Kategorien-Archiv CRNET

VonChristian Rehkopf

pfSense Firewall auf gebrauchter Hardware – lohnt sich das?

Kaufmännisch und im Hinblick auf Zuverlässigkeit ist gebrauchte Hardware für eine professionelle Firewall durchaus eine Überlegung wert.

Werfen wir einen Blick auf den Kostenvergleich und dazu gebe einige Erfahrungen mit gebrauchter Hardware zum Besten.

Wer eine oder mehrere Filialen hat, und/oder in seinen Firmenräumen WLAN für Betriebsfremde oder Besucher anbieten möchte, kommt um eine gute Firewall nicht herum. Als wahres Universalgenie hat sich hier die pfSense herauskristallisiert, da es sich um eine skalierbare Lösung handelt, die nahezu jede Anforderung abdeckt. VPNs, Proxy, Antivirus, Certificates und derlei mehr sind mit pfSense konfigurierbar – je nach Hardware.

Die Software basiert auf FreeBSD und lässt sich auch auf PC-Hardware oder in Virtuellen Maschinen installieren. Da diese Systeme 24/7 in Betrieb sind, hat eigens für Firewalling/Routing abgestimmte Hardware durchaus ihre Berechtigung: diese braucht zumeist weniger Strom als vergleichbare PCs. Hauptsponsor und Lieferant der pfSense-Firewalls ist Netgate, ein Texanischer Anbieter ebensolcher, auf Routing und Firewall abgestimmter, Systeme. Aber die Amis lassen sich die Systeme auch ganz gut bezahlen, was immer wieder ein Grund ist, sich nach Alternativen umzusehen.

Probieren wir es aus:

gebrauchte Hardware WatchGuard Firebox mit pfSense Firewall für den professionellen Einsatz

WatchGuard Firebox: gebrauchte Hardware mit pfSense Firewall für den professionellen Einsatz

Für ein Projekt haben wir uns nun eine gebrauchte WatchGuard Firebox zugelegt, und da pfSense drauf installiert.

Das Gerät fanden wir gut, weil es 8 Gigabit-LAN-Anschlüsse an der Geräte-Vorderseite hat, und der Rest der technischen Daten war auch OK. Der Massenspeicher ist eine CompactFlash Card – im Original mit 256 MB – wir haben eine 4GB-Karte eingebaut, aber dazu später mehr. Das Gerät hat sogar einen Festplatten-Einschub, mit einem stärkeren Prozessor wäre sogar ein Proxy-Cache kein Problem.

Die Watchguard hat 8 Gigabit-Ports, von denen wir allerdings „nur“ 6 benötigen, vergleichbar wäre das mit der NetGate SG4860, von 19-Zoll Formfaktor und dem moderneren Prozessor mal abgesehen. Das werfen wir mit den 2 extra-Ports in die Waagschale, dann passt es wieder. Die NetGate liegt bei 800 $, also mit Versandkosten bei rund 800 Euro – das soll als Größenordnung reichen. Der Zoll möchte zwar 19% Mehrwertsteuer haben, aber das ist in einem Betrieb mit derartigem Bedarf irrelevant. In einem anderen Projekt haben wir die 19-Zoll Variante mit Extra-Disk eingesetzt, die schlug dann deutlich kräftiger zu Buche.

Dagegen bekommt man die Watchguard 1250e für knapp unter 400 Euro; es gehen auch mal welche für 200 raus, aber auch andere für 500. Die 400 Euro nehmen wir als kalkulatorische Größe.

Die Installation:

Um pfSense darauf zu installieren, benötigt man ein Nullmodemkabel, einen seriellen Port oder passenden USB-Adapter (siehe Bild), eine CF-Card mit 2 oder 4 GB, ein Lesegerät dafür als Werkzeuge, und das KnowHow und die Befähigung, damit auch umgehen zu können. Serielle Konsole und Diskimages sollten bekannt sein.

