Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Alarig Le Lay]

Bonsoir,

Mettre des enregistrements A avec une IP privée ne me choque pas.
Déprendre de services externes pour la résolution DNS me choque, par
contre.

Un port qui flappe, un lien qui déconne, un DDoS, une ACL moisie, etc.
et bam, plus de DNS, plus rien.

-- 
Alarig


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Jacques Lavignotte]

Le 21/09/2022 à 15:12, Viktor Colas via frnog a écrit :


Pour le coup ça marche assez bien


Oui. Les « view » de Bind marchent bien. Utilisé depuis longtemps ici.

J. /aol
--
GnuPg : 156520BBC8F5B1E3 Because privacy matters.
« Quand est-ce qu'on mange ? » AD (c) (tm)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Don Cisco 2248TP

[Titouan Planson Jeullain]

Bonjour,

J’ai en ma possession 2 Cisco 2248TP à donner, disponibles sur Lorient (56), 
livraison possible à vos frais.

Cordialement, 
-
Titouan Planson-Jeullain

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Florent Daigniere]

On Wed, 2022-09-21 at 13:28 +, gaetan-fr...@pignouf.fr wrote:
> > En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver
> > DNS et
> > quand elle recherche www.google.com, elle récupère 216.58.214.163.
> > Par
> > contre sur une recherche du genre "mon-serveur-
> > interne.monentreprise.fr" et
> > bien le serveur DNS répond 192.168.0.100.
> > 
> > Techniquement, ça marche.
> 
> Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui
> veulent ton bien en répondant un NXDOMAIN (pas sur) quand c'est une IP
> RFC1918 (Coucou Free et Numericable).

C'est pas un bug c'est une feature, cf 
https://en.wikipedia.org/wiki/DNS_rebinding

Il est bien entendu possible d'avoir une liste blanche de domaines pour
lesquelles la protection ne doit pas s'appliquer.

Florent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Raphael Mazelier]

My 2cents sur le sujet.

1) le split dns (avoir des zones dites privée et publique sur le meme 
nom dns) à mon avis c'est vraiment se tirer une belle balle dans le 
pieds. Je conseille de nettement séparer les zones publiques (qui ne 
devrait pas contenir grand chose normalement), et une zone avec des 
enregistrements rfc1918 (mais avec un vrai domaine et pas forcément un 
sous domaine de la 1ere.


Par exemple :

- masuperlicorne.io => public facing
- priv-unikorne.net => private

2) est ce que les enregistrement de ton domaine "privé" doivent être 
accessible publiquement ? humm ca parait pratique mais en pratique c'est 
vite error prone (au delà du petit leak d'information). Comme on le 
mentionne de nombreux resolver de FAI vont les filtrer. Pire certaines 
box (coucou SFR/NC) font de l'inspection DNS et donc filtrer quoi qu'il 
arrive (meme si tu change pour pointer sur un resolver google ou 
cloudflare...). La ou ca devient plus embrouillant encore c'est que cela 
va résoudre depuis la plupart des navigateurs car ils font maintenant du 
DoH. Bref tant qu'à vouloir exposer des choses privés (via possiblement 
un vpn) autant fournir avec le résolveur imo.


--
Raphael Mazelier

On 21/09/2022 14:49, David Neto wrote:

Salut à tous,

J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.

Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver DNS public avec les
enregistrements publics et privés.

En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et
quand elle recherchewww.google.com, elle récupère 216.58.214.163. Par
contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et
bien le serveur DNS répond 192.168.0.100.

Techniquement, ça marche.
Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec
les services privés (ELB, entre autres), certains ne voient pas de
contraintes à faire pareil.)

J'en viens donc à me demander si parmi vous certains ont déjà eu recours à
cette pratique et si oui quels sont les arguments le justifiant.

Si certains s'offusquent de ce genre de pratique, je suis preneur également
des arguments et raisons techniques / sécurité.

Merci de vos aides.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Frederic Hermann]

> > Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
> > le client souhaite utiliser uniquement un resolver DNS public avec les
> > enregistrements publics et privés.


> Le split DNS c'est quand même un nid à ennui ++

+1 

(...)

> > Techniquement, ça marche.

> Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui veulent ton
> bien en répondant un NXDOMAIN (pas sur) quand c'est une IP RFC1918 (Coucou 
> Free
> et Numericable).


+1 

Il faut bien avoir cette limitaion a l'esprit si les ressources privées sont 
accessibles via un VPN par exemple, et qu'on ne maitrise pas les resolver DNS 
des utilisateurs (clientless SSL VPN par exemple). 

