subject:"\[FRnOG\] Re\: \[TECH\] OpenDNS \- Retour d'experience"

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-28 Par sujet Stephane Bortzmeyer

On Sun, Feb 28, 2016 at 11:17:48AM +0100,
 Jonathan Leroy  wrote 
 a message of 12 lines which said:

> Ma remarque portait sur le fait qu'il suffit à un homme du milieu de
> supprimer les enregistrements concernant DNSSEC des réponses DNS
> pour pouvoir les modifier comme bon lui semble.

C'est pour cela qu'il n'y a que deux façons sérieuses de valider
DNSSEC :

1) un résolveur local sur la machine (pas d'Homme du Milieu sur
l'interface lo),

2) un résolveur validant de confiance (donc pas un français ni un
GAFA) *et* un lien sécurisé (IPsec, DNS-over-TLS) avec ce résolveur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-28 Par sujet Jonathan Leroy

Le 28 février 2016 à 10:54, Stephane Bortzmeyer  a écrit :
> Euh, OpenDNS a bien moins d'utilisateurs que Google Public DNS qui,
> lui, valide les réponses DNSSEC. (Pareil pour Verisign Public DNS,
> mais qui a moins d'utilisateurs.)

Ma remarque portait sur le fait qu'il suffit à un homme du milieu de
supprimer les enregistrements concernant DNSSEC des réponses DNS pour
pouvoir les modifier comme bon lui semble.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-28 Par sujet Stephane Bortzmeyer

On Sat, Feb 27, 2016 at 12:18:04PM +0100,
 Jonathan Leroy  wrote 
 a message of 23 lines which said:

> Vendredi en retard : encore une bonne raison de ne pas se fatiguer à
> déployer DNSSEC.

Euh, OpenDNS a bien moins d'utilisateurs que Google Public DNS qui,
lui, valide les réponses DNSSEC. (Pareil pour Verisign Public DNS,
mais qui a moins d'utilisateurs.)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-27 Par sujet Xavier Claude

Le samedi 27 février 2016 13:01:26 David Ponzone a écrit :
> C’est "rassurant" de savoir que Cisco ne met pas une somme pareille pour
> racheter une boite dont la techno a une mort annoncée. Quoique que ce soit,
> ils ont une idée derrière la tête.

Si le but c'est du filtrage, ils peuvent très bien casser la signature DNSSEC, 
ton client ne résoudra pas et il n'accédera pas au site, ce qui est bien le 
but.
-- 
Xavier Claude
cont...@xavierclaude.be


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-27 Par sujet David Ponzone

C’est "rassurant" de savoir que Cisco ne met pas une somme pareille pour 
racheter une boite dont la techno a une mort annoncée.
Quoique que ce soit, ils ont une idée derrière la tête.




> Le 27 févr. 2016 à 12:18, Jonathan Leroy  a 
> écrit :
> 
> Le 26 février 2016 à 23:52, Solarus  a écrit :
>> Ainsi donc, tout le business model des DNS menteurs se casse la figure
>> et c'est une bonne nouvelle pour la sécurité globale des Internets.
> 
> Sauf que les résolveurs fournis par OpenDNS n'effectuent pas de
> validation, et même mieux, suppriment les enregistrements concernant
> DNSSEC des réponses DNS.
> 
> Ils vont donc pouvoir continuer à retourner des réponses mensongères
> en toute tranquillité.
> Vendredi en retard : encore une bonne raison de ne pas se fatiguer à
> déployer DNSSEC.
> 
> -- 
> Jonathan Leroy.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-27 Par sujet Jonathan Leroy

Le 26 février 2016 à 23:52, Solarus  a écrit :
> Ainsi donc, tout le business model des DNS menteurs se casse la figure
> et c'est une bonne nouvelle pour la sécurité globale des Internets.

Sauf que les résolveurs fournis par OpenDNS n'effectuent pas de
validation, et même mieux, suppriment les enregistrements concernant
DNSSEC des réponses DNS.

Ils vont donc pouvoir continuer à retourner des réponses mensongères
en toute tranquillité.
Vendredi en retard : encore une bonne raison de ne pas se fatiguer à
déployer DNSSEC.

