> On Tue, Jun 26, 2018 at 01:03:16PM CEST, David Ponzone <
>> david.ponz...@gmail.com> said:
>>> Et donc Stéphane, à ton avis, il faut activer DNS over TLS, ou ça peut
>> attendre 10 ans ? :)
>> 
>> Et DNS over TLS ou DNS over HTTPS ? Et avec quels produits le faire de
>> manière propre et satisfaisante ?
>> 
>> Plein de questions donc.
>> 
>> 
>> --
>> Erwan
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> 
> -- 
> 
> *--BIAOU Ramanou**--*
> --www.biaou.net--
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Tue, Jun 26, 2018 at 01:46:04PM +0200,
>  Solarus  wrote 
>  a message of 15 lines which said:
> 
> > Il y a quelque chose à faire dans Bind et Unbound niveau conf ?
> 
> Un exemple de configuration Unbound qui marche figure à la fin de :
> 
> https://dns-resolver.yeti.eu.org/
> 
> [À noter que ce site Web n'est pas utilisable avec les machines du XXe
> siècle.]

Oui, c'est de la discrimination anti v4.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX

[Sylvain sbu]

Bonjour,
J'ai surtout vu pour la première foi depuis que je bosse, du gros délestage
sur certain opérateur...
Et nominal je suis à 60/40 de traffic IN entre 2 opérateurs (je laisse BGP
faire) en Multihoming et en plein match j'ai eu 3 délestage d'un opérateur
ou je suis passer a 85/15.
Ca sent le desanonce d'opérateur ou fournisseur de contenu pour pas saturer
certaine ficelles. :-)
Si qqun a des infos je suis curieux...
SBU


Garanti
sans virus. www.avast.com

<#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>

Le 26 juin 2018 à 22:06, r...@futomaki.net  a écrit :

> Zut on est repéré :) faut dire que cela a pas mal bastonné.
>
> Sent from my Mobile
>
>
>  Original Message 
> Subject: Re: [FRnOG] [ALERT] Fort trafic UDP IN provenant de transit/GIX
> From: Fabien H
> To: frnog@frnog.org
> CC:
>
>
> Ah oui, tout à fait, même chute vers 16h45-17h, ça correspond effectivement
> au match, je n'y avais pas pensé !
>
>
>
> Le 26 juin 2018 à 21:40, Radu-Adrian Feurdean <
> fr...@radu-adrian.feurdean.net> a écrit :
>
> > On Tue, Jun 26, 2018, at 18:17, Fabien H wrote:
> > > est-ce que vous constatez des pics trafic UDP anormalement elevé cet
> > > après-midi : 2 pics vers 16H30 et 17H30 dans le sens transit vers
> > clients ?
> >
> > Je ne sais pas si c'etait du UDP, mais on a bien eu une bonne montee en
> > traffic dans les deux directions en provenance/direction des principaux
> FAI
> > francais entre ~16h00 et ~17h50, avec une petite "chute" vers
> 16h45-17h00.
> >
> > Comme le phenomene etait present sur les liens pro/entreprise (beaucoup)
> > plus que sur les liens GP, on suspecte un/des player(s) TV type Molotov
> ou
> > MyTF1 qui fonctionneraient (aussi) en mode P2P - des gens qui regardent
> le
> > match au bureau.
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Solutions firewall NGN

[Michel Py]

> David Ponzone a écrit :
> Par exemple, un simple Forticlient fait-il le job, même sans Fortigate ?

Justement, c'est l'exemple de ce qu'il ne faut pas faire. Il faut _et_ le 
pare-feu _et_ l'antivirus sur le PC, et préférablement pas du même 
constructeur, ce qui augmente les chances d'intercepter le virus.

> Il serait donc peut-être intéressant d’établir une liste des solutions AV 
> Endpoint sérieuses ?

Le seul qui ne m'aie pas trop enquiquiné est Symantec Endpoint.
McAffee j'évite comme la peste.
Kaspersky je peux pas (c'est pas cachère avec mon gouvernement).

J'étais un fan de Malwarebytes (j'étais un des premiers adopteurs j'ai la 
license à vie), mais récemment ils ont complètement pété les plombs. Non 
seulement c'est cher pour la solution Entreprise (plus cher que Symantec) et en 
plus maintenant çà plante; ça fait plusieurs machines récemment (y compris une 
installation fraiche) ou j'ai du l'enlever).

