Auteur Sujet: Les DNS primaire et secondaire de la Bbox  (Lu 256562 fois)

0 Membres et 2 Invités sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Les DNS primaire et secondaire de la Bbox
« Réponse #12 le: 17 avril 2011 à 09:40:43 »
Citation de: FAQ du récurseur DNS public de Google
When I run ping or traceroute against the Google Public DNS resolvers, the response latency is higher than that of other services. Does this mean Google Public DNS is always slower?
    No. In addition to the ping time, you also need to consider the average time to resolve a name. For example, if your ISP has a ping time of 20 ms, but a mean name resolution time of 500 ms, the overall average response time is 520 ms. If Google Public DNS has a ping time of 300 ms, but resolves many names in 1 ms, the overall average response time is 301 ms. To get a better comparison, we recommend that you test the name resolutions of a large set of domains.
J'ai testé la résolution de différents domaines : Le DNS de Bouygues Telecom est très rapide a répondre comme Google. Le ping fait donc la différence.

Il existe ds saturation de DNS (chez SFR pendant pas mal de temps, actuellement sur les DNS pour les mobiles Bouygues Telecom, ...)

Je vais mettre en place une supervision publique sur lafibre.info pour que tout le monde puisse comparer les serveurs DNS.

corrector

  • Invité
Récursion DNS sur IPv6
« Réponse #13 le: 17 avril 2011 à 10:29:00 »
Ni l'un ni l'autre (ni ceux de proxad) ne résout en IPv6 : aucun ne peut interroger v6ns1.test-ipv6.com = 2001:470:1:18::1000.

La disparition d'IPv4, c'est pas encore prêt.
Nouvelle tentative :

1 fois sur 2 environ, dns1.proxad.net est capable de résoudre ds.v6ns.test-ipv6.com (NS = v6ns1.test-ipv6.com = 2001:470:1:18::1000).

Est-ce que Free est en train de déployer de nouveaux DNS?

corrector

  • Invité
Les DNS primaire et secondaire de la Bbox
« Réponse #14 le: 17 avril 2011 à 10:36:39 »
Non, ils résolvent bien en IPv6 (requête AAAA) et en IPv4 (requête A)
Does Google Public DNS support IPv6?
Citer
    Google Public DNS can respond to requests for IPv6 addresses (AAAA requests), but it does not yet support native IPv6 transport and cannot talk to IPv6-only authoritative nameservers.

oliviertoto92350

  • Expert
  • Abonné Orange Fibre
  • *
  • Messages: 1 595
Les DNS primaire et secondaire de la Bbox
« Réponse #15 le: 06 mai 2017 à 15:36:05 »
Y a t il un intéret à configurer sur un PC relié à une box ByTel

DNS Primaire  : 194.158.122.10
DNS Secondaire  : 8.8.8.8

Cela veut il dire qu'en cas de panne du DNS de ByTem la résolution se ferait chez Google ?

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Les DNS primaire et secondaire de la Bbox
« Réponse #16 le: 06 mai 2017 à 16:46:22 »
Oui, c'est une solution qui semble pertinente, j'ai déja mis des machines avec en primaire le DNS du FAI (généralement plus rapide) et en secondaire un back-up hors FAI.

C'est le cas du serveur LaFibre.info qui a pour DNS primaire le DNS Adeli et le secondaire celui de Google.

A noter que Généralement les DNS des grands FAI sont le top de ce qui peut se faire au niveau sécurité : Le service est annoncé en anycast et ils sont hébergés sur plusieurs sites avec capacité à gérer de multiples pannes simultanèment sans détériorer les service. Il y a également des protections très complexes, contre les différentes formes de DDOS dont peuvent être victimes les DNS.

Ne pas oublier que sans DNS, il n'y a pas d'Internet et chez beaucoup de FAI pas de VoIP ni de TVoIP.

Le DNS est aussi le principal outil utilisé pour bloquer des sites Internet sur demande de la justice.
Certains hackers tentent de détourner les clients des DNS pour envoyer les clients sur des sites de phishing et récupérer les infos (la sécurisation des box avec un mot de passe qui n'est plus admin ou password est lié a ce type d'attaque - c'est aussi pour cela que de nombreuses box ne proposent plus de modifier les DNS qui sont envoyés aux clients du réseau local)

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
Les DNS primaire et secondaire de la Bbox
« Réponse #17 le: 07 mai 2017 à 08:22:44 »
Voici un exemple concret : Une faille de sécurité flash a été exploitée par un site pour se connecter la livebox et changer les DNS afin de mettre des DNS qui revoient certains sites où on rentre sa CB vers une IP contrôlée par le pirate.

Des milliers de LiveBox Orange piratées par un détournement de DNS

Que s'est-il vraiment passé fin mai, dans plusieurs milliers de LiveBox Orange ? Subitement, de nombreux internautes se sont retrouvés dans l'impossibilité de se connecter à l'administration de leur box (par l’adresse 192.168.1.1). Le mot de passe permettant d’accéder à leur interface de paramétrage, par laquelle on gère la  connexion, le Wi-Fi, ou encore de la télévision avait été changé par un inconnu. Plus grave, l'intrus avait modifié les adresses DNS de la LiveBox et dirigé les connexions des internautes vers un serveur malveillant. Sa mission ? Intercepter les données sensibles des personnes piégées. Une attaque dite Man-in-the-middle  (L'homme du milieu). « Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.

Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.

Comment ce cybercriminel a-t-il fait pour se prendre ainsi aux box de milliers d’internautes ? Il semble avoir réussi son tour de passe-passe par le biais d’un site piégé. L'idée était de faire exécuter un script malveillant spécifiquement aux clients Orange grâce à un lien attirant, formulé à leur égard. Celui-ci lançait alors un script automatisé qui se connectait à l’interface d'administration de la LiveBox.