Allein die pfSense-Installation schreibt zwar knapp 60 Minuten auf die CF-Card, in der Zeit kann man aber die anderen Dinge Erledigen (BIOS Flashen etc) die zu tun sind. Nach der Grundinstallation muss man noch einige Anpassungen vornehmen, z.B. die Software für das LCD und die Kontrollampen installieren. Aufwand: ca. 2 Stunden – allerdings nicht beim ersten mal.

Wie das geht, teile ich am Ende des Artikels.

Die „Rechnung“

Sagen wir mal, als Installationspauschale 200 Euro, dann könnt man das als Service machen (hierbei ist allerdings die Garantie-Frage offen – speziall das BIOS-flashen ist nicht risikolos). Dann bleiben 25% reine Kosten-Ersparnis. Das Ergebnis zur neu gekauften Variante ist gut, hat aber: keine Garantie mehr, ältere Prozessoren (und damit bestimmt auch einen höheren Stromverbrauch), aber dafür 2 Ports mehr.

Benötigt man 8 Ports, hat man weniger die Wahl, bietet NetGate keine Variante mit mehr als 6 Ports an.

Bei kleineren Geräten (2- oder 4-Port) wäre der Aufwand der selbe, bei deutlich geringerem Spar-Potential. Also wenn überhaupt, lohnt es sich nur oberhalb der 4-Port-Grenze. Die Beschaffung der „Werkzeuge“ lohnt schon für eine einmalige Installation (rund 30 Eur).

Ein abschließendes Urteil kann man somit nicht fällen, kommt es doch immer auf die einzelne Situation an. Wer eine Entscheidung sucht, hat hier vielleicht ein paar Hilfen gefunden.

Erfahrung mit gebrauchter Hardware

Einen Rechner / Router / Switch etc., der 2 – 3 Jahre in einem Rechenzentrum gelaufen ist, und der jetzt aus dem Leasing heraus ist und dadurch auf dem Gebrauchtmarkt auftaucht, macht bestimmt keine Probleme. Eine gebrauchte Festplatte von ebay von privat ohne Gewährleistung hingegen, würde ich mir nicht mal ansehen.

Es gibt etliche Händler von gebrauchter Hardware, die genau die Komponenten aus dem ersten Beispiel mit Garantie anbieten.

Wir hatten auch gebrauchte Hardware im Einsatz, interessant sind dann (falls verfügbar) die Betriebsstatistiken. 26.000 Betriebsstunden bei 5 Einschaltvorgängen spricht für Rechenzentrums-umgebung – da kann man sich noch 5 Jahre drauf verlassen – das läuft. Mit derartigen „Kisten“ haben wir in den 15 Jahren Hardware-im-Rechenzentrum bessere Erfahrungen gemacht, als mit manchem Neugerät mit „Kinderkrankheiten“. Festplatten sind allerdings ein anderes Thema.

In unserem Fall sehe ich grundsätzlich zunächst kein Problem darin, eine Firewall als Gebrauchtgerät einzusetzen. Das von uns eingesetzt Gerät kam aus einem Universitäts-Rechenzentrum – also mit an Sicherheit grenzender Wahrscheinlichkeit aus einer klimatisierten Notstrom-versorgten Umgebung.


Links zu Seiten, auf denen steht wie man das macht

Wir sind vorgegangen nach:

https://www.hexhound.com/how-to-flash-pfsense-2-1-to-a-watchguard-firebox-x750e-x550e-ssl-500

Zusätzliche Treiber:

http://www.triebwerk23.de/joomla/index.php/firewalls/watchguard-firebox-x-core-e-x550e-x750e-x1250e-pfsense
Ab Punkt „D“.

Auf dieser Website findet man auch andere Beschreibungen zu pfSense-Installationen auf anderen Embedded-Systems.

