Forum Programmation.web IP publique, locale et VPN

Posté par  . Licence CC By‑SA.
Étiquettes :
1
5
oct.
2016

Bonjour,

J'ai un petit serveur dédié sur lequel tournent quelques services web et un serveur Openvpn. Tous sont accessibles par un DNS example.com qui pointe vers l'adresse IP publique 172.16.254.1. Cependant, quand je me connecte sur mon VPN, l'adresse IP du serveur change et devient locale (10.8.0.0) et je ne peux plus accéder à mes services web en utilisant example.com.

Il y a-t-il un moyen de configurer Openvpn ou le pare-feu du serveur pour que mes services restent accessibles depuis mon (…)

Journal Créer des certificats avec ACME/Let's Encrypt et des vérifications DNS

Posté par  (site Web personnel) . Licence CC By‑SA.
30
18
août
2016

Cher journal,

Voici une petite introduction à mon nouvel petit outil acme-dns-tiny qui me permet de demander à mon autorité de certification préférée de signer un certificat TLS automatiquement suite à des vérifications de ressources DNS et au moyen du protocol ACME.

L'outil a été crée depuis le projet père acme-tiny qui permet de faire la même chose, mais par vérification de liens HTTP.

Le but principal était de pouvoir créer des certificats sans avoir à perturber les services (…)

FusionDirectory 1.0.14 est sorti & Argonaut 0.9.7 suit !

Posté par  . Édité par bubar, palm123, Benoît Sibaud et Pierre Jarillon. Modéré par ZeroHeure. Licence CC By‑SA.
14
12
juil.
2016
Administration système

L’équipe de FusionDirectory est heureuse de vous annoncer la publication de la version 1.0.14 de FusionDirectory. Pour ceux qui ne connaissent pas FusionDirectory, il s’agit d’un gestionnaire d’infrastructure. Il est à LDAP ce que Webmin pouvait être à NIS/NIS+ : une interface Web modulaire de gestion complète d’un annuaire LDAP. Sa modularité permet d’offrir aussi la gestion de services qui ne sont pas directement interopérables avec LDAP.

De plus, la même équipe de FusionDirectory est également heureuse de vous annoncer la publication de la version 0.9.7 de Argonaut. Pour ceux qui ne connaissent pas Argonaut, il s’agit d’un système client/serveur qui permet de faire du provisioning et de l'orchestration en collaboration avec FusionDirectory (gestionnaire d'annuaire LDAP). Argonaut permet aussi de s'interfacer avec des outils de déploiement tels que FAI (Fully Automated Install) ou OPSI (Open PC Server Integration).

Journal Mon Retour de PSESHSF : DNS & Minitel

Posté par  (site Web personnel) . Licence CC By‑SA.
19
10
juil.
2016

Les enjeux du nom sur Internet

Suite à ma conférence au festival Pas Sage En Seine - Hacker Space Festival, je me dis que tous les problèmes liés à la minitélisation d'Internet finissent par butter sur la question du nom sur Internet, actuellement géré par le DNS.

Ces dernières années le DNS a été beaucoup remis en cause en réaction au cas The Pirate Bay puis à la révélation par Edward Snowden du programme de la NSA More Cow (…)

FusionDirectory 1.0.10 est sorti !

23
21
mar.
2016
Administration système

L’équipe de FusionDirectory est heureuse de vous annoncer la publication de la version 1.0.10 de FusionDirectory. Pour ceux qui ne connaissent pas FusionDirectory, il s’agit d’un gestionnaire d’infrastructure. Il est à LDAP ce que Webmin pouvait être à NIS/NIS+ : une interface Web modulaire de gestion complète d’un annuaire LDAP. Sa modularité permet d’offrir aussi la gestion de services qui ne sont pas directement interopérables avec LDAP.

Cette version majeure a beaucoup de nouvelles fonctionnalités, améliorations et se concentre principalement sur la gestion du DNS et la gestion de communautés logicielles.

Journal Un outil pour gérer une blacklist DNS

Posté par  . Licence CC By‑SA.
Étiquettes :
11
17
fév.
2016

L'idée n'est pas nouvelle, évidemment, mais je voulais réaliser mon propre outil de gestion d'une blacklist DNS. C'est une solution que je trouve, de très loin, supérieure à AdBlock Plus, pratiquement la première extension que tout le monde installe avec son navigateur préféré.

Pourquoi supérieure ? Je vois au moins deux avantages:

  • Le blocage peut s'appliquer à tout un réseau, pas juste une seule machine
  • Le blocage s'applique à toute application, pas seulement le navigateur

Bien sûr, il y a (…)

Journal Faille de sécurité dans la GNU libc avec les requêtes DNS

Posté par  (site Web personnel) . Licence CC By‑SA.
54
17
fév.
2016

Une faille très sérieuse (CVE-2015-7547) vient d'être découverte dans la GNU libc (qui équipe tous les serveurs et desktops utilisant Linux…). Lorsqu'on résoud un nom en adresse, avec getaddrinfo(), le tampon où arrive la réponse n'est pas toujours le bon, et une réponse de grande taille peut écraser la mémoire, et mener au crash du client, voire à l'exécution de code (aïe).

Une exploitation typique est : le méchant se connecte à un serveur SMTP GNU/Linux depuis une adresse IP (…)

Forum général.hors-sujets [Résolu] noms de domaine

Posté par  . Licence CC By‑SA.
Étiquettes :
0
31
jan.
2016

Bonjour.

J'ai depuis quelques temps l'idée de me faire un site perso, avec un nom de domaine tant qu'à faire.
Il semble qu'il faille passer par un prestataire, et après une rapide recherche sur le site de l'afnic, en ayant coché les cases "IPv6", "service aux particuliers" et "service aux professionnels" (dès fois que je finisse par concrétiser certains projets… hm..) je suis tombé sur 6 liens:

  • BDL Systemes dba ProDomaines
  • FRANCEDNS SAS
  • GANDI
  • GoDaddy.com
  • NETIM
  • SYSTEM-NET

Honnêtement, j'ai du (…)

Journal dDoS contre les serveurs DNS

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
58
15
déc.
2015

Il y a des tas d'articles sur LinuxFr qui parlent de dDoS, puisqu'elles sont une des plaies de l'Internet d'aujourd'hui, et que tout le monde a eu à gérer une « attaque par déni de service répartie » au moins une fois.

Ce court journal parle de deux attaques récentes visant des serveurs DNS. En effet, si on veut planter un service Internet (Web, IRC, etc), attaquer ses serveurs DNS est souvent plus simple et plus efficace que d'attaquer le service lui-même (…)

Publication de la RFC « DNS et vie privée »

Posté par  (site Web personnel) . Édité par Benoît Sibaud, bubar, BAud, M5oul et palm123. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
42
13
sept.
2015
Internet

La demande de commentaires (RFC) 7626, « DNS Privacy Considerations », a été publiée fin août par l'IETF (entité qui élabore les standards d'Internet). Elle est issue des travaux du « groupe de travail IETF sur DNS et vie privée » évoqué précédemment. Ce document se focalise sur les risques encourus par les usagers pour leur vie privée, dans l'usage actuel des services de résolutions de noms.

Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).

Le risque d'une surveillance particulière pour un titulaire de zone est discuté via les RFC 5936 & 5155. Les risques autres que ceux concernant la vie privée (comme du cache poisoning) sont hors-sujet ici. Nous considérons ici les risques pour la vie privée d'une surveillance générale ou plus précise.

« Ce[tte] RFC est en fait à la croisée de deux activités. L'une d'elles consiste à documenter les problèmes de vie privée, souvent ignorés jusqu'à présent dans les RFC. Cette activité est symbolisée par le RFC 6973 (…). Et la seconde activité qui a donné naissance à ce RFC est le projet d'améliorer effectivement la protection de la vie privée des utilisateurs du DNS, en marchant sur deux jambes : minimiser les données envoyées (…) et les rendre plus résistantes à l'écoute, via le chiffrement. ».