-- 
Jonathan Leroy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-26 Par sujet Solarus



Le 25/02/2016 12:39, David Ponzone a écrit :
> Personnellement, je ne me mêle pas du business des autres, et je n’ai pas 
> d’avis définitif sur la techno.
L'avis définitif sur la techno c'est que DNSSEC va signer les réponses
depuis la clé racine jusqu'au bout de l'arborescence.
Ainsi toute signature modifiée sera considérée comme invalide et le
résolveur ne te renverra rien.
Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient
modifiées, incluant notamment ce genre de pratiques.

Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui
est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129).
Ainsi donc, tout le business model des DNS menteurs se casse la figure
et c'est une bonne nouvelle pour la sécurité globale des Internets.

PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui
explique les RFC mieux que moi.
http://www.bortzmeyer.org/7129.html

Solarus



signature.asc
Description: OpenPGP digital signature

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet David Ponzone

Personnellement, je ne me mêle pas du business des autres, et je n’ai pas 
d’avis définitif sur la techno.

Ca permet quand même d’avoir un minimum de sécurité sur un PC qui ne reste pas 
derrière l’UTM de l’entreprise, en évitant la complexité/lourdeur d’une couche 
soft de sécurité Endpoint.
Si Cisco a mis ce prix là, j’imagine quand même que la techno est intéressante 
et qu’il y a des clients (OpenDNS fait quand même autour de 50-100 M$ de 
revenu, ce n’est donc pas que des utilisateurs gratuits).
 
Ce qui va être intéressant est de voir ce que Cisco va en fait (intégration 
totale dans leur gamme de produits Security, ou autonomie totale comme Meraki).



> Le 25 févr. 2016 à 12:29, Stephane Bortzmeyer  a écrit :
> 
> On Thu, Feb 25, 2016 at 12:26:27PM +0100,
> David Ponzone  wrote 
> a message of 31 lines which said:
> 
>> Oui mais pas trivial à faire soi-même
> 
> Ça tombe bien, parce qu'il ne faut pas le faire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet Stephane Bortzmeyer

On Thu, Feb 25, 2016 at 11:38:51AM +0100,
 David Ponzone  wrote 
 a message of 33 lines which said:

> Tu as bien fait de donner des détails parce qu’on pourrait penser
> que Cisco a acheté OpenDNS pour 635M$ pour avoir un réseau anycast
> de serveurs BIND, parce qu’ils savaient pas le faire :)

OpenDNS n'utilise pas BIND (je ne connais aucun résolveur DNS public
qui le fasse, et pour de bonnes raisons, Yandex utilise PowerDNS,
Verisign Unbound, et Google a tout développé soi-même) et leur
architecture est tout sauf un simple réseau anycast de résolveurs
(notamment, leur cache est partagé par une DHT).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet Stephane Bortzmeyer

On Thu, Feb 25, 2016 at 10:02:19AM +0100,
 Vincent Bernat  wrote 
 a message of 18 lines which said:

> >> OpenDNS ne fait pas que du résolveur public.
> >
> > Et que diable font-ils d'autre ?
> 
> Du filtrage via le DNS

C'est bien une activité de résolveur (de résolveur menteur, plus
exactement).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet David Ponzone

J’aurais pas dit mieux :)

Tu as bien fait de donner des détails parce qu’on pourrait penser que Cisco a 
acheté OpenDNS pour 635M$ pour avoir un réseau anycast de serveurs BIND, parce 
qu’ils savaient pas le faire :)


> Le 25 févr. 2016 à 10:02, Vincent Bernat  a écrit :
> 
> ❦ 25 février 2016 09:32 +0100, Stephane Bortzmeyer  :
> 
>>> OpenDNS ne fait pas que du résolveur public.
>> 
>> Et que diable font-ils d'autre ?
> 
> Du filtrage via le DNS (plutôt que d'utiliser un proxy HTTP filtrant) et
> de l'analytique pour les attaques.
> -- 
> Let me take you a button-hole lower.
>   -- William Shakespeare, "Love's Labour's Lost"
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet Vincent Bernat

 ❦ 25 février 2016 09:32 +0100, Stephane Bortzmeyer  :

>> OpenDNS ne fait pas que du résolveur public.
>
> Et que diable font-ils d'autre ?

