Stephane Bortzmeyer a écrit :
>
> [C'est un rappel d'une information que vous avez certainement eu par
> ailleurs mais des indices semblent montrer que certains n'ont pas
> encore fait la mise à jour.]
>
> L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
> annonce qui était prévue le 7 août, a été faite hier (par accident,
> parait-il, « Je nettoyais mon blog et le coup est parti ») :
>
> http://beezari.livejournal.com/141796.html
>
> Désormais, n'importe quel craqueur de la planète sait comment
> exploiter cette faille. On peut donc attendre des attaques d'un
> instant à l'autre.
>
> Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
> l'ont pas été (cf. message de l'AFNIC en
> <http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
>
>
> Mais, selon cette étude états-unienne :
>
> http://www.hackerfactor.com/blog/ind...-Poor-DNS.html
>
> plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
> similaire est en cours en France mais il est
> probable que ce n'est pas meilleur.
>
> Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
>
> Pour tester votre résolveur, le meilleur outil Web est :
>
> https://www.dns-oarc.net/oarc/services/dnsentropy

Quand je clique sur le bouton de la page ci-dessus, j'obtiens cette
réponse ;
Firefox ne peut trouver le serveur à l'adresse
84fc56f461d1f445b514b12f.et.dns-oarc.net.
>
> et le meilleur outil en ligne de commande est dig :
>
> dig @X.Y.Z.T +short porttest.dns-oarc.net TXT

Quand j'applique cette commande (sous Mac OS 10.5.4) dans le terminal,
j'obtiens :
$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
"80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
60 seconds"
Je suis chez Orange (j'ai essayé plusieurs fois) et je suis connecté à
l'ADSL avec un modem/routeur Netgear DG814 qui possède son propre
firewall (j'ai activé le NAT).
Je n'ai pas activé le firewall logiciel de Mac OS X.
>
> (Cf. https://www.dns-oarc.net/oarc/services/porttest)
>
> http://www.bortzmeyer.org/faille-dns...sonnement.html


Quand je fais le tests sur le site http://www.doxpara.com/, j'obtiens

the NAT/Firewall in front of it appears to be interfering with its port
selection policy. The difference between largest port and smallest port
was only 380.

Please talk to your firewall or gateway vendor -- all are working on
patches, mitigations, and workarounds.
Requests seen for 5b4f092cffb5.toorrr.com:
80.12.255.10:46113 TXID=26252
80.12.255.10:46208 TXID=32691
80.12.255.10:46340 TXID=63973
80.12.255.10:46414 TXID=38853
80.12.255.10:46493 TXID=11653

J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
me paraissent obscures).

Merci beaucoup.

Wykaaa

Wykaaa wrote:

> Firefox ne peut trouver le serveur à l'adresse
> 84fc56f461d1f445b514b12f.et.dns-oarc.net.

Bizarre. Cause inconnue.

> $ dig +short porttest.dns-oarc.net TXT
> z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
> "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
> 60 seconds"
> Je suis chez Orange

Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
leurs résolveurs rend le test
inefficace (rien ne dit que cette particularité les rend plus ou moins
sûrs).

> Quand je fais le tests sur le site http://www.doxpara.com/,

Pas mal bogué, c'est pour cela que je ne le mettais pas en avant.

> the NAT/Firewall in front of it appears to be interfering with its port
> selection policy. The difference between largest port and smallest port
> was only 380.

Erreur de diagnostic (il y a bien quelque chose de bizarre avec les
résolveurs de Wanadoo mais ce n'est pas un routeur NAT).

> J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
> me paraissent obscures).

doxpara.com suppose qu'un NAT "dé-hasardise" les ports sources. C'est un
problème courant mais je ne pense pas qu'Orange aie mis ses résolveurs
derrière du NAT :-)

Stephane Bortzmeyer racontait :
>
> Wykaaa wrote:
>
> > $ dig +short porttest.dns-oarc.net TXT
> > z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
> > "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
> > 60 seconds"
> > Je suis chez Orange
> Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
> leurs résolveurs rend le test inefficace

Ici ça semble fonctionner (à part le délire sur la durée, bien sûr):

D:\>dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
"80.12.255.10 is GOOD: 57 queries in 113645.8 seconds from 57 ports
with std dev 17661.87"

Quant au test navigateur, j'ai un résultat sensiblement identique à
celui de Wykaaa.
--
Amicalement,
Xavier
In Reply-To veritas
Vivement le temps des cerises.