Journal Le RFC "DNS et vie privée" a été publié

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
33
28
août
2015
Ce journal a été promu en dépêche : Publication de la RFC « DNS et vie privée ».

Voici la suite du journal « Création du groupe de travail IETF sur DNS et vie privée ». Le RFC 7626, « DNS Privacy Considerations » est désormais publié. Il décrit le problème. J'espère qu'il est lisible par des gens qui ne sont pas les top-experts du DNS.

Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).

Forum Linux.général Comment remplir une base SQL pour PowerDNS ?

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
0
18
août
2015

Bonjour à tous,

Je cherche à utiliser un PowerDNS avec un backend PostgreSQL, en remplissant la base avec un script. Malheureusement, il n'y a pas tellement d'exemples de ce genre :( on ne sait pas trop comment remplir la base.
Actuellement, j'ai un domaine (test.example.org), avec une machine (openldap.test.example.org) et un alias (directory01.test.example.org) qui pointe vers cette machine.
Pour le serveur DNS, j'ai un recursor qui renvoie vers le serveur DNS quand ça tombe dans le bon domaine, et qui (…)

Forum Linux.debian/ubuntu BInd 9 DLZ redirection

Posté par  . Licence CC By‑SA.
Étiquettes :
0
17
juil.
2015

Bonjour,
j'utilise Bind 9.9.5 sous ubuntu14.04 avec le module DLZ pour gérer une zone dédié à Active Directory sur mon LAN.
Le serveur Bind9 sur ma zone AD devra rediriger les requêtes qui ne concernent pas sa zone vers les serveurs DNS du LAN.
Mon domaine AD est: directory.societe.io et mon domaine LAN societe.io
Pour faire la redirection j'ai configuré mon bind AD de la sorte:

/etc/bind/named.conf.default-zones
zone "." {
type forward;
forward only;
forwarders { @ns1-societe.io; @ns2-societe.io; };
};

(…)

Journal QNAME minimization

Posté par  . Licence CC By‑SA.
Étiquettes :
15
16
mai
2015

Cher journal,

En lisant les retweets de Stéphane Bortzmeyer, je suis tombé sur une présentation lors du workshop OARC permettant d'amener un peu de vie privée dans les DNS: query name minimization. Alors, quel est le problème ? Actuellement quand on fait une requête DNS, on envoie à tout le monde le site auquel on désire accéder. Voici le fonctionnement:

      www.example.com. ? +---------------------+ 
     +------------------>| a.root-servers.net. | 
     |                   +------------+--------+
     |                                |   
     | com. in NS a.gtld-servers.net. | 
+----+-----+<-------------------------+
|          |   
|
(…)

Présentation de GNUnet - Internet décentralisé, à Rennes le 24 mars 2015

Posté par  . Édité par ZeroHeure, NeoX et Benoît Sibaud. Modéré par NeoX. Licence CC By‑SA.
14
15
mar.
2015
Internet

L'association Actux recevra Christian Grothoff, mainteneur principal du projet GNUnet, le mardi 24 mars 2015 de 19h à 21h dans la salle i50 (RDC) de l'ISTIC de Rennes.

GNUnet est un réseau et ensemble d'outils permettant une communication sécurisée, décentralisée et résistante à la censure. Dans la lignée de Tor, GNUnet fournit une couche réseau anonymisée, mais également une alternative décentralisée à DNS nommée GNS (GNU Name System), et sert de framework socle pour la création de nouveaux services (comme partage P2P, chat et même téléphonie).

Déroulement sur 2h en 2 temps : 50% présentation, 50% débat/questions.
La présentation sera en anglais ; une aide à la traduction sera proposée pour poser vos questions.

Christian Grothoff a par ailleurs rejoint Rennes en 2014 pour y monter l'équipe de recherche Décentralisé au sein d'Inria.

Entrée libre.