(...)

> Oui, je l'ai fait plusieurs fois, le seul soucis que je vois c'est de leaker à
> l'extérieur le plan d'adressage interne, mais bon ça ne me semble pas une
> information si utile à un attaquant (les ranges RFC 1918 sont pas si vastes)
> par rapport aux ennuis créés par le split dns. On n'est pas vendredi donc je 
> ne
> vais pas parler de zero-trust.

Sans parler de zero-trust, avoir des entrées dans la zone DNS publique pour des 
sans IP publique joignable permet aussi de déployer des certificats SSL avec 
ACME (let's encrypt, zerossl, etc) et validation DNS.
Evidemment, il n'est pas nécessaire que ces entrées DNS pointent vers une IP 
(privée ou publique).

Donc je suis pas contre non plus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[ctv via frnog]

Bonjour,

Le mail du 21/09/2022 exprime entre autres:
(cf. mail ID 
):
> Salut à tous,
> J'ai une question liée à un cas d'usage que je rencontre chez un clients et
> pour lequel j'ai du mal à trouver de arguments / contre-arguments.
> Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
> le client souhaite utiliser uniquement un resolver DNS public avec les
> enregistrements publics et privés.
> (sic)
Beaucoup font ça avec BIND, mais c'est peut-être pas les mêmes raisons.
Je dis ça pour mes 2 cts (vu que moi j'ai choisi unbound :).

Ciao,
-- 
Michel Soleilhavoup   //   Guichet ordinaire

LPR du CTV


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[gaetan-frnog]

21 septembre 2022 à 14:49 "David Neto"  a écrit:

> 
> Salut à tous,
> 
> J'ai une question liée à un cas d'usage que je rencontre chez un clients et
> pour lequel j'ai du mal à trouver de arguments / contre-arguments.
> 
> Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
> le client souhaite utiliser uniquement un resolver DNS public avec les
> enregistrements publics et privés.
> 

Le split DNS c'est quand même un nid à ennui ++

> En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et
> quand elle recherche www.google.com, elle récupère 216.58.214.163. Par
> contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et
> bien le serveur DNS répond 192.168.0.100.
> 
> Techniquement, ça marche.

Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui veulent ton 
bien en répondant un NXDOMAIN (pas sur) quand c'est une IP RFC1918 (Coucou Free 
et Numericable).

> Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec
> les services privés (ELB, entre autres), certains ne voient pas de
> contraintes à faire pareil.)
> 
Est-ce que le protocole ne le permet pas ?

> J'en viens donc à me demander si parmi vous certains ont déjà eu recours à
> cette pratique et si oui quels sont les arguments le justifiant.
> 

Oui, je l'ai fait plusieurs fois, le seul soucis que je vois c'est de leaker à 
l'extérieur le plan d'adressage interne, mais bon ça ne me semble pas une 
information si utile à un attaquant (les ranges RFC 1918 sont pas si vastes) 
par rapport aux ennuis créés par le split dns. On n'est pas vendredi donc je ne 
vais pas parler de zero-trust.

> Si certains s'offusquent de ce genre de pratique, je suis preneur également
> des arguments et raisons techniques / sécurité.

J'image que dig ad.maboite.com ça doit faire une ligne rouge dans le rapport de 
pentest
> 
> Merci de vos aides.

Gaëtan


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[Viktor Colas via frnog]

Salut,

Chez nous, on utilise les zones de BIND9 pour séparer les entrées de 
notre réseau public de celles de nos réseaux privés. Du coup on se 
retrouve avec 1 seul serveur DNS à maintenir avec quand même une 
séparation enter les entrées.


Pour le coup ça marche assez bien et étant une Asso étudiante on essaye 
de limiter le nombre de services afin d'assurer une passation des 
connaissances qui doit se faire chaque année et de manière optimum.


Je ne sais pas si c'est la meilleure façon, je suis aussi preneur 
d'arguments et de retours.


Viktor
Association MiNET

On 9/21/22 14:49, David Neto wrote:

Salut à tous,

J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.

Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver DNS public avec les
enregistrements publics et privés.

En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et
quand elle recherche www.google.com, elle récupère 216.58.214.163. Par
contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et
bien le serveur DNS répond 192.168.0.100.

Techniquement, ça marche.
Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec
les services privés (ELB, entre autres), certains ne voient pas de
contraintes à faire pareil.)

J'en viens donc à me demander si parmi vous certains ont déjà eu recours à
cette pratique et si oui quels sont les arguments le justifiant.

Si certains s'offusquent de ce genre de pratique, je suis preneur également
des arguments et raisons techniques / sécurité.

Merci de vos aides.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Besoin d'avis sur l'usage d'IP privée dans les DNS publics

[David Neto]

Salut à tous,

J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.

Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver DNS public avec les
enregistrements publics et privés.

En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et
quand elle recherche www.google.com, elle récupère 216.58.214.163. Par
contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et
bien le serveur DNS répond 192.168.0.100.

Techniquement, ça marche.
Est-ce une bonne pratiqueje ne crois pas. (Mais comme AWS le fait avec
les services privés (ELB, entre autres), certains ne voient pas de
contraintes à faire pareil.)

J'en viens donc à me demander si parmi vous certains ont déjà eu recours à
cette pratique et si oui quels sont les arguments le justifiant.

Si certains s'offusquent de ce genre de pratique, je suis preneur également
des arguments et raisons techniques / sécurité.

Merci de vos aides.

-- 
*David*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[David Ponzone]

Faut dire qu’il y a un * sur myshopify.com :

$ dig poutineetbidensontsurunbateau.myshopify.com

; <<>> DiG 9.10.3-P4-Debian <<>> poutineetbidensontsurunbateau.myshopify.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17047
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;poutineetbidensontsurunbateau.myshopify.com. INA

;; ANSWER SECTION:
poutineetbidensontsurunbateau.myshopify.com. 3600 IN CNAME shops.myshopify.com.
shops.myshopify.com.16  IN  A   23.227.38.74


> Le 21 sept. 2022 à 14:22, Stephane Bortzmeyer  a écrit :
> 
> On Wed, Sep 21, 2022 at 12:06:39PM +0200,
> Daniel via frnog  wrote 
> a message of 18 lines which said:
> 
>> https://steelcasefr.myshopify.com. 3600  IN CNAME shops.myshopify.com.
> 
> Excellent pour tordre le cou à la légende « le DNS ne permet que les
> lettres, chiffres et le point ».
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] Un peu d'humour

[Stephane Bortzmeyer]

On Wed, Sep 21, 2022 at 12:06:39PM +0200,
 Daniel via frnog  wrote 
 a message of 18 lines which said:

> https://steelcasefr.myshopify.com. 3600   IN CNAME shops.myshopify.com.

Excellent pour tordre le cou à la légende « le DNS ne permet que les
lettres, chiffres et le point ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[Hervé BRY via frnog]

Ca sent le copier-coller depuis Chrome, qui n'affiche pas la partie
protocole dans la barre d'URL mais qui l'ajoute quand même lors d'un
copier-coller :)

Hervé BRY
Head of Infrastructure
Geneanet (http://www.geneanet.org)


Le mer. 21 sept. 2022 à 12:07, Daniel via frnog  a écrit :

>
> Bonjour. Vu ce jour
>
> dig fr.steelcase.com
>
> ;; ANSWER SECTION:
> fr.steelcase.com.   900 IN CNAME https://steelcasefr.myshopify.com.
> https://steelcasefr.myshopify.com. 3600 IN CNAME shops.myshopify.com.
> shops.myshopify.com.57  IN  A   23.227.38.74
>
> Bonne journée
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] AVAYA 1608

[David Ponzone]

Il a pas mis à jour mais à priori c’était un problème de firmware.
Parce qu’un PABX Avaya, ça semble assez stupide pour pas forcer le même 
firmware sur tout le parc…

> Le 21 sept. 2022 à 12:34, Matic Vari  a écrit :
> 
> Bonjour,
> 
> C'est intéressant de prendre d'autres cables réseaux aussi, et de se
> mettre "en direct sur le switch", éventuellement changer de prises
> murales.
> 
> Cordialement,
> 
> Le 20/09/2022, David Ponzone a écrit :
>> Alors, point de départ du debug: si tu mets un de ces 4 téléphones dans un
>> autre bureau et/ou sur un autre switch, le problème disparait ?
>> 
>>> Le 20 sept. 2022 à 19:40, amel elfake  a écrit :
>>> 
>>> Bonjour
>>> 
>>> Nous avons des avaya 1608 au 4 ème étage 4 personnes sont impactés par
>>> ces
>>> téléphones je m'explique :
>>> - soit le téléphone s'éteint complètement et donc dans ces cas là  un
>>> débranchement et branchement permet de redémarrer l'appareil et cela peut
>>> se répéter dans la journée.
>>> - soit il se bloque sur la page où il a besoin de récupérer les fichiers
>>> de
>>> mises à jour.
>>> Jai vérifié au niveau de la configuration des commutateurs tout me semble
>>> correct  je ne vois rien sur les logs j'ai changé récemment les câbles .
>>> C'est dans le même bureau 4 téléphones impactés j'ai navigué sur
>>> différents
>>> forums et il y aurait un problème connu sur les avaya un problème de
>>> firmware.
>>> Je voulais si parmi vous quelqu'un aurait rencontré les mêmes soucis?si
>>> c'est le cas quels solutions ?
>>> 
>>> Merci
>>> Cordialement
>>> Amel
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] AVAYA 1608

