Conseils sur la protection d'un accès VPN.
Le
Olivier
Bonjour,
1. Via un ISP (type OVH, 1and1, ), j'enregistre les domaines
mondomaine.fr et foobar.mondomaine.fr.
Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?
2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?
Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de domaine.
Votre avis ?
Slts
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAPeT9jjJ1R...inc0TWncxQ@mail.gmail.com
1. Via un ISP (type OVH, 1and1, ), j'enregistre les domaines
mondomaine.fr et foobar.mondomaine.fr.
Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?
2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?
Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de domaine.
Votre avis ?
Slts
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAPeT9jjJ1R...inc0TWncxQ@mail.gmail.com
Poser une question
Olivier
foobar n'est pas un domaine, mais un s/s domaine du domain
mondomain.fr
Techniquement, ça se passe dans le svr HTTP (qui apparie le nom
de s/s domain avec un directory).
Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus
branchés web ici qui t'en diront sûrement plus.
C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seuleme nt
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça à ©vite
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.
http://openvpn.net/index.php/open-s...ous/78-sta tic-key-mini-howto.html
semble dire que c'est possible; il fut un temps où il n'acceptait
que les adresses IP, mais je pense que depuis, suffisamment de gens
ont gueulé pour que ça change.
--
What use is magic if it can't save a unicorn?
-- Peter S. Beagle, "The Last Unicorn"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
C'est plus une question dns que web, il me semble.
Pour que l'on puisse connaître les noms d'hôtes définis sur la zone
mondomaine.fr, il faut que le serveur dns *faisant autorité* autorise
les transferts de zones (faire une recherche sur AXFR) pour mondomaine.fr.
Autoriser les transferts de zones sert dans le cadre d'une infra dns
avec des serveurs esclaves récupérant les données à partir d'un serveur
maître. Il me semble que l'AXFR est généralement restreint par IP.
Dans ton cas, il est probable qu'on ne puisse pas récupérer la zone dns
de n'importe où par défaut. Comment le vérifier? Avec la commande dig
mondomaine.fr. @dns_faisant_autorite axfr
Si les transferts sont autorisés, le contenu complet de la zone
mondomaine.fr va s'afficher. Sinon, dig va répondre "Transfer failed".
J'insiste lourdement: après l'arobase, il faut spécifier le nom (ou
l'IP) d'un serveur dns *faisant autorité* pour la zone mondomaine.fr.
Inutile de demander à 8.8.8.8 ou au dns de son fai, le résultat
(forcément transfer failed) serait trompeur. Pour connaître les dns
faisant autorité sur la zone, utiliser dig -t NS mondomaine.fr., et
regarder les noms à la fin des lignes NS.
Et comme tout ceci est bien maladroitement expliqué, un exemple pour la
route:
zoidberg:~# dig -t NS debian.org.
[...]
debian.org. 28800 IN NS ns4.debian.com.
debian.org. 28800 IN NS ns2.debian.org.
debian.org. 28800 IN NS ns3.debian.org.
debian.org. 28800 IN NS ns1.debian.org.
=> donne les 4 serveurs faisant autorité pour la zone debian.org.
zoidberg:~# dig debian.org. @ns4.debian.com. axfr
[...]
; Transfer failed.
=> je ne peux pas connaître le détail de la zone debian.org.
Pour s'initier au dns, je conseille souvent les pages de Zytrax:
http://www.zytrax.com/books/dns/
Si quelqu'un connaît un équivalent d'aussi bonne facture en français, ça
m'intéresse.
+1
Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)
Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf
d'openvpn.
P.-A.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Pierre-Arnaud
Tu parles, je lançais la VOD (Voice Over Desert) du temps de Caïn &
Abel, et le TCP (Tous Contre Pilate) du temps de Jésus, c'est dire
si ça remonte...
--
<wiggy> in a stunning new move I actually tested this upload
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Et déjà à l'époque, la pomme foutait sa zone.
On notera que le protocole SPQR est tombé en désuétude. Trop
centralisateur, certainement.
Sinon, voici une photo d'époque de Moïse configurant un tunnel openvpn.
On ne voit hélas pas bien s'il utilise une IP ou un fqdn:
http://lescherubins.org/images/mer-rouge-Moise.jpg
P.-A.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
bravo pour ce topo sur les DNS et le pointeur vers la doc.
Ça m'intéresse fortement cette méthode, pourriez-vous nous en dire plus
sur le principe de base et l'archi à mettre en place ?
merci,
--
jean-marc
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/