Auteur Sujet: DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile  (Lu 8845 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 288
  • FTTH 1Gb/s sur Paris (75)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #12 le: 21 mars 2017 à 20:02:08 »
C'est peut être lié a la protection du réseau contre de l'UDP Amplification par exemple (dns étant sur udp).
Notamment quand le tél est en mode hotspot ou quand on utilise une box4G (un resolveur DNS ouvert derriere une connexion 4G ca peut faire mal).

Tout dépend ou se situe ce 'mitm', s'il est proche de l'utilisateur, par exemple la ou y'a l'antenne cela permet de protéger les collectes contre un flood udp.

Apres c'est peu-être simplement pour faire du CDN et soulager les collectes...
ou réduire la latence des réso DNS
ou augmenter leur fiabilité
ou collecter des infos sur les usages: vu que quasi tout se fait en https de nos jours sur des CDN globalisés (cloudflare & co), l'opérateur ne voit plus grand chose, les IPs destinations donnant  peu d'info... en interceptant les reso DNS il peut tracker des infos sur les usages.

Il faudrait tester quelques réponses DNS et les comparer avec les autoritatives pour voir s'ils changent quelque chose ou pas. s'ils ne changent rien c'est de la protection ou de la collecte de data.
 
Apres 99% des gens s'en tapent car ils ne touchent pas leur conf DNS de leur mobile qui de toute facon va chez l'opérateur.
Et quasi aucune application mobile embarque son propre client DNS, elles délèguent toutes cela a l'OS.

La ou c'est problématique c'est en mode hotspot si on a un PC avec config DNS particuliere. Mais la encore c'est pas 99% des gens.

Et on peut toujours faire un VPN en faisant tout passer dedans , y compris les réso DNS.

Bref meme si c'est pas 'réglo' c'est pas si gênant qu'un MiTM sur du vrai contenu par exemple.

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #13 le: 21 mars 2017 à 21:31:37 »
C'est peut être lié a la protection du réseau contre de l'UDP Amplification par exemple (dns étant sur udp).
Notamment quand le tél est en mode hotspot ou quand on utilise une box4G (un resolveur DNS ouvert derriere une connexion 4G ca peut faire mal).
En quoi « la protection contre le flood UDP » explique les signatures RRSIG foireuses issus de paquets forgées? ou le proxy SMTP ? Je vois pas le rapport
De plus, c'est connexion 3G (pas 4G, ni 4G "Box") via BandYou avec un débit en upload ridicule, même le download est mauvais
De plus qui mettrai un serveur DNS derrière un accès Internet mobile? Personne… les serveurs autohebergées sont en général derrière des accès fixes (xDSL ou FTTB/FTTH)
Sans compter le fait que c'est aux admins d'êtres responsables, et de configurer correctement leurs machines, aps aux FAI de jouer aux flics du Net. L'infantilisation des clients/users, ça va 5 minutes

Après c'est peu-être simplement pour faire du CDN et soulager les collectes...
ou réduire la latence des réso DNS
ou augmenter leur fiabilité
T'as lu au moins tout le topic? et l'article mis en lien? je vois pas en qupi du MITM sur SMTP et DNS, en cassant DNSSEC au passage, via des paquets forgés, relève de l'amélioration au passage

ou collecter des infos sur les usages: vu que quasi tout se fait en https de nos jours sur des CDN globalisés (cloudflare & co), l'opérateur ne voit plus grand chose, les IPs destinations donnant  peu d'info... en interceptant les reso DNS il peut tracker des infos sur les usages.
Archi faux! même avec HTTPS + CDN, ils ont accès aux URL <correction>noms de domaines. Les requêtes et réponses DNS passent en clair sur le réseau du FAI, sauf à faire du DNS over TLS (pas très répandu)<correction>
D'autant plus que le flicage est la pire des raisons de faire du MITM, c'est pareil qu'un script kiddie qui fait du MITM sur les réseaux WiFi publics.
Ce que leurs utilisateurs font, ça es regarde pas… c'est un FAI, pas un OPJ dans le cadre d'une enquête encadrée…

Il faudrait tester quelques réponses DNS et les comparer avec les autoritatives pour voir s'ils changent quelque chose ou pas. s'ils ne changent rien c'est de la protection ou de la collecte de data.
Encore une fois, il y a des paquets forgées avec de fausses signatures DNSSEC pour tous les noms de domaines visités, que ces NdD aient une signature RRSIG ou  non dans leurs vrais enregistrement DNS, donc il y a bien notification des réponses

Apres 99% des gens s'en tapent car ils ne touchent pas leur conf DNS de leur mobile qui de toute facon va chez l'opérateur.
Et quasi aucune application mobile embarque son propre client DNS, elles délèguent toutes cela a l'OS.
Encore heureux que les applis mobiles n'imposent pas leurs résolveur DNS… l'OS qui définit le résolveur, c'est un comportement normal… et ça ne justifie rien, sosu pretexte que les utilisateurs s'en foutent de ce que bricolent leurs FAI… je me demande comment ces mêmes personnes réagiraient si La Poste intercepter et lisait leurs couriers, puis répondait en se faisant passer pour les destinataires légitimes à qui s'adresser le courrier