 

VonChristian Rehkopf

Das Jahr 2017 ist schon da

Ich hab grad das erste Feuerwerks-Video von einem Freund aus Australien gesehen – das hat mich aus meiner Nachweihnachts-Dämmerung gerissen. Mein Jahreswechsel-Blogpost ist fällig.

Wie immer, zunächst der Blick zurück:

Der Ausbau der Verwendung des Proxy am AMSIX ist praktisch abgeschlossen. Auf dem Render-Server ist keine Domain mehr eingerichtet, die nicht auch Seiten liefert. Umgekehrt jedoch liefert der Proxy Seiten für Domains, die keine Webserver haben. Sehr effizient!

Unabhängig von Webseiten und Servern im „öffentlichen Raum“ des Internet, habe ich meine Aktivitäten im Segment der Filialvernetzung, VPN und Standortsicherheit weiter ausgebaut. Sicherheit und Verschlüsselung waren schon immer mein berufliches „Hobby“ und entwickelt sich nun zu einem Schwerpunkt von CRNET.

Unser „Bahnhofs-Projekt“ ist nach 4 Jahren dann endlich so weit vorangeschritten, das wir im März umziehen. (Phase 1: Wohnung und CRNET) Im Sommer/Herbst werden wir auch die restlichen Gewerberäume in Beschlag nehmen können. Dann kann ich auch wieder Kundengespräche / Meetings im Büro führen, was ja seit ein paar Jahren nicht mehr sinnvoll war.

Und der Blick nach vorn:

Im wesentlichen wird es so weiter gehen, wie im letzten Jahr: Ausbau der IT-Security-Dienstleistungen und Reduzierung der Online-Aktivitäten a.a.s..

Das Brot- und Butter-Geschäft der letzten 18 Jahre hat sich verändert. Mit Homepage-Erstellung kann man heute keinen Blumentopf mehr gewinnen. Die Systeme wie WordPress & Co. sind zu einfach geworden, die Endgeräte sind mobil und der Seitenbesucher meist nicht bereit mehr als 2 Zeilen zu lesen.

Auf der anderen Seite sind es unberechtigte Zugriffe und deren Folgen, die den Firmen zu schaffen machen. Davor kann man sich schützen. Auch das Cloud-Comuting sollte man nicht überbewerten! Es gibt keine Cloud, das sind immer Rechner, die jemand anderem gehören. In diesem Zusammenhang werde ich noch weiter an dem Projekt des persönlichen Servers arbeiten, dieser ist bereits in mehr als einem Dutzend Firmen in den verschiedensten Bereichen im Einsatz – hier auch. Meine Termine und Kontakte gehören in keine Cloud, nicht auf Facebook, nicht zu Apple oder Google.

Hier ist angestrebt, eine reproduzierbare, vervielfältigbare Lösung zu schaffen. Da es jetzt für Privatanwender den VMWare Workstation Player kostenlos gibt, steht hier eine Überarbeitung der Gesamtlösung samt Tutorial an.

Na dann: Glaskugel wieder eingepackt, Sekt kaltgestellt, Pfannkuchen mit Senf gefüllt und weitergemacht!

Guten Rutsch wünscht

CRNET – Christian Rehkopf

VonChristian Rehkopf

VPN Infoseiten sind online

Ich hab eine kleine Seitensammlung mit meinen VPN-Erfahrungen zusammengestellt.

Das Thema ist wirklich kompliziert, und es gibt keine Lösung aus der Schublade. Jeder Tunnel hat andere Voraussetzungen und damit auch verschiedene Möglichkeiten aufgebaut und eingesetzt zu werden.

Dazu kommen die verschiedensten Verschlüsselungsmöglichkeiten, und diese hab ich noch nicht einmal angefangen zu beschreiben oder zu erklären.

Hier geht es los: VPN, Netzkopplung und Standortvernetzung

Das ist erst mal die Grundlage, es werden weitere Seiten zum dem Thema folgen. Vorschläge und Fragen sind willkommen.

VonChristian Rehkopf

EOL mail.crnet.de 17.11.2016

Es ist soweit, der „mail.crnet.de“-host geht in den Ruhestand am 17.11.2016 – da läuft das Zertifikat ab.

Das macht aber nichts, denn den Namen gibt es zwar noch, das System an sich ist aber schon lange weg, nämlich seit dem 28.05.2015.

Um nicht alle Konten auf einmal umziehen zu müssen, hatten wir auf den „richtigen“ Mailserver (mx.anycast.io) eine weitere IP-Adresse geschaltet, und diese als CRNET-Mailserver deklariert. Und alle Konten sind nach und nach umkonfiguriert worden, hier galt es nur, den Mailserver im Mailkonto von „mail.crnet.de“ auf „mx.anycast.io“ umzuschalten.

Wir werden nun noch beobachten, ob es noch User auf den CRNET-IPs gibt, und diese einzeln direkt benachrichtigen.

Wenn dann das Zertifikat abgelaufen ist, wird auch die IP abgeschaltet.

Das gleiche haben wir mit unseren Nameservern gemacht, davon hat aber kaum jemand etwas mitbekommen, denn da läuft alles „Backstage“.

Und was hat CRNET mit anycast.io zu tun?

Mail- und Nameserver hatte CRNET lange selber betrieben, weil die konventionellen Anbieter dieser Systeme nicht unseren Ansprüchen gerecht geworden sind. Klingt etwas hochtrabend, ist aber wirklich so:

  • Wir hatten schon lange (2010) unsere Nameserver Datenbankbasierend, um Ressourcerecords in Echtzeit umschalten zu können, das System hatten wir selber entwickelt.
  • Unser Mailserver hatte ebenfalls immer ein Datenbank-Backend – der letzte war auch eine Eigenentwicklung (zumindest im Backend-Bereich), mit etlichen besonders coolen Features – hier ein Beispiel: Domaintable.

Diese Dinge hatte ich mir auch damals nicht alleine ausgedacht, sondern mit Partnern – und einer davon hat mit einem anderen irgendwann anycast.io gegründet, um die coolen Funktionen noch cooler zu machen. Dazu kommen auch noch die ganzen Verschlüsselungs-Dinge auf uns zu: DNSSEC, PKI, Domainkeys und derlei mehr. Das alleine zu konfigurieren und sich ein Kundenfrontend auszudenken und auszutesten, macht nur im Team mit vielfältigen technischen Unterschieden Sinn, und so sind alle Features, die ich immer bei CRNET haben wollte und alleine nicht zusammenstecken wollte, bei anycast.io eingeflossen, oder befinden sich in der Entwicklung.

Bisher sind wir dort eine immer größer werdende Gruppe von Nerds Fachleuten, die alle das Domain- und Mail- und Reverseproxy- und Cache-System optimieren. Wir hoffen, in 2017 ein Rollout machen zu können, um die vielen Features auch ausserhalb vom Fachpublikum anbieten zu können.

z. B. auch DynDNS für IPv4 und IPv6, Varnish Cache as a Service, SSL-HTTP per Proxy kostenlos mit Lets-Encrypt und vieles mehr.

Bis dahin bleibt aber noch viel zu tun.

 

VonChristian Rehkopf

Wieso ich? Facebook!

Da wirft mir Facebook heute per Mail vor, in meiner App ein paar tausend mal falsche Parameter verwendet zu haben.

Ich? App? Wie?

Ich habe in der Tat einen Developer-Account. Den muss man auch einrichten, wenn man Facebook-Komponenten auf seiner Homepage einbetten möchte – in meinem Fall waren das die Diskussions-Funktionen unter meinen News-Beiträgen.

Die meisten Diskussionen finden aber direkt auf der CRNET Facebook-Seite statt. Die Kommentare hier unter den Beiträgen wurden immer weniger benutzt.

