e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


J'apprends à travers le billet de freefoxtv que le site d"Algérie Telecom est inaccessible, mais des commentaires disent qu'ils peuvent y accéder sans souci

Alors j'ouvre un onglet en mettant www.algerietelecom.dz .... ça marche !
Mais comme il n y a pas de fumée sans feu, et que BoF ne fume pas de joins (à ma connaissance :) ) , je me dit qu'il y a peut-être un truc lié à la résolution DNS.

Faisant alors les choses selon les règles de l'art.

Interrogeons directement un serveur root, avec l'option "trace" activée de dig, comme ça on va voir tout le chemin de la résolution DNS :

$ dig +trace @B.ROOT-SERVERS.NET www.algerietelecom.dz

; <<>> DiG 9.5.1-P2 <<>> +trace @B.ROOT-SERVERS.NET www.algerietelecom.dz
; (1 server found)
;; global options: printcmd
. 518400 IN NS A.ROOT-SERVERS.NET.
. 518400 IN NS B.ROOT-SERVERS.NET.
. 518400 IN NS C.ROOT-SERVERS.NET.
. 518400 IN NS D.ROOT-SERVERS.NET.
. 518400 IN NS E.ROOT-SERVERS.NET.
. 518400 IN NS F.ROOT-SERVERS.NET.
. 518400 IN NS G.ROOT-SERVERS.NET.
. 518400 IN NS H.ROOT-SERVERS.NET.
. 518400 IN NS I.ROOT-SERVERS.NET.
. 518400 IN NS J.ROOT-SERVERS.NET.
. 518400 IN NS K.ROOT-SERVERS.NET.
. 518400 IN NS L.ROOT-SERVERS.NET.
. 518400 IN NS M.ROOT-SERVERS.NET.
;; Received 492 bytes from 192.228.79.201#53(192.228.79.201) in 246 ms

dz. 172800 IN NS NS3.NIC.FR.
dz. 172800 IN NS DECST.CERIST.dz.
dz. 172800 IN NS CASBAH.ELDJAZAIR.NET.dz.
dz. 172800 IN NS NS-DZ.RIPE.NET.
;; Received 245 bytes from 192.203.230.10#53(E.ROOT-SERVERS.NET) in 186 ms

algerietelecom.dz. 86400 IN NS dns-1.djaweb.dz.
algerietelecom.dz. 86400 IN NS dns-2.djaweb.dz.
;; Received 118 bytes from 193.0.12.4#53(NS-DZ.RIPE.NET) in 57 ms

www.algerietelecom.dz. 86400 IN A 213.140.56.5
algerietelecom.dz. 86400 IN NS localhost.algerietelecom.dz.
;; Received 112 bytes from 193.251.169.166#53(dns-2.djaweb.dz) in 99 ms
Alors on a l'adresse IP du site : 213.140.56.5
On a aussi les serveurs DNS répondant pour le domaine algerietelecom.dz : les DNS 1 et 2 de djaweb.

Mais, un truc bizarre est là (ce qui est en rouge) : on nous dit aussi que le serveur DNS autoritaire d'algerietelecom est localhost.algerietelecom.dz

J'espère que localhost ne veut pas dire pour les gens d'AT ce qu'il veut dire pour tout le monde : un serveur local à la machine, inutile d'aller sur le réseau, tout est en local.

Vérifions :

$ host localhost.algerietelecom.dz
localhost.algerietelecom.dz has address 127.0.0.1

Ok. Si un résolveur DNS client veut connaître l'@IP d'un site dans le domaine algerietelecom.dz, il devra voir du coté des serveurs DNS de djaweb ou de ce localhost ... ce dernier va tout simplement renvoyer la balle au client en lui disant cherche dans ton serveur local (127.0.0.1) !!!!

J'ai l'habitude de voir des configurations bizarre, mais là vraiment chapeau !

