BenBE's humble thoughts Thoughts the world doesn't need yet …

19.02.2016

Trust Delegation with CAA DNS RR

Filed under: Server — Schlagwörter: , , , — BenBE @ 10:42:51

Every security technology needs a certain deployment base in order to be effective. With many other security measures already at our disposal restricting the set of Certificate Authorities that may issue a X.509 certificate for a given domain is just another step. The standard for doing so, is RFC 6844 specifying the DNS Certificate Authority Authorization (CAA) Resource Record. Specifying a special DNS RR it allows any complying CA to check, if the owner of the domain (actually: The one in control of the DNS) wishes any given CA to issue certificates for this domain.

Given the CAA DNS RR is quite new, the question arose, if there are any deployments yet.

Text für „Trust Delegation with CAA DNS RR“ anzeigen
Direkt zum Beitrag

Flattr this!

02.10.2014

Technisch notwendig

Filed under: Server — Schlagwörter: , , , , — BenBE @ 09:24:07

Nachdem ich ja bereits an anderer Stelle erklärt habe, dass viele Hoster inzwischen wissen wollen, warum man eine IPv4 möchte, war ich beim derzeit durchgeführten Server-Umzug regelrecht überrascht! Auf Grund der fortschreitenden Knappheit, hätte ich mit deutlich mehr Problemen gerechnet.

Text für „Technisch notwendig“ anzeigen
Direkt zum Beitrag

Flattr this!

13.03.2014

BIND9 mit Stoßdämpfer

Filed under: Server,Software — Schlagwörter: , , , , , , , , — BenBE @ 10:03:27

Nachdem ich ja längere Zeit eher Probleme hatte mit Bind9, weil er sich nicht wie gewünscht mit DNS Dampening betreiben ließ, sondern nur mit DNS Response Rate Limiting, was eher schlecht als recht funktioniert, gibt es inzwischen einen Lichtblick. Mit der Unterstützung von Wonka ist es gelungen, den Patch von Lutz Donnerhacke auf aktuelle Bind9-Versionen zu portieren. Bereits nach kurzer Zeit gab es positives Feedback von Upstream, weshalb an dieser Stelle auf das Repository mit den gepatchten Debian-Quellen verwiesen sein soll, aus denen sich leicht eigene Packete mit DNS Dampening erzeugen lassen.

Text für „BIND9 mit Stoßdämpfer“ anzeigen
Direkt zum Beitrag

Flattr this!

18.02.2012

Lautstärkenbegrenzung für DNS-Queries

Filed under: Server — Schlagwörter: , , , — BenBE @ 15:27:06

Nachdem seit einiger Zeit versucht wurde, meinen Server mittels gefälschter DNS-Queries als Teil eines DNS-Amplification-DDoS zu missbrauchen, gab es bereits vor einigen Wochen ein paar kleine Änderungen in meiner Firewall, um die Bandbreite, die mit solchen Angriffen erreicht werden kann, stark zu reduzieren. Und während wie man im DNS-Graphen sehen kann, auch bereits gut wirkte, so war dennoch dieses unnötige Grundrauschen da. Um auch dieses zu entfernen, gab es eine weitere Ergänzung in der Firewall.

Text für „Lautstärkenbegrenzung für DNS-Queries“ anzeigen
Direkt zum Beitrag

Flattr this!

03.09.2011

Technische Notwendigkeit

Filed under: Server — Schlagwörter: , , , , , — BenBE @ 02:50:29

Ich habe mir da einen neuen Server geholt und eine der Sachen war nun, dass abzusehen war, dass mehrere der zu installierenden Dienste sich ins Gehege kommen würden. Also grob gesagt: Es gab 3 Dienste, die liebend gerne auf Port 53 laufen wollen. Nun sind IPv4-Adressen knapp und der neue Hoster achtet etwas strenger drauf, wofür man die haben möchte. Da ich aber wenig Lust auf irgendwelche Sonderkonfigurationen hatte, um jeden Service auf einem andere Port zu betreiben und am Ende alles irgendwie zu verdrahten, habe ich mir also überlegt:

  • Auf der Haupt-IP des Servers wird der gesamte Web-Krams, sowie Public-Services laufen. Hier läuft auch der erste der konfliktierenden Services: Ein offener DNS-Recursor, den jedermann als DNS-Server in seinem Router eintragen kann. Soweit unspannend also.
  • Die erste spannende Geschichte läuft nun auf der ersten Zusatz-IP. Diese beherbergt (zur Zeit) einen autoritiven DNS-Server, der auf eine Reihe von meinen eigenen Zonen autoritiv antwortet, was u.a. meine Blacklist für Client-IPs betrifft, die über meinen Mailserver relayn wollten.
  • Und bei der zweiten zusätzlichen IP schließlich laufen eine Reihe von VPN-Dienste, die in Kooperation mit dem Freifunk Chemnitz bereitgestellt werden.

Man geht also beim Provider in das Webinterface und bestellt über das verfügbare Interface die IPs. Als Teil dieser Prozedur wird dann auch bereits nach einer Begründung gefragt. Was aber noch nicht verraten wird, ist die Angabe, um welches der zahlreichen RIPE-Dokumente es sich bei den erwähnten Vergabe-Richtlinien handelt, anhand derer die Vergabe entschieden wird.

Text für „Technische Notwendigkeit“ anzeigen
Direkt zum Beitrag

Flattr this!

08.04.2011

Sichere Updates

Filed under: Software — Schlagwörter: , , , , , , , , , , , — BenBE @ 20:45:40

Heute hatte ich wieder einmal eine recht spannende Diskussion. Anlass dieser war, dass Palemoon in Version 4 einen Bug im Updater hat, der dazu führt, dass auch vorhandene Updates nicht gefunden werden. An sich nicht weiter schlimm, könnte man meinen, denn das mit den Updatern haben schon ganz andere Leute nicht hinbekommen. Was mich an der Stelle aber etwas aufgeregt hat, war „die Lösung“ bzw. der vorgeschlagene Würgaround: „Schaltet einfach SSL ab“. Gute Nacht, Sicherheit!

Text für „Sichere Updates“ anzeigen
Direkt zum Beitrag

Flattr this!

10.10.2010

Master/Slave-Konfiguration für Bind9 (mit rDNS für IPv6)

Filed under: Server — Schlagwörter: , , , , , — BenBE @ 16:24:50

Wieder ist ein neues Projekt abgeschlossen und funktioniert vorerst soweit wie es benötigt wird. Hintergrund des Projektes war es, für das IPv6-Subnetz des Servers die rDNS-Namensauflösung (Reverse DNS) zu konfigurieren. Vom Anbieter wurde hierfür zwar ein „Web-Interface“ bereitgestellt, was aber dazu geführt hätte, dass jede IPv6 einzeln einzutragen gewesen wäre – schön ist irgendwie anders.

Text für „Master/Slave-Konfiguration für Bind9 (mit rDNS für IPv6)“ anzeigen
Direkt zum Beitrag

Flattr this!

03.07.2010

Professionalität pur

Filed under: Server — Schlagwörter: , , , , , — BenBE @ 18:56:26

Also bei manchen Dingen reibt man sich echt verwundert die Augen, selbst wenn einige in dieser Hinsicht bei dem Jucken und dem damit verbundenen Ausschlag wohl schon arg schmerzbefreit zu sein scheinen. Denn mit gesundem Menschenverstand ist nicht zu erklären, was bei einem der Domain-Hoster gerade passiert.

Text für „Professionalität pur“ anzeigen
Direkt zum Beitrag

Flattr this!

16.05.2010

Katastrophen-Recovery mit ispCP

Filed under: Server — Schlagwörter: , , , , , , , , , , , — BenBE @ 20:40:03

Heute gibt es von meiner Seite einmal einen der Beiträge, die man am liebsten nie brauchen wöllte: Wie stelle ich aus minimalen Daten ein ispCP wieder her, falls es am alten Sytem zu Problemen kam. Und auch wenn ich schreibe, Katastrophen-Recovery: Alles, was über einen gewissen Grad an Problemen hinaus geht, wird auch mit dieser Anleitung nicht zu beheben gehen. Von daher eine kurze Checkliste:

  1. Habt ihr ein Backup ALLER Server-Dateien? Wenn ja, reicht im Wesentlichen die Migrationsanleitung von der ispCP-Homepage. Dennoch empfehle ich einen Blick weiter unten zu Hinweisen während man dies erledigt.
  2. Habt ihr ein Backup aller Userdaten UND folgenden Dinge:
    1. die Datenbank ispcp des alten Systems (Binärkopie ausreichend!)
    2. die Datenbank mysql des alten Systems (Binärkopie ausreichend!)
    3. die ispcp.conf des alten Systems
    4. /var/www/ispcp/gui/include/ispcp-db-keys.php
    5. /var/www/ispcp/engine/ispcp-db-keys.pl

    Sollten von den letzten beiden Dateien nur eine verfügbar sein, so kann die jeweils andere aus dieser Datei erzeugt werden. Fehlen beide, kann nur versucht werden, mit Hilfe des Howtos zum Setzen des MySQL-Passwortes für ispCP diese Dateien zu erzeugen. Dies muss nach dem Wiederherstellen der MySQL-Nutzer-Datenbank und vor Aufruf des Setup-Skripts geschehen. DATABASE_USER und DATABASE_PASSWORD müssen für diesen Fall nach Aufruf des Passwort-Skriptes aus der ispcp.conf in die ispcp.old.conf übertragen werden, da ispCP sonst mit den falschen Schlüsseln ein Login probiert.

  3. Habt ihr vom alten System genug Daten, um die im vorigen Punkt nötigen Daten der zweiten Subliste zusammenzukratzen. Wenn nicht, gilt auch hier: Beißt in saure Äpfel, der Todesgott eurer Installation mag die.

Okay: Eines vorweg: Wenn ihr mindestens einen Punkt der obigen Liste bejahen konntet, bestehen berechtigte Hoffnungen, dass ihr um eine vollständige Neuinstallation herumkommt. Eine Garantie gibt es hierbei aber nicht, da die nächsten Schritte mit extrem vielen Möglichkeiten für Fehler verbunden sind und ich es selber beim Erarbeiten dieser Liste geschafft habe, so nahezu JEDE Fehlermeldung, die ispCP bietet auch einmal zu erhalten. Wer also nicht allzu frusttolerant ist, sollte es vor dem Fortfahren mit geeigneten Antidepressiva probieren. Ihr wurdet gewarnt.

Text für „Katastrophen-Recovery mit ispCP“ anzeigen
Direkt zum Beitrag

Flattr this!

13.05.2010

DNSBL aus Postmap-Files erstellen

Filed under: Server — Schlagwörter: , , , , , , — BenBE @ 23:53:55

Wie ich vor ein paar Tagen bereits angedeutet habe, habe ich auf meinem Postfix nun einen IP-Filter am Start. Da es zudem Anfragen zur Weiternutzung dieser Liste gab, habe ich mir einmal kurz angeschaut, wieviel Aufwand das Veröffentlichen dieser Liste via Bind benötigt. Und wie sich herausstellt, lässt sich der Hauptteil der Arbeit mit gerade einmal einer Zeile AWK lösen.

Text für „DNSBL aus Postmap-Files erstellen“ anzeigen
Direkt zum Beitrag

Flattr this!

Older Posts »

Powered by WordPress