Das verwendete Plugin dazu war von Facebook selber. Wenn nun also Facebook sein eigenes Plugin vergammeln lässt, brauchen sie mir dazu keine Mail zu senden. Ich hab es einfach deaktiviert und gelöscht.

Beiträge (also Texte wie diesen hier) automatisch zu teilen geht ohnehin über das Jetpack-Plugin viel besser, diese Funktion hatte ich dem alten Plugin schon abgenommen.

Braucht Ihre WordPress-Installation auch mal eine Überprüfung / Überarbeitung – kein Problem, sprechen Sie mich an.

VonChristian Rehkopf

IPv6 Hau-Ruck-Aktion – Carpe diem

Kabel Deutschland / Vodafone hat eine Störung – allerdings „nur“ im IPv4-Bereich. Also nutzen wir die Gelegenheit und überprüfen unsere Infrastruktur auf IPv6.

Die Störungen bei Kabel Deutschland / Vodafone halten nach wie vor an. Betroffen waren bis zu knapp 1 Million Anschlüsse im Kabelnetz – Internet und Telefonie.  Angeblich soll es Gebietsweise wieder klappen, aber egal. Ich hab, um diese Monster Zeitverzögerungen zu vermeiden, erst einmal IPv4 komplett abgeschaltet. Erstes Problem: ich brauche einen Nameserver!

Ich benutze normalerweise 8.8.8.8 als Nameserver (das ist der von Google ohne Filterung), die IPv6-Adresse von dem Ding ist 2001:4860:4860::8844, das musste ich erst einmal in Erfahrung bringen, dann geht’s.

Unsere Mailserver waren von der Störung unbeeindruckt, die laufen schon lange auf V6, und nun auch alle Websites, die den Proxy in Amsterdam (mit oder ohne Verschlüsselung) verwenden. Ich hatte lediglich in den Domains bisher nur die IPv4-Adressen eingetragen, also ein DNS-Datenbank-Update und „alles“ läuft.

Kniffeliger war da der Trick mit meinem Abrechnungssystem, da es durch 2 verschlüsselte Tunnel geht, von denen einer kein IPv6 kann. Aber auch das funktioniert nun.

So, das bekomme ich als „kleiner“ Ein-Mann Betrieb innerhalb von 2 Stunden hin, darüber nachgedacht hatte ich gestern Abend schon, aber ich hatte einen Audienz-Termin bei König Fußball. Schauen wir doch mal, ob Firmen mit teurer IT-Abteilung auch schon fleissig und erfolgreich waren:

Google und Facebook sind natürlich kein Problem.

Heise und Golem funktionieren über IPv6.

Peinlich für die deutsche Presselandschaft: bei denen geht praktisch nichts. Nicht das ich die Copy&Paste-Journallien vermisse, aber das ist ein anderes Thema.

Auch unser Hamburger Haupt-Hostingpartner hat IPv6 nur mangelhaft bis garnicht implementiert.

Am peinlichsten finde ich aber, das Sony in seinem Entertainment-netzwerk nur IPv4 unterstützt, die Playstation 4 hat gleich mal garkeine IPv6-Adresse.


Vodafone/Kabel Deutschland-Störung Artikel von Heise

Störung bei Vodafone Artikel von GOLEM


Ha – da kommen grade die Mails von meinen Überwachungssystemen – IPv4 geht wohl wieder – na dann: weitermachen!

VonChristian Rehkopf

Störungen bei GMX und WEB.de

Die Gratis-Mail-Anbieter haben mal wieder Stress mit ihrer Technik. Das äußert sich so, das sie keine Mails annehmen und eine Verletzung der SPF-Policy vorwerfen.

Das ist Unfug, die eingerichteten Policies sind vollkommen korrekt, wir haben das jetzt von mehreren Seiten geprüft.

Vielleicht hat ja jemand mehr Erfolg als ich, dort anzurufen – ich hab nach dem 4. Versuch aufgegeben.

