[FRnOG] Re: [TECH] Tout le monde a bien activé la « QNAME minimisation » ?

2021-11-19 Par sujet Stephane Bortzmeyer 
On Fri, Nov 19, 2021 at 06:15:03PM +0100,
 Pierre Colombier via frnog  wrote 
 a message of 28 lines which said:

> > Mais on peut choisir son résolveur, alors qu'on ne peut pas
> > choisir les serveurs faiant autorité.
> 
> Ok pour les geeks mais en pratique mme Michu ne choisit pas son
> résolveur...

Il ne faut pas se limiter à ce qui existe aujourd'hui. Dans le futur,
on aura peut-être partout des YunoHost, des CozyCloud ou des routeurs
de domicile tout prêts (comme le Turris mais en mieux), avec un
résolveur (qui fera peut-être suivre en DoT à un autre résolveur). Le
Pi-Hole est un exemple « Michu-compatible ».


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Tout le monde a bien activé la « QNAME minimisation » ?

2021-11-19 Par sujet Stephane Bortzmeyer 
On Fri, Nov 19, 2021 at 05:13:53PM +0100,
 Pierre Colombier via frnog  wrote 
 a message of 45 lines which said:

> c'est quand même curieux ce modèle où on fait davantage confiance au
> résolveur qu'aux serveurs racine

J'oubliais un point important : quand on transmet aux serveurs
d'autorité la question complète, on ne fait pas seulement confiance à
ces serveurs faisant autorité mais également à tous ceux qui peuvent
écouter le trafic (et une requête à ces serveurs franchit souvent
beaucoup d'AS). En effet, le trafic entre le résolveur et les serveurs
d'autorité est en clair.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Tout le monde a bien activé la « QNAME minimisation » ?

2021-11-19 Par sujet Pierre Colombier via frnog 

Bonjour Stéphane, merci de ta réponse.

On 19/11/2021 17:26, Stephane Bortzmeyer wrote:



alors que c'est quand même le résolveur qui est à la fois le plus
intéressé et le plus en mesure de faire une association entre l'ip
source d'une requête et un nom d'utilisateur.

Mais on peut choisir son résolveur, alors qu'on ne peut pas choisir
les serveurs faiant autorité.


Ok pour les geeks mais en pratique mme Michu ne choisit pas son résolveur...

Soit c'est celui de son FAI, soit c'est le 8.8.8.8 que jean-kévin lui a 
mis..



Alors que de son coté le serveur racine (ou d'un TLD, ou d'un domaine
particulier) ne voit que l'ip source du résolveur.

Et ECS, alors ?


Oups... ça pour le coup c'est une vraie saleté.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Tout le monde a bien activé la « QNAME minimisation » ?

2021-11-19 Par sujet Stephane Bortzmeyer 
On Fri, Nov 19, 2021 at 05:13:53PM +0100,
 Pierre Colombier via frnog  wrote 
 a message of 45 lines which said:

> Ah bon ? c'est pas comme ça depuis le tout début de DNS ?

C'est comme ça dans les vidéos sur YouTube mais pas dans la
réalité. La section 1 du RFC 7816 explique cela (avec la conversation
avec Mockapetris dans un café).

Donc, non, au contraire, même aujourd'hui, la majorité des résolveurs
des FAI français ne fait pas de minimisation des requêtes.

> Un petit coup de wireshark plus tard, et il semble "à l'oeil" que
> mon résolveur soit déjà conforme à RFC7816.

Parfait.

> pourtant, un
> 
> rgrep 'qname' /etc/bind
> 
> ne renvoie rien

Il me semble que cette minimisation est par défaut dans BIND. "The
current default is relaxed, but it may be changed to strict in a
future release." dit l'ARM


> c'est quand même curieux ce modèle où on fait davantage confiance au
> résolveur qu'aux serveurs racine

La question n'est pas là. Le résolveur doit voir la question
complète. Les serveurs racine ne le doivent pas donc on ne leur donne
pas. C'est le principe de la minimisation: "only on a need-to-know
basis".

> alors que c'est quand même le résolveur qui est à la fois le plus
> intéressé et le plus en mesure de faire une association entre l'ip
> source d'une requête et un nom d'utilisateur.

Mais on peut choisir son résolveur, alors qu'on ne peut pas choisir
les serveurs faiant autorité.

> Alors que de son coté le serveur racine (ou d'un TLD, ou d'une domaine
> particulier) ne voit que l'ip source du résolveur.

Et ECS, alors ? 

> On trouvera sans doute quelques contre-exemples mais dans le cas général,
> j'ai du mal à voir le problème qu'il y a à savoir que 1 des N clients de ce
> FAI a voulu consulter www.train.paris ? et pas seulement quelque chose de
> "paris".

D'abord, il y a des résolveurs avec une petite population
d'utilisateurs. Ensuite, des tas de noms sont bien plus révélateurs
que "www.train.paris": en faisant des tcpdump ou équivalents sur un
serveur faisant autorité, c'est fou ce qu'on trouve (machines portant
le nom d'un employé, application cherchant un pair BitTorrent, etc).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Tout le monde a bien activé la « QNAME minimisation » ?

2021-11-19 Par sujet Stephane Bortzmeyer 
On Fri, Nov 19, 2021 at 03:22:49PM +0100,
 David Ponzone  wrote 
 a message of 24 lines which said:

> C quoi la version minimale pour avoir ça dans recursor ?

Si je lis bien les rilize notes, c'est à partir de 4.3.0.


---
Liste de diffusion du FRnOG
http://www.frnog.org/