Auteur Sujet: DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile  (Lu 47240 fois)

0 Membres et 1 Invité sur ce sujet

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #12 le: 21 mars 2017 à 22:29:30 »
Bonjour,

En tant que client de Bouygues, je trouve ce genre de pratiques totalement inadmissibles, il y a aucune raison de m'empêcher d'utiliser le résolveur DNS de mon choix. C'est d'autant plus grave que c'est fait en douce et qu'en plus ces bidouillages coté réseaux cassent un protocole de sécurité (DNSSEC).

Bien que ces pratiques qui violent clairement la Neutralité du Net ne m'étonnent pas, j'estime que
- Ces pratiques doivent être rendues publiques, à défaut de disparaître (je compte pas trop dessus)
- Ça mérite quelques explications de la part de Bouygues

Si quelqu'un à des infos sur les motivations de Bouygues, ou sur d'autres pratiques du genre, ça m'intéresse d'en savoir plus à ce sujet

Je ne sais pas si ces comportement techniques observables sont inadmissibles ou graves, je sais qu'ils sont extrêmement communs (en se rappelant qu'il y a plus de 800 opérateurs mobiles dans le monde, sans compter les virtuels).

La motivation de base est l'optimisation du trafic mobile à l'aide d'équipements dédiés, une chose qui se rencontre partout depuis le début des années 2000. Ce que tu cites relève probablement d'effets de bords de ceux-ci, pour lesquels obtenir une correction n'est probablement pas simple (mais n'impacte pas le gros de la base clientèle non plus).

Présumer que les équipes de Bouygues ont un facteur de décision direct sur les comportements techniques mentionnés est s'avancer trop, étant donné que les équipements fonctionnant à ces fins sont développés largement par des sociétés présentes sur de marchés de niches qui revendent en général leur prestation à un grand nombre d'opérateurs.

Un cœur de réseau mobile est un système complexe qui se fonde sur une opacité et des modalités d'ingénierie qui font que les opérateurs par exemple moyens ont en effet souvent peu d'ingérence sur des points techniques aussi précis, et réutilisent massivement des solutions génériques.

Bonne journée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #13 le: 21 mars 2017 à 22:34:55 »
@DaveNull :

Je formulais juste des hypothèses pour essayer de comprendre le point de vue de l'opérateur et pourquoi ils ont mis en place ce mitm.

Tu ne vois qu'un coté des choses , ton coté, qui en plus n'est pas représentatif  des usages de la majorité des clients de l'opérateur mobile et tu réagis de façon assez primaire/utopiste sans chercher a comprendre leur motivation. Ils ne font pas ca sans raisons valables, du moins j'ose le croire (eux ou leur fournisseurs de solution/produit).

On n'a aucune idée de ce qu'ils voient et de ce que leur réseau subit. On n'a aucune idée de ce que des 'petits malins' sont capables de faire en utilisant de l'udp sur le port 53 par exemple. Les opérateurs sont confrontés a des comportements de masse, des dysfonctionnements et par dessus cela a plein de tentatives d'attaques utilisant des réseaux de bots gigantesques comportant de plus en plus de smartphones infectés ou peu sécurisés.

C'est sur que ca manque de comm mais c'est probablement parce que 99% des clients ne comprendront pas cette comm de toute facon.

Quand a 'pourrir' DNSSEC , il faut savoir qu'un domaine utilisant DNSSEC et étant mal configuré peut servir a pourrir le réseau et que malheureusement il y a plein de domaines DNSSEC mal configurés...
un petit mot la dessus : (cliquez sur la miniature ci-dessous - le document est au format PDF)


Et concernant Bytel, comme indique Marin, je pense qu'ils dépendent avant tout de solutions complexes fournies par des prestataires et equipementiers et qu'ils ont probablement peu de latitude sur ce problème.

benoit75015

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #14 le: 22 mars 2017 à 08:55:28 »
Vous avez trouvé un document de l'ARCEP qui explique de manière claire :
- Ce qui est neutre
- Ce qui est toléré comme entraves à la neutralité, dans des conditions précises (exemple: en cas d'attaque DDOS)
- Ce qui n'est pas neutre, mais qui ne fait pas l'objet de sanction
- Ce qui n'est pas neutre et qui fait l'objet de sanction si on opérateur est pris en flagrant délit

Le seul document c'est Règlement (UE) 2015/2120 du Parlement européen et du Conseil établissant des mesures relatives à l’accès à un internet ouvert  (25 novembre 2015) ?

