Subscribe:

Ads 468x60px

13 September 2021

Mon parcours d’apprentissage des langues

Étant donné qu’il y a des amis qui me demandent pourquoi je suis en train d’étudier français, je vais raconter mon parcours d’apprentissage des langues. D’abord, il est très intéressant que vous sachiez que je n’aimais pas étudier des langues au lycée. En fait, je n’ai pas toujours réussi mes examens. C’est vrai, j’ai échoué à mes examens d’anglais de temps en temps. Néanmoins, finalement, je sais parler en anglais et j’étudie le français.

Quand j’ai fini l’université à Mérida, où j’ai étudié pendant trois années, je suis allé en Angleterre pour apprendre l’anglais grâce à une bourse. Il faut dire que je ne savais pas parler anglais. Cependant, je me suis rendu compte que l’apprentissage des langues était très important. Cela est dû au fait que je me suis fait voler mon portefeuille avec ma carte d’identité et je ne savais pas parler anglais pour la déclaration de vol au commissariat. Donc, un ami a dû m’aider à parler avec la police pour rentrer en Espagne.

Après ce jour-là, j’ai fait la demande d’inscription pour aller à l’école des langues parce que je voulais apprendre l’anglais. J’ai été alors en train d’apprendre l’anglais pendant 7 années à l’école. De plus, j’ai voyagé en Malte, Irlande, Turquie, Russie et Tchéquie où j’ai amélioré beaucoup l’anglais. Aussi, j’utilise beaucoup l’anglais dans mon travail. Donc, je connais actuellement l’anglais et je suis très content.

Pourtant, je ne voulais pas arrêter d’étudier des langues et je voulais de plus en plus. Au début, je ne savais pas quelle langue choisir à l’école. Il y avait quatre langues dans l’école. Allemand, Français, Italien ou Portugais. Finalement, j’ai choisi français parce qu’il y a beaucoup d’organismes européens en France et Belgique, non seulement la Commission Européenne mais aussi d’autres comme l’Interpol. Ainsi, je voulais parler la même langue que celles qui ont le pouvoir de faire choses dans l’Union Européen. D’ailleurs, j’avais déjà étudié le français au lycée et j’ai des amis qui habitent en France. Enfin, le français était la meilleure langue que je pouvais étudier, et j’étudie le français depuis 5 ans maintenant.

Ainsi donc, c’est mon parcours d’apprentissage d’anglais et français. Ce n’est pas facile parce qu’il faut étudier beaucoup. Il faut parler, écouter, écrire et lire beaucoup pour apprendre des langues. Également, je dois utiliser les langues de temps en temps pour ne pas oublier ce que j’ai déjà appris.

Tu veux parler des langues ? On y va !

6 September 2021

L'Anomalie

Le mois de repos est fini et je dois passer mes examens de français cette semaine. J’ai étudié le français pendant tout l’été. J’ai parlé et j’ai écrit mais aussi j’ai lu cet été. J’ai lu « L’Anomalie » de Hervé Le Tellier, dont le genre littéraire est du thriller au roman psychologique et de la littérature blanche au récit introspectif. C’est un roman qui a obtenu le prix Goncourt l’année dernière. La même année qu’il a été publié.

Hervé Le Tellier est mathématicien de formation, puis journaliste. Il est aussi docteur en linguistique et spécialiste des littératures à contraintes. Il est depuis 2019 le président du mouvement Oulipo où il a publié plusieurs ouvrages.

« L’Anomalie » est un livre où il y a beaucoup d'histoires avec beaucoup de personnages mais tous sur le même événement, “lanomalie" d’un vol Paris-New York en mars 2021. C’est un vol très bizarre parce qu’il y a un autre vol trois mois plus tard, en juin 2021, avec les mêmes voyageurs. Donc, la police et le gouvernement veulent savoir ce qui s'est passé dans ce vol alors ils parlent avec tous les voyageurs pour connaître leur vie.

L’histoire est présentée surtout à l’aéroport JFK aux État-Unis où l’avion se pose avec les mêmes voyageurs qu’il y a trois mois. C’est là où le FBI pose des questions à tous les passagers. Cependant, la première partie du roman s'agit sur la vie des personnages principaux tandis que la deuxième partie du roman s'agit sur l’enquête policière.

Le roman parle principalement d’onze personnages où il y a aussi un personnage qui a publié le roman « L’Anomalie ». La plupart des personnages principaux ont des jumeaux. En fait, tous les passagers ont des jumeaux. Il y a des jumeaux qui ont pris le vol de mars et il y en a qui ont pris le vol de juin. Néanmoins, toutes les personnes ont vécu la même vie jusqu’au premier vol de mars, puis les jumeaux ont eu des vies différentes.

À mon avis, «L’Anomalie» est un livre un petit peu difficile à lire pour les personnes qui veulent apprendre le français parce que c’est un livre bizarre avec beaucoup d’histoires et de personnages. Toutefois, j’ai beaucoup profité.

À bientôt!

26 July 2021

The last post

… before holiday!! This is the last post because I need to rest. I need to do something else. I need to read. I need to study. I need to be ready in September because there will be lots of things to do. The end of the year will be amazing. I’m sure! I’ll keep working with security appliances such as web application firewall, network firewall and VPN devices. I’ll keep working with DDI devices as well as I’ll keep working with load balancer appliances. Routers, switches and wireless devices will also be in my daily tasks. What's more, I will be the teacher of a mobile security training.

Cependant, je dois étudier cet été parce que je n’ai pas réussi mon examen de francais en juin. Je dois écrire plus souvent et je dois aussi parler en francais. Je parlerai peut-être seul en francais. Je parlerai devant mon ordinateur. Je m’enregistrerai et je m’écouterai. Vous savez que j’aime écrire mais cet été je n’écrirai pas sur la technologie mais j’écrirai sur l’économie, la famille et ce type de choses que les profs veulent lire. Donc, j’espère te dire après l’été que j’ai finalement reussi mon examen.

À bientôt.

19 July 2021

F5 BIG-IP APM – SP Initiated for Office 365

I wrote about IdP Initiated for Office 365 last week. However, there are some people they don’t know yet what is the difference between IdP Initiated and SP Initiated. When we configure an IdP Initiated architecture, firstly users access to the IdP for authentication, secondly, SAML IdP validates credentials and collects data from directory. Finally, after selecting a SAML Resource, SAML IdP redirects user back to the SAML SP with a SAML assertion.

IdP initiated SAML

On the other hand, SP Initiated is a little bit different. Firstly, users access to the SAML SP. Secondly, SAML SP redirects users to SAML IdP where users authenticate. Thirdly, SAML IdP validates credentials and collects data from directory. Finally, SAML IdP redirects user back to SAML SP with SAML assertion. As you can see, the main difference is users access first to the SP instead of the IdP.

SP initiated SAML

We can watch in the next video how to configure SP Initiated for Office 365 with the guided configuration of F5 APM.

Thank you! See you soon!

12 July 2021

F5 BIG-IP APM – IdP Initiated for Office 365

F5 BIG-IP APM is really useful for federation and Microsoft integration thanks to the AGC (Advanced Guided Configuration) for version 15 and SGC (Simplified Guided Configuration) for version 16. It is very easy to configure Application access with Azure AD or federation with Office 365. F5 APM federates user identity and enables single sign-on (SSO) to applications on-premises and in the cloud, including SaaS, because APM supports SAML, OAuth, Kerberos, header-based authentication and other SSO techniques.

I’ve been recording a new video today where you can watch how to configure F5 APM as Identity Provider for Office 365. The configuration is really easy. On one hand, there are some configuration needed on the Windows side such as Azure AD Connect installation on Active Directory for user sincronization, as well as, AzureAD and MSOnline for Windows Federation. On the other hand, we can use the Guided Configuration on F5 APM for configuring easily F5 as Identity Provider for Office 365.

Have a nice day! Would you like to configure federation on Office 365?

