[Actux] Fwd: [Actux Orga] [Fwd: [dns-fr] Semaine de la signature de la racine]

[ Thread Index | Date Index | More lists.tuxfamily.org/actux Archives ]


Ca peut intéressé tout le monde...

(Geb, ce genre de mails à tout à fait sa place sur @Actux, voire même
plus que sur @Actux Orga ;) )


---------- Message transféré ----------
De : Mathieu Goessens <gebura@xxxxxxxxx>
Date : 26 janvier 2010 17:51
Objet : [Actux Orga] [Fwd: [dns-fr] Semaine de la signature de la racine]
À : actux.orga@xxxxxxxxxxxxxxxxxxx


Yop,

Un peu de lecture intéressante je pense ... pour ceux qui ne
considèrent pas que l'admin sys est aussi valorisant que l'épluchure
de patates ;) (private joke)

--
Mathieu Goessens
IT consultant.

gebura@xxxxxxxxx
+ 33 6 07 91 54 87
http://gebura.eu.org


Voilà, dernière ligne droite, les gérants de L.root-servers.net
confirment la date où le premier serveur racine va commencer à
diffuser une zone signée avec DNSSEC : après-demain mercredi 27 entre
19h et 21h (heure française) (cf. message attaché).

En juillet 2010, tous les serveurs de noms de la racine diffuseront
des réponses cinq à dix fois plus grandes qu'aujourd'hui. Dans
certains cas, cela pourra entrainer une coupure quasi-complète de
votre accès à l'Internet. Ce document explique pourquoi, qui peut être
touché, comment tester si on est vulnérable et comment résoudre le
problème s'il est présent.

La racine du DNS sera signée avec la technologie DNSSEC et la
diffusion des signatures s'étalera de janvier à juillet 2010. En
juillet, tous les treize serveurs DNS de la racine enverront les
informations DNSSEC. Celles-ci, des signatures cryptographiques, sont
de taille bien plus importante que les réponses DNS classiques. Elles
dépasseront l'ancienne limite de 512 octets du DNS et même la limite
des 1500 octets de la MTU Ethernet (la plus répandue sur l'Internet).

En effet, le RFC 2671 qui supprimait la limite des 512 octets est
sorti en août 1999, il y a plus de dix ans. Mais il existe toujours un
certain nombre de pare-feux ou d'autres équipements réseau qui, mal
conçus ou bien mal configurés, refusent les réponses DNS de plus de
512 octets. Parmi ceux qui les acceptent, certains ne gèrent pas
correctement la fragmentation des paquets IP (par exemple parce qu'ils
bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des
paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Les réseaux qui rejettent les paquets DNS de plus de 512 octets, ou
même seulement ceux de plus de 1500 octets, ne pourront plus parler à
la racine du DNS après juillet 2010 (puisqu'ils ne recevront plus les
réponses) et n'auront donc quasiment plus d'accès Internet en
pratique.

Il est donc important de tester votre réseau pour voir si la
résolution DNS pourra fonctionner correctement après juillet 2010.. Le
moyen le plus simple est, sur une machine où le logiciel dig est
installé (la plupart des Unix), de taper :

dig +short rs.dns-oarc.net txt

et de voir si la réponse indique plus de 1500 octets, comme ici :

"203.0.113.1 DNS reply size limit is at least 4023 bytes"

Cet outil, produit par l'OARC (DNS Operations, Analysis and Research
Center) est documenté en
<https://www.dns-oarc.net/oarc/services/replysizetest>.

Si le test indique que les paquets de plus de 1500 octets ne peuvent
pas passer, vous devez analyser l'ensemble de votre réseau et tous les
équipements intermédiaires (notamment les pare-feux) pour s'assurer
qu'ils sont configurés correctement.

Glossaire :

DNS : http://fr.wikipedia.org/wiki/Domain_Name_System

DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol

MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit


Quelques références utiles :

- L'annonce du plan de signature de la racine
 <http://www.ripe.net/ripe/meetings/ripe-59/presentations/uploads/presentations/Tuesday/Plenary%2014:00/Abley-DNSSEC_for_the_Root_Zone.mId7.pdf>

- Le site officiel du projet de signature
 <http://www.root-dnssec.org/>, avec le calendrier de déploiement

- Les instructions d'un serveur racine
 <http://labs.ripe.net/content/preparing-k-root-signed-root-zone>

- Votre serveur DNS peut-il faire passer des paquets de toutes les
 tailles ? <http://www.bortzmeyer.org/dns-size.html>





-- 
++ N'Erwan

---
---
Liste Actux, http://www.actux.fr


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/