[gull] Le DNS, mon meilleur ennemi [was : Suite et fin]

Daniel Cordey dc at mjt.ch
Fri Feb 3 09:14:30 CET 2006 

On Thursday 02 February 2006 23:57, Julien Escario wrote:

> Alors pour IP, c'est fait. Je ne vois rien à rajouter si ce n'est que c'est
> un système conçu pour des réseaux de quelques centaines de machines qui en
> supporte plusieurs millions aujourd'hui ... étonnement, ça marche.

Ce n'etais donc pas si mal concu a la base. IP a d'abord ete concu pour 
fonctionner dans un environement perturbe et dont les liens ne sont pas 
toujours les memes ni clairement definis. A la base, c'etait un systeme concu 
pour assurer le passage de l'information dans un reseau maille, dont les 
liens peuvent disparaitrent a tout moment. Ce travail a ete mandate par le 
DOD (departement de la defense americain) pour interconnecter les silos des 
missiles nucleaires et leurs centres de controle; une bombe adverse pouvant 
detruire n'importe quel lien de maniere aleatoire... On est heureusement 
assez eloigne de cet objectif dans notre utilisation quotidienne !

> Plus sérieusement, DNS est un système simple, certes mais qui me fait
> plutôt l'effet d'une pieuvre géante en liberté.

Disons qu'il n'a surtout pas ete concu pour les contraintes qu'on lui impose 
aujourd'hui. C'est surtout DNS et non IP qui a ete concu pour une structure 
de taille modeste. 

> 1) Le système est entièrement tenu par les U.S. c.f. les récents débats sur
> la société de l'information à Tunis.

Oui, mais ne nous focalisons pas sur ce probleme. Il est quand meme relatif 
puisque les US aint aussi besoin d'acceder au reste du monde, etc. Mais ca 
c'est un autre debat.

> 2) Plus particulièrement par une soit-disante  association appellée l'ICANN
> qui mandate des prestataires pour les extensions internationales (.com,
> .net, .org, ...) et plus particulièrement Verisign, société on ne peux plus
> commerciale qui fait régulièrement n'importe quoi (dernier en date : site
> finder qui dirigeait tous les noms de domaines non enregistrés sur leur
> site)

C'est surtout Verisign qui est une societe anonyme et a tendance a 
s'approprier certaines choses. Mais, la encore, il s'agit d'un autre 
debat :-)

> 3) On a rajouté, par dessus, au fil du temps, tout un tas d'extensions plus
> ou moins pratiques.

C'est la que ca a commence. Notez que l'on n'envisageait pas la situation 
actuelle lorsque l'on a commence a bricoler au-dessus de DNS.

> 4) Beaucoup d'implémentations ne respectent pas le standard. Exemple
> typique : le résolveur de Windows qui réécrit les temps de vie comme il a
> envie.

On va laisser W* de cote, parceque c'est plus qu'un autre debat :-)

> 5) Une erreur est indebugable. Par exemple : je monte mon serveur 
> web qui pointe un domaine sur une IP. Rien n'empêche le fournisseur X de
> réécrire partiellement ou totalement mes défitions pour ses clients, je
> n'ai aucun pouvoir sur ce qu'il fait avec son résolveur.

Helas oui...

> C'est le problème 
> des réponses non "authoritative" (une idée de traduction ?). 

Il n'existe pas de mote francais permettant de traduire le sens du mot 
anglais ! La traduction a besoin de plus que deux mots ... "issu d'un serveur 
ayant la responsabilite de la gestion du domaine" me semble la moins ambigue 
mais pas la plus courte :-) Dans ce cas, je pseudo-franglais en utilisant les 
guillemets...

> Il est donc 
> possible que tout d'un coup, un client n'ai plus accès à un site (service)
> à cause d'un "cache poisoning", qu'il va répandre en plus.

Le cache poisoning est un probleme qui vient ce greffer au-dessus de DNS. Il 
existe plusieurs moyen de se premunir contre ce probleme, mais j'ai bien peur 
que bon nombre de serveurs n'aient pas ces mechanismes en place. Je ne parle 
pas des ISP, mais des domaines "locaux".

> 6) Non sécurisé. Encore qu'un bidouillage appellé DNSSEC semble possible.
> Je n'ai jamais fait et je doute que beaucoup de monde le supporte.

Il existe aussi le moyen d'echanger les infos entre serveurs en utilisant des 
"cles". Mon ISP n'a aucun plan pour la mise en place de ce mechanisme de 
reconnaissance. Il se contente de de n'accepter les echanges qu'entre 
serveurs dont on donne les adresses IP ou, pire, un nom de domaine (c'est ce 
qu'il m'a demande). Ca me parait assez leger ! Le probleme de securite est 
donc plus une question de politique qu'une question de technique :-(

> 7) Une latence d'environ 12h pour la propagation des changements faits sur
> une zone (et jusqu'à 48h des fois !)

Ca depend... et la encore c'est tres flou puisque les valeurs ne sont que 
"recommandees" par des RFC. 

> Maintenant, il est vrai que c'est un système qui tient depuis des années,
> dont on ne pourrait pas se passer et qui est standardisé officiellement. Et
> surtout, c'est fortement hiérarchisé, ce qui induit cette situation de
> monopole décrite plus haut.

Le probleme est que tout ceci est tellement imbrique que l'on ne peut 
absoument rien changer sans une planification longue et complexe. Cela 
prebdra pas mal d'annees. 

> Maintenant, ce n'est que mon avis mais j'ai déjà eu tellement de problèmes
> que j'évite tout implémentation exotique et m'en tiens à des déclarations
> tout à fait standard.

C'est exactement ce qu'il faut faire. 

dc

More information about the gull mailing list