Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

DNS attaqués, configurer DNSSEC

Brunod

Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter :/
Qui fait quoi ? : https://www.bortzmeyer.org/qui-controle-les-serveurs-racine.html

Une altrenative serait OPENnic :
https://wiki.opennic.org/start

[supprimé]

Brunod a écritJe me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.

Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.

bruno

Brunod a écritJe ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter :/

Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Filtrer-The-Pirate-Bay-Ubu-roi-des-Internets

Brunod

rogn... a écrit
Brunod a écritJe me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.

Non, je ne pense pas, une màj n'apporte rien en soi.

Brunod

bruno a écrit
Brunod a écritJe ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter :/
Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Filtrer-The-Pirate-Bay-Ubu-roi-des-Internets

Merci pour cette très bonne nouvelle 🙂 (Faut me comprendre, je deviens méfiant 😉 )
Je vais épingler son adresse !
Si vous en avez d'autres, je prends !

[supprimé]

Brunod a écrit
rogn... a écrit
Brunod a écritJe me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.
Non, je ne pense pas, une màj n'apporte rien en soi.

Sur un autre topic j'ai dit que j'avais écouté le secrétaire d'état au numérique Mounir Majoubi sur une émssion radio. Le mec prétend que l'on subit des attaques de grande ampleur et que ce ne serait du jamais vu. Pour éviter ça, il faut selon lui mettre à jour Windows, Mac, Android, iOS, et les bases de données anti-virus.
Ça ne va pas plus loin que ça. 😐

Brunod

Mwoui, je m'en réfère plutôt au lien du post https://forum.ubuntu-fr.org/viewtopic.php?pid=22060071#p22060071 beaucoup plus fiable que le porte-parole que tu évoques qui d'ailleurs ne fait que répéter ce qu'on a entendu ces derniers jours; alors que visiblement il ne semble y a voir aucune attaque particulière, surtout que cela relayait une info datant de plus de 15 jours au moment où elle a été reprise 😉
https://www.zdnet.fr/actualites/attaque-sur-le-dns-la-panique-est-mauvaise-conseillere-39881177.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR0eZqN4fJ0FpgJr0Z3KuOUfjWAYPWbSluTDjKFqhvMYMp9MsM4Q40SHMbY#Echobox=1551184681

https://www.zdnet.fr/actualites/selon-l-icann-il-existe-un-risque-important-et-permanent-visant-l-infrastructure-dns-39881135.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR3eC-k3JsuTPVrY_0mRVfgZsawMrfmSju75rAQfo8y_WQeFjn_pPqLDj7c#Echobox=1551093984

Ca sort le 23/2, alors que ça date de janvier...
"In January, security company FireEye revealed that hackers likely associated with Iran were hijacking DNS records on a massive scale, by rerouting users from a legitimate web address to a malicious server to steal passwords. "
Source :
https://techcrunch.com/2019/02/23/icann-ongoing-attacks-dns/?guccounter=1&guce_referrer_us=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_cs=K49NVg7WTPeeuUX8aFAdLw&fbclid=IwAR2ni4gJ8Vt1aDhiaih945xAWpHLZtF7HWGt5gWF6PxMCEltJCvOW4lurfI

abecidofugy

nam1962 a écrit[Edit], pour vérifier un domaine :
dig +dnssec SOA ubuntu-fr.org
Il doit y avoir "ad" dans les réponses de flag --> https://serverfault.com/questions/154016/querying-and-verifying-dnssec

Salut,

Si je comprends bien, Ubuntu-fr n’a pas le DNSSEC activé ?

dig +dnssec SOA ubuntu-fr.org

; <<>> DiG 9.11.3-1ubuntu1.5-Ubuntu <<>> +dnssec SOA ubuntu-fr.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41289
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
;; QUESTION SECTION:
;ubuntu-fr.org.                 IN      SOA

;; ANSWER SECTION:
ubuntu-fr.org.          6776    IN      SOA     a.dns.gandi.net. hostmaster.gandi.net. 1527509138 10800 3600 604800 10800

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Mar 01 09:04:08 CET 2019
;; MSG SIZE  rcvd: 104

Je ne vois pas de ad.

