Il y a des tas d'articles sur LinuxFr qui parlent de dDoS, puisqu'elles sont une des plaies de l'Internet d'aujourd'hui, et que tout le monde a eu à gérer une « attaque par déni de service répartie » au moins une fois.
Ce court journal parle de deux attaques récentes visant des serveurs DNS. En effet, si on veut planter un service Internet (Web, IRC, etc), attaquer ses serveurs DNS est souvent plus simple et plus efficace que d'attaquer le service lui-même (…)
La demande de commentaires (RFC) 7626, « DNS Privacy Considerations », a été publiée fin août par l'IETF (entité qui élabore les standards d'Internet). Elle est issue des travaux du « groupe de travail IETF sur DNS et vie privée » évoqué précédemment. Ce document se focalise sur les risques encourus par les usagers pour leur vie privée, dans l'usage actuel des services de résolutions de noms.
Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).
Le risque d'une surveillance particulière pour un titulaire de zone est discuté via les RFC 5936 & 5155. Les risques autres que ceux concernant la vie privée (comme du cache poisoning) sont hors-sujet ici. Nous considérons ici les risques pour la vie privée d'une surveillance générale ou plus précise.
« Ce[tte] RFC est en fait à la croisée de deux activités. L'une d'elles consiste à documenter les problèmes de vie privée, souvent ignorés jusqu'à présent dans les RFC. Cette activité est symbolisée par le RFC 6973 (…). Et la seconde activité qui a donné naissance à ce RFC est le projet d'améliorer effectivement la protection de la vie privée des utilisateurs du DNS, en marchant sur deux jambes : minimiser les données envoyées (…) et les rendre plus résistantes à l'écoute, via le chiffrement. ».
Voici la suite du journal « Création du groupe de travail IETF sur DNS et vie privée ». Le RFC 7626, « DNS Privacy Considerations » est désormais publié. Il décrit le problème. J'espère qu'il est lisible par des gens qui ne sont pas les top-experts du DNS.
Les groupes de travail IETF sont maintenant bien occupés aux futures solutions (minimisation des données envoyées et chiffrement).
Bonjour à tous,
Je cherche à utiliser un PowerDNS avec un backend PostgreSQL, en remplissant la base avec un script. Malheureusement, il n'y a pas tellement d'exemples de ce genre :( on ne sait pas trop comment remplir la base.
Actuellement, j'ai un domaine (test.example.org), avec une machine (openldap.test.example.org) et un alias (directory01.test.example.org) qui pointe vers cette machine.
Pour le serveur DNS, j'ai un recursor qui renvoie vers le serveur DNS quand ça tombe dans le bon domaine, et qui (…)
Bonjour,
j'utilise Bind 9.9.5 sous ubuntu14.04 avec le module DLZ pour gérer une zone dédié à Active Directory sur mon LAN.
Le serveur Bind9 sur ma zone AD devra rediriger les requêtes qui ne concernent pas sa zone vers les serveurs DNS du LAN.
Mon domaine AD est: directory.societe.io et mon domaine LAN societe.io
Pour faire la redirection j'ai configuré mon bind AD de la sorte:
/etc/bind/named.conf.default-zones
zone "." {
type forward;
forward only;
forwarders { @ns1-societe.io; @ns2-societe.io; };
};
Alors que l'été démarre par une énième canicule, il convient de se mettre à l'ombre et de lire tranquillement les magazines actuellement disponibles chez les marchands de journaux. En deuxième partie vous trouverez les analyses de :
Les sommaires de ces magazines sont liés ci-dessous :
Cher journal,
En lisant les retweets de Stéphane Bortzmeyer, je suis tombé sur une présentation lors du workshop OARC permettant d'amener un peu de vie privée dans les DNS: query name minimization. Alors, quel est le problème ? Actuellement quand on fait une requête DNS, on envoie à tout le monde le site auquel on désire accéder. Voici le fonctionnement:
www.example.com. ? +---------------------+
+------------------>| a.root-servers.net. |
| +------------+--------+
| |
| com. in NS a.gtld-servers.net. |
+----+-----+<-------------------------+
| |
|Bonjour à tous,
je souhaite profiter de la fonctionnalité de Samba4 pour créer un domaine AD.
Il y'a quelque chose qui m'échappe au niveau du DNS (bind -dlz).