 

Update 15:40 Uhr: Ich hab für die Domains, die über die Artfiles Mailserver versenden, die SPF-Records aus dem DNS entfernt – je nach TTL-Zeit sollte DIESER Fehler nicht mehr auftreten.

Falls Sie nicht mehr wissen, was das ist. (Blogeintrag von 2007)

VonChristian Rehkopf

Typo3 Update-orgie

Bereits letzten Freitag wurde im TYPO3 Security-Bulletin angekündigt, das heute ab 8:00 Uhr richtig viel Arbeit wartet. Gut daran war, das man sich terminlich darauf einstellen konnte; weniger gut ist, das das überhaupt notwendig ist.

Als ich 2013 anfing von TYPO3 auf WordPress umzusteigen, ist mir eine unglaublich wichtige Eigenschaft bei den Unterschieden der Systeme nicht aufgefallen – ging auch nicht – und zwar die Methodik der Aktualisierung. Also egal, ob Service oder Sicherheits-Aktualisierung – Updates sollten zeitnah installiert werden. Und so habe ich unmittelbar nach Erscheinen des Patches heute den ganzen Tag (also 13 Stunden) TYPO3-Installationen aktualisiert.

Leider sind es nicht so viele, daß ich so viel zu tun hatte – das Problem ist, das gerade ältere Installationen zusätzliche Sicherheitsstufen auf Betriebssystemebene auf unseren Servern haben. Sperren erst zu entfernen und anschließend wieder zu errichten ist von daher zeitaufwändig, weil Änderungen dieser Zugriffsrechte über den gesamten Installationsbaum eben dauern: 30 bis 60 Sekunden Wartezeit, man weiss nie wie lange es dauert. Es ist zu kurz, um etwas anderes zu machen – sollte man auch nicht, da die Website ab einer bestimmten Stelle in dem Prozess eventuell nicht zu erreichen war.
So war jede einzelne Installation manuell auf der SSH-Console zu patchen.

Bei WordPress muss man nur manuell Updates einspielen, wenn diese Aktionen auf der Datenbank ausführen, kleine Sicherheitsupdates gehen ohne Administrator Eingriff vollautomatisch.

Die Update-Prozedur größerer Updates ist so einfach, das die meisten Homepage-Inhaber diese selber machen, und dann sind sie 3 Klicks im Backend und dauern ein paar Minuten.

Und das halte ich für das absolute Killerargument im Vergleich von WordPress zu TYPO3 – Schon allein daher ist WordPress erheblich sicherer – es wird dadurch auch immer die jeweils aktuelle Version verwendet, und das ganze Versions-Chaos wie bei TYPO3 entfällt.

Und dabei hab ich mich dann noch nicht einmal zu den abenteuerlichen Zuständen in der TYPO3-Community geäußert – deren Folge sind etliche Forks, Versionszweige, Verwirrung, schlecht oder nicht funktionierende Erweiterungen und dererlei mehr. Als jemand, der Websites einrichten, anpassen und hosten möchte, und dabei noch einen sinnvollen Service anbieten möchte, kann ich inzwischen von TYPO3 nur noch abraten: es macht keinen Spaß mehr, es ist zu viel Admin-gefrickel und man hat das Gefühl, jedesmal das Rad neu erfinden zu müssen.

2014 gab es mal eine ähnliche Situation, nach der ich dann meine AGB angepasst hatte, in der Hoffnung, das ich das nie brauchen werde. Aber diese konzentrierte Akkord-Nummer heute für die paar verbleibenden Installationen war einfach zu anstrengend, um sie für Lau zu machen.

VonChristian Rehkopf

Kampf dem SPAM ( XL )

Das ist mein 40. Beitrag, in dem es um SPAM geht (direkt oder indirekt) geht. Trauriges Jubiläum, denn das ist sicherlich das unproduktivste Thema für jeden Serverbetreiber. Dafür aber um so Zeitaufwändiger.

Ich werd mal Revue passieren lassen, was in den Jahren so gelaufen ist, in diesem Zusammenhang.

