Re: [FRnOG] Semaine de la signature de la racine DNS

2010-02-16 Par sujet Michael FROMENT


 Bonjour,

Je me demande ce que va engendrer la signature progressive des zones pour
qmail qui ne semble pas gérer les enregistrements DNS de plus de 512 octets.
Quels sont les opérateurs qui utilisent qmail et avec lesquels il faut
s'attendre a avoir des soucis?

Michael


Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-27 Par sujet Dominique Rousseau
Le Tue, Jan 26, 2010 at 10:11:58PM +0100, Geoffroy Gramaize 
[geoffroy.grama...@free.fr] a écrit:
  Chez moi, cela marche avec Free :
  
[...]
 
 Idem chez moi. Curieux, le coup des réponses variables... Je ne l'ai
 pas constaté chez moi.

Pas très, à partir du moment où on se dit que derrière une même ip
peuvent se cacher plusieurs serveurs, annonçant leur ip en Anycast dans
le réseau du FAI.
Il « suffit » donc que la configuration ne soit pas la même sur tous,
pour qu'ils puissent donner des résultats différents.

Fait l'essai sur n'importe quelle autre requete, et tu verras que le TTL
de l'enregistrement retourné n'est pas toujours le même, non plus, et
qu'on pourrait avoir l'impression qu'ils remontent le temps :)


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet  Intranet
50, rue Riolan 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet jul

pas un grand succès ...

* pas OpenDNS
$ dig +bufsize=1024 +short rs.dns-oarc.net txt
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
208.69.34.10 DNS reply size limit is at least 490
208.69.34.10 lacks EDNS, defaults to 512
Tested at 2010-01-26 19:42:02 UTC

* pas Google DNS
$ dig @8.8.8.8 +short rs.dns-oarc.net txt
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
209.85.228.94 DNS reply size limit is at least 490
209.85.228.94 lacks EDNS, defaults to 512
Tested at 2010-01-26 19:46:05 UTC

* pas Free
$ dig @212.27.40.240 +short rs.dns-oarc.net txt
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
Tested at 2010-01-26 19:48:34 UTC
213.228.63.47 DNS reply size limit is at least 490
213.228.63.47 lacks EDNS, defaults to 512

testé sur 2 OS
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet André Sintzoff
Bonsoir,

2010/1/26 jul jul_...@yahoo.fr:

 pas un grand succčs ...

[...]

 * pas Free
 $ dig @212.27.40.240 +short rs.dns-oarc.net txt
 rst.x476.rs.dns-oarc.net.
 rst.x485.x476.rs.dns-oarc.net.
 rst.x490.x485.x476.rs.dns-oarc.net.
 Tested at 2010-01-26 19:48:34 UTC
 213.228.63.47 DNS reply size limit is at least 490
 213.228.63.47 lacks EDNS, defaults to 512

 testé sur 2 OS

Chez moi, cela marche avec Free :

amical:~ as$ dig @212.27.40.240 +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
213.228.56.37 DNS reply size limit is at least 3843
213.228.56.37 sent EDNS buffer size 4096
Tested at 2010-01-26 20:03:02 UTC

-- 
André
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet Thibault VINCENT
 * pas Free
 Chez moi, cela marche avec Free

=C3=A7a vaut le coup d'essayer plusieurs fois de suite. Sur le cache de F=
ree
j'ai successivement une r=C3=A9ponse longue puis 3 =C3=A0 5 courtes. Les =
 512
renvoient l'heure courante dans le TXT, et l'EDNS 4096 une date plus
vielle de quelques minutes.
Apr=C3=A8s, de l=C3=A0 =C3=A0 savoir pourquoi...

Pas de probl=C3=A8me sur le cache d'OVH par contre 213.186.33.99

Cheers

--=20
Thibault VINCENT ti...@reloaded.fr
Jabber : ti...@jabber.fr
KeyID : 0x4BA8A39B




signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet Geoffroy Gramaize

- André Sintzoff andre.sintz...@gmail.com a écrit :
  * pas Free
  $ dig @212.27.40.240 +short rs.dns-oarc.net txt
  rst.x476.rs.dns-oarc.net.
  rst.x485.x476.rs.dns-oarc.net.
  rst.x490.x485.x476.rs.dns-oarc.net.
  Tested at 2010-01-26 19:48:34 UTC
  213.228.63.47 DNS reply size limit is at least 490
  213.228.63.47 lacks EDNS, defaults to 512
 
  testé sur 2 OS
 
 Chez moi, cela marche avec Free :
 
 amical:~ as$ dig @212.27.40.240 +short rs.dns-oarc.net txt
 rst.x3827.rs.dns-oarc.net.
 rst.x3837.x3827.rs.dns-oarc.net.
 rst.x3843.x3837.x3827.rs.dns-oarc.net.
 213.228.56.37 DNS reply size limit is at least 3843
 213.228.56.37 sent EDNS buffer size 4096
 Tested at 2010-01-26 20:03:02 UTC

Idem chez moi. Curieux, le coup des réponses variables... Je ne l'ai pas 
constaté chez moi.

