Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-05 Par sujet François TOURDE 
Le 19848ième jour après Epoch,
BERTRAND Joël écrivait:

> François TOURDE a écrit :
[...]
>> 
>> Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
>> ne pas l'utiliser ?
>
>   Parce que pour certaines configurations spéciales, ça ne le fait pas ou
> alors très difficilement. Typiquement pour un certificat * chez
> Lestencrypt, il vaut mieux avoir son propre DNS.

Il y a quand même beaucoup de plugins certbot pour différents
fournisseurs de DNS:
https://eff-certbot.readthedocs.io/en/latest/using.html#dns-plugins

Mais effectivement, je me sens plus confortable avec mon propre DNS ;)

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-05 Par sujet François TOURDE 
Le 19848ième jour après Epoch,
NoSpam écrivait:

> Le 04/05/2024 à 23:14, François TOURDE a écrit :
>> Le 19846ième jour après Epoch,
>> NoSpam écrivait:
>>
>>> Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
>>> est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
>>> avec sa vue local
>>>
>>> Perso, je connecterai tous les postes en VPN et ne ferait écouter le
>>> serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
>>> sécurité
>> Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
>> tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
>> pareil", je choisirais la version DNS plutôt que VPN :)
>
> Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN
> est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut
> tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx
> est suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas
> ouvert aux 4 vents.

Désolé, j'avais interprété "Téléphone IP" comme "Smartphone low cost
avec accès IP" au lieu de penser VOIP, SIP, etc...

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-05 Par sujet NoSpam 



Le 04/05/2024 à 23:14, François TOURDE a écrit :

Le 19846ième jour après Epoch,
NoSpam écrivait:


Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
avec sa vue local

Perso, je connecterai tous les postes en VPN et ne ferait écouter le
serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
sécurité

Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
pareil", je choisirais la version DNS plutôt que VPN :)


Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN 
est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut 
tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx est 
suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas ouvert 
aux 4 vents.

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-05 Par sujet BERTRAND Joël 
François TOURDE a écrit :
> Le 19846ième jour après Epoch,
> Olivier écrivait:
> 
>> Bonjour,
>>
>> J'envisage de mettre en place un serveur DNS dont le rôle serait de
>> résoudre des requêtes sur un de mes domaines.
> 
> Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
> ne pas l'utiliser ?

Parce que pour certaines configurations spéciales, ça ne le fait pas ou
alors très difficilement. Typiquement pour un certificat * chez
Lestencrypt, il vaut mieux avoir son propre DNS.



signature.asc
Description: OpenPGP digital signature

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-04 Par sujet Michel Verdier 
Le 4 mai 2024 François TOURDE a écrit :

>> Au minimum fermer le serveur par un firewall et autres. Et configurer le
>> serveur dns en prenant les options les plus sécurisées, là ça dépend du
>> serveur retenu. Mais au minimum bloquer les transferts et la
>> récursion.
>
> Ok pour les transferts et la récursion, mais l'OP parle de "téléphones
> IP", je vois mal comment mettre en place un firewall pour gérer ces
> types d'accès.

Je parlais d'un firewall pour le serveur vps, pour sécuriser globalement
le serveur et pas seulement le DNS. Et même sur des IP inconnues un
firewall permet de limiter des choses comme : rafales venant d'une IP,
packets invalides, etc.

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-04 Par sujet François TOURDE 
Le 19846ième jour après Epoch,
NoSpam écrivait:

> Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
> est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
> avec sa vue local
>
> Perso, je connecterai tous les postes en VPN et ne ferait écouter le
> serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
> sécurité

Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
pareil", je choisirais la version DNS plutôt que VPN :)

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-04 Par sujet François TOURDE 
Le 19847ième jour après Epoch,
Michel Verdier écrivait:

> Le 3 mai 2024 Olivier a écrit :
>
>> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle 
>> suffisante ?
>
> Oui sauf si tu attends des milliers de requêtes

Milliers par secondes ? Franchement, un prestataire qui loue des machine
et qui ne peut pas supporter des floppées de requêtes DNS, j'en vois
pas.

>> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
>> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?
>
> Ouvert pour fournir le dns à des personnes que tu ne connais pas ?
> Au minimum fermer le serveur par un firewall et autres. Et configurer le
> serveur dns en prenant les options les plus sécurisées, là ça dépend du
> serveur retenu. Mais au minimum bloquer les transferts et la
> récursion.

Ok pour les transferts et la récursion, mais l'OP parle de "téléphones
IP", je vois mal comment mettre en place un firewall pour gérer ces
types d'accès.