Nachdem es uns um die Jahrtausendwende nicht mehr gereicht hat, die täglichen SPAM-Mails zu löschen, hatten wir (damals Fair-Networx & ISSB) einen Client-proxy entwickelt, der einkommende POP3 Mails auf Spamtexte untersucht. Es war ein reiner Inhaltsfilter mit selbstlernendem Wörterbuch. Das Produkt war der ISSB-SpamTrash, lief nur auf Windows, und hat super sortiert, wenn man ihn monatelang trainiert hat. Allerdings musste man sich immer noch alle Spammails zu Kontrollzwecken ansehen, automatisches Löschen konnte ungewünschte Nebeneffekte haben. Bei verschlüsselter oder codierter Mail hat das nicht funktioniert.

2007 haben wir dann schrittweise auf Blockierung der Mails statt filtern gesetzt, damals mit dem ASSP (Anti-Spam SMTP Proxy). Tolle Sache, sehr transparent, man kann eine Menge von dem Ding lernen. Der lief letztendlich auf einem eigenen Server vor unserem Windows-basierten Mailserver. Spams wurden somit nicht mehr dem Empfänger überlassen, sondern die Annahme verweigert, zusammen mit einer Fehlermeldung, die die Ursache beschreibt. Damit kann der Absender (so es denn ein Mensch war und die Ablehnung falsch) entsprechende Maßnahmen einleiten, um zukünftige Zustellversuche erfolgreicher werden zu lassen. Maschinen oder SpamBots haben diese Fehler ohnehin nie gesehen.

Das man vom ASSP eine Menge lernen kann, haben sich wohl die Entwickler von Postfix (Mail-Server für Linux) auch gedacht, und dem System eine Menge der Funktionen aus ASSP auch spendiert. Als wir 2009 dann das Mailsystem auf Linux umgestellt hatten, entfiel ASSP. Eine Erkennung auf irreguläres Verhalten der Absendersysteme und einige wenige Regeln (PTR/helo/hostname) sowie eine manuell geführte Böse-Buben-Liste und einen Regelsatz für ungültige Absender haben lange Zeit gereicht, so viel unerwünschte Mail abzuschmettern, das jeglicher Mehraufwand nur so einen geringen Nutzwert gehabt hätte, das es sich nie gelohnt hat, selbigen zu betreiben.

Da wir zumeist unsere Policies kommunizieren und auch reichlich Nachahmer haben, wurde unsere Block-Logik vielfach auch von Kollegen übernommen. Die Folge: Spammer mussten sich was neues einfallen lassen, als ungeschützte Rechner an privaten Internetanschlüssen zu kapern, um ihren Dreck loszuwerden.

Seit mitten letzten Jahres nehmen nun Mails von gekaperten Servern zu.

Systeme, die eigentlich in professionelle Hände gehören, sich in einer Leistungsstarken Umgebung befinden und von Hause aus unverdächtig Mails versenden können. Es werden Mails in ganz unglaublichen Größenordnungen zugestellt und das von regulären und korrekt konfigurierten Mailservern.

Da bleibt dann nur ein Mittel, von dem wir uns mit dem ASSP zusammen verabschiedet hatten: RBL.

Da wir aber diverse Erfahrungen mit diesen Listen haben was falsche positive betrifft, wollten wir uns nicht auf eine einzelne verlassen. Denn auf eine Blacklist kommt man schon mal, wenn ein Kunde bei einer Rundsendung übertreibt.

Und auch hier scheinen die Postfix-Leute unserer Meinung zu sein, denn es gibt inzwischen eine Postfix-Erweiterung: Postscreen. Diese ist nun auf unseren eigenen Mailsystemen (mail.crnet.de/mx.anycast.io) aktiv, unsere Konfiguration prüft 11 RBLs und verweigert die Annahme, wenn ein kontaktierender Server auf 2 oder mehr Listen zu finden ist.