5 July 2021

F5 ASM - Sending security logs to BIG-IQ

I'm working deeply with BIG-IQ devices since the end of the last year. These devices are really useful when you have to manage lots of BIG-IP devices because you can search objects easily as well as you can deploy configurations from a central management device. However, BIG-IQ is also increasingly used for monitoring applications and saving events logs because the built-in dashboards are really powerful for applications visibility. For instance, we can know application latencies or bot traffic from a single dashboard.

Bot Traffic Dashboard

I’ve been recording a new video where you can watch how to add a BIG-IP device to the BIG-IQ and how to configure a security log profile to send events to the BIG-IQ. Actually, the BIG-IQ DCD has a listening service in the 8514 port then we have to configure a log profile in the BIG-IP device to send events to the 8514 port. Once it is configured, there will be security events in the BIG-IQ Central Management (CM) device, thus, we can already watch these logs for troubleshooting and applications visibility from BIG-IQ CM.

Have a nice day! Do you like the BIG-IQ?

28 June 2021

What’s new in FortiOS 7.0

You already know I like writing about the new features and enhancements in FortiOS. I think it’s important to know the new features because they will be requirements for new projects and they will be interesting for lots of customers. The new FortiOS 7.0 brings lots of new features and enhancements. I can’t write about all of them in this article because there are more than 300 new features across the Fabric. Therefore, I will write about the most interesting features and improvements from my point of view.

The Fortinet Security Fabric has improved with new integrations for comprehensive protection. The Open Fabric Ecosystem has already more than 400 integrated solutions. There are Fabric Connectors and Fabric APIs for AWS, Aruba, Cisco and many more. We can also integrate FortiWeb, FortiDeceptor and FortiTester to the Security Fabric. What’s more, we can even integrate VDOMs in the Security Fabric. In addition, there are improvements in the automation workflow where we can even send notifications vía Microsoft Teams. 

Fortinet Security Fabric

There are some customers who want to block some features in social networks. For instance, they want to allow users to access social networks but they want to block social networks chats. This can already be configured with application control from previous versions. However, FortiOS 7.0 also allow you to block channels from YouTube, Vimeo or Daily Motion throught the new Video Filters. Therefore, we can configure security policies with a lot of granularity.

Video Filtering

There are another interesting feature I really like which allow you to generate automatically a certificate for a device using ACME (Automated Certificate Management Environment). I like because we can configure a Let’s Encrypt Certificate easily for SSL-VPN access. This new feature provides a simplified way for administrators to assign a certificate to the device, without complexities of manully managing certificates.

Let's Encrypt

I always like to write about the changes of subscription services. The FortiGuard Services have changed a little bit. The IPAM service is EoO (End of Order) thus you can’t buy this service anymore. The FortiGuard IoT Detection Service includes an IoT MAC database for device detection (visibility) WiFi access. The new Video Filtering service has been included in the Unified Threat Protection. In addition, FortiCloud SOCaaS is a new service where the Fortinet SOC Team can help you to protect your systems.

FortiGuard Services

There are many more features and improvements. There are also interesting features for wireless networks, NAC and wired networks with FortiSwitches. However, FortiOS 7.0 should be applied just for a non-production environment because we should wait three or four patches to have a stable version for production environments. Meanwhile, FortiOS 6.4 is the best version for your devices.

Have a nice day! Are you ready to test this new version?

21 June 2021

F5 APM – Assign Resources for AD Groups

F5 APM is increasingly used as a SSL VPN portal access where users have all web applications they need to work daily. Most companies are looking for this kind of architecture because there are lots of users working from home. F5 is really powerful in this kind of architectures. In fact, there are companies they have even configured Single Sign-On (SSO) with 2 Factor Authentication (2FA) in the portal access to allow the user to log in once for all web applications as well as improving security with a token.

One of the requirement for most companies is to assign web applications for AD groups. It is mandatory that users only see their applications in the web portal. Each user should see only the applications the user is going to use. Therefore, there will be lots of SSL VPN portal. One for each user. F5 APM is able to assign resources dinamically thanks to the Advanced Resource Assign and AD Groups. For instance, we can watch in the next video that a user who belongs to two groups can see two applications.