Sinon, à : http://www.dnssec-or-not.com/
J'ai :
Sigh... the test indicates you are NOT protected.

C’est bon ma box qui n'assure pas ?

Merci et belle journée.

bruno

Tu as bien compris 😉 ubuntu-fr.org n'utilise pas DNSSEC, pas IPv6, …

Pour l'autre question quel résolveur utilises-tu ?

maxire

C'est tout de même étrange, pourquoi la validation dnssec n'est-elle pas activée par défaut côté client ?
Je viens de la mettre en place en activant le cache dns de dnsmasq sous NetworkManager et cela semble rouler.

nam1962

Comment as-tu fait ?

maxire

@nam1962, j'imagine que ta question est destinée à abecidofugy.

abecidofugy

bruno a écritPour l'autre question quel résolveur utilises-tu ?

C’est quoi la ligne de commande pour le savoir, ou dans le GUI ?

[/mode boulet]

grandtoubab

abecidofugy a écrit
bruno a écritPour l'autre question quel résolveur utilises-tu ?
C’est quoi la ligne de commande pour le savoir, ou dans le GUI ?

[/mode boulet]

nmcli

pour tracer les réponses

dig +trace ubuntu.com

pour l'identité des root.server
https://www.iana.org/domains/root/servers

Exemple

;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) mon cache dnsmasq
;; Received 1198 bytes from 199.9.14.201#53(b.root-servers.net) le serveur racine University of Southern California (ISI)
;; Received 636 bytes from 192.35.51.30#53(f.gtld-servers.net) mon resolver Verisign tel qu'indiqué par https://dnslytics.com/ip/192.35.51.30

ubuntu.com. 600 IN A 91.189.94.40
ubuntu.com. 600 IN NS ns1.canonical.com.
ubuntu.com. 600 IN NS ns2.canonical.com.
ubuntu.com. 600 IN NS ns3.canonical.com.
;; Received 167 bytes from 91.189.91.139#53(ns3.canonical.com) Ubuntu est chez Canonical

abecidofugy

enp0s3: connecté to Nouvelle connexion : 802-3-ethernet
        "Intel 82540EM Gigabit Ethernet Controller (PRO/1000 MT Desktop Adapter)"
        ethernet (e1000), 08:00:27:90:50:5E, hw, mtu 1500
        ip4 par défaut
        inet4 192.168.1.45/24
        route4 0.0.0.0/0
        route4 192.168.1.0/24
        route4 169.254.0.0/16
        inet6 fe80::7459:844a:fcf0:7638/64
        route6 ff00::/8
        route6 fe80::/64
        route6 fe80::/64

lo: non-géré
        "lo"
        loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536

DNS configuration:
        servers: 192.168.1.1
        interface: enp0s3

Euh… c'est 192.168.1.1 ?

grandtoubab

abecidofugy a écrit

enp0s3: connecté to Nouvelle connexion : 802-3-ethernet
        "Intel 82540EM Gigabit Ethernet Controller (PRO/1000 MT Desktop Adapter)"
        ethernet (e1000), 08:00:27:90:50:5E, hw, mtu 1500
        ip4 par défaut
        inet4 192.168.1.45/24
        route4 0.0.0.0/0
        route4 192.168.1.0/24
        route4 169.254.0.0/16
        inet6 fe80::7459:844a:fcf0:7638/64
        route6 ff00::/8
        route6 fe80::/64
        route6 fe80::/64

lo: non-géré
        "lo"
        loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536

DNS configuration:
        servers: 192.168.1.1
        interface: enp0s3

Euh… c'est 192.168.1.1 ?