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #15 le: 22 mars 2017 à 09:09:45 »
Bonjour

Présumer que les équipes de Bouygues ont un facteur de décision direct sur les comportements techniques mentionnés est s'avancer trop
Non, j'ai jamais dit que les techs de Bouygues sont directement responsables de ces choix, je dis juste que les conséquences sont dégueulasses, et que le manque de transparence sur ce qui est fait, est un problème

Quand a 'pourrir' DNSSEC , il faut savoir qu'un domaine utilisant DNSSEC et étant mal configuré peut servir a pourrir le réseau et que malheureusement il y a plein de domaines DNSSEC mal configurés...
un petit mot la dessus : (cliquez sur la miniature ci-dessous - le document est au format PDF)

Les exemples pris pour tester. DNSSEC concernent des NdD avec une configuration valide... Sur plusieurs réseaux, ça fonctionne très bien
« Modifié: 22 mars 2017 à 20:40:37 par DaveNull »

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #16 le: 23 mars 2017 à 03:33:40 »
- DNS menteur : Impossible d'utiliser un DNS tierce, c'est le DNS de Bouygues qui répond, en mentant sur l'IP source de la réponse
Même en interrogeant un faux résolveur DNS (dig @IP avec comme IP une adresse ne pointant vers aucun résolveur DNS réel), j'ai une réponse (voir lien donné plus bas) avec une IP source correspond à celle du serveur interrogé, or comme l'IP ne correspond à aucun résolveur réel, ça veut dire qu'il y a un équipement qui répond aux requêtes en forgeant les IP sources

- Paquets DNSSEC forgés : IP sources de paquets DNSKEY totalement fantaisistes, et clés sont foireuses, je reçois en permanence des signatures DNSSEC erronées pour tous les sites, y compris les sites qui ne supportent pas du tout DNSSEC
Un exemple avec un paquet DNSKEY, avec comme IP source une adresse de l'université du Maryland, sachant que j'ai jamais configuré un éventuel résolveur DNS de cette Université sur mon système

J'ai pleins d'autres paquets du genre avec diverses IP de serveurs que j'ai jamais interrogé 
Je répète mon point de vue juridique : une interception DNS est l'usurpation d'identité et une violation des droits de "propriété intellectuelle" des sites.

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #17 le: 23 mars 2017 à 09:35:28 »
Quand a 'pourrir' DNSSEC , il faut savoir qu'un domaine utilisant DNSSEC et étant mal configuré peut servir a pourrir le réseau et que malheureusement il y a plein de domaines DNSSEC mal configurés...
Explique nous donc comment un DNS bien configuré pourrait éviter de servir dans une attaque DDoS quand les attaquants modifient l'adresse IP source.

Il me semblait que la possibilité du DoS (et variante DDoS) était l'autre face du fait d'avoir un réseau ouvert.
« Modifié: 24 mars 2017 à 21:16:07 par corrector »

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #18 le: 23 mars 2017 à 10:04:18 »
Les requêtes et réponses DNS passent en clair sur le réseau du FAI, sauf à faire du DNS over TLS (pas très répandu)<correction>
Si on va par là, même s'ils ne peuvent pas capturer l'échange DNS (mettons parce que la réponse est dans le cache de l'application ou bien du PC), ils pourraient examiner le certificat TLS pour récupérer le (les) domaine(s).

Enfin je ne vois pas à quoi ça servirait, mais ils peuvent le faire!
« Modifié: 24 mars 2017 à 21:16:19 par corrector »

corrector

  • Invité
DNS "out of bailiwick"
« Réponse #19 le: 24 mars 2017 à 21:41:42 »
De plus, le comportement d'un resolver se configure, Si la sécurité absolue n'existe pas, il existe de bonnes pratiques pour limiter la casse
Citer
should consider the upward referral "out of bailiwick"
super.

Je vois pas DU TOUT le rapport avec ce dont tu parles, mais cela reste un bon conseil.

Et je ne comprends à quoi serviraient ces "referrals": pourquoi un résolveur aurait besoin de "hints" pour trouver les serveurs racine?

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #20 le: 24 mars 2017 à 22:48:11 »
Le rapport, c'est que limiter les chances que les résolveurs DNS ne servnet à des attaques par amplification, ça passe par des résolveurs bien configurés, et non pas par du MITM DNS fait par le FAI, contrairement à ce qu'affirmait un des intervenants…

Et je ne comprends à quoi serviraient ces "referrals": pourquoi un résolveur aurait besoin de "hints" pour trouver les serveurs racine?
Bonne question, il va falloir creuser plus en détail à tête reposée, là maintenant je saurai pas répondre

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #21 le: 25 mars 2017 à 00:00:29 »
Le rapport, c'est que limiter les chances que les résolveurs DNS ne servent à des attaques par amplification, ça passe par des résolveurs bien configurés,
Encore une fois, aucun rapport avec ton lien qui ne parle pas du tout de résolveurs DNS!!!

DaveNull

  • Abonné SFR THD (câble)
  • *
  • Messages: 26
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #22 le: 25 mars 2017 à 00:07:22 »
Encore une fois, aucun rapport avec ton lien qui ne parle pas du tout de résolveurs DNS!!!

Alors tu devrais relire l'article… il ne parle pas QUE de resolvers DNS, mais il en parle

corrector

  • Invité
DNS et SMTP Bouygues forcé sur le réseau Bouygues mobile
« Réponse #23 le: 25 mars 2017 à 00:10:54 »
Citer
Some are calling it an amplification attack because the query ". IN NS" is quite small (47 octets) while an upward referral response is a bit larger (256 octets)

C'est assez minable comme amplification!!!

Franchement, ils pourraient trouver des amplifications bien supérieures, tu ne crois pas?