Auteur Sujet: DNS filtré sur le réseau SIEA ?  (Lu 10859 fois)

0 Membres et 1 Invité sur ce sujet

matrix-bx

  • Fédération FDN
  • *
  • Messages: 85
DNS filtré sur le réseau SIEA ?
« Réponse #72 le: 23 octobre 2022 à 11:31:14 »
Si vous ecrivez un service et que vous voulez que votre code soit operationnel sur autre chose que votre propre systeme, vous serez peut-etre amene a considerer que pour udp c'est le protocole 17, pas le 42...
Si vous ecrivez votre serveur dns et qu'il doit etre interoperable avec le reste du monde, il va bien falloir qu'il communique sur port 53.
Si un enregistrement dnssec est declare avec l'algorithme 13, on s'attend a ECDSA, pas RSA.

Donc vous pouvez toujours programmer et parametrer tout ce que vous voulez mais si vous voulez vous inscrire dans un cadre global d'interoperabilite il vous faudra suivre ce que l' Internet Assigned Numbers Authority publie. https://www.iana.org/protocols
Dans le cas d'espece, rien n'est contraint Cf RFC 6335. Mais, de maniere globale, "si ca ne marche pas c'est pour votre pomme, pas regi par le standard" (SHOULD NOT)
Inversement, il n'y a aucune juridiction mondiale qui veille au libre usage de n'importe quel protocole sur n'importe quel port.
Si vous ne respectez pas les pratiques et tombez sur un ecueil, tant pis pour vous, c'est le sens de ma remarque.
Vous pouvez toujours tenter d'exiger une liberte de comportement, mais elle sera locale, non garantie, et probablement non perenne.

La seule force de ce type de standard c'est l'organisation de son adoption et il n'y a pas d'alternative.
Merci d'avoir précisé le sens de la remarque, parce qu'un instant on pouvait comprendre qu'il n'était pas illégitime que le réseau drop un protocole L4+ parce qu'utilisé à d'autres finalités que celles initialement prévue et normalisées.

Et pour revenir au contexte initial (blocage port 53 puis 111), dans tout les cas (sauf évidement auto préservation), ce n'est pas au réseau de décider de transporter ou non, tel ou tel protocole L4+.
Tout ce qu'on attend de lui c'est qu'il transporte L3 dans la mesure où les paquets sont correctement formatés en L3 et respectent les standards d’interopérabilité.

Si il a des soucis d'interopérabilité des couches supérieures, et bien c'est certes un problème, mais il est à traiter aux extrémités, pas dans le réseau.

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
DNS filtré sur le réseau SIEA ?
« Réponse #73 le: 23 octobre 2022 à 12:35:17 »
Et c'est bien pour ça que ni le port 53, ni le port 111 ne sont bloqués  :)

Dès que le blocage du port 53 par le SIEA a été signalé/repéré, Hugues a immédiatement réagi auprès d'eux.
Concernant le port 111, il a été bloqué lors d'une attaque aggressive utilisant ce port, mais cela n'ayant plus besoin d'être, il n'est plus bloqué.
Aucun port n'est bloqué ou limité chez MW. Ça n'a aucun intérêt pour nous de bloquer, au contraire.

La seule exception pouvant être pendant une campagne d'attaque impactant nos abonnés ou notre infra, si et seulement si le blocage est nécessaire et n'impacte pas plus qu'il ne protège.
Mais cette exception ne serait que temporaire, et certainement pas un premier recours.
Dans l'histoire de MilkyWan,, il n'y a eu que ce port 111 de bloqué, et pour une période seulement (et révolue). Il est à noter que cela n'a d'ailleurs impacté aucun abonné, mais ça n'aurait pas été une raison pour le laisser bloqué (on est bien d'accord).

Anonyme

  • Invité
DNS filtré sur le réseau SIEA ?
« Réponse #74 le: 23 octobre 2022 à 12:53:27 »
Chez MW ce n’est pas le blocage de ports le plus gênant.
Pour ma part c’était le filtrage « bogons » et le routage de 10.10.10.10 qui partait je ne sais où, mais pas où je voulais à l’époque. Je ne sais pas si c’est toujours d’actualité, mais comme ce sont des bénévoles, je n’ai jamais trop insisté.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS filtré sur le réseau SIEA ?
« Réponse #75 le: 23 octobre 2022 à 18:14:01 »
Le range 10.0.0.0/8 est utilisé comme range d'interco pour les tunnels et les VM chez nous, oui.

Ça ne veut pas dire qu'il est routé sur internet et encore moins annoncé.

Rien de gênant en soi, tu n'es pas supposé envoyer des paquets à destination d'IP privées sur ta route par défaut :)

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
DNS filtré sur le réseau SIEA ?
« Réponse #76 le: 23 octobre 2022 à 18:31:09 »
Voilà  :)

Et sur la route par défaut, au-delà de ne pas être gênant, c'est même normal et attendu qu'une adresse privée ne soit ni annoncée ni routée en fait (ou que si une telle adresse venait à être routée, elle ne soit pas annoncée publiquement).

Pour le matériel de l'infra ou les VM, oui, mais justement c'est ni via la route par défaut, ni annoncé. Les abonnés qui ont des tunnels ou des VM connaissent leurs IP privées et leur routes d'interconnexion pour y accéder.

Privé et public, c'est bien à prendre au sens propre  ;)
Le caractère privé du contenu et des accès de nos abonnés est très important pour nous, bénévoles ou pas  :)

Anonyme

  • Invité
DNS filtré sur le réseau SIEA ?
« Réponse #77 le: 23 octobre 2022 à 19:47:13 »
J'ai souvenir d'avoir un /28 et que ma route default pointait sur une IP publique du /28.
Et de mémoire, c'est un tunnel que j'essayais de construire entre une de ces IP publique et une autre publique pour y faire passer un 10.10.10.0/24  et que cela se perdait quelque part, mais pas ou il faut  ;D ( cela n'a plus d'importance)
Pour le DNS, cela me rappelle un problème que je t'avais remonté, sur un reverse, je n'avais rien touché et c'est tombé en panne, je ne suis pas certain que ce soit lié ( je ne suis pas sur le SIEA ).
Et cela ne provenais pas de chez moi, j'ai remonté le même sur d'autres adresses, et ce serveur DNS se porte comme un charme.

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
DNS filtré sur le réseau SIEA ?
« Réponse #78 le: 23 octobre 2022 à 20:21:30 »
Mais…

Si tu avait un tunnel en 10.10.10.0/24 (ou plus large), et que tes paquets se perdaient dans la route publique par défaut, c’est que ton routeur ne routait pas le 10.10.10.0/24 vers le tunnel, mais vers la route par défaut, non ?

Bon histoire ancienne, on ne va pas insister  ;D