Have you ever needed to assign resources dinamically for AD Groups? Go ahead!

14 June 2021

La télérealité: Un phénomène de société

Bonjour à tous !

Je vous écris pour partager mon opinion sur la télérealité. D’abord, je ne comprends pas vraiment comment il y a autant de chaînes avec des programmes sur la télérealité. Je suis sûr que si j’avais le temps, je ne regarderais jamais ces chaînes. Cependant, il y a beaucoup de personnes qui aiment les regarder. Nous devrions nous demander, pour quoi ? Peut-être, la plupart des personnes aiment regarder l’intimité d’autres.

D’autre part, les gens aiment dévoiler son intimité en public. Aujourd’hui, il y a beaucoup de réseaux sociaux où on peut publier des photos. Nous voulons que nos amis sachent comment nous l’avons passé dans la plage ou qu’est-ce que nous avons mangé. La télérealité est la même que les réseaux sociaux mais elle est en ligne pour tout le monde. Je pense que les gens, qui participent à ce genre d’émissions, le font principalement pour gagner de l’argent. En plus de l’argent, je crois qu’ils le font pour être célèbre.

Qu’est-ce que vous pensez ? J’attends vos réponses.

7 June 2021

Peut-on encore être écolo et prendre l’avion ?

J’ai lu un article récemment à propos de la pollution et de l’urgence climatique. Réellement, il s’agit d’un article à propos de la préservation de la planète et de la tendance flygskam.

À mon avis, nous devrons faire plus attention à la pollution. Ce n’est pas seulement l’avion qui pollue mais aussi les usines, les voitures, etc. Par exemple, je préfère prendre le train pour aller travailler à Mérida au lieu d’aller avec ma propre voiture. Je pense que le transport en commun est très nécessaire et très important pour faire baisser la pollution de la planète. C’est vrai que l’avion pollue trop l’environnement mais je crois que nous ne sommes pas en train de prendre l’avion tous les jours. Alors, nous devrions commencer par les petites choses comme le recyclage, le transport en commun, etc.

Je peux faire beaucoup de propositions pour améliorer la planète mais je pense que les politiciens sont les personnes qui doivent travailler pour faire des lois anti-pollution. Si il n’y a pas de lois pour baisser la pollution, la plupart des personnes ne feront rien pour améliorer notre planète. La solution doit partir de nos politiciens.

Alors, ni flygskan ni rien. Si nous voulons conserver notre planète pendant beaucoup des siècles, nous devrons demander à nos politiciens ce qu’ils pensent à l’avenir.

Salut

31 May 2021

Apocalypse ou pas

Je suis un homme très positif. Donc, je pense que l’avenir sera radieux et libéré de la pauvreté grâce à l’impact des nouvelles technologies. C’est vrai qu’il y a davantage catastrophe écologique et la pollution est très élevée. Principalement, les usines et les voitures polluent la planète.

Cependant, il y a beaucoup de technologies aujourd’hui qui améliorent notre vie et aussi la vie de la planète. Par exemple, les voitures électriques sont déjà disponibles pour la plupart des personnes. Ils ne sont pas très chers. Aussi, il y a beaucoup de logiciels pour faire des appels vidéo. Alors, il n’est pas nécessaire de voyager très souvent.

À mon avis, grâce à l’impact des nouvelles technologies, la planète s’améliorera à l’avenir. Nous devrons faire attention à toutes les catastrophes écologiques mais je suis sûr que nous serons gentils avec lui.

24 May 2021

Quel type de voyageur êtes-vous ?

Pour moi, voyager c’est profiter de la culture. Je ne suis pas sûr si je suis un puriste de la culture ou un voyageur éthique étant donné que j’aime rouler ma bosse afin de connaître des cultures mais, je pense, que la meilleure façon de le faire est de participer à des projets de volontariat vu qu’il est nécessaire de parler et comprendre les personnes étrangère pour partager les tâches du projet.