Le wiki de Samba précise bien qu'il faut que le contrôleur de domaine soit serveur DNS de la zone AD et qu'il ne résout QUE pour les clients du domaine AD:
comme indiqué ici
"This server will usually only be able to answer queries regarding servers and clients that are members of (…)
L'association Actux recevra Christian Grothoff, mainteneur principal du projet GNUnet, le mardi 24 mars 2015 de 19h à 21h dans la salle i50 (RDC) de l'ISTIC de Rennes.
GNUnet est un réseau et ensemble d'outils permettant une communication sécurisée, décentralisée et résistante à la censure. Dans la lignée de Tor, GNUnet fournit une couche réseau anonymisée, mais également une alternative décentralisée à DNS nommée GNS (GNU Name System), et sert de framework socle pour la création de nouveaux services (comme partage P2P, chat et même téléphonie).
Déroulement sur 2h en 2 temps : 50% présentation, 50% débat/questions.
La présentation sera en anglais ; une aide à la traduction sera proposée pour poser vos questions.
Christian Grothoff a par ailleurs rejoint Rennes en 2014 pour y monter l'équipe de recherche Décentralisé au sein d'Inria.
Entrée libre.
Salut à tous !
Un pote m'a fait découvrir un truc que je trouve absolument génial et que je tenais à partager avec vous : xip.io
Ca vous permet d'utiliser une "infinité" de nom de domaines différents à partir d'une IP. Pour reprendre leur exemple :
10.0.0.1.xip.io resolves to 10.0.0.1
www.10.0.0.1.xip.io resolves to 10.0.0.1
mysite.10.0.0.1.xip.io resolves to 10.0.0.1
foo.bar.10.0.0.1.xip.io resolves to 10.0.0.1En tant que développeur, ça va changer ma vie ! Et même sans être dev, si vous voulez pas acheter (…)
Bonjour,
je découvre Docker et je m'éclate bien avec.
J'ai mis en place plusieurs apps dans des containers, mais je ne vois pas comment faire le lien entre un nom de domaine et un container.
Actuellement, je me base sur l'ip du serveur et le port d'écoute du container.
Ma situation c'est :
Un nom de domaine (voir plus) par apps.
J'ai plusieurs containers qui écoute tous le port 80 actuellement.
Je sais pas si j'ai été clair, n'hésitez pas (…)
L'IETF (l'organisme qui fait les normes techniques de l'Internet) vient de créer le groupe de travail DPRIVE (« DNS private exchange »), consacré au travail sur l'amélioration de la vie privée pour les utilisateurs du DNS (eh oui, chaque fois que vous vous connectez sur http://www.siteporno.fr/, des tas de gens sont au courant, pas uniquement la NSA et votre FAI).
La charte du groupe de travail, avec les échéances, est en ligne.
Le groupe n'a pas encore de documents mais (…)
Bonjour,
En vue de me rendre compatible avec l'Internet de demain (enfin d'aujourd'hui si certains ne traînaient pas la patte avec insistance, suivez mon regard…), j'essaie de rendre IPv6-ready tous les services que j'héberge.
J'ai donc configuré mon hôte principal dans mon DNS avec une entrée A et une entrée AAAA, et tous les sous-domaines que je veux utiliser seront des CNAME qui pointent vers cet hôte principal.
Un schéma :
CNAME → ks2.chaix.fr.eu.org
↑ ↓
test.chaix.fr.eu.org ---------| ACher journal,
Je n'ai pas vu passer l'information plus tôt, alors je me permet de la coller ici.
Un juge a permis à Microsoft de récupérer 22 des noms de domaine gratuits de No-IP les plus populaires. Car cela permettait, selon eux, de propager des malwares. No-IP est un service de DNS dynamique (comme DynDNS). C'est très pratique pour auto-héberger un serveur qui ne bénéficie pas d'IP statique. Cette prise en otage empêche bon nombre d'utilisateurs légitimes d'accéder à (…)
Après 10 années de gestation, le TLD .bzh est en train de naitre ! Hors l'outremer, la Bretagne est donc la première région française à avoir son nom de domaine.
La mise en service est bien évidement échelonnée selon que l'on soit une entreprise, une organisation ou un particulier.
Voir l'article de Ouest-France par qui j'ai eu l'info. Mais il y a aussi son confrère Le Télégramme qui en a parlé aussi.
Pour l'instant je n'ai trouvé qu'un seul entièrement sous (…)