DNS : de gros problèmes en perspective pour beacoup de gens ???

[d a r t h]

vu ici : http://www.korben.info/migration-dns-racin...#comment-124908

 

Attention à la migration des DNS racines (qui arrive demain…)

 

Jusqu’en 1999, la RFC 1035 (manuel de référence) qui documente le protocole DNS, stipulait que la taille des paquets DNS ne pouvait dépasser 512 octets… Mais après cette date (1999 pour ceux qui suivent), la RFC 2671 a permis de supprimer cette limite, autorisant ainsi les paquets DNS plus volumineux.

 

La plupart des équipement réseaux ont donc suivi le mouvement et permettent actuellement le passage de paquets DNS supérieurs à 512 octets… Mais « la plupart » ne veux pas dire « tous ». Et c’est là qu’il risque d’y avoir du grabuge. En effet, à partir de demain (je sais, je vous préviens tard), une migration des serveurs DNS racines débutera afin de pouvoir diffuser les zones en les signants avec DNSSEC. DNSSEC permet de chiffrer les transactions DNS d’un bout à l’autre de la chaine, afin d’éviter qu’un serveur DNS parasite modifie la requête et transmette une résolution DNS vérolée au client. Je ne vais pas m’étendre sur le sujet car le DNSSEC c’est pas non plus mon coeur de métier mais allez jeter un oeil ici.

 

Du coup, d’ici juillet, les 13 serveurs DNS racines auront été migrés et diffuseront tous des paquets DNSSEC… Ce qui signifie vous l’aurez compris, des paquets supérieurs à 512 octets, que dis-je, supérieurs à 1500 octets ! Et c’est là que ça coince. Car il existe encore pas mal de vieux routeurs, firewalls et équipements réseaux divers et variés qui trainent un peu partout sur cette planète et que personne n’a mis à jour. Ces derniers n’acceptent donc pas les paquets DNS > 512 octet ou même si ils les acceptent, ne sont pas capables de les fragmenter correctement, privant le réseau derrière cet appareil, à un accès internet. Il risque donc d’y avoir quelques surprises.

 

Pour tester si votre réseau est impacté par ce problème, j’ai trouvé un série de tests expliqués ici. Il suffit de faire un dig sur ce serveur de test (ça se fait très bien dans une console sous linux) :

 

dig +short rs.dns-oarc.net txt

 

Et pour les windowsiens (Merci Dju) :

 

nslookup -q=txt rs.dns-oarc.net

 

Et voici la réponse que vous devez avoir :

 

rst.x4001.rs.dns-oarc.net.

 

rst.x3985.x4001.rs.dns-oarc.net.

 

rst.x4023.x3985.x4001.rs.dns-oarc.net.

 

« 192.168.1.1 sent EDNS buffer size 4096″

 

« 192.168.1.1 DNS reply size limit is at least 4023 bytes »

 

Les 2 dernières lignes indiquent que l’équipement réseau supporte des paquets de plus de 4000 octets. C’est super cool, ça veut dire que vous n’aurez pas de soucis. Si vous êtes en dessous des 4000, ça risque de poser des petits soucis. Voici ce que moi j’ai eu via ma freebox :

 

rst.x476.rs.dns-oarc.net.

 

rst.x485.x476.rs.dns-oarc.net.

 

rst.x490.x485.x476.rs.dns-oarc.net.

 

« 208.69.xxx.xxx DNS reply size limit is at least 490″

 

« 208.69.xxx.xxx lacks EDNS, defaults to 512″

 

« Tested at 2010-01-26 20:40:36 UTC »

 

On voit bien que par défaut le routeur auquel je suis connecté n’accepte pas de paquets supérieur à 512 … gloups. Mais en lisant cet article, j’ai complété mes tests avec cette requête DNS en forçant le DNSSEC. Et j’ai bien reçu la réponse (!!), ce qui semblerait indiquer que ma situation n’est pas si gloups que ça. (Mais au final, je n’en sais foutre rien !)

 

dig +dnssec @192.134.0.49 DNSKEY ripe.net

 

Je pense de toute façon que Free et les FAI en général ont bien fait leur boulot. Mais qu’en est il des petits réseaux d’entreprises ou d’université ? On le saura entre demain et juillet 2010. Mais si vous n’avez plus internet pour une raison inexpliquée, pensez à vérifier le MTU de vos machines sur le réseau (pare-feu, middlebox, routeur and co…)

 

--------------------------------------------------------------------------------------------------------------

 

 

 

heu je n’y comprends pas grand chose…. je précise et je ne sais pas si sa sert

à quelque chose que j’ai une livebox « INVENTEL version : v5.10″… logo wanadoo

et pas orange et que j’utilise open dns

 

donc je tape cmd puis nslookup -q=txt rs.dns-oarc.net

 

et :

 

Serveur : resolver1.opendns.com

Address: 208.67.222.222

 

Réponse ne faisant pas autorité :

rs.dns-oarc.net canonical name = rst.x476.rs.dns-oarc.net

rst.x476.rs.dns-oarc.net canonical name = rst.x485.x476.rs.dns-oarc.net

rst.x485.x476.rs.dns-oarc.net canonical name = rst.x490.x485.x476.rs.dns-oarc.

net

rst.x490.x485.x476.rs.dns-oarc.net text =

 

« 208.69.35.15 DNS reply size limit is at least 490″

rst.x490.x485.x476.rs.dns-oarc.net text =

 

« 208.69.35.15 lacks EDNS, defaults to 512″

rst.x490.x485.x476.rs.dns-oarc.net text =

 

« Tested at 2010-01-27 22:17:55 UTC »

 

c’est grave docteur ? (et comme je n’ai pas trout compris je balise)

Modifié le 29 janvier 2010 par d a r t h

[Wullfk]

Bonjour,

 

désolé de mon ignorance, mais j'ai pigé queue dalle à tout ce charabia

 

Salut

[d a r t h]

je n'ai pas tout compris non plus... c'est pour ça que j'appelle à l'aide...

 

en gros ceux qui ont des routeurs ou box trop ancienne qui on une gestion DNS du MTU inférieure à 4000 et des poussière ne fonctionneront plus, et on accédera plus à internet à moins de changer de box, routeur,... ou de le mettre à jour quand c'est possible.... je ne sais pas comment tester son matos de façon claire, l'article donne des infos sous linux, poru windows j'ai une ligne de commande, je n'en sais pas plus....

 

en gros si du jour au lendemain on à plus accès au net et qu'on a rien changé il faudra aussi chercher de ce coté là...

[Wullfk]

mouai, si c'est au niveau des box, les F.A.I feront le nécessaire sur leur Upgrade de firmware.

 

je m'affole pas pour au-temps, j'attends de voir ce qu'il en ai, car les annonces pompeuses à effet de manche, je m'en méfie, c'est le genre de truc parfait pour qu'un débutant plante lui même sa connexion.

 

Salut

[Greywolf]

ça ne concerne pas vraiment les box mais le serveur récursif DNS utilisé, les serveurs OpenDNS ne semblent pas accepter des paquets DNS d'une taille supérieure à 512 octets.

 

C'est le serveur que tu contactes, qui devra pouvoir vérifier l'origine de la réponse DNS, qui doit pouvoir gérer des paquets DNSSec

 

Si le serveur que tu joins n'est pas capable de gérer les extensions DNSSec ou s'il oublie d'effecteur le roulement des clés cryptographiques, celui-ci cassera la chaine de confiance et risque de ne pas être servi.

 

Si tu forces ton client DNS en DNSSec et que ton serveur récursif ne gère pas ces extensions, tu recevras une réponse SERVFAIL; tu devras alors abandonner l'idée de vérifier l'authenticité de la source qui a émis les informations obtenues en retour.

[d a r t h]

là du coup j'ai arrêté de comprendre à la première ligne, après box

[KewlCat]

Si j'ai bien tout suivi, et pour résumer :

- les serveurs DNS mondiaux vont être mis à jour pour supporter DNSSec (qui sécurise les résolutions DNS)

- ceux qui veulent utiliser DNSSec dès à présent vont être dans la mouise si le routeur / la box / le FAI / le serveur DNS qu'ils utilisent est incapable de gérer DNSSec correctement (parce que pas supporté, pas reconnu, bloqué parce que considéré comme un mauvais échange de données, etc. etc.)

 

C'est pas plus compliqué que ça.

Ce qui est compliqué, c'est que tu as pris les infos à un endroit où on t'explique toute la partie super technique avec moultes procédures permettant de tout vérifier...

[d a r t h]

oui ça a l'air d'être ça... sauf que pour faire branchouille (je sais j'exagère) il ne parlent que de la façon de tester avec Linux et rien sur windows, rien non plus sur les façon de corriger le problème....

 

avec une livebox 1 de chez inventel : est ce qu'il faudra une mise à jour du firmware ou faudra t-il faire changer sa box ? j'utilise open dns au lieux des dns orange, est ce que cela change quelque choses ?

et si on a des valeur de MTU modifié (moi je suis en PPPOE , MTU 1492) ? cette valeur devra elle être augmentée ou est ce que cela n'a rien à voir ?

je suis dans le fou comme beaucoup de monde...

 

si internet bloque du jour au lendemain ça risque de bloque au niveau des hotline qui ne sont pas des flêches, ils risquent de rien comprendre ce qui promet de belle discutions en perspectives...

[Greywolf]

et si on a des valeur de MTU modifié (moi je suis en PPPOE , MTU 1492) ? cette valeur devra elle être augmentée ou est ce que cela n'a rien à voir ?

 

cela n'a rien à voir

 

j'utilise open dns au lieux des dns orange, est ce que cela change quelque choses

 

les serveurs récursifs d'openDNS ne semblent pas capables de gérer DNSSec et ne pourront être servis sauf mise à jour.

Idéalement, utilise le résolveur de ta box qui interrogera les serveurs de ton FAI. Au moins, s'il y a un problème avec cette config tu pourras gueuler à la hotline.

 

Après tout dépend, si toi (ton PC, ta box) veut utiliser le protocole DNSSEC pour interroger ton serveur DNS.

 

Le client DNS windows se fout royalement si la réponse contient des champs propres à DNSSec pour vérifier l'authenticité.

le resolveur DNS de ta box, s'il est configuré en DNSSec, doit pouvoir contacter un serveur gérant DNSSec, sinon il basculera en normal

[d a r t h]

1) OpenDNS va bien finir par faire cette mise à jour...

 

2) il n'y a pas de réglage de dns dans ma box ou alors bien cachés ou alors tu me parle du réglage de la connexion, rubrique tcp/ip ou il faut remettre 192.168.1.1 à la place des adresses open dns ?