[Matic Vari]

Bonjour,

C'est intéressant de prendre d'autres cables réseaux aussi, et de se
mettre "en direct sur le switch", éventuellement changer de prises
murales.

Cordialement,

Le 20/09/2022, David Ponzone a écrit :
> Alors, point de départ du debug: si tu mets un de ces 4 téléphones dans un
> autre bureau et/ou sur un autre switch, le problème disparait ?
>
>> Le 20 sept. 2022 à 19:40, amel elfake  a écrit :
>>
>> Bonjour
>>
>> Nous avons des avaya 1608 au 4 ème étage 4 personnes sont impactés par
>> ces
>> téléphones je m'explique :
>> - soit le téléphone s'éteint complètement et donc dans ces cas là  un
>> débranchement et branchement permet de redémarrer l'appareil et cela peut
>> se répéter dans la journée.
>> - soit il se bloque sur la page où il a besoin de récupérer les fichiers
>> de
>> mises à jour.
>> Jai vérifié au niveau de la configuration des commutateurs tout me semble
>> correct  je ne vois rien sur les logs j'ai changé récemment les câbles .
>> C'est dans le même bureau 4 téléphones impactés j'ai navigué sur
>> différents
>> forums et il y aurait un problème connu sur les avaya un problème de
>> firmware.
>> Je voulais si parmi vous quelqu'un aurait rencontré les mêmes soucis?si
>> c'est le cas quels solutions ?
>>
>> Merci
>> Cordialement
>> Amel
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[Phil Regnauld]

Daniel via frnog (frnog) writes:
> Il semble que sous windows cela fonctionne. Linux "Nous ne parvenons pas à
> trouver ce site"

Sous OS X:
Chrome OK
Safari OK

Pas essayé Firefox.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[Daniel via frnog]

Il semble que sous windows cela fonctionne. Linux "Nous ne parvenons pas 
à trouver ce site"


Le 21/09/2022 à 12:14, David Ponzone a écrit :

Ah oui pas mal.

Par contre, mes navigateurs trouvent le site quand même, c’est rigolo.


Le 21 sept. 2022 à 12:06, Daniel via frnog  a écrit :


Bonjour. Vu ce jour

dig fr.steelcase.com

;; ANSWER SECTION:
fr.steelcase.com.   900 IN CNAME https://steelcasefr.myshopify.com.
https://steelcasefr.myshopify.com. 3600 IN CNAME shops.myshopify.com.
shops.myshopify.com.57  IN  A   23.227.38.74

Bonne journée
--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Un peu d'humour

[David Ponzone]

Ah oui pas mal.

Par contre, mes navigateurs trouvent le site quand même, c’est rigolo.

> Le 21 sept. 2022 à 12:06, Daniel via frnog  a écrit :
> 
> 
> Bonjour. Vu ce jour
> 
> dig fr.steelcase.com
> 
> ;; ANSWER SECTION:
> fr.steelcase.com. 900 IN CNAME https://steelcasefr.myshopify.com.
> https://steelcasefr.myshopify.com. 3600   IN CNAME shops.myshopify.com.
> shops.myshopify.com.  57  IN  A   23.227.38.74
> 
> Bonne journée
> -- 
> Daniel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Un peu d'humour

[Daniel via frnog]

Bonjour. Vu ce jour

dig fr.steelcase.com

;; ANSWER SECTION:
fr.steelcase.com.   900 IN CNAME https://steelcasefr.myshopify.com.
https://steelcasefr.myshopify.com. 3600 IN CNAME shops.myshopify.com.
shops.myshopify.com.57  IN  A   23.227.38.74

Bonne journée
--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] datacenter dans l'Oise ou Hauts de France

[Benoit Chesneau]

Bonjour,

Je cherche un datacenter dans l'Oise ou les Hauts de France qui soit green. Si 
vous avez des noms ou autres n'hésitez pas à me recontacter :)

Benoît Chesneau, Enki Multimedia
---
Liste de diffusion du FRnOG
http://www.frnog.org/