#opendns

Quand la justice française pousse les internautes dans les bras de #Google !
▻http://www.dsfc.net/infrastructure/dns-infrastructure/quand-la-justice-francaise-pousse-les-internautes-dans-les-bras-de-google

http://media-cache-ec0.pinimg.com/736x/8c/6f/81/8c6f8154edcfcad73d9fa6b2f41b4f8b.jpg

Sur le plan technique, la décision de bloquer l’accès au site T411 est très facilement contournable. Cette mesure ne sert à rien !Autres lectures sur le thèmeBlocage du site islamic-news.info : le grand bidonnage !Copwatch Idf : la justice française impuissante !Les services de collecte de données personnelles made in…

#Dns #DNS_menteur #DNS_menteurs #DNScrypt #FAI #OpenDNS #OpenNIC

#Cisco rachète #OpenDNS (et aura donc accès à toutes les requêtes DNS des utilisateurs). Rappel : utiliser un résolveur #DNS public d’une grosse boîte US (OpenDNS, Google Public DNS) est une très mauvaise idée, question #vie_privée.

▻http://www.enterprisenetworkingplanet.com/netsecur/cisco-acquires-opendns-for-635-million.html

L’article de Otto, Sanchez, Rula et Bustamante, « Content delivery and the natural evolution of the DNS  », est consacré à l’interaction entre les CDN et les résolveurs DNS publics. Un CDN (Content Delivery Network, comme Akamai) utilise souvent le DNS pour router une requête vers le serveur le plus proche de l’utilisateur. Par exemple, si la question DNS vient de France, on donne l’adresse IP d’un serveur en Europe. Les résolveurs DNS publics (comme Google DNS ou OpenDNS) cassent ce schéma puisque l’adresse du client, vue par les serveurs du CDN, n’a pas forcément de rapport avec la localisation du vrai client (le navigateur Web). Cet article est le premier à mesurer cet effet (on lit souvent des phrases comme « l’utilisation du résolveur DNS public XXX permet d’avoir des résolutions DNS plus rapides » mais c’est de la pure publicité, peu de gens ont mesuré).

►http://aqualab.cs.northwestern.edu/component/attachments/download/235

Si on est pressé, on peut sauter à la figure 7 de l’article : elle montre le délai de réponse HTTP pour deux CDN connus, Akamai et Limelight, avec utilisation d’un résolveur DNS local à la machine, celle des résolveurs DNS du FAI, celle de Google Public DNS et celle d’OpenDNS. On voit deux groupes : résolveur local et résolveur du FAI pour le premier et un groupe plus lent, les deux autres (les résolveurs publics). Bref, pour accéder à un CDN, le résolveur public est une mauvaise idée.

En utilisant l’extension DNS - pas encore normalisée - ECS (EDNS Client Subnet), que gèrent Google Public DNS et Akamai, les résultats sont meilleurs, sans toutefois rattrapper les valeurs obtenues avec le résolveur du FAI (figure 11). ECS est pour l’instant peu déployé et, comme toute extension DNS, posera peut-être des problèmes avec des « middleboxes » programmées avec les pieds.

Enfin, les auteurs proposent une solution à eux, qui nécessite de modifier le comportement du résolveur local (mais pas celui du résolveur public, ou du CDN, contrairement à ECS) : le résolveur local s’adresse aux résolveurs publics par défaut, mais interroge directement les serveurs DNS du CDN lorsqu’il détecte un CDN. (L’article est plutôt vague sur comment reconnaître un CDN, ils proposent une liste manuelle ou bien l’heuristique « s’il y a un CNAME, c’est un CDN ».) Leur solution a été mise en oeuvre dans le relais DNS namehelp.

#DNS #HTTP #OpenDNS #GooglePublicDNS #CDN

Un exemple de remplacement de clé DNSSEC, avec #OpenDNSSEC

Si vous avez déjà un peu regardé #DNSSEC, vous avez dû noter qu’on vous suggère fortement de remplacer (to roll over) les clés cryptographiques de temps en temps. La nécessité de ces remplacements ne fait pas l’unanimité, notamment en raison de sa complexité. Toutefois, avec les outils modernes, le problème est nettement simplifié. Voici l’exemple pas-à-pas du récent remplacement de la KSK (key Signing Key) du domaine bortzmeyer.fr.

►http://www.bortzmeyer.org/key-rollover.html

[Tiens, seenthis.net n’est pas signé avec DNSSEC.]

Utiliser OpenDNSSEC avec un serveur maître NSD

Gérer proprement #DNSSEC n’est pas trivial : un certain nombre d’opérations de gestion des clés et de renouvellement des signatures doivent se faire dans un ordre précis, à certains moments. Si on le fait à la main, une erreur ou un oubli est vite arrivé. D’où l’intérêt d’utiliser une solution logicielle qui automatise tout cela, en l’occurrence #OpenDNSSEC. Les exemples donnés dans la documentation sont pour un serveur DNS maître utilisant BIND. Et si on se sert de #NSD ?

►http://www.bortzmeyer.org/opendnssec-nsd.html

OpenDNS bloque l’accès à seen.li.

This host was blocked by OpenDNS in response to the Conficker virus, the Microsoft IE zero-day vulnerability, an equally serious vulnerability, or some other threat.

If you think this shouldn’t be blocked, please email us at malware-block@opendns.com.

Je ne pige pas, puisque seen.li pointe, de toute façon, vers Seenthis.

#OpenDNS, qui gère un service de serveurs récursifs #DNS ouverts au public mais menteurs (modifiant les réponses des serveurs faisant autorité), vient de connaître sa première grosse bavure, en listant googleapis.com, un domaine de Google très utilisé par des tas d’applications sur le Web.

Nul doute que les dispositifs de filtrage nationaux (#ARJEL, #LOPPSI, etc) connaîtront le même genre de sur-blocages.

►http://www.thewhir.com/web-hosting-news/010612_Thousands_of_Sites_Mislabeled_Phishers_After_OpenDNS_Blocks_Google_H
►http://www.theregister.co.uk/2012/01/05/google_opendns_clash
►http://geekyscribbles.com/2012/01/google-cdn-gets-blocked-and-how-to-fix-the-problem
►http://forums.opendns.com/comments.php?DiscussionID=12755

#censure #filtrage

#OpenDNS vient d’annoncer la disponibilité de #DNScrypt, leur logiciel de sécurisation du « dernier kilomètre ». Le problème est le suivant : c’est bien joli de sécuriser le résolveur avec #DNSSEC mais ensuite, encore faut-il porter l’information sécurisée jusqu’à la machine de M. Michu (le fameux dernier kilomètre) et, là, il peut encore y avoir des tas d’attaques. Beaucoup de technologies existent sur le papier mais ne sont pas déployées (et parfois même pas normalisées) : IPsec (en pratique un échec), DTLS (le plus récent donc pas encore créé de déceptions), TSIG (clés partagées donc irréaliste si on a beaucoup de clients), SIG(0) (zéro implémentation), etc.

Il n’y a pas encore beaucoup de détails publiés sur la technologie DNScrypt.

►http://blog.opendns.com/2011/12/06/dnscrypt-%E2%80%93-critical-fundamental-and-about-time
►http://www.opendns.com/technology/dnscrypt

Elle utiliserait une variante des forwarders du défunt #DNScurve :

►http://dnscurve.org/out-implement.html

Le code (en #C) est publié, il n’y a plus qu’à l’étudier :

►https://github.com/opendns/dnscrypt-proxy

Contrairement aux délires de l’inventeur de DNScurve (un type connu pour sa malhonnêteté intellectuelle), DNScrypt ne prétend pas remplacer DNSSEC mais le compléter pour le dernier kilomètre. Il est donc bien plus raisonnable et instructif à regarder que ne l’était DNScurve.

Opinions personnelles : pour sécuriser le dernier kilomètre, le mieux est de mettre le résolveur validant sur la machine de M. Michu :

►http://seenthis.net/messages/37836

Autres articles : un tutoriel en français (uniquement mode d’emploi, aucune réflexion sur la sécurité ou la politique) ►http://blog.crifo.org/post/2011/12/16/Securisez-vos-connexions-DNS-avec-DNScrypt et un article d’introduction en français (discussion pas mauvaise dans les commentaires) ►http://korben.info/chiffrer-dns.html