1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

    From NoSpam@21:1/5 to All on Fri May 3 18:10:01 2024
    Bonjour

    Le 03/05/2024 à 17:37, Olivier a écrit :
    Bonjour,

    J'envisage de mettre en place un serveur DNS dont le rôle serait de résoudre des requêtes sur un de mes domaines.
    Imaginons que je possède le domaine masociete.com
    Le serveur recevra des requètes d'Internet sur des sous-domaines comme client12345.masociete.com en provenance d'appareils (téléphones IP)
    qui peuvent assez rustiques au niveau réseau.

    Mes exigences sont :

    1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

    2- personne ne puisse énumérer mes sous-domaines ie savoir que les sous-domaines client00001.masociete.com et client00002.masociete.com
    existent et le les sous-domaine client00003.masociete.com n'existe pas (encore),

    3- le serveur soit protégée-protégeable contre les attaques par Déni de Service

    Mes questions :

    1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?
    2. Quel logiciel recommandez-vous ?
    3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
    "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

    Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel est
    mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND avec sa
    vue local

    Perso, je connecterai tous les postes en VPN et ne ferait écouter le
    serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de sécurité

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Sat May 4 01:10:01 2024
    Le 3 mai 2024 Olivier a écrit :

    1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?

    Oui sauf si tu attends des milliers de requêtes

    2. Quel logiciel recommandez-vous ?

    yadifa ou unbound qui sont assez légers, bind9 qui a plus de
    fonctionnalités

    3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
    "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

    Ouvert pour fournir le dns à des personnes que tu ne connais pas ?
    Au minimum fermer le serveur par un firewall et autres. Et configurer le serveur dns en prenant les options les plus sécurisées, là ça dépend du serveur retenu. Mais au minimum bloquer les transferts et la récursion.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Fran=C3=A7ois_TOURDE?=@21:1/5 to All on Sat May 4 23:30:01 2024
    Le 19847ième jour après Epoch,
    Michel Verdier écrivait:

    Le 3 mai 2024 Olivier a écrit :

    1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?

    Oui sauf si tu attends des milliers de requêtes

    Milliers par secondes ? Franchement, un prestataire qui loue des machine
    et qui ne peut pas supporter des floppées de requêtes DNS, j'en vois
    pas.

    3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
    "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

    Ouvert pour fournir le dns à des personnes que tu ne connais pas ?
    Au minimum fermer le serveur par un firewall et autres. Et configurer le serveur dns en prenant les options les plus sécurisées, là ça dépend du serveur retenu. Mais au minimum bloquer les transferts et la
    récursion.

    Ok pour les transferts et la récursion, mais l'OP parle de "téléphones
    IP", je vois mal comment mettre en place un firewall pour gérer ces
    types d'accès.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Fran=C3=A7ois_TOURDE?=@21:1/5 to All on Sat May 4 23:40:01 2024
    Le 19846ième jour après Epoch,
    NoSpam écrivait:

    Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
    est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
    avec sa vue local

    Perso, je connecterai tous les postes en VPN et ne ferait écouter le
    serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
    sécurité

    Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
    tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
    pareil", je choisirais la version DNS plutôt que VPN :)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Fran=C3=A7ois_TOURDE?=@21:1/5 to All on Sat May 4 23:20:01 2024
    Le 19846ième jour après Epoch,
    Olivier écrivait:

    Bonjour,

    J'envisage de mettre en place un serveur DNS dont le rôle serait de résoudre des requêtes sur un de mes domaines.

    Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
    ne pas l'utiliser ?

    Imaginons que je possède le domaine masociete.com
    Le serveur recevra des requètes d'Internet sur des sous-domaines comme client12345.masociete.com en provenance d'appareils (téléphones IP)
    qui peuvent assez rustiques au niveau réseau.

    Mes exigences sont :

    1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

    Tout dépends de ce que tu appelles "facilement", mais par exemple le
    registrar GANDI propose des API pour gérer tes enregistrements.

    2- personne ne puisse énumérer mes sous-domaines ie savoir que les sous-domaines client00001.masociete.com et client00002.masociete.com
    existent et le les sous-domaine client00003.masociete.com n'existe pas (encore),

    C'est dépendant de ce que tu vas choisir comme outil, mais en général
    ils possèdent un paramètre qui va restreindre qui a le droit de faire un transfert de données.

    3- le serveur soit protégée-protégeable contre les attaques par Déni
    de Service

    Tu peux difficilement te battre contre une armée de 2^32 (ou plus) de
    machines zombies, mais des services comme CloudFlare vont pouvoir
    répondre à ce besoin. Moyennant finances bien sûr. Mais le déni de
    service n'a pas forcément de rapport avec le type de serveur DNS que tu
    vas choisir.

    Mes questions :

    1. Une VM (sous Debian) louée chez un prestataire vous parait-elle suffisante ?

    Carrément. C'est même presque overkill.

    2. Quel logiciel recommandez-vous ?

    Bind9 ? Un gros standard bien stable.

    3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
    "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

    J'opère mon DNS depuis bientôt 25 ans (Ouch !) et je n'ai jamais eu de
    soucis majeurs avec. La migration bind8 vers bind9 a été un peu
    rugueuse, mais j'ai survécu ;)

    Je pense que la question majeure est: "Ai-je vraiment besoin d'opérer moi-même mon DNS?"

    Mes 2¢

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Sun May 5 09:00:01 2024
    Le 4 mai 2024 François TOURDE a écrit :

    Au minimum fermer le serveur par un firewall et autres. Et configurer le
    serveur dns en prenant les options les plus sécurisées, là ça dépend du >> serveur retenu. Mais au minimum bloquer les transferts et la
    récursion.

    Ok pour les transferts et la récursion, mais l'OP parle de "téléphones IP", je vois mal comment mettre en place un firewall pour gérer ces
    types d'accès.

    Je parlais d'un firewall pour le serveur vps, pour sécuriser globalement
    le serveur et pas seulement le DNS. Et même sur des IP inconnues un
    firewall permet de limiter des choses comme : rafales venant d'une IP,
    packets invalides, etc.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?BERTRAND_Jo=c3=abl?=@21:1/5 to All on Sun May 5 09:10:01 2024
    This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --sms0rrr4Xn1rvGpvWPSKyxynCZwJkGGn9
    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: quoted-printable

    François TOURDE a écrit :
    Le 19846ième jour après Epoch,
    Olivier écrivait:

    Bonjour,

    J'envisage de mettre en place un serveur DNS dont le rôle serait de
    résoudre des requêtes sur un de mes domaines.

    Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
    ne pas l'utiliser ?

    Parce que pour certaines configurations spéciales, ça ne le fait pas ou
    alors très difficilement. Typiquement pour un certificat * chez
    Lestencrypt, il vaut mieux avoir son propre DNS.


    --sms0rrr4Xn1rvGpvWPSKyxynCZwJkGGn9--

    -----BEGIN PGP SIGNATURE-----

    iHUEABYIAB0WIQQj8MW8iOsC2RXEznnFW/s/mMLXCAUCZjcuaQAKCRDFW/s/mMLX CBZ4AQC0ceZVWTsAm5Z3geTvk2o/KtNyGJZMzNS2qjJ3nYYBmQD+K5HUSWU0pXIz 1mpOd6JZy8s4P4Rb9yq1lm39pnU0Bw0=
    =PxJl
    -----END PGP SIGNATURE-----

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From NoSpam@21:1/5 to All on Sun May 5 12:30:01 2024
    Le 04/05/2024 à 23:14, François TOURDE a écrit :
    Le 19846ième jour après Epoch,
    NoSpam écrivait:

    Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
    est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
    avec sa vue local

    Perso, je connecterai tous les postes en VPN et ne ferait écouter le
    serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
    sécurité
    Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
    pareil", je choisirais la version DNS plutôt que VPN :)

    Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN
    est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut
    tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx est suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas ouvert
    aux 4 vents.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Fran=C3=A7ois_TOURDE?=@21:1/5 to All on Sun May 5 13:10:01 2024
    Le 19848ième jour après Epoch,
    NoSpam écrivait:

    Le 04/05/2024 à 23:14, François TOURDE a écrit :
    Le 19846ième jour après Epoch,
    NoSpam écrivait:

    Ouvert aux 4 vents, surement pas. Plein de problèmes si le logiciel
    est mal configuré. Pour réaliser ce que tu veux faire j'utilise BIND
    avec sa vue local

    Perso, je connecterai tous les postes en VPN et ne ferait écouter le
    serveur DNS que sur l'IP privée du VPN. Pas ou prou problème de
    sécurité
    Sauf que là, l'OP parle de "téléphones IP", donc difficile de faire le
    tri. En plus, opérer un VPN "ouvert aux 4 vents", ou un DNS "ouvert
    pareil", je choisirais la version DNS plutôt que VPN :)

    Un poste IP n'a besoin de connaitre que son registrar: si donc un VPN
    est monté, on se passe de DNS et on utilise l'adresse IP. Si l'on veut
    tout de même un DNS, dans ce même cas de figure dnsmasq sur le pabx
    est suffisant pour renvoyer l'IP du pabx et plus si nécessaire. Pas
    ouvert aux 4 vents.

    Désolé, j'avais interprété "Téléphone IP" comme "Smartphone low cost
    avec accès IP" au lieu de penser VOIP, SIP, etc...

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Fran=C3=A7ois_TOURDE?=@21:1/5 to All on Sun May 5 13:20:01 2024
    Le 19848ième jour après Epoch,
    BERTRAND Joël écrivait:

    François TOURDE a écrit :
    [...]

    Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
    ne pas l'utiliser ?

    Parce que pour certaines configurations spéciales, ça ne le fait pas ou
    alors très difficilement. Typiquement pour un certificat * chez
    Lestencrypt, il vaut mieux avoir son propre DNS.

    Il y a quand même beaucoup de plugins certbot pour différents
    fournisseurs de DNS: https://eff-certbot.readthedocs.io/en/latest/using.html#dns-plugins

    Mais effectivement, je me sens plus confortable avec mon propre DNS ;)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)