Mise à jour salvatrice pour les Livebox

Le cybercriminel a aussi profité du fait que les clients impactés n'avaient pas changé leurs identifiants de connexion «Usine» de leur LiveBox, le fameux admin/admin. Une attaque facile ? Des codes trainent sur le web permettant, en quelques lignes, de se connecter automatiquement à une LiveBox, de modifier le DNS et de changer le mot de passe. Autant dire un jeu d'enfant pour un pirate.

Orange semble avoir en tout cas pris cette attaque au sérieux : depuis, l’opérateur a mis à jour ses LiveBox qui, dorénavant, n'autorisent plus les changements de DNS. « Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… » Il est vrai qu’Orange est loin d’être le seul à avoir subi ce genre d’attaques, qui sont fréquentes chez tous les FAI. Alors, pour vous éviter toute mésaventures, suivez notre petit guide, ci-dessous.

Comment vous prémunir de ce genre d’attaques ?

Pour éviter ce type de piège automatisé, quelques règles d'hygiène numérique simples sont à tenir. D'abord, changer les mots de passe usine de votre LiveBox (mais aussi de votre téléphone, tablette...)


Source : 01net, le 22 juillet 2014 par Damien Bancal.

corrector

  • Invité
Les DNS primaire et secondaire de la Bbox
« Réponse #18 le: 07 mai 2017 à 08:31:03 »
Merci de la précision, je n'avais pas bien compris le post précédant.

En effet, le navigateur ayant accès au réseau interne, il peut servir aux sites externe à "rebondir" et accéder indirectement aux ressources internes (et y compris en manipulant les réponses DNS).

Bien sûr, Orange a adopté une solution déplorable qui punit les utilisateurs!

corrector

  • Invité
« Tous les flux vers des sites marchands, les banques ont été redirigés vers le fraudeur » s’exclame un responsable d'un service de sécurité informatique bancaire contacté par 01net.

Seule alerte que les clients ont éventuellement pu apercevoir : l'apparition d'un problème de certificat lors de leurs achats en ligne. Autant dire que l'attaque, sournoise, a peut-être fait de gros dégâts, le pirate ayant eu la possibilité de capturer les coordonnées bancaires, les identifiants de connexion, voire leurs coordonnées e-CB sans que les victimes ne puissent s’en rendre compte.
(...)
« Je travaille dans une banque et j'en ai ras le bol de traiter des incidents de ce type » souligne le RSSI joint par 01net. On se fait taper dessus par nos clients en leur renouvelant leur CB par mesures préventives. Il serait bien que chacun prenne ses responsabilités… »
Mon gars, tu te fais "taper dessus" parce que si les coordonnées bancaires qu'on communique aux sites marchands permettent de frauder, c'est que ton système de paiement est de la merde.

Et ta responsabilité est de faire en sorte que les coordonnées bancaires ne permettent PAS de frauder, ce que tu es incapable de faire parce que tu es un gros blaireau.

J'arrête là parce que le reste du message pourrait être un peu désagréable.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Les DNS primaire et secondaire de la Bbox
« Réponse #20 le: 07 mai 2017 à 08:59:25 »
Voici un exemple concret : Une faille de sécurité flash a été exploitée par un site pour se connecter la livebox et changer les DNS afin de mettre des DNS qui revoient certains sites où on rentre sa CB vers une IP contrôlée par le pirate.

Ce n'est pas une faille de sécurité Flash, une vulnérabilité dans Flash vaut beaucoup trop cher pour être utilisée pour ce genre de chose. C'était juste une CSRF exploitée pour faire du pharming (peut-être même un script privilégié qui n'avait pas besoin de ça).

Dans tous les cas, le fait de retirer l'option en plus de corriger le point de l'authentification relève d'une logique de sécurité pensée de façon partielle, au moins autant que l'ergonomie et d'autres points.

Bien sûr, Orange a adopté une solution déplorable qui punit les utilisateurs!

Il n'est pas certain qu'elle impacte une large frange d'utilisateurs.
  • La frange la moins avancée ira simplement changer les DNS de Windows pour charger quand même The Pirate Bay.
  • La frange la plus avancée pourra aussi ne pas se faire prier et changer individuellement les adresses fournies à ses équipements, s'il n'est pas un lieu d'accueil qui collecte 20 personnes en rotation ou mettre en place son propre DHCP via autre chose.

teph

  • Abonné Sosh fibre
  • *
  • Messages: 106
  • Quimper 29
Les DNS primaire et secondaire de la Bbox
« Réponse #21 le: 07 mai 2017 à 09:24:02 »
Les mots de passe de livebox ont été changé depuis au moins 1 ans qui sont maintenant les 8 premier caractères de la clé wifi, c'est plus admin/admin.
en wifi il est facile de récupéré le code , mais en ethernet c'est pas possible

corrector

  • Invité
Les DNS primaire et secondaire de la Bbox
« Réponse #22 le: 07 mai 2017 à 09:45:52 »
en wifi il est facile de récupéré le code , mais en ethernet c'est pas possible
Tu peux préciser?

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Les DNS primaire et secondaire de la Bbox
« Réponse #23 le: 07 mai 2017 à 10:59:31 »
Il y a encore un ou deux ans, il y avait des comptes non-documentés sur la Livebox qui permettaient l'authentification web en utilisant un mot de passe calculé par HMAC. La formule précise ne pouvait pas être trouvée sans désassembler le firmware, mais les différentes chaînes utilisées pour la génération étaient toutes récupérables via l'API web non-authentifiée.