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-04 Par sujet François TOURDE 
Le 19846ième jour après Epoch,
Olivier écrivait:

> Bonjour,
>
> J'envisage de mettre en place un serveur DNS dont le rôle serait de
> résoudre des requêtes sur un de mes domaines.

Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
ne pas l'utiliser ?

> Imaginons que je possède le domaine masociete.com
> Le serveur recevra des requètes d'Internet sur des sous-domaines comme
> client12345.masociete.com en provenance d'appareils (téléphones IP)
> qui peuvent assez rustiques au niveau réseau.
>
> Mes exigences sont :
>
> 1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

Tout dépends de ce que tu appelles "facilement", mais par exemple le
registrar GANDI propose des API pour gérer tes enregistrements.
>
> 2- personne ne puisse énumérer mes sous-domaines ie savoir que les
> sous-domaines client1.masociete.com et client2.masociete.com
> existent et le les sous-domaine client3.masociete.com n'existe pas
> (encore),

C'est dépendant de ce que tu vas choisir comme outil, mais en général
ils possèdent un paramètre qui va restreindre qui a le droit de faire un
transfert de données.

> 3- le serveur soit protégée-protégeable contre les attaques par Déni
> de Service

Tu peux difficilement te battre contre une armée de 2^32 (ou plus) de
machines zombies, mais des services comme CloudFlare vont pouvoir
répondre à ce besoin. Moyennant finances bien sûr. Mais le déni de
service n'a pas forcément de rapport avec le type de serveur DNS que tu
vas choisir.

> Mes questions :
>
> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle
> suffisante ?

Carrément. C'est même presque overkill.

> 2. Quel logiciel recommandez-vous ?

Bind9 ? Un gros standard bien stable.

> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

J'opère mon DNS depuis bientôt 25 ans (Ouch !) et je n'ai jamais eu de
soucis majeurs avec. La migration bind8 vers bind9 a été un peu
rugueuse, mais j'ai survécu ;)

Je pense que la question majeure est: "Ai-je vraiment besoin d'opérer
moi-même mon DNS?"

Mes 2¢

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-03 Par sujet Michel Verdier 
Le 3 mai 2024 Olivier a écrit :

> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante 
> ?

Oui sauf si tu attends des milliers de requêtes

> 2. Quel logiciel recommandez-vous ?

yadifa ou unbound qui sont assez légers, bind9 qui a plus de
fonctionnalités

> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

Ouvert pour fournir le dns à des personnes que tu ne connais pas ?
Au minimum fermer le serveur par un firewall et autres. Et configurer le
serveur dns en prenant les options les plus sécurisées, là ça dépend du
serveur retenu. Mais au minimum bloquer les transferts et la récursion.

Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-03 Par sujet NoSpam 

Bonjour

Le 03/05/2024 à 17:37, Olivier a écrit :

Bonjour,

J'envisage de mettre en place un serveur DNS dont le rôle serait de
résoudre des requêtes sur un de mes domaines.
Imaginons que je possède le domaine masociete.com
Le serveur recevra des requètes d'Internet sur des sous-domaines comme
client12345.masociete.com en provenance d'appareils (téléphones IP)
qui peuvent assez rustiques au niveau réseau.

Mes exigences sont :

1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

2- personne ne puisse énumérer mes sous-domaines ie savoir que les
sous-domaines client1.masociete.com et client2.masociete.com
existent et le les sous-domaine client3.masociete.com n'existe pas
(encore),

3- le serveur soit protégée-protégeable contre les attaques par Déni de Service

Mes questions :

1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?
2. Quel logiciel recommandez-vous ?
3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
"ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?


Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel est 
mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND avec sa 
vue local


Perso, je connecterai tous les postes en VPN et ne ferait écouter le 
serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de sécurité

[semi-HS] Conseil sur l'exploitation d'un serveur DNS

2024-05-03 Par sujet Olivier 
Bonjour,

J'envisage de mettre en place un serveur DNS dont le rôle serait de
résoudre des requêtes sur un de mes domaines.
Imaginons que je possède le domaine masociete.com
Le serveur recevra des requètes d'Internet sur des sous-domaines comme
client12345.masociete.com en provenance d'appareils (téléphones IP)
qui peuvent assez rustiques au niveau réseau.

Mes exigences sont :

1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

2- personne ne puisse énumérer mes sous-domaines ie savoir que les
sous-domaines client1.masociete.com et client2.masociete.com
existent et le les sous-domaine client3.masociete.com n'existe pas
(encore),

3- le serveur soit protégée-protégeable contre les attaques par Déni de Service

Mes questions :

1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?
2. Quel logiciel recommandez-vous ?
3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
"ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

Slts