La ou c'est problématique c'est en mode hotspot si on a un PC avec config DNS particuliere. Mais la encore c'est pas 99% des gens.
Je fais partie de ces utilisateurs, et ces le cas de plus en plus de gens qui utilisent des DNS tierces… je vois pas le rapport entre les pratiques douteuses et le fait que peu de personnes sont susceptibles de découvrir ce que le FAI bricole… D'ailleurs s'ils se croient tout permis c'est justement parce que les egns ont tendant à se dire « C'est pas grave, ils savent mieux que nous pourquoi ils font ça »

Et on peut toujours faire un VPN en faisant tout passer dedans, y compris les réso DNS.
Non, ça reste à verifier (ça dépends s'ils bloquent ou non, voir la conclusion de mon article, donné en lien dans mon 1er post)
Le VPN à des coups, devoir payé plus juste pour pas se faire pourrir malhonnêtement sa connexion Internet ne devrait pas être considéré comme normall, et encore moins accepté

Bref meme si c'est pas 'réglo' c'est pas si gênant qu'un MiTM sur du vrai contenu par exemple.
Bien sur que si, c'est génant, ils pourrisent un protocole de sécurité (DNSSEC), donc rendent le DNS moins fiable, ils facilitent la censure par DNS en imposant le leurs, qui mentent déjà en modifiant le contenant des réponses et mentant sur les identités… 
« Modifié: 21 mars 2017 à 22:22:48 par DaveNull »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 321
  • Lyon & Paris
    • MilkyWan
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #14 le: 21 mars 2017 à 21:50:29 »
même avec HTTPS, et les CDN, ils ont accès aux URL

les URL dans HTTPS ?  ;D

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #15 le: 21 mars 2017 à 21:57:33 »
les URL dans HTTPS ?  ;D

Je reformule, pas toutes les URL, mais les noms de domaines visités sont visibles en HTTPS, même sans MITM DNS
A moins que tu fasse du DNS over TLS (dispo sur peu de résolveurs et utilisé par peu de gens), t'aura beau interroger un DNS tierce, ton FAI aura beau ne pas faire du MITM DNS, il verra quand même passer les requêtes DNS, et les réponses, donc il aura les noms de domaines sur lesquelles ta machine se connecte, en plus des NdD dont tu récupère l'IP (ou que tu récupère à partir de l'IP) sans forcèment te connecter dessus (genre les requêtes effectués par des outils tels que dig, dans le cadre de tests/debugs)
« Modifié: 21 mars 2017 à 22:17:48 par DaveNull »

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 321
  • Lyon & Paris
    • MilkyWan
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #16 le: 21 mars 2017 à 22:04:09 »
Tiens j'aimerais bien en savoir plus, j'étais resté sur le fait qu'en HTTPS on ne voyait que l'IP sans MiTM DNS justement !

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #17 le: 21 mars 2017 à 22:05:17 »
PS: Je viens d'éditer mon message pour préciser justement

vivien

  • Administrateur
  • *
  • Messages: 29 321
    • Twitter LaFibre.info
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #18 le: 21 mars 2017 à 22:28:12 »
On en a déjà parlé avec "les boites noires" : ce qui reste en clair avec https sans Man-in-the-middle, c'est les requêtes DNS, les IP cibles et la taille / durée des échanges / date + heure.

Cela sera probablement la cible de ces boîtiers, quand ils seront mis en place, théoriquement en 2017.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 731
  • île-de-France
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #19 le: 21 mars 2017 à 22:29:30 »
Bonjour,

En tant que client de Bouygues, je trouve ce genre de pratiques totalement inadmissibles, il y a aucune raison de m'empêcher d'utiliser le résolveur DNS de mon choix. C'est d'autant plus grave que c'est fait en douce et qu'en plus ces bidouillages coté réseaux cassent un protocole de sécurité (DNSSEC).

Bien que ces pratiques qui violent clairement la Neutralité du Net ne m'étonnent pas, j'estime que
- Ces pratiques doivent être rendues publiques, à défaut de disparaître (je compte pas trop dessus)
- Ça mérite quelques explications de la part de Bouygues

Si quelqu'un à des infos sur les motivations de Bouygues, ou sur d'autres pratiques du genre, ça m'intéresse d'en savoir plus à ce sujet

Je ne sais pas si ces comportement techniques observables sont inadmissibles ou graves, je sais qu'ils sont extrêmement communs (en se rappelant qu'il y a plus de 800 opérateurs mobiles dans le monde, sans compter les virtuels).

La motivation de base est l'optimisation du trafic mobile à l'aide d'équipements dédiés, une chose qui se rencontre partout depuis le début des années 2000. Ce que tu cites relève probablement d'effets de bords de ceux-ci, pour lesquels obtenir une correction n'est probablement pas simple (mais n'impacte pas le gros de la base clientèle non plus).

Présumer que les équipes de Bouygues ont un facteur de décision direct sur les comportements techniques mentionnés est s'avancer trop, étant donné que les équipements fonctionnant à ces fins sont développés largement par des sociétés présentes sur de marchés de niches qui revendent en général leur prestation à un grand nombre d'opérateurs.

Un cœur de réseau mobile est un système complexe qui se fonde sur une opacité et des modalités d'ingénierie qui font que les opérateurs par exemple moyens ont en effet souvent peu d'ingérence sur des points techniques aussi précis, et réutilisent massivement des solutions génériques.

Bonne journée

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 288
  • FTTH 1Gb/s sur Paris (75)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #20 le: 21 mars 2017 à 22:34:55 »
@DaveNull :

Je formulais juste des hypothèses pour essayer de comprendre le point de vue de l'opérateur et pourquoi ils ont mis en place ce mitm.

Tu ne vois qu'un coté des choses , ton coté, qui en plus n'est pas représentatif  des usages de la majorité des clients de l'opérateur mobile et tu réagis de façon assez primaire/utopiste sans chercher a comprendre leur motivation. Ils ne font pas ca sans raisons valables, du moins j'ose le croire (eux ou leur fournisseurs de solution/produit).

On n'a aucune idée de ce qu'ils voient et de ce que leur réseau subit. On n'a aucune idée de ce que des 'petits malins' sont capables de faire en utilisant de l'udp sur le port 53 par exemple. Les opérateurs sont confrontés a des comportements de masse, des dysfonctionnements et par dessus cela a plein de tentatives d'attaques utilisant des réseaux de bots gigantesques comportant de plus en plus de smartphones infectés ou peu sécurisés.

C'est sur que ca manque de comm mais c'est probablement parce que 99% des clients ne comprendront pas cette comm de toute facon.

Quand a 'pourrir' DNSSEC , il faut savoir qu'un domaine utilisant DNSSEC et étant mal configuré peut servir a pourrir le réseau et que malheureusement il y a plein de domaines DNSSEC mal configurés...
un petit mot la dessus : (cliquez sur la miniature ci-dessous - le document est au format PDF)


Et concernant Bytel, comme indique Marin, je pense qu'ils dépendent avant tout de solutions complexes fournies par des prestataires et equipementiers et qu'ils ont probablement peu de latitude sur ce problème.

benoit75015

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #21 le: 22 mars 2017 à 08:55:28 »
Vous avez trouvé un document de l'ARCEP qui explique de manière claire :
- Ce qui est neutre
- Ce qui est toléré comme entraves à la neutralité, dans des conditions précises (exemple: en cas d'attaque DDOS)
- Ce qui n'est pas neutre, mais qui ne fait pas l'objet de sanction
- Ce qui n'est pas neutre et qui fait l'objet de sanction si on opérateur est pris en flagrant délit

Le seul document c'est Règlement (UE) 2015/2120 du Parlement européen et du Conseil établissant des mesures relatives à l’accès à un internet ouvert  (25 novembre 2015) ?

DaveNull

  • Client Bouygues Telecom 4G
  • *
  • Messages: 17
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #22 le: 22 mars 2017 à 09:09:45 »
Bonjour

Présumer que les équipes de Bouygues ont un facteur de décision direct sur les comportements techniques mentionnés est s'avancer trop
Non, j'ai jamais dit que les techs de Bouygues sont directement responsables de ces choix, je dis juste que les conséquences sont dégueulasses, et que le manque de transparence sur ce qui est fait, est un problème

Quand a 'pourrir' DNSSEC , il faut savoir qu'un domaine utilisant DNSSEC et étant mal configuré peut servir a pourrir le réseau et que malheureusement il y a plein de domaines DNSSEC mal configurés...
un petit mot la dessus : (cliquez sur la miniature ci-dessous - le document est au format PDF)

Les exemples pris pour tester. DNSSEC concernent des NdD avec une configuration valide... Sur plusieurs réseaux, ça fonctionne très bien
« Modifié: 22 mars 2017 à 20:40:37 par DaveNull »

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #23 le: 23 mars 2017 à 03:33:40 »
- DNS menteur : Impossible d'utiliser un DNS tierce, c'est le DNS de Bouygues qui répond, en mentant sur l'IP source de la réponse
Même en interrogeant un faux résolveur DNS (dig @IP avec comme IP une adresse ne pointant vers aucun résolveur DNS réel), j'ai une réponse (voir lien donné plus bas) avec une IP source correspond à celle du serveur interrogé, or comme l'IP ne correspond à aucun résolveur réel, ça veut dire qu'il y a un équipement qui répond aux requêtes en forgeant les IP sources

- Paquets DNSSEC forgés : IP sources de paquets DNSKEY totalement fantaisistes, et clés sont foireuses, je reçois en permanence des signatures DNSSEC erronées pour tous les sites, y compris les sites qui ne supportent pas du tout DNSSEC
Un exemple avec un paquet DNSKEY, avec comme IP source une adresse de l'université du Maryland, sachant que j'ai jamais configuré un éventuel résolveur DNS de cette Université sur mon système

J'ai pleins d'autres paquets du genre avec diverses IP de serveurs que j'ai jamais interrogé 
Je répète mon point de vue juridique : une interception DNS est l'usurpation d'identité et une violation des droits de "propriété intellectuelle" des sites.

 

Mobile View