Lorsque je pars en voyage, c’est pour changer d’air. Je déteste la concentration alors je suis tout à fait favorable à l’étalement des vacances. Dans les voyages, ce que je recherche c’est partir à l’aventure où il n’y a pas de touristes. Mes priorités sont les villages, la nature et les montagnes. J’aime aller dans une petite village pour faire de la randonée à la montagne ou travailler sur un projet local destiné à la reconstruction d’un bâtiment utile à la communauté.

Le plus beau voyage que j’ai fait a été celui que j’ai réalisé à Atabey en Turquie il y a six ans. C’était un projet local pour netoyer et reconstruir un école. Mon meilleur souvenir de ce voyage c’est un drapeau signé par tous les bénévoles. J’aimerais y retourner malheureusement ce n’est pas possible à cause de la pandémie. Par conséquent, mon prochaine voyage sera au nord de l’Espagne pour visiter les Pics d’Europe.

17 May 2021

Side channel AttackeD (SAD) DNS

DNS is a protocol unknown by most users but it’s very important for the Internet because domain names have to be resolved to IP addresses. It’s an essential service. The DNS service is a very important protocol which has to be managed, monitor and protected. I’ve already written about DNS Security, DNS performance testing tools, EDNS(0) - Extension Mechanisms for DNS as well as DNS over HTTPS (DoH) and DNS over TLS (DoT). I’ve even written about how to configure DoH & DoT to DNS Proxy with F5 LTM. I’m going to write today about the SAD DNS attack.

First of all, we have to understand what is a DNS Cache Poisoning Attack. It is an attack in which corrupt DNS data is introduced into the DNS resolver’s cache, causing the name server to return an incorrect result record. DNS uses the UDP protocol for queries and responses. There is no handshake with the UDP protocol. Therefore, DNS responses can be spoofed by an attacker and, thus, an attack can inject forged DNS entry. This is one way to execute a DNS Cache Poisoning Attack. There is another way, which is accessing the DNS resolver server to change DNS resources. Anyway, it’s difficult to execute this attack but if there is no DNS protection, it can be done. 

DNS Cache Poisoning Attack

The DNS protocol has already changed several times to protect users to the DNS Cache Poisoning attack. For instance, prior to 2008, recursive resolvers used port 53 to send and receive messages to authoritative nameservers. This made guessing the source port trivial and the only variable an attacker needed to guess to forge a response to a query was the 16-bit message ID. Therefore, the Kaminsky’s attack was simple to run. The DNS protocol was changed to run over randomized source ports for security reasons.

Recently, UC Riverside and Tsinghua Universities has announced a new attack called SAD DNS (Side channel AttackeD DNS). This is a new way to defeat the source port randomization. Thanks to ICMP error messages, the attacker could ask the server which port number is being used for a pending query, that would make the construction of a spoofed packet much easier. However, this attack scenario isn’t easy to perform, but becomes totally possible when all the planets are well aligned. For instance, it requires DNS servers answer ICMP messages under specific conditions.

SAD DNS

If you are a network engineer who manage DNS forwarder or recursive DNS resolver, you should cosider upgrading your Linux Kernel, which uses unpredictable rate limits, blocking the outgoing ICMP “port unreachable” messages with a firewall, and keeping your DNS software up to date. In addition, configuring DNSSEC is a best practice because it is designed to protect against this type of attack.

To sum up, SAD DNS attack is not easy to perform but we should know this kind of attack to harden DNS servers with security protections. This is the best way to avoid attacks like this one.

How are you protecting your DNS servers?

10 May 2021

Electronic Signatures and Infrastructures

I’ve written a lot about information security management. I’ve written about ISO 27001, ENS, PCI-DSS, ISA-95, etc. I’ve also written about cybersecurity strategies such as the EU Cybersecurity Strategy, the National Cybersecurity Strategy of Spain, the Revue Stratégique Cyberdéfense de France, the National Cyber Strategy of the U.S. of America, etc. However, I’m reading the Draft ETSI EN 319 401 - Electronic Signatures and Infrastructures (ESI) this week. Actually, I’m reading the General Policy Requirements for Trust Service Providers which is just released last february.