Du filtrage via le DNS (plutôt que d'utiliser un proxy HTTP filtrant) et
de l'analytique pour les attaques.
-- 
Let me take you a button-hole lower.
-- William Shakespeare, "Love's Labour's Lost"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-25 Par sujet Stephane Bortzmeyer

On Wed, Feb 24, 2016 at 02:28:46PM +0100,
 Phil Regnauld  wrote 
 a message of 20 lines which said:

>   depuis ils ont complètement arrêté ce "service".

Pour les NXDOMAIN. Mais ils continuent à mentir pour les domaines qui
sont sur leur liste noire.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet FanThomaS


Tu as raison, ils bossent aussi pour le gouvernement US.

Le 2016-02-24 14:01, Vincent Bernat a écrit :
❦ 24 février 2016 09:47 +0100, Stephane Bortzmeyer 
 :



Avez-vous déjà utilisé OpenDNS ? Est-ce que quelqu’un l’utilise en
situation réelle et aurait-donc un retour d’expérience ?


J'aurais tendance à demander d'abord : pourquoi diable un abonné à la
liste FRnog aurait-il besoin d'OpenDNS ? C'est une liste d'OPÉRATEURS,
il me semble. Donc, tout le monde ici gère déjà des résolveurs DNS,
cela fait partie du service de base qu'on attend d'un FAI ou d'un
hébergeur. Pourquoi en faut-il d'autres ?


OpenDNS ne fait pas que du résolveur public.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Vincent Bernat

 ❦ 24 février 2016 09:47 +0100, Stephane Bortzmeyer  :

>> Avez-vous déjà utilisé OpenDNS ? Est-ce que quelqu’un l’utilise en
>> situation réelle et aurait-donc un retour d’expérience ?
>
> J'aurais tendance à demander d'abord : pourquoi diable un abonné à la
> liste FRnog aurait-il besoin d'OpenDNS ? C'est une liste d'OPÉRATEURS,
> il me semble. Donc, tout le monde ici gère déjà des résolveurs DNS,
> cela fait partie du service de base qu'on attend d'un FAI ou d'un
> hébergeur. Pourquoi en faut-il d'autres ?

OpenDNS ne fait pas que du résolveur public.
-- 
Go not to the elves for counsel, for they will say both yes and no.
-- J.R.R. Tolkien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Nelson Lopes

Si c'est que des resolver, c'est encore plus simple.
 
Cordialement,

Nelson LOPES

> Le 24 févr. 2016 à 11:06, Stephane Bortzmeyer  a écrit :
> 
> On Wed, Feb 24, 2016 at 10:54:54AM +0100,
> Nelson Lopes  wrote 
> a message of 44 lines which said:
> 
>> Je suis 100% d'accord avec Stephane normalement nous sommes ici tous
>> capable de monter un SOA et un secondaire en une demi journée.
> 
> Surtout qu'ici, il ne s'agit pas de serveurs faisant autorité mais de
> résolveurs (la fonction qu'assure OpenDNS).
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Phil Regnauld

Stephane Bortzmeyer (bortzmeyer) writes:
> 
> Surtout qu'ici, il ne s'agit pas de serveurs faisant autorité mais de
> résolveurs (la fonction qu'assure OpenDNS).

Le genre de trucs où il faut faire un effort pour que ça
tombe en panne (enfin, vaut mieux quand même vérifier qu'il
est pas ouvert à 0/0 en récursif).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Stephane Bortzmeyer

On Wed, Feb 24, 2016 at 10:54:54AM +0100,
 Nelson Lopes  wrote 
 a message of 44 lines which said:

> Je suis 100% d'accord avec Stephane normalement nous sommes ici tous
> capable de monter un SOA et un secondaire en une demi journée.

Surtout qu'ici, il ne s'agit pas de serveurs faisant autorité mais de
résolveurs (la fonction qu'assure OpenDNS).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Nelson Lopes

Je suis 100% d'accord avec Stephane normalement nous sommes ici tous capable de 
monter un SOA et un secondaire en une demi journée. Rien de vraiment complexe.

Pourquoi utiliser un dns de tiers ?