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Stephane Bortzmeyer]

Au fur et à mesure que le nouvel Android se déploie.

---
Liste de diffusion du FRnOG
http://www.frnog.org/
--- Begin Message ---
Hi everyone,

[tl;dr enable DNS over TLS on your resolvers and CPE/modem if you can]

As announced in 
https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html
Android "P" will attempt to talk DNS over TLS to its resolver by default.

We've asked a few very large scale resolver operators (at service providers)
if they see this happening already and they confirm, but it is tiny.

Among tens of millions of subscribers "dozens" of IP addresses attempt
connections to port 853 of resolvers. 

The reason this does not yet happen a lot is of course partly because
Android P is not widely deployed, but also because most service providers
now provision their modem/router/CPE/default GW as nameserver.

And in fact, most of the attempts we have heard of come from mobile phones
on cellular networks, and not from home wifi. 

Anyhow, if you are planning DNS operations, be aware phones will start
attempting to talk 853 to your CPE. And if you are a mobile operator, expect
the same to happen on your resolvers.

We are aware of at least one moderately large service provider that will
enable DNS over TLS on their resolvers. 

(Mobile) service providers that want to prevent their users from eventually
receiving the popup "your internet connection is not secure, use our private
lookup service?" may want to ponder doing the same.

Bert
___
dns-operations mailing list
dns-operati...@lists.dns-oarc.net
https://lists.dns-oarc.net/mailman/listinfo/dns-operations
dns-operations mailing list
https://lists.dns-oarc.net/mailman/listinfo/dns-operations
--- End Message ---

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Erwan David]

On Tue, Jun 26, 2018 at 01:03:16PM CEST, David Ponzone 
 said:
> Et donc Stéphane, à ton avis, il faut activer DNS over TLS, ou ça peut 
> attendre 10 ans ? :)

Et DNS over TLS ou DNS over HTTPS ? Et avec quels produits le faire de manière 
propre et satisfaisante ?

Plein de questions donc.


-- 
Erwan


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[David Ponzone]

Et donc Stéphane, à ton avis, il faut activer DNS over TLS, ou ça peut attendre 
10 ans ? :)



> Le 26 juin 2018 à 11:55, Stephane Bortzmeyer  a écrit :
> 
> Au fur et à mesure que le nouvel Android se déploie.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> De: bert hubert 
> Objet: DNS over TLS: slowly happening
> Date: 26 juin 2018 11:09:55 UTC+2
> À: dns-operati...@dns-oarc.net
> 
> 
> Hi everyone,
> 
> [tl;dr enable DNS over TLS on your resolvers and CPE/modem if you can]
> 
> As announced in 
> https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html
> Android "P" will attempt to talk DNS over TLS to its resolver by default.
> 
> We've asked a few very large scale resolver operators (at service providers)
> if they see this happening already and they confirm, but it is tiny.
> 
> Among tens of millions of subscribers "dozens" of IP addresses attempt
> connections to port 853 of resolvers. 
> 
> The reason this does not yet happen a lot is of course partly because
> Android P is not widely deployed, but also because most service providers
> now provision their modem/router/CPE/default GW as nameserver.
> 
> And in fact, most of the attempts we have heard of come from mobile phones
> on cellular networks, and not from home wifi. 
> 
> Anyhow, if you are planning DNS operations, be aware phones will start
> attempting to talk 853 to your CPE. And if you are a mobile operator, expect
> the same to happen on your resolvers.
> 
> We are aware of at least one moderately large service provider that will
> enable DNS over TLS on their resolvers. 
> 
> (Mobile) service providers that want to prevent their users from eventually
> receiving the popup "your internet connection is not secure, use our private
> lookup service?" may want to ponder doing the same.
> 
>   Bert
> ___
> dns-operations mailing list
> dns-operati...@lists.dns-oarc.net
> https://lists.dns-oarc.net/mailman/listinfo/dns-operations
> dns-operations mailing list
> https://lists.dns-oarc.net/mailman/listinfo/dns-operations
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Solarus]

Le 2018-06-26 11:55, Stephane Bortzmeyer a écrit :

Au fur et à mesure que le nouvel Android se déploie.



Il y a quelque chose à faire dans Bind et Unbound niveau conf ?
Et à partir de quelle version c'est pris en charge ?

Je ne trouve rien dans les documentations.

Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/