If we want to know what is this standard for, first of all, we'll have to know what is a Trust Service Provider (TSP). A TSP is an entity which provides one or more trust services, while a trust service is an electronic service for creation, verification and validation of digital signatures, time-stamps and certificates for website authentication. A trust service is also an electronic service for preservation of digital signatures. Therefore, a TSP is a very important entity for providing and preserving digital certificates.

Policy Requirements Document Structure

The ETSI 319 401 standard has requirements that all TSP should comply. One of them is a requirement where the TSP shall specify the set of policies and practices appropiate for the trust services it is providing. I think, this is the most important requirement. In fact, it is a common requirement for all security standards. It is really important because the security policy is going to define a set of “sub-policies” which have to be enforced.

Actually, there are 13 “sub-policies”. Most of them have requirements that refer to ISO/IEC 27002:2013. This is really useful because if you know ISO 27001, we’ll have lots of work done. However, there are also specific requirements to TSP such as they shall have the financial stability and resources required to operate in conformity with the policy, as well as, they shall maintain sufficient financial resources and/or obtain appropriate liability insurance, in accordance with applicable law, to cover liabilities arising from its operations and/or activities. These are two specific requirements from ETSI 319 401 in the organization reliability “sub-policy”.

It’s also interesting the network security “sub-policy” because there are requirements where the TSP shall undergo or perform a regular vulnerability scan on public and private IP addresses identified by the TSP, as well as, the TSP shall undergo or perform a penetration test on the TSP’s systems at set up and after infrastructure or application upgrades or modifications. I like these explicit requirements to perform vulnerability scan and penetration tests. It’s a best practice and they are written in this standard.

To sum up, this is another security standard with lots of requirements. Most of them similar to ISO 27001 but also some of them specific to provide trust and confidence in electronic transactions.

Did you know this standard?

3 May 2021

Trois jours et une vie

J’ai lu "Trois jours et une vie" de Pierre Lemaitre, dont le genre littéraire est un roman psychologique, qui a été publiée en 2016.

Pierre Lemaitre est psychologue de formation et autodidacte en littérature qui a reçu le prix de Goncourt pour son roman « Au revoir là-haut » en 2013. Il travaillait dans la formation professionnelle des adultes jusqu’en 2006, quand il a commencé à vivre de sa plume comme romancier et scénariste. 

« Trois jours et une vie » est un livre où un garçon tue un ami accidentellement. Il ne dit personne que s’est-il passé parce qu’il prend de panique, alors il se débarrasse du petit corps. Le garçon doit apprendre à grandir avec ce secret parce que les jours passent, les habitants du village se mobilisent pour retrouver l’enfant disparu et les policiers cherchent dans tous les recoins. Cependant, seulement le petit enfant connaît la vérité.

L’histoire est présentée à Beauval en France à la fin de décembre 1999 et le roman est divisé en chapitres sans titre. Le narration est faite dans la tête du petit garçon qui raconte sa vie avec angoisse et terreur permanent.

Le roman parle principalement d’un enfant qui s’appelle Antoine et qui habite seul avec sa mère divorcée Mme Courtin. Il a douze ans quand il tue l’un de ses amis - Rémi Desmedt, 6 ans. Les parents de Rémi sont voisins des Courtin et ils sont très inquiets pour retrouver son fils. Il y a aussi d'autres personnages principaux comme le docteur Dieulafoy qui est le médecin de famille, Valentine Desmedt qui est la sœur de Rémi, et Émilie Mouchotte qui est aussi la voisine d’Antonie.

À mon avis, «Trois jours et une vie» est un livre prenant, qu'on ne peut pas arrêter de lire. J’ai vraiment aimé la fin du roman. C’était inattendu.

À bientôt!