Cordialement,

Nelson LOPES

> Le 24 févr. 2016 à 09:47, Stephane Bortzmeyer  a écrit :
> 
> On Tue, Feb 23, 2016 at 09:54:51PM +0100,
> car...@akposso.com  wrote 
> a message of 18 lines which said:
> 
>> Avez-vous déjà utilisé OpenDNS ? Est-ce que quelqu’un l’utilise en
>> situation réelle et aurait-donc un retour d’expérience ?
> 
> J'aurais tendance à demander d'abord : pourquoi diable un abonné à la
> liste FRnog aurait-il besoin d'OpenDNS ? C'est une liste d'OPÉRATEURS,
> il me semble. Donc, tout le monde ici gère déjà des résolveurs DNS,
> cela fait partie du service de base qu'on attend d'un FAI ou d'un
> hébergeur. Pourquoi en faut-il d'autres ?
> 
> Ensuite, deuxième question : tant qu'à dépendre d'un tiers et à filer
> toutes ses données à un GAFA, pourquoi OpenDNS et pas Google Public
> DNS, Verisign Public DNS, Yandex DNS ou encore 114 (en attendant le
> résolveur DNS public Souverain, en 14.7.17.89) ? Normalement, avant de
> choisir un fournisseur, on regarde la concurrence, non ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Raphael Jacquot




On 02/24/2016 09:47 AM, Stephane Bortzmeyer wrote:

en attendant le résolveur DNS public Souverain, en 14.7.17.89


et 4.10.19.58 en secondaire ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Nico CARTRON

On 24 February 2016 at 10:48:58, Stephane Bortzmeyer (bortzme...@nic.fr) wrote:
On Tue, Feb 23, 2016 at 09:54:51PM +0100, 
car...@akposso.com  wrote 
a message of 18 lines which said: 

> Avez-vous déjà utilisé OpenDNS ? Est-ce que quelqu’un l’utilise en 
> situation réelle et aurait-donc un retour d’expérience ? 

J'aurais tendance à demander d'abord : pourquoi diable un abonné à la 
liste FRnog aurait-il besoin d'OpenDNS ? C'est une liste d'OPÉRATEURS, 
il me semble. Donc, tout le monde ici gère déjà des résolveurs DNS, 
cela fait partie du service de base qu'on attend d'un FAI ou d'un 
hébergeur. Pourquoi en faut-il d'autres ? 

Ensuite, deuxième question : tant qu'à dépendre d'un tiers et à filer 
toutes ses données à un GAFA, pourquoi OpenDNS et pas Google Public 
DNS, Verisign Public DNS, Yandex DNS ou encore 114 (en attendant le 
résolveur DNS public Souverain, en 14.7.17.89) ? Normalement, avant de 
choisir un fournisseur, on regarde la concurrence, non ? 
Stéphane, je suis au regret de t’annoncer que l’IP “révolutionnaire” que tu 
suggères n’est pas disponible, vu que 14/8 est alloué à APNIC =)

— 

Nico
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

2016-02-24 Par sujet Stephane Bortzmeyer

On Tue, Feb 23, 2016 at 09:54:51PM +0100,
 car...@akposso.com  wrote 
 a message of 18 lines which said:

> Avez-vous déjà utilisé OpenDNS ? Est-ce que quelqu’un l’utilise en
> situation réelle et aurait-donc un retour d’expérience ?

J'aurais tendance à demander d'abord : pourquoi diable un abonné à la
liste FRnog aurait-il besoin d'OpenDNS ? C'est une liste d'OPÉRATEURS,
il me semble. Donc, tout le monde ici gère déjà des résolveurs DNS,
cela fait partie du service de base qu'on attend d'un FAI ou d'un
hébergeur. Pourquoi en faut-il d'autres ?

Ensuite, deuxième question : tant qu'à dépendre d'un tiers et à filer
toutes ses données à un GAFA, pourquoi OpenDNS et pas Google Public
DNS, Verisign Public DNS, Yandex DNS ou encore 114 (en attendant le
résolveur DNS public Souverain, en 14.7.17.89) ? Normalement, avant de
choisir un fournisseur, on regarde la concurrence, non ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

Re: [FRnOG] Re: [TECH] OpenDNS - Retour d'experience

[FRnOG] Re: [TECH] OpenDNS - Retour d'experience

22 matches

Site Navigation

Mail list logo

Footer information