Mes Liens en Vrac
1297 shaares
74 résultats
taggé
dns
Un récent intérêt pour un problème de sécurité des navigateurs Web a porté sur leur relation au DNS. Qu'est-ce que le changement (rebinding) et le DNS est-il responsable de cette faille ?
L'article Protecting Browsers from DNS Rebinding Attacks, ainsi qu'une démonstration à grand spectacle à la conférence Black Hat ont suscité un intérêt médiatique marqué. Qu'y a t-il dans cet article ? Pour le comprendre, je me permets un petit détour sur le modèle de sécurité d'un navigateur Web typique.
L'article Protecting Browsers from DNS Rebinding Attacks, ainsi qu'une démonstration à grand spectacle à la conférence Black Hat ont suscité un intérêt médiatique marqué. Qu'y a t-il dans cet article ? Pour le comprendre, je me permets un petit détour sur le modèle de sécurité d'un navigateur Web typique.
Dans beaucoup d'organisations, les noms de domaine locaux sont attribués dans un TLD, un domaine de tête, non normalisé, comme .loc ou .lan. Pourquoi n'y a t-il pas de domaine de premier niveau normalisé pour ces usages « internes » ?
Un certain nombre de personnes, sans avoir vérifié, croient savoir qu'il y a un domaine de premier niveau prévu pour cela. On cite parfois à tort .local (qui est en fait affecté à autre chose par le RFC 6762). Parfois, le .loc, plus court, est utilisé. La plupart du temps, on ne se pose pas la question, et on utilise un TLD non affecté, sans réfléchir.
Un certain nombre de personnes, sans avoir vérifié, croient savoir qu'il y a un domaine de premier niveau prévu pour cela. On cite parfois à tort .local (qui est en fait affecté à autre chose par le RFC 6762). Parfois, le .loc, plus court, est utilisé. La plupart du temps, on ne se pose pas la question, et on utilise un TLD non affecté, sans réfléchir.
Ce texte est la politique suivie par le résolveur DoH doh.bortzmeyer.fr et par le résolveur DoT dot.bortzmeyer.fr. Il explique ce qui est garanti (ou pas), ce qui est journalisé (ou pas), etc. (Vous pouvez également accéder à ce texte par l'URL https://doh.bortzmeyer.fr/policy .)
En complément de ma causerie à Pas Sage En Seine ce 28 juin (et dont les diapos sont ici, je vous conseille d'y jeter un œil avant de lire texte – ou bien lire les RFC 7858, 8310 et 8484 🙂), un billet donc pour parler de ce que je n'ai pas pu placer dans une conférence d'une heure : l'utilisation d'un résolveur DNS sur TLS (DoT) dans la pratique, principalement en tant que client mais aussi quelques billes pour administrer un résolveur complet.
DNS-OARC held its 30th meeting in Bangkok from 12 to 13 May. Here’s what attracted my interest from two full days of DNS presentations and conversations, together with a summary of the other material that was presented at this workshop.
Au départ, je pensais que c’était une attaque comme les autres décrites par mes amis @rootbsd et @SecurityBeard
Le week-end des 23 et 24 février a vu beaucoup d'articles dans les médias à propos d'une campagne d'attaques Internet menées via les noms de domaine. Qu'est-ce qui s'est passé ?
Cet article se veut pédagogique et prévu pour des gens qui ne sont pas des experts en noms de domaine. (Les experts qui veulent plein de détails techniques devront attendre un peu, pour un autre article.)
Cet article se veut pédagogique et prévu pour des gens qui ne sont pas des experts en noms de domaine. (Les experts qui veulent plein de détails techniques devront attendre un peu, pour un autre article.)
Bon bha ça y est le weekend est passé et tout le monde a publié son ptit truc concernant la grosse attaque des Internets !
Daniel Stenberg, Stéphane Bortzmeyer and Bert Hubert will discuss the changing DNS privacy landscape, including topics such as DoH, DoT. Moderated by Jan-Piet Mens.
We at AdGuard put a lot of our effort into protecting people's privacy, and many AdGuard users value our products exactly for this reason. One of the biggest challenges has always been not just providing good protection, but doing it for everyone, no matter where the person is and what device do they use.
In the Internet’s early days, those wishing to register their own domain name had only a few choices of top-level domain to choose from, such as .com, .net, or .org. Today, users, innovators, and companies can get creative and choose from more than a thousand top-level domains, such as .cool, .deals, and .fun. But should they?
Le filtrage DNS est un moyen simple pour bloquer une majorité de publicités, traqueurs et sites malveillants avec un minimum d'efforts. La mise en place est rapide et facilement réversible.
The DoH specification in RFC 8484 defines a standardized format and protocol for sending Domain Name System (DNS) queries through HTTP rather than the traditional DNS protocol.
