Un remède de cheval pour l’armée

Le livre blanc sur l’armée a été publié récemment et quelque chose comme 54000 suppressions de postes et des dizaines de fermetures de bases sont planifiées.

La pilule ayant du mal à passer, le secrétaire d’état à la défense et/ou le président ont tenté une opération marketing en envoyant le secrétaire d’état au Liban pour discuter avec les soldats de la FINUL. L’opération est relayée sur France Info et le journaliste (usant là du peu de libertés qui lui reste) déclare que les soldats sont peu bavards. Il ne cite bien sûr pas le plan de restructuration pour aider à comprendre ce mutisme. Le reportage se poursuit par cette phrase du secrétaire d’état :

Il faut prendre le pouls … il faut être proche de la base

Après avoir annoncé un tel changement, ça doit être difficile d’être proche de la base. En plus, avec toutes les fermetures de bases on ne sait plus trop bien où elles sont, les bases. Il vaut mieux aller au Liban trouver des soldats. Là-bas, ils ne sont pas prêt de partir.

Lutter contre la faille DNS avec Netfilter

La découverte récente d’une méthode permettant d’exploiter des failles dans la plupart des implémentations DNS à fait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les échos.

Si l’on étudie ce qu’écrit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une méthode de contournement de la faille consiste à rendre aléatoire le port source utilisé pour les requêtes DNS.

Lors de recherches faites sur le bloquage de Skype, j’avais implémenté la traduction d’adresse avec attributions de port source aléatoire dans Netfilter et Iptables. Cette modification avait été faite pour empêcher l’établissement de connexions directes entre deux machines situés derrière des routeurs malgré la traduction d’adresse. Cette fonctionnalité est disponible dans Linux depuis le noyau 2.6.21. Elle peut-être utilisée pour lutter contre la faille DNS.

Si les serveurs DNS relais ou les clients se trouvent derrière votre pare-feu Netfilter, il suffit de rajouter la règle de NAT suivante :

iptables -I POSTROUTING -t nat -p udp --dport 53 -j SNAT --to IP --random

Netfilter va alors rendre aléatoire le port source des connexions DNS tel qu’il est vu derrière la passerelle (et donc pour le monde extérieur) luttant ainsi contre les attaques de cache poisonning.