22:02 ggrama...@nimrodel ~% dig @212.27.40.240 +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
213.228.56.36 DNS reply size limit is at least 3843
213.228.56.36 sent EDNS buffer size 4096
Tested at 2010-01-26 21:02:50 UTC
22:02 ggrama...@nimrodel ~% dig @212.27.40.241 +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
213.228.56.36 DNS reply size limit is at least 3843
213.228.56.36 sent EDNS buffer size 4096
Tested at 2010-01-26 21:02:50 UTC


-- 
Geoffroy GRAMAIZE
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet Rémi Bouhl
Chez FDN, tout est en ordre (qui en douterait?):

dig @80.67.169.12 +short rs.dns-oarc.net txt
rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
Tested at 2010-01-27 01:21:30 UTC
80.67.169.12 sent EDNS buffer size 4096
80.67.169.12 DNS reply size limit is at least 3843

Le 26/01/10, Geoffroy Gramaizegeoffroy.grama...@free.fr a écrit :

 - André Sintzoff andre.sintz...@gmail.com a écrit :
  * pas Free
  $ dig @212.27.40.240 +short rs.dns-oarc.net txt
  rst.x476.rs.dns-oarc.net.
  rst.x485.x476.rs.dns-oarc.net.
  rst.x490.x485.x476.rs.dns-oarc.net.
  Tested at 2010-01-26 19:48:34 UTC
  213.228.63.47 DNS reply size limit is at least 490
  213.228.63.47 lacks EDNS, defaults to 512
 
  testé sur 2 OS

 Chez moi, cela marche avec Free :

 amical:~ as$ dig @212.27.40.240 +short rs.dns-oarc.net txt
 rst.x3827.rs.dns-oarc.net.
 rst.x3837.x3827.rs.dns-oarc.net.
 rst.x3843.x3837.x3827.rs.dns-oarc.net.
 213.228.56.37 DNS reply size limit is at least 3843
 213.228.56.37 sent EDNS buffer size 4096
 Tested at 2010-01-26 20:03:02 UTC

 Idem chez moi. Curieux, le coup des réponses variables... Je ne l'ai pas
 constaté chez moi.

 22:02 ggrama...@nimrodel ~% dig @212.27.40.240 +short rs.dns-oarc.net txt
 rst.x3827.rs.dns-oarc.net.
 rst.x3837.x3827.rs.dns-oarc.net.
 rst.x3843.x3837.x3827.rs.dns-oarc.net.
 213.228.56.36 DNS reply size limit is at least 3843
 213.228.56.36 sent EDNS buffer size 4096
 Tested at 2010-01-26 21:02:50 UTC
 22:02 ggrama...@nimrodel ~% dig @212.27.40.241 +short rs.dns-oarc.net txt
 rst.x3827.rs.dns-oarc.net.
 rst.x3837.x3827.rs.dns-oarc.net.
 rst.x3843.x3837.x3827.rs.dns-oarc.net.
 213.228.56.36 DNS reply size limit is at least 3843
 213.228.56.36 sent EDNS buffer size 4096
 Tested at 2010-01-26 21:02:50 UTC


 --
 Geoffroy GRAMAIZE
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Semaine de la signature de la racine DNS

2010-01-26 Par sujet jul
Thibault VINCENT wrote on 26/01/10 22:01:
 * pas Free
 Chez moi, cela marche avec Free
 
 =C3=A7a vaut le coup d'essayer plusieurs fois de suite. Sur le cache de F=
 ree
 j'ai successivement une r=C3=A9ponse longue puis 3 =C3=A0 5 courtes. Les =
  512
 renvoient l'heure courante dans le TXT, et l'EDNS 4096 une date plus
 vielle de quelques minutes.
 Apr=C3=A8s, de l=C3=A0 =C3=A0 savoir pourquoi...

Effectivement, ca passe maintenant ...

$ dig @212.27.40.240 +short rs.dns-oarc.net txt

rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
213.228.63.12 DNS reply size limit is at least 3843
213.228.63.12 sent EDNS buffer size 4096
Tested at 2010-01-27 05:36:15 UTC


bizarre.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Semaine de la signature de la racine DNS

2010-01-25 Par sujet Stephane Bortzmeyer
Voilà, dernière ligne droite, les gérants de L.root-servers.net
confirment la date où le premier serveur racine va commencer à
diffuser une zone signée avec DNSSEC : après-demain mercredi 27 entre
19h et 21h (heure française) (cf. message attaché).

En juillet 2010, tous les serveurs de noms de la racine diffuseront
des réponses cinq à dix fois plus grandes qu'aujourd'hui. Dans
certains cas, cela pourra entrainer une coupure quasi-complète de
votre accès à l'Internet. Ce document explique pourquoi, qui peut être
touché, comment tester si on est vulnérable et comment résoudre le
problème s'il est présent. (Évidemment, tous les lecteurs de cette
liste sont déjà au courant, je voulais plutôt vous fournir un document
que vous pouvez faire circuler auprès de vos clients et partenaires.)

La racine du DNS sera signée avec la technologie DNSSEC et la
diffusion des signatures s'étalera de janvier à juillet 2010. En
juillet, tous les treize serveurs DNS de la racine enverront les
informations DNSSEC. Celles-ci, des signatures cryptographiques, sont
de taille bien plus importante que les réponses DNS classiques. Elles
dépasseront l'ancienne limite de 512 octets du DNS et même la limite
des 1500 octets de la MTU Ethernet (la plus répandue sur l'Internet).

En effet, le RFC 2671 qui supprimait la limite des 512 octets est
sorti en août 1999, il y a plus de dix ans. Mais il existe toujours un
certain nombre de pare-feux ou d'autres équipements réseau qui, mal
conçus ou bien mal configurés, refusent les réponses DNS de plus de
512 octets. Parmi ceux qui les acceptent, certains ne gèrent pas
correctement la fragmentation des paquets IP (par exemple parce qu'ils
bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des
paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Les réseaux qui rejettent les paquets DNS de plus de 512 octets, ou
même seulement ceux de plus de 1500 octets, ne pourront plus parler à
la racine du DNS après juillet 2010 (puisqu'ils ne recevront plus les
réponses) et n'auront donc quasiment plus d'accès Internet en
pratique.

Il est donc important de tester votre réseau pour voir si la
résolution DNS pourra fonctionner correctement après juillet 2010. Le
moyen le plus simple est, sur une machine où le logiciel dig est
installé (la plupart des Unix), de taper :

dig +short rs.dns-oarc.net txt

et de voir si la réponse indique plus de 1500 octets, comme ici :

203.0.113.1 DNS reply size limit is at least 4023 bytes

Cet outil, produit par l'OARC (DNS Operations, Analysis and Research
Center) est documenté en
https://www.dns-oarc.net/oarc/services/replysizetest.

Si le test indique que les paquets de plus de 1500 octets ne peuvent
pas passer, vous devez analyser l'ensemble de votre réseau et tous les
équipements intermédiaires (notamment les pare-feux) pour s'assurer
qu'ils sont configurés correctement.

Glossaire :

DNS : http://fr.wikipedia.org/wiki/Domain_Name_System

DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol

MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit


Quelques références utiles :

- L'annonce du plan de signature de la racine
  
http://www.ripe.net/ripe/meetings/ripe-59/presentations/uploads/presentations/Tuesday/Plenary%2014:00/Abley-DNSSEC_for_the_Root_Zone.mId7.pdf

- Le site officiel du projet de signature
  http://www.root-dnssec.org/, avec le calendrier de déploiement

- Les instructions d'un serveur racine
  http://labs.ripe.net/content/preparing-k-root-signed-root-zone

- Votre serveur DNS peut-il faire passer des paquets de toutes les
  tailles ? http://www.bortzmeyer.org/dns-size.html


---BeginMessage---
Hi

As part of staged, incremental deployment of DNSSEC in the root zone L-Root
will begin serving a Deliberately Unvalidatable Root Zone (DURZ) after the
completion of its scheduled maintenance at 2010-01-27 1800 UTC - 2000 UTC

Please contact L-Root NOC via n...@dns.icann.org or T: +1.310.301.5817 if you
have any questions.

Please contact with roots...@icann.org if you have any questions regarding
DNSSEC Deployment at root zone.

Regards

Joe Abley / Mehmet Akcin / Dave Knight
ICANN DNS Ops / L-ROOT

-- 
This is the SANOG (http://www.sanog.org/) mailing list.
---End Message---