DNS-over-HTTPS (DoH) : Mozilla détaille les prochaines étapes pour Firefox
IP Geolocation databases are widely used in online services to mapend user IP addresses to their geographical locations. However, theyuse proprietary geolocation methods and in some cases they havepoor accuracy. We propose a systematic approach to use publiclyaccessible reverse DNS hostnames for geolocating IP addresses
The UK Public Sector DNS Service is one of the NCSC’s most widely deployed Active Cyber Defence capabilities across the public sector to date, and has been outlined as a top priority for government departments in enabling them to become more cyber resilient.
Dans cet article, je ne vais pas décrire un logiciel ou service existant, ni résumer un RFC. Je voudrais au contraire pointer du doigt un manque dans l'offre existante, à la fois l'offre de services non-commerciaux accessibles au·à la non-geek, et l'offre de logiciel libre. Pourquoi n'y a t-il pas de système simple pour héberger une zone DNS ? Et, si un·e militant·e de la liberté sur Internet passe par là, ne serait-ce pas une bonne idée d'en créer un ? J'espère que cet article donnera des idées.
DoHC2 allows the ExternalC2 library from Ryan Hanson (https://github.com/ryhanson/ExternalC2) to be leveraged for command and control (C2) via DNS over HTTPS (DoH).
DNS slides presented at geek/tech international event "Nerdearla 2018"
Le 18 septembre l’ICANN publiait une décision de son Board. Elle met un terme à plus de 2 ans de tergiversations sur le remplacement de la clé KSK (Key Signing Key) de la zone racine. Ce remplacement aura lieu le 11 octobre 2018.
Chinese cybersecurity researchers have uncovered a widespread, ongoing malware campaign that has already hijacked over 100,000 home routers and modified their DNS settings to hack users with malicious web pages—especially if they visit banking sites—and steal their login credentials.
External pentest tool that performs subdomain enumeration through various techniques. In addition, SubScraper will provide information such as HTTP & DNS lookups to aid in potential next steps.
Je l’avais indiqué dans mon billet anniversaire, je lâche l’affaire, je n’arrive pas à écrire quelque chose de propre et d’agréable à lire pour vous expliquer les bases de ce qu’on appelle le DNS, grâce à qui Internet est en grande partie ce qu’il est devenu aujourd’hui.
With some care, it turns out to be possible to spoof fake DNS responses using fragmented datagrams. While preparing a presentation for XS4ALL back in 2009, I found out how this could be done, but I never got round to formally publishing the technique. The presentation was however made available.
Afin d'assurer des services sur Internet il est le plus souvent nécessaire de posséder un nom de domaine.
En effet, si les machines communiquent entre elles en s'identifiant par leurs adresses IP, nous, humain⋅e⋅s, retenons plus facilement un nom qu'une suite de chiffres.
En outre, un nom de domaine servant comme identifiant que l'on peut traduire vers une adresse IP autorise plus de souplesse. Lors d'un changement d'IP de la machine hébergeant un service, le nom de domaine peut rester inchangé, ainsi le changement est transparent aux yeux des usager⋅e⋅s du service.
En effet, si les machines communiquent entre elles en s'identifiant par leurs adresses IP, nous, humain⋅e⋅s, retenons plus facilement un nom qu'une suite de chiffres.
En outre, un nom de domaine servant comme identifiant que l'on peut traduire vers une adresse IP autorise plus de souplesse. Lors d'un changement d'IP de la machine hébergeant un service, le nom de domaine peut rester inchangé, ainsi le changement est transparent aux yeux des usager⋅e⋅s du service.
Last week, the new DNS resolver Quad9 has been announced. It is a public DNS resolver with the additional benefit that it is accessible in a secure way over TLS (RFC 7858).
Petit service juste pour s'amuser : mettre l'ensemble des codes postaux français dans le DNS avec pour chaque code, la ou les communes concernées, leur longitude et leur latitude. À quoi ça sert ? Pas à grand'chose, je voulais juste illustrer l'utilisation de deux types d'enregistrements DNS peu connus, LOC (RFC 1876) et URI (RFC 7553).
Ce matin du 20 juin, plein de messages sur les réseaux sociaux pour se plaindre d'une impossibilité d'accéder aux services en ligne de BNP Paribas. Le CM a bien du mal à répondre à tout le monde. À l'origine de cette panne, un problème DNS. Que s'est-il passé et pourquoi ?
List of DNS violations by implementations, software and/or systems
Yeti est un projet international auquel participe l'Afnic. Il s'agit d'une racine DNS servant aux tests de nouvelles techniques.
Vendredi 7 juillet, nous vous informions qu’une connexion frauduleuse chez l’un de nos partenaires techniques avait entraîné la modification des serveurs de noms [NS] de 751 domaines et renvoyé leur trafic vers un site malveillant.
Récemment les serveurs DNS D’SFR ont décidé de faire paniquer un client, qui n’avait plus aucun enregistrement A sur sa zone; nous étions en plein recette sur sa nouvelle plateforme, et son site actuel paraissait du coup « en carafe ». En analysant un peu, j’ai découvert une réponse étrange que j’aimerai partager avec vous.
As many in the tech community will know, the DNS is a core part of the Internet’s infrastructure. It provides the vital function of mapping human-readable names (such as www.surf.nl) to machine readable information (such as 2001:610:188:410:145:100:190:243).
projet dnsprivacy-monitoring
CloudLayar is a website security tool that allows you to protect any domain from DNS-related attacks completely Free. CloudLayar was built with simplicity in mind so that every user could use the powerful protection without the need to learn too many technical things.
Open DNS resolvers that answer queries coming from anyone have been the main component of a large number of DDoS attacks in recent years.
Un peu daté mais toujours intéressant !
DNSSEC Trace & Analyzer Tool
Si aujourd’hui depuis un cybercafé de Macao vous pouvez consulter le solde de votre compte sur le site de votre banque française, ainsi que l’état de votre commande chez Amazon en Virginie, c’est grâce à l’Internet, bien sûr, mais si vous pouvez le faire facilement c’est grâce au système de noms de domaines, le DNS.
Google and a few other companies provide open dns resolvers to the people around the globe. Unfortunately it may happen that the resolver was hijacked and used for different purposes, such as redirecting to malicious pages or to block certain addresses (censorship).
You can use iptables to block any string including DNS requests. This is pretty awesome way to block certain domain or dns queries on Linux.
Ce papier fait suite au précédent Chiffrer ses requêtes DNS avec DNScrypt et le complète en donnant une recette afin d'installer DNScrypt. Contrairement à ce que je déclarai dans ce papier, je suis revenu à une installation à la main, plutôt que de recourir à un script.
Un résolveur DNS ne connait au début, rien du contenu du DNS. Rien ? Pas tout à fait, il connait une liste des serveurs de noms faisant autorité pour la racine, car c'est par eux qu'il va commencer le processus de résolution de noms.
dns2proxy is an offensive DNS server that offers various features for post-exploitation once you’ve changed the DNS server of a victim.
Hello everyone, in this post we are going to use DNS for data ex-filtration to fasten (time based) blind sql injection attacks or make exploitation possible even on random delayed networks/applications. So let us start with basics of DNS.
Il existe un nouveau résolveur DNS public DNS-sur-TLS, et il utilise la racine Yeti. Des explications supplémentaires seraient bienvenues ? Les voici.
When running a domain with DNSSEC enabled, it is important to monitor it. Apart from monitoring whether the nameserver is running, is responding to UDP and TCP queries, the domain is served by the nameserver and whether the RRSIGs are valid (you do all that already right?), knowing if the chain of trust to the domain is valid is just as important.
Une nouvelle panne semble avoir touchée les serveurs DNS d'Orange ce mercredi (quelques semaines après "l'erreur humaine" qui a touché quelques - gros - sites). Encore une fois, les réseaux sociaux (mais pas que) ont répandus l'idée d'arrêter d'utiliser les résolveurs de son FAI pour passer sur ceux de Google, de Cisco (OpenDNS) ou autres OpenNIC fumeux (quelques examples).
The exhortations about the Internet’s prolonged transition to version 6 of the Internet Protocol continue, although after some two decades the intensity of the rhetoric has faded and, possibly surprisingly, it has been replaced by action in some notable parts of the Internet. But how do we know there is action? How can we tell whether, and where, IPv6 is being deployed in today’s Internet?
DNSSEC vs. Elastic Load Balancers: the Zone Apex Problem
How do I setup primary dns name server using tinydns under FreeBSD operating systems?
Comme beaucoup de protocoles très utilisés sur l'Internet, le DNS est ancien. Très ancien (la première norme, le RFC 882, date de 1983). Les normes techniques vieillissent, avec l'expérience, on comprend mieux, on change les points de vue et donc, pour la plupart des protocoles, on se lance de temps en temps dans une révision de la norme.
Over the past week, we’ve seen some buzz over a set of events that occurred last week, which impacted a small proportion of the Root Server Operators. While ICANN does operate L-Root, we do not speak for the collective of Root Server Operators. In the spirit of transparency, the Operators have a published a collective statement regarding the events.
Cet article est un petit mémo sur la commande dig, qui permet de tout savoir sur les resolveurs DNS. Pour rappel, un résolveur DNS est un serveur, qui va résoudre un nom d’hôte (ou un FQDN : Full Qualified Domaine Name) en adresse IP.
There are two types of information that can be found online about you: the information you intentionally post and the information that is automatically collected.
Le Parti Pirate norvégien inaugure un service DNS afin que les internautes puissent contourner le blocage de The Pirate Bay et autres.
No matter how tightly you restrict outbound access from your network, you probably allow DNS queries to at least one server.
Modern Windows versions add headaches to active VPN users. DNS resolver in earlier versions up to Windows 7 was predictable and made DNS requests in order according to DNS servers preference, just as all other OS. This could lead to DNS Leak only if the DNS server inside the tunnel didn’t reply in time or sent en error, which wasn’t that horrible.
La plaie de DNSSEC, comme celle de tous les systèmes de cryptographie, est la gestion des clés. Avec DNSSEC, la clé de signature des autres clés, la KSK (Key Signing Key) est censée être remplacée (rolled over) régulièrement. Si un résolveur a une KSK dans sa configuration, cela oblige l'administrateur du résolveur à effectuer le remplacement à la main, ce qui peut être contraignant. Notre RFC 5011 propose une autre solution : le domaine signe la nouvelle KSK avec l'ancienne et le résolveur accepte alors automatiquement cette nouvelle clé.
This document describes the privacy issues associated with the use of the DNS by Internet users. It is intended to be an analysis of the present situation and does not prescribe solutions.
L'algorithme de signature russe GOST R 34.10-2001 ayant été spécifié en anglais dans le RFC 5832, plus rien ne s'opposait à son utilisation dans DNSSEC. Ce RFC marque donc l'arrivée d'un nouvel algorithme dans les enregistrements DNSSEC, algorithme portant le numéro 12. via @bortzmeyer
Le mécanisme de sécurité DNSSEC permet évidemment de choisir entre plusieurs algorithmes de signature cryptographique, à la fois pour pouvoir faire face aux progrès de la cryptanalyse et pour pouvoir choisir en fonction de critères particuliers (taille des clés, temps de signature et de vérification, etc). La palette de choix s'agrandit avec ce RFC qui normalise l'usage d'ECDSA, un algorithme à courbes elliptiques (le deuxième dans DNSSEC après le RFC 5933). via @bortzmeyer
L'algorithme de signature Ed25519 ayant été mis en œuvre dans OpenSSH, ce nouveau RFC permet d'utiliser cet algorithme dans les enregistrements DNS SSHFP (SSH fingerprint). via @bortzmeyer
Pour ceux qui ne serait pas forcément au courant, le DNS est à la base de tout l’Internet tel qu’on le connaît aujourd’hui.
It is well-known, for many years, that the chinese governement censors the Internet via several means, including DNS lies. For a long time, these DNS lies have been generated by the netwok itself: when a DNS query for a censored name is seen, an active censorship device generates a lie and sends a reply with the wrong IP address. A few weeks ago, there have been a change in this system: the IP addresses returned by the Great FireWall are more often actual addresses used by real machines, which suddently have to sustain a big traffic from China.
Quelques jours après le FIC (Forum International sur la Cybersécurité, où on avait beaucoup parlé de méchants hackers, forcément djihadistes), un article du Monde nous rappelle que les plus grandes attaques contre la sécurité de l'Internet viennent des États. via @bortzmeyer
I recently introduced you to the PowerDNS REST API and wished that somebody would build a really good Web-based front-end for PowerDNS with it. Henk Jan reminded me of nsedit which I'd simply forgotten about. via @jpmens
Dans le cas d’un serveur dit "mutualisé", plusieurs dizaines de sites sont hébergés sur un même serveur et correspondent donc à une même adresse IP. via @genma
Sur le DNS, je vous invite à voir ma présentation DNS - Vulgarisation, où je dis, Les sites webs sont associés à des noms de domaines et se trouvent sur des serveurs (qui ont une adresse IP) et un serveur DNS est un annuaire qui fait la correspondance nom de domaine - adresse IP. via @genma
Thomas Ptacek laid out a number of arguments against DNSSEC recently (and in a follow up). We don't fully agree on everything, but it did prompt me to write why, even if you assume DNSSEC, DANE (the standard for speaking about the intersection of TLS and DNSSEC) is not a foregone conclusion in web browsers.
Domain-name overseer ICANN has been hacked and its root zone system compromised, the organization has announced. via @jedisct1
Document PDF complet de l'AFNIC sur la mise en place de DNSSEC sur un serveur DNS faisant autorité utilisant Bind 9.9 ou NSD
via @bortzmeyer
C'est l'heure : changer son résolveur DNS comme un vrai pro des internets via @Homlett, @bortzmeyer