TCP/IP
In letzter Zeit häufen sich mal wieder die Angriffe auf Webseiten, bevorzugt Shops. Die Masche der Erpresser läuft meist so, den DDoS Angriff per Email anzukündigen um vorab ein “Schutzgeld” zu erpressen. Näheres wusste bereits der Spiegel unter http://www.spiegel.de/netzwelt/web/0,1518,701879,00.html zu berichten.
Im Gegensatz zum Spiegel Artikel, welcher meist von Säberasseln ausgeht, und eher auf die Trittbrettfahrer abzielt, ist die Bedrohung durchaus real, da sich bereits mit einem Server und ein wenig Perl entsprechend ungeschützte Webserver aus dem Rennen nehmen lassen. Einer der Vertreter dieser Angriffsschnecken, wie ich sie nenne, ist Slowloris, aber es gibt auch andere die ähnlich arbeiten.
Da Slowloris ohne Probleme frei verfügbar ist unter http://ha.ckers.org/slowloris/ , kann jeder halbwegs versierte ITler so einen Angriff starten, sei es zu Kontrollzwecken ob die eigene Infrastruktur vor solchen Angriffen geschützt ist, oder auch zu kriminellen Zwecken, wie der oben genannten Erpressungsweise. Anfällig für solche Angriffe sind zum Beispiel die meisten Apache Server, alte Nginx Versionen und auch diverse andere Webserverplattformen.
In größeren lastverteilten Systemen welche Hardware Balancer nutzen und die korrekt konfiguriert sind, tritt das Problem eher weniger auf, da diese meist von Haus auf ein sogenanntes Late Binding vornehmen, und gegen die meisten dieser Angriffe schützen. Anders sieht es bei alleine im Netz stehenden Servern aus, oder lastverteilten Systemen welche eine Direktverbindung zum Webserver auf dem zum Beispiel ein Apache Server läuft zulassen (IPVS als Beispiel).
Für die letzteren Varianten gibt es aber dennoch diverse Schutzmöglichkeiten. In einem kompletten Setup mit Balancing kann man zum Beispiel als Eintrittstor einen aktuellen NGINX Server nehmen, der auch gleich das SSL Offloading übernehmen kann, aufgrund seiner sehr guten Performance. Dieser greift auf einen HAPROXY zu welcher das Balancing übernimmt. Die eigentlichen Webserver sind am Ende Apache Webserver, welche jedoch mit mod_qos laufen, welches zum Beispiel SLOWLORIS sehr gut abfangen kann.
Die einzelnen Elemente dieser Setups und genauerer Beschreibungen findet man unter den folgenden Links:
Mit diesen Komponenten kann man seine Infrastruktur relativ gut gegen diese Form von Angriffen schützen. Natürlich sollten bei Linuxsystemen von Haus auf zusätzlich TCP_SYNCOOKIES aktiviert sein, um eine andere Angriffsform abzudecken. Distributionen wie aktuelle Fedora oder CentOS haben diesen Parameter bereits als Standardeinstellung aktiviert.
Dann mal erfolgreiches Schützen!
So, auf meine Mail ist jetzt erstmal in gewohnter Form eine automatisierte Antwort eingetroffen. Übliche Standardfloskel aber keine Ticketnummer auf welche man sich beziehen könnte. Wortlaut ist wie folgt:
“Sehr geehrte Kundin, sehr geehrter Kunde,
wir danken Ihnen für Ihre E-Mail. Unser Fachteam antwortet Ihnen so schnell wie möglich.
Ihr Kabel BW Kundenservice
P. S.: Wir freuen uns, wenn Sie uns unter www.kabelbw.de/faq besuchen. Dort finden Sie Antworten auf Fragen, die uns häufig gestellt werden und alles Wissenswerte rund um unsere Produkte und Dienstleistungen.”
Mal abwarten was noch so kommt.
Da ich mich gerade mit einem genialen Stück Software rumschlagen muss, welches sich Arcor Internet Manager schimpft, und dieses mir viel Zeit beschert, werde ich mal die Gelegenheit nutzen meine Meinung dazu loszuwerden.
Dieses hübsche Programm, dessen Zugang man unter https://iportal.arcor-ip.de vorfindet bietet einem unter anderem die Möglichkeit, DNS Einträge für komplette Zonen oder auch nur einzelne RRs anzulegen, zu modifizieren, etc. Soweit die Theorie.
Im Rahmen einer Umstellung bei einem unserer Kunden gestaltet sich die Praxis jedoch völlig anders. Wie gewohnt, sollten anfänglich (ist schon ein paar Tage her) erstmal die TTL Zeiten der Zonen herabgesetzt werden, um die Umstellung reibungslos zu machen. Schon dies scheiterte an fehlenden Rechten.
Nach gefühlten 500-1000 Anrufen seitens des Administrators unseres Kunden bei der Arcor lies sich das TTL Setting für die Zonen dann auch endlich ändern. Aber es ist ja nicht so, dass die Änderungen die man über das unübersichtliche und unintuitive Interface vorgenommen hat zeitnah aktiv werden – neeeeeeein, im Schnitt wartet man garantiert 6 Stunden bis die Zone dann im veränderten Zustand Ihren Weg in die NS der Arcor findet. *sigh*
Ein weiteres tolles Feature dieses Internetmanagers ist die sogenannte DNS-Sandbox. Sie soll dem Anwender ermöglichen im Stile von CVS oder SVN einen Checkout der Zone durchzuführen. Oh Wunder, dass funktioniert sogar. Dann ist aber auch schon Ende der Fahnenstange. Weder die Importfunktion von Zonen die man in Textdateien hochlädt funktioniert, noch die Funktion zur Generierung einer Zone, welche einen mit einer wenig aussagekräftigen Fehlermeldung abschmettert. Wenigstens funktioniert die Check-In Funktion, welche aber bei einer letztendlich unveränderten Zone wenig Sinn macht.
Ich hab jetzt mal testweise zwei Zonen gemäss meinen Vorstellungen modifiziert und warte jetzt auf die Ergebnisse. Im Rahmen wie das DNS Handling bei Arcor funktioniert, hätte man sich das Herabsetzen der TTL Zeiten genauso gut sparen können, es dauert so oder so ewig, bis die Einträge erstmal auf die DNS Server distributiert sind.
Danke ARCOR für dieses tolle Stück Software!
During a project, we came across the problem to proxy the services of a Citrix Secure Gateway for security purposes. No deal I thought, because of the TCP over HTTP tunneling thing I had back in my mind. We’ve tried proxyiing via Squid, as well as Apache and stunnel to no avail. The problem is in the nature of how the SSL Connection is beiing used, and that it’s not a real HTTP connection at all. With the proxying enabled, the session terminates at the proxy system. The secure gateway itself thinks about this like it is a kind of “man-in-the-middle” attack., and denies the connection with an misleading SSL Error 4.
I can understand, that this kind of protection is useful in many ways, but with the usage of http proxy servers and restricted firewall policies it’s more a problem than a feature. You have to either pinpoint you’re firewall with DNATs and the like, or use a commercial feature like the Citrix Secure Gateway Proxy to get rid of the problem.
The final solution to this was, to use socat a multipurpose Relay. From the about page of socat:
socat is a relay for bidirectional data transfer between two independent data
channels. Each of these data channels may be a file, pipe, device (serial line
etc. or a pseudo terminal), a socket (UNIX, IP4, IP6 - raw, UDP, TCP), an
SSL socket, proxy CONNECT connection, a file descriptor (stdin etc.), the GNU
line editor (readline), a program, or a combination of two of these.
These modes include generation of "listening" sockets, named pipes, and pseudo
terminals.
So, whenever you’re facing a problem like this, were regular reverse proxy solutions won’t work, give socat a try, for me it saved my day.
You can get socat at http://www.dest-unreach.org/socat/
For all you Sysadmins using Nagios and Firefox – while browsing the Firefox AddOn Repository I discovered a nice nagios plugin for Firefox. It displays the status from the nagios pages right in your brwoser status bar, and is quiet configurable (filters, etc.) You can find the plugin here
An alle Sysadmins die Nagios verwenden und mit dem Firefox im Netz unterwegs sind – als ich so durchs Firefox AddOn Repo gestöbert habe, bin ich auf ein nettes Nagios Plugin für Firefox gestossen. Es zeigt die Stati der Hosts und Services des Nagios in der Firefox Status Leiste und hat viele Einstellmöglichkeiten, wie Filter, etc. Das Plugin gibts hier.
- Advisories (2)
- Apache (7)
- Arbeit (21)
- BSD (1)
- Design (5)
- Deutsch (3)
- Internet (6)
- Social Networks (1)
- Internetanbieter (3)
- Linux (14)
- Fedora (6)
- Fedora Core (2)
- Gentoo (1)
- Netzwerk (9)
- PHP (8)
- Privat (5)
- Programmierung (8)
- Software (5)
- Open Source (4)
- Sonstiges (2)
- TCP/IP (7)
- Technologie (28)
- Tipps (13)
- Uncategorized (22)
- Virtualisierung (2)
- Windows (3)