26 April 2021

F5 ASM - Using Qualys for a Security Policy

I’ve been working with vulnerability assessment tools and F5 ASM these days. In fact, I’ve been configuring F5 ASM with the Qualys Web Application Scanner (WAS). I think this kind of integration is really useful to resolve quickly vulnerabilities found by scanners such as Qualys and HP WebInspect. Actually, there are lots of vulnerabilities assessments tools and WAF appliances but I think the integration is very important to improve security policies and resolve vulnerabilities as soon as possible. You can watch in the next video how to integrate Qualys with F5 ASM!! 

Enjoy!

19 April 2021

F5 ASM – Disabling attack signatures checks

I’ve deployed a new WAF appliance with F5 ASM recently where I have to secure web applications which have lots of entities such as URLs, parameters and files. These web applications are already running in a production environment, as a result, I’ve deployed a Rapid Deployment Policy in transparent mode to see and know what’s going on. After a week, I can see lots of attacks in the learning process. Most of them are due to a web application used to store files. Employees can upload whatever they want, thus, they upload PDF files as well as .exe files and source code with javascripts. Therefore, the best to reduce potential false-positive alerts is disabling attack signatures checks for the URL where the application is hosted or the parameter used to upload files.

I’ve recorded a video where we can watch how to disable attack signatures checks for URL and parameters. It’s really easy!!

Drop me a line with the first thing you are thinking!

12 April 2021

EDNS(0) – Extension Mechanisms for DNS

I’m reading, working and studying about EDNS(0) because a customer wants something similar to a parental control service that restricts access to particular domains from particular devices, as a result, we need a device-specific identifier. We need a precise client identity information for this requirement. There will be lots of laptops on the Internet and it’s unlikely that we can configure a VPN tunnel for each laptop. Therefore, DNS servers and DNS requests will go through Internet. I’m thinking whether EDNS(0) fits this requirement.

The DNS protocol send messages by UDP and it was restricted to 512 bytes but, in 1999, there was a proposal to extend DNS to allow for new flags and response codes, and to provide support for longer responses. This extension mechanism is EDNS and it has increased the functionalities of the protocol. EDNS adds information to DNS messages in the form of pseudo-Resource Records (“pseudo-RR”). For instance, the OPT pseudo-record provides space for up to 16 flags. One of them is the DNSSEC flag but there are also flags for Client Subnet (ECS) and Device ID.

Review of OPT Option Codes

Firstly, I’ve been reading about DNSSEC which is a security extension to DNS for cryptographic authentication and data integrity, but not confidentiality, which means, all DNSSEC responses are authenticated but not encrypted. Therefore, it was designed to protect applications from using forged or manipulated DNS data, such as that created by DNS cache poisoning. This security extension doesn’t fit the requirement I’m looking for because there is no way to identify the user device.

DNSSEC - Authenticity of DNS records

Another extension I’ve been reading is Client Subnet (ECS). I was already reading about it two years ago when F5 BIG-IP DNS included this feature in v14.0. The BIG-IP places the client IP address into the EDNS0 field to determine the topology proximity of the client. This feature improves too much the use of DNS-based load balancing to select a service address near the client when the client computer is not necessarily near the recursive resolver. However, the ECS feature is not enough either to identify users’ computers.

With EDNS0 Client Subnet Support

Finally, I think I’ve found how to identify the user computer. There is already a DNS EDNS option to carry a client-specific identifier in DNS queries, but it’s still a draft. However, dnsmasq uses EDNS option code 65073 from the “Reserved for Local/Experimental Use” range to pass the client’s MAC address, or the Cisco Umbrella implementation which encodes the client’s MAC address with the option code 26946 from the “Unassigned” range. I can use F5 BIG-IP to authenticate users’ computers as DoH proxy farm and forward the DNS requests with the client identification in the EDNS field to the internal DNS server for analysis, filtering, cache control and recurses the request. What do you think?

Building a private DoH infrastructure

To sum up, EDNS has improved a lot the DNS protocol and it’s really useful for client identification, DNS-based load balancing and DNS Security.

Regards my friends! Have you ever configured EDNS?

Related Posts Plugin for WordPress, Blogger...

Entradas populares