RE: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Michel Py]

> Olivier Vailleau a écrit :
> haha.. désolé, c'est pas troll-di, mais je plussoie
> largement l'avertissement Standard de Stéphane :

Je te conseille d'arrêter la masturbation intellectuelle. C'est la liste du 
FRoNG, et le troll de la liste c'est moi.

David Ponzone, vu que tu es l'héritier désigné pour me remplacer comme troll 
officiel de la liste du FRnOG, quand je prends ma retraite (le plus tot 
possible, envoyez-moi vos dons en liquide), merci d'esseupliquer au noob 
comment ça marche.

Le troll de la liste du FRnOG, c'est moi. Les conneries, c'est moi qui les 
écrits.
Si vous n'êtes pas d'accord, écrivez à Philippe.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Olivier Vailleau]

haha.. désolé, c'est pas troll-di, mais je plussoie largement
l'avertissement Standard de Stéphane :


AUCUNE TECHNIQUE DE SÉCURITÉ N'EST PARFAITE. LES PILES NE SONT PAS
INCLUSES. CHAQUE TECHNIQUE DE SÉCURITÉ TRAITE CERTAINS PROBLÈMES
SEULEMENT, ET IL FAUT DONC DÉPLOYER PLUSIEURS TECHNIQUES. LES OBJETS
DANS LE RÉTROVISEUR SONT PLUS GROS QU'IL N'Y PARAIT. LE PROBLÈME N'EST
PAS PUREMENT TECHNIQUE, ÉCRIVEZ À VOTRE DÉPUTÉ.

Le 26 juin 2018 à 17:51, Stephane Bortzmeyer  a écrit :

> On Tue, Jun 26, 2018 at 03:38:58PM +,
>  Michel Py  wrote
>  a message of 9 lines which said:
>
> > Ca ne vas pas empêcher les gens de revendre les données des requêtes
> > DNS qu'ils reçoivent, après les avoir déchiffrées. Et çà va
> > probablement pas empêcher les gens de faire des DNS menteurs à
> > travers TLS non plus.
>
> Avec un raisonnement pareil, on peut arrêter de faire du HTTPS tout de
> suite (faire du TLS avec Gmail n'empêche pas Gmail de filer les
> données à la NSA).
>
> Mais, à tout hasard, je répète l'Avertissement Standard: AUCUNE
> TECHNIQUE DE SÉCURITÉ N'EST PARFAITE. LES PILES NE SONT PAS
> INCLUSES. CHAQUE TECHNIQUE DE SÉCURITÉ TRAITE CERTAINS PROBLÈMES
> SEULEMENT, ET IL FAUT DONC DÉPLOYER PLUSIEURS TECHNIQUES. LES OBJETS
> DANS LE RÉTROVISEUR SONT PLUS GROS QU'IL N'Y PARAIT. LE PROBLÈME N'EST
> PAS PUREMENT TECHNIQUE, ÉCRIVEZ À VOTRE DÉPUTÉ.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Michel Py]

>> David Ponzone a écrit :
>> Et donc Stéphane, à ton avis, il faut activer DNS over TLS,

> Stephane Bortzmeyer a écrit :
> Oui, si on se soucie de la vie privée de ses utilisateurs :-)

Je ne suis pas convaincu que çà va beaucoup l'améliorer. Ca ne vas pas empêcher 
les gens de revendre les données des requêtes DNS qu'ils reçoivent, après les 
avoir déchiffrées. Et çà va probablement pas empêcher les gens de faire des DNS 
menteurs à travers TLS non plus.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Nico CARTRON]

On 26 Jun 2018, at 14:55, David Ponzone  wrote:
> 
> Et PowerDNS a l’air de se reposer sur dnsdist, si j’ai bien compris

oui, et ça marche :)

https://twitter.com/PowerDNS_Bert/status/1004013160469356545 
 




> 
> 
> 
> 
>> Le 26 juin 2018 à 14:43, Stephane Bortzmeyer  a écrit :
>> 
>> On Tue, Jun 26, 2018 at 01:46:35PM +0200,
>> Erwan David  wrote 
>> a message of 15 lines which said:
>> 
>>> Et DNS over TLS ou DNS over HTTPS ?
>> 
>> DNS-over-TLS est normalisé depuis des années, et il existe des
>> versions officielles publiées des logiciels qui le mettent en œuvre.
>> 
>> DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
>> mises en œuvre sont des trucs expérimentaux locaux.
>> 
>>> Et avec quels produits le faire de manière propre et satisfaisante ?
>> 
>> Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
>> nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
>> toujours mettre un proxy TLS devant.
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[Phil Regnauld]

Stephane Bortzmeyer (bortzmeyer) writes:
> On Tue, Jun 26, 2018 at 01:46:04PM +0200,
>  Solarus  wrote 
>  a message of 15 lines which said:
> 
> > Il y a quelque chose à faire dans Bind et Unbound niveau conf ?
> 
> Un exemple de configuration Unbound qui marche figure à la fin de :
> 
> https://dns-resolver.yeti.eu.org/
> 
> [À noter que ce site Web n'est pas utilisable avec les machines du XXe
> siècle.]

Oui, c'est de la discrimination anti v4.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Préparez-vous à davantage de connexions vers le port 853 de vos résolveurs DNS

[David Ponzone]

Et PowerDNS a l’air de se reposer sur dnsdist, si j’ai bien compris




> Le 26 juin 2018 à 14:43, Stephane Bortzmeyer  a écrit :
> 
> On Tue, Jun 26, 2018 at 01:46:35PM +0200,
> Erwan David  wrote 
> a message of 15 lines which said:
> 
>> Et DNS over TLS ou DNS over HTTPS ?
> 
> DNS-over-TLS est normalisé depuis des années, et il existe des
> versions officielles publiées des logiciels qui le mettent en œuvre.
> 
> DNS-over-HTTPS n'est pas encore normalisé et (presque) toutes les
> mises en œuvre sont des trucs expérimentaux locaux.
> 
>> Et avec quels produits le faire de manière propre et satisfaisante ?
> 
> Unbound et Knot gèrent tous les deux DNS-over-TLS. Pour les
> nostalgiques du passé, qui utilisent BIND comme résolveur, on peut
> toujours mettre un proxy TLS devant.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/