Conclusion, si vous avez de la chance, les serveurs de djaweb vous répondent, sinon le serveur d'AT vous dit que la réponse est chez toi :)

Je ne sais pas comment la mise à jour des enregistrements et les transferts de zones sont fait entre les serveurs de djaweb et celui d'AT, mais ils risquent gros en termes d'accessibilité avec ce type de config.

Et quand je vois le reste des informations dans la configuration de ce serveur autoritaire localhost, je me dit que les administrateurs devront relire les guides de déploiement d'un serveur DNS !


.

5 commentaires

  1. Amar De Annaba  

    Et moi quand je lis ton analyse je me dis mais pourquoi tu bosses pas chez eux !!!! :-)

  2. Salah  

    @Amar : parce que l'état ça paye pas assez :) ... et c'est peut-être une des causes de cette situation désolante des TIC chez nous.

  3. ButterflyOffire  

    Ah voilà ! C'est ce que je me disais aussi. Effectivement, c'est ce que j'avais remarqué concernant le localhost.algerietelecom.dz.

    D'ailleurs pour te dire cher secdz, j'ai même saisi l'IP correspondant au domaine algerietelecom.dz et ça n'a pas voulu fonctionner.

    Donc, effectivement, la configuration des DNS est très "louche"; ce n'est pas le summum de l'Art mais ça valait quand même le coup de le signaler ... si ce n'est encore une fois une manoeuvre des administrateurs afin de se protéger !?

    Effectivement, je ne fume pas de trucs bizarres sauf du tabac au rythme des longues nuits blanches que je passe à apprendre des choses sur la toile mais je me demande ce que nos administrateurs fument de temps en temps au rythme du plein jour au courant duquel sur quels sites ils trainent sur toile et comment arrivent-ils à nous pondre des trucs du genre "The is no place like Home 127.0.0.1" !?

    C'est extraordinaire quand même !

    En tous cas secdz avec ces élements d'éclaircissement, il ne reste qu'à ... (trois points de suspension).

    Donc si je suis bien l'analyse, il y a un DNS forwarding entre le 127.0.0.1 vers les serveurs DNS de Djaweb qui eux fonctionnent bien ou plutôt pas un forwarding forcé mais aléatoire.

    Ok avant de poster mon commentraire, j'ai vérifié et effectivement :

    localhost.algerietelecom.dz est only in zone)

    Quant aux deux serveurs DNS de Djaweb :
    (only in delegation)

    Affaire à suivre ...
    Merci SecDZ pour toutes ces informations, je me sens du coup moins seul :)
    Salutations amicales

  4. Salah  

    @BoF : pour l'architecture DNS d'AT, normalement, le serveur AUTORITAIRE est ce localhost, et les serveurs secondaires sont ceux de djaweb, qui se mettent à jour à partir de l'autoritaire.

    Pour ce qui est du cas où les admins ont mis ça volontairement, j'en doute pour 2 raisons :

    1- il n y a aucun intérêt pour la performance ou la sécurité...mais bon, on peut toujours apprendre :)

    2- les autres paramètres de la config corroborent ce que je pense.
    Quand on met un "serial" de "42" et l'adresse de contact "root@algerietelecom.dz" ... on voit bien que ce n'est pas quelqu'un qui n'a pas bien compris ni le concept ni les bonnes pratiques de conf DNS

  5. lebricabrac  

    Ce qui n'est pas normal par contre c'est de ne pas pouvoir accéder au site d'AT via l'adresse IP car un accès à l'aide d'une IP se fait sans passer par les serveurs DNS (vu qu'il n'y a pas de translation domaine<-> ip à faire).

    Franchement cela ne m'étonne pas de la part de djaweb, je me suis déjà amusé à me promener sur un de leur serveur et je peux vous assurer qu'il s'agit d'une vraie poubelle (site inactifs, fichiers en pagailles...). Je ferai un billet sur ça bientôt inchallah (si j'ai le net vu que je suis au bled depuis le 19 au soir et qu'il n'y a pas eu le net pendant 24h lol).

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)