Ubuntu 12.04, die nächste Generation nach Oneiric Ocelot, der Version 11.10, ist fertiggestellt. Die neue Version der beliebten Linux-Distribution trägt den Namen Precise Pangolin und ist als LTS-Version gekennzeichnet. Dies bedeutet, sie wird für die kommenden 5 Jahre mit Aktualisierungen versorgt werden.
Precise Pangolin setzt auf Version 3.2 des Linux Kernels und bringt eine Vielzahl von neuen bzw. aktualisierten Programmen.
Für unsere VServer-Kunden ist die Server-Version von Precise Pangolin ab sofort über das Kundencenter als Boot-Image zur Installation auswählbar.
Auf vielen Webseiten von Webhosting-Unternehmen prangen prominent Buttons mit dem Ergebnis von Verfügbarkeitstests von Portalen wie webhostlist.de oder homepage-kosten.de. Insbesondere kleinere, weniger etablierte Unternehmen versuchen durch Messergebnisse von 100% den Eindruck einer hohen Verfügbarkeit und somit auch Professionalität zu erwecken. Weshalb dies nicht zwangsläufig so ist, bzw. weshalb der Button genau das Gegenteil aussagen kann, möchte ich hier kurz erläutern:
Als erstes stellt sich die Frage, was mit 100% Verfügbarkeit überhaupt gemeint ist. In der Regel messen die Portale in regelmäßigen Abständen, ob eine vom Webhosting-Unternehmer angegebene Webseite bzw. die Firmenhomepage erreichbar ist. Meistens sind diese Messintervalle jedoch sehr groß. webhostlist.de üpberprüft zum Beispiel nur ein mal pro Stunde, ob die Webseite erreichbar ist. D.h. Ausfälle von bis zu einer Stunde Länge, welche zwischen den beiden Messungen liegen, bekommt der Dienst überhaupt nicht mit. So kann es z.B. bedingt durch Cronjobs eine regelmäßige Serverüberlast geben, welche jede Stunde auftritt. In dieser Zeit ist der Server nicht erreichbar. Das Portal meldet trotzdem eine Verfügbarkeit von 100%. Lediglich sehr schlechte Provider, welche regelmäßig Ausfälle von mehreren Stunden haben, lassen sich auf diese Weise finden.
Unser eigene Serverüberwachung überprüft stattdessen jede Minute, ob ein Server noch Webseiten ausliefert oder nicht (zusätzlich zu vielen weiteren Tests, wie z.B. der Systemtemperatur, Load, etc). Wenn Messungen dann mehrfach hintereinder fehl schlagen, wissen wir sofort, dass es sich nicht nur um ein sporadisch auftretendes Problem handelt und können bereits Minuten später eingreifen.
Webserver können von den Portalen außerdem prinzipbedingt nur darauf geprüft werden, ob sie Webseiten ausliefern oder nicht. Der Inhalt der Seiten wird jedoch nicht überprüft. So kann ein Server tagelang eine leere Seite zurückliefern und würde trotzdem eine Bestnote im Test erzielen. Andererseits kann es passieren, dass ein Server tatsächlich temporäre, sehr kurze Probleme hat, welche jedoch innerhalb von Minuten wieder behoben sind. Wenn ein Portal zu diesem Zeitpunkt kontrolliert, wird dem Server jedoch gleich eine schlechte Verfügbarkeit von mindestens einer Stunde unterstellt. Bei kurzzeitig auftretenden Ausfällen in regelmäßigen Intervallen (z.B. der oben bereits erwähnte Cronjob) kann dies zu einer sehr starken Abwertung des Servers führen, obwohl dieser 99,9% der Zeit sehr gut erreichbar ist. Man kann also zusammenfassend sagen: ein Messintervall von 60 Minuten ist deutlich zu lange.
Doch nehmen wir an, wir haben ein Portal gefunden, das in deutlich kürzeren Intervallen kontrolliert, z.B. alle 5 Minuten oder sogar noch öfter. Wenn meine Webseite dann dauerhaft eine Verfügbarkeit von 100% erzielt ist alles perfekt? Falls Sie eine Webseite auf einem Hochverfügbarkeitscluster betreiben, kann dies tatsächlich der Fall sein. Falls es sich jedoch nur um einen “normalen” Webserver handelt würde ich eher das Gegenteil behaupten. Wieso ist das so?
Server müssen regelmäßig gewartet werden. D.h. es müssen in festen Zeitabständen Aktualisierungen der installierten Software vorgenommen werden, insbesondere um neu bekannt gewordene Sicherheitslücken zu schließen. Idealerweise werden Server sogar auf solche Sicherheitslücken hