RackBlogger

Aus dem aktuellen DE-CIX Newsletter:

Wer es nicht braucht, der sollte die Finger davon lassen - wer es aber braucht, der weiß, wie schwierig das sein kann: PCI-Compliance. Zum Glück gibt es aber LiveConfig: ab der nächsten Version (1.6.4) kann man mit wenigen Mausklicks alle Serverdienste so konfigurieren, dass diese den Scan eines PCI-ASV (Authorized Scanning Vendor) bestehen. Unseren Referenzserver haben wir so bereits erfolgreich durchgetestet:

Das bedeutet aber noch nicht, dass der Server somit konform zum PCI-DSS (Data Security Standard) konfiguriert ist - auch wenn Anbieter anderer Controlpanels das gerne so verkaufen. Wir bereiten derzeit eine ausführliche Checkliste dafür vor - weitere Details dazu dann bei Gelegenheit. Unter anderem ist es erforderlich, dass eine Zwei-Faktor-Authentifizierung für Admin-Logins verwendet wird (siehe PCI-DSS 8.2, kann Plesk das? *hüstel*).

Abschließend muss ich aber sagen, dass die aktuellen PCI-Scans ein völliger Quatsch sind. So fällt man beispielsweise durch, wenn für SMTP, POP oder IMAP ein SSL-Cipher genutzt werden kann, der nicht gegen die BEAST-Attacke immun ist. Diese kann man als Angreifer aber nur ausnutzen, wenn man die Möglichkeit hat, große Datenmengen durch den verschlüsselten Übertragungskanal zu senden, auf die man selbst Einfluss hat (z.B. per Java-Applet, JavaScript, etc.). Bei SMTP/POP/IMAP ist das nicht möglich.

Die Einschränkung der SSL-Ciphers führt dazu, dass bei klassischen SSLv3/TLSv1-Protokollen lediglich RC4 als einziger “erlaubter” Chiffre übrig bleibt - und der gilt bekanntlich auch nicht mehr als besonders sicher. [PARANOID]Vielleicht ist nur RC4 erlaubt, weil so bequem alle verschlüsselten Verbindungen via PRISM etc. decodiert werden können?[/PARANOID]

Interessanterweise hat der PCI-Scan aber kein Problem damit, dass bei FTPS-Verbindungen wiederum die BEAST-anfälligen Block-Chiffres erlaubt sind - das ist schon irgendwie inkonsequent.

Zumindest bei den PCI-Scans durch Comodo sieht es übrigens so aus, als ob diese mit Nessus ausgeführt werden (die Scan-Muster auf dem Server sowie einige Einstellungsmöglichkeiten bei HackerGuardian legen das nahe). Wir haben testweise unser System mit OpenVAS geprüft und dabei deutlich ausführlichere und brauchbarere Ergebnisse erhalten als mit dem PCI-Scan-Report. Ein Loblied auf OpenVAS möchte ich in Kürze noch mal in einem separaten Blog-Beitrag singen.

Seit einigen Tagen beobachten wir eine leicht angestiegene Last auf einem unserer DNS-Server. Nicht nennenswert, aber immerhin im MRTG-Graphen leicht sichtbar.

Nun habe ich in der Prozessliste gesehen, dass der BIND-Prozess derzeit >30% CPU zieht, obwohl quasi nichts Besonderes los ist (der DNS arbeitet nicht als Resolver, sondern löst nur die bei uns gehosteten Domains auf). Erst auf den dritten oder vierten Blick ist mir dann aber etwas Anderes aufgefallen: in der Skala des Graphen für DNS-Anfragen pro Minute steht plötzlich ein “k”. Soll heißen, die Anfragezahlen sind in den letzten Tagen etwa um den Faktor 500 (!) gestiegen. Im Wochen-Graphen sieht man das recht deutlich:

Ich bin mal gespannt was genau dahinter steckt. Als Erstes werde ich mir mit tcpdump nun mal die Anfragen etwas genauer unter die Lupe nehmen…

Wir freuen uns riesig, dass unsere Controlpanel-Software LiveConfig für den begehrten eco Internet Award nominiert wurde! Mit diesem Preis zeichnet der eco - Verband der deutschen Internetwirtschaft e.V. jährlich die innovativsten Produkte und Dienstleistungen aus. In der Kategorie Hosting/Housing/Datacenter zählt LiveConfig zu den drei Besten.

Nun heißt es: abwarten und Daumen drücken - die Verleihung des Preises findet am 27. Juni im Rahmen einer feierlichen Gala in Köln statt.

Um sich bis dahin die Zeit etwas zu verkürzen empfehle ich, einen Blick auf die neue Version 1.6.2 von LiveConfig zu werfen: mit Zwei-Faktor-Authentifizierung (z.B. via Google Authenticator), einem Live-Log-Viewer, der Verwaltung globaler php.ini-Einstellung, Login für E-Mail-Endkunden und vielem mehr.

An den nächsten Features wird bereits gearbeitet.

Vor wenigen Tagen hat Google ja seine überarbeiteten “Maps” vorgestellt - das Ergebnis kann sich sehen lassen. Statt nur von oben sieht man in der Zoom-Ansicht nun im ca. 45-Grad-Winkel auf die Karte. Dem Parkplatz nach zu urteilen muss die Aufnahme von unserem Büro irgendwann am Wochenende erfolgt sein. Und mein Auto steht natürlich auch da.

Die EU-Kommission hat uns mit der grandiosen Olivenöl-Bevormundung auf eine tolle Idee gebracht: jeder Betreiber eines dedizierten Servers in Europa muss unbedingt eine Controlpanel-Software von einem zertifizierten, europäischen Anbieter nutzen (wie beispielsweise LiveConfig ). Schließlich ist nur so sichergestellt, dass der Verbraucher seinen Server auch anständig nutzen kann.

Ich werde mir nun mal ein Buch über Lobby-Arbeit anschaffen und den Sommer in Brüssel verbringen.

Und noch eine Szene aus dem Büro:

“Weißt Du eigentlich wie schwer es ist, in der Cloud zu arbeiten, wenn draußen so ein blauer Himmel ist?”

Hintergrund: ein Kollege bereitet derzeit ein paar Anleitungen zur Installation von LiveConfig auf diversen Cloud-Plattformen vor…

Eben im Büro:

“Sag’ mal… VZFS… ist das nicht irgend was mit Virtuozzo?”

“Nee, das ist der Verband Zoologischer Fachgeschäfte in der Schweiz.”