Auf 2 verschiedene RBLs kommt man nicht zufällig – somit gibt es im Falle einer Ablehnung keine falschen positiven. Falls man auf 2en ist, hat man eh ganz andere Sorgen.

Und das läuft nun:

Die Auswahl der 11 Listen lief in den letzten Wochen, wir haben einige sehr kurzlebige, auf die Spammer durch Automatismen schnell kommen, aber auch schnell wieder verschwinden und einige manuell geführte, mit längeren Laufzeiten.
Wir hatten die Tests in 2 Stufen anrollen lassen: erst einmal grundsätzlich auf einem mäßig frequentierten Einzelserver, dann auf einer Adresse im anycast-Cluster (da ist die Konfiguration etwas aufwändiger) – und nun haben wir es für das Gesamtsystem aktiviert.

Mal sehen, wie lange es gut genug ist.

 

VonChristian Rehkopf

IPv6 Freigaben verschwinden auf Fritz!Box

IPv6 Freigaben funktionieren auf einmal auf der AVM Fritz-Box nicht mehr oder nie oder verschwinden.

Dies ist einer dieser Beiträge, die ich schreibe, damit ich etwas über Google finde, wenn ich mal wieder danach suche.

Das hat mich fast in den Wahnsinn getrieben, aber bei den IPv6 Freigaben auf der Fritzbox scheint einiges im Argen zu sein.

  1. Man kann eine einmal eingetragene Adresse nicht editieren, sondern muss den Freigabeblock löschen und komplett neu anlegen. Das kann passieren wenn:
    1. Hat man sich vertippt, und Freigaben auf einer falschen Interface-ID zugeordnet, dann muss man die Freigaben löschen und komplett neu machen.
    2. Nimmt man (um Tippfehler zu vermeiden) die Auswahlbox, kann es einem passieren, das man nicht die IPv6 verwendet, die sich aus der MAC-Adresse ableitet, sondern eine, die von der privacy extension des Betriebssystems generiert wurde. Die ist dann morgen wieder ungültig.
  2. Wenn eine IPv6 Freigabe im LAN nicht erreichbar ist, dann dauert es eine Weile bis unendlich (oder Neustart), bis diese wieder funktioniert.
    Also erstmal scheint die Box dann beleidigt, da ich aber auch mal vergessen hatte selbige neu zu starten und am nächsten Tag wieder alles ging, scheint das ein vorübergehender Schluckauf zu sein. Es ist auch schon vorgekommen das nix gut war, bis man die FB resettet hat.
  3. Wenn die Fritzbox ein Update bekommen hat, kann es durchaus passieren das die Config zwar noch da steht, aber wirkungslos ist. In Dem Fall hilft dann nicht, die IPv6 Freigeben neu zu erfassen, sondern man muss die ganze Config neu manuell eintragen (mit allen DECT-Phones, AAB, Fax, Freigaben-blah)

Grundsätzlich ist die Tipperei der IPv6-Freigaben eine Qual, denn man kann nicht mehrere IPv6 Freigaben hintereinander weg einrichten, da der Knopf „neue Freigabe“ verschwindet, nachdem man ihn mal gedrückt hat – man muss also wieder ins Freigabemenü und die ganze V6 Freigabe neu laden um wieder „neue Freigabe“ zu drücken – dieses reinrauss hat bei meiner 6490 immer 10 Sekunden Ladezeit zur Folge – das bei 8 Freigaben, dauert gefühlt eine Stunde um die Ports wieder aufzumachen.

Das das Buggy ist, hab ich AVM schon vor einem halben Jahr kommuniziert – Ticket #16098.

In dem Sinne: Happy Typing.

 

Achja – keinen Technik-Blogeintrag ohne Code – um die Richtige IPv6-Adresse an einem Debian o.ä. zu ermitteln:
ip -6 addr sh primary scope global|grep inet6|awk '{ print $2 }'|grep -v '^f'