oui c'est ta box, rien n'est configuré sur ton PC

abecidofugy

grandtoubab a écritoui c'est ta box, rien n'est configuré sur ton PC

J'ai changé pour ça : 80.67.169.12

fdn.fr

inbox

Salut,

Pour vérifier les DNS actifs sur le PC, cette commande filtre le retour :

sudo nmcli device show | grep DNS

A+

maxire

Quelque chose d'assez drôle, je viens de vérifier plusieurs sites français, www.liberation.fr, www.lepoint.fr, www.lemonde.fr, orange.fr, imap.orange.fr, pop3.orange.fr; aucun d'entre eux ne propose de validation dnssec.
@abecidofugy, ce n'est pas une question de paramétrage de serveur DNS à utiliser mais de paramétrage du client envoyant les requêtes DNS.
Si tu utilises networkmanager il est utile de passer via un cache dns local comme dnsmasq ou systemd-resolved, il faut alors configurer ces résolveurs locaux pour qu'ils demandent une validation dnssec.
Grantoubab a d'alleurs donné comment configurer networkmanager/dnsmasq pour activer dnssec dans un des précédents messages de ce fil.
En ce qui concerne le paramétrage de systemd-resolved ce n'est pas très clair.

maxire

Salut,

Je reprends ce fil avec une configuration mettant en place dnssec via systemd-resolved sous Ubuntu 18.04 tout en utilisant les serveurs DNS de FDN:

bionic@k72f-J48-ubgnome:~$ cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
DNS=80.67.169.12 80.67.169.40 2001:910:800::12 2001:910:800::40
#FallbackDNS=
#Domains=
#LLMNR=no
#MulticastDNS=no
#DNSSEC=no
DNSSEC=allow-downgrade
#Cache=yes
#DNSStubListener=yes
bionic@k72f-J48-ubgnome:~$

ionic@k72f-J48-ubgnome:~$ systemd-resolve --status --no-pager
Global
         DNS Servers: 80.67.169.12
                      80.67.169.40
                      2001:910:800::12
                      2001:910:800::40
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 3 (wls1)
      Current Scopes: DNS
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: no
         DNS Servers: 192.168.1.1
          DNS Domain: home

Link 2 (ens5)
      Current Scopes: none
       LLMNR setting: yes
MulticastDNS setting: no
      DNSSEC setting: allow-downgrade
    DNSSEC supported: yes
bionic@k72f-J48-ubgnome:~$

Cette configuration permet de résoudre les noms de domaines locaux en l'occurrence via le serveur dns d'une livebox qui ne gère pas dnssec tout en utilisant les serveurs dns de FDN pour les domaines non locaux.
La connexion active est wls1, dnssec est indiqué comme non supporté par le serveur DNS local 192.168.1.1 mais supporté par les serveurs de FDN, systemd-resolved utilise automatiquement dnssec si les serveurs dns le proposent.

Résolution en local :

bionic@k72f-J48-ubgnome:~$ systemd-resolve fixe
fixe: 192.168.1.12
      (fixe.home)

-- Information acquired via protocol DNS in 8.0ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$

Résolution inverse en local :

bionic@k72f-J48-ubgnome:~$ systemd-resolve 192.168.1.12
192.168.1.12: fixe.home

-- Information acquired via protocol DNS in 8.3ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$

Résolution www :

bionic@k72f-J48-ubgnome:~$ systemd-resolve sigok.verteiltesysteme.net
sigok.verteiltesysteme.net: 134.91.78.139

-- Information acquired via protocol DNS in 250.9ms.
-- Data is authenticated: yes
bionic@k72f-J48-ubgnome:~$

Résolution inverse www :

bionic@k72f-J48-ubgnome:~$ systemd-resolve 134.91.78.139
134.91.78.139: derp.vs.uni-due.de
               derp.vs.uni-duisburg-essen.de

-- Information acquired via protocol DNS in 502.5ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$

Cette configuration permet de configurer les dns tout en laissant les connexions définies via Networkmanager en DHCP automatique, donc en utilisant le serveur dns local fourni par la box tout en n'utilisant pas les serveurs DNS du fournisseur de service internet.
Cela fonctionne avec Orange.

Plus d'information sur l'activation de DNSSEC :

bionic@k72f-J48-ubgnome:~$ systemd-resolve --statistics
DNSSEC supported by current servers: yes

Transactions
Current Transactions: 0
  Total Transactions: 5139

Cache
  Current Cache Size: 39
          Cache Hits: 1281
        Cache Misses: 3611

DNSSEC Verdicts
              Secure: 75
            Insecure: 137
               Bogus: 0
       Indeterminate: 0
bionic@k72f-J48-ubgnome:~$

« Page précédente Page suivante »