[gull] Le DNS, mon meilleur ennemi [was : Suite et fin]
Daniel Cordey
dc at mjt.ch
Fri Feb 3 09:14:30 CET 2006
On Thursday 02 February 2006 23:57, Julien Escario wrote:
> Alors pour IP, c'est fait. Je ne vois rien à rajouter si ce n'est que c'est
> un système conçu pour des réseaux de quelques centaines de machines qui en
> supporte plusieurs millions aujourd'hui ... étonnement, ça marche.
Ce n'etais donc pas si mal concu a la base. IP a d'abord ete concu pour
fonctionner dans un environement perturbe et dont les liens ne sont pas
toujours les memes ni clairement definis. A la base, c'etait un systeme concu
pour assurer le passage de l'information dans un reseau maille, dont les
liens peuvent disparaitrent a tout moment. Ce travail a ete mandate par le
DOD (departement de la defense americain) pour interconnecter les silos des
missiles nucleaires et leurs centres de controle; une bombe adverse pouvant
detruire n'importe quel lien de maniere aleatoire... On est heureusement
assez eloigne de cet objectif dans notre utilisation quotidienne !
> Plus sérieusement, DNS est un système simple, certes mais qui me fait
> plutôt l'effet d'une pieuvre géante en liberté.
Disons qu'il n'a surtout pas ete concu pour les contraintes qu'on lui impose
aujourd'hui. C'est surtout DNS et non IP qui a ete concu pour une structure
de taille modeste.
> 1) Le système est entièrement tenu par les U.S. c.f. les récents débats sur
> la société de l'information à Tunis.
Oui, mais ne nous focalisons pas sur ce probleme. Il est quand meme relatif
puisque les US aint aussi besoin d'acceder au reste du monde, etc. Mais ca
c'est un autre debat.
> 2) Plus particulièrement par une soit-disante association appellée l'ICANN
> qui mandate des prestataires pour les extensions internationales (.com,
> .net, .org, ...) et plus particulièrement Verisign, société on ne peux plus
> commerciale qui fait régulièrement n'importe quoi (dernier en date : site
> finder qui dirigeait tous les noms de domaines non enregistrés sur leur
> site)
C'est surtout Verisign qui est une societe anonyme et a tendance a
s'approprier certaines choses. Mais, la encore, il s'agit d'un autre
debat :-)
> 3) On a rajouté, par dessus, au fil du temps, tout un tas d'extensions plus
> ou moins pratiques.
C'est la que ca a commence. Notez que l'on n'envisageait pas la situation
actuelle lorsque l'on a commence a bricoler au-dessus de DNS.
> 4) Beaucoup d'implémentations ne respectent pas le standard. Exemple
> typique : le résolveur de Windows qui réécrit les temps de vie comme il a
> envie.
On va laisser W* de cote, parceque c'est plus qu'un autre debat :-)
> 5) Une erreur est indebugable. Par exemple : je monte mon serveur
> web qui pointe un domaine sur une IP. Rien n'empêche le fournisseur X de
> réécrire partiellement ou totalement mes défitions pour ses clients, je
> n'ai aucun pouvoir sur ce qu'il fait avec son résolveur.
Helas oui...
> C'est le problème
> des réponses non "authoritative" (une idée de traduction ?).
Il n'existe pas de mote francais permettant de traduire le sens du mot
anglais ! La traduction a besoin de plus que deux mots ... "issu d'un serveur
ayant la responsabilite de la gestion du domaine" me semble la moins ambigue
mais pas la plus courte :-) Dans ce cas, je pseudo-franglais en utilisant les
guillemets...
> Il est donc
> possible que tout d'un coup, un client n'ai plus accès à un site (service)
> à cause d'un "cache poisoning", qu'il va répandre en plus.
Le cache poisoning est un probleme qui vient ce greffer au-dessus de DNS. Il
existe plusieurs moyen de se premunir contre ce probleme, mais j'ai bien peur
que bon nombre de serveurs n'aient pas ces mechanismes en place. Je ne parle
pas des ISP, mais des domaines "locaux".
> 6) Non sécurisé. Encore qu'un bidouillage appellé DNSSEC semble possible.
> Je n'ai jamais fait et je doute que beaucoup de monde le supporte.
Il existe aussi le moyen d'echanger les infos entre serveurs en utilisant des
"cles". Mon ISP n'a aucun plan pour la mise en place de ce mechanisme de
reconnaissance. Il se contente de de n'accepter les echanges qu'entre
serveurs dont on donne les adresses IP ou, pire, un nom de domaine (c'est ce
qu'il m'a demande). Ca me parait assez leger ! Le probleme de securite est
donc plus une question de politique qu'une question de technique :-(
> 7) Une latence d'environ 12h pour la propagation des changements faits sur
> une zone (et jusqu'à 48h des fois !)
Ca depend... et la encore c'est tres flou puisque les valeurs ne sont que
"recommandees" par des RFC.
> Maintenant, il est vrai que c'est un système qui tient depuis des années,
> dont on ne pourrait pas se passer et qui est standardisé officiellement. Et
> surtout, c'est fortement hiérarchisé, ce qui induit cette situation de
> monopole décrite plus haut.
Le probleme est que tout ceci est tellement imbrique que l'on ne peut
absoument rien changer sans une planification longue et complexe. Cela
prebdra pas mal d'annees.
> Maintenant, ce n'est que mon avis mais j'ai déjà eu tellement de problèmes
> que j'évite tout implémentation exotique et m'en tiens à des déclarations
> tout à fait standard.
C'est exactement ce qu'il faut faire.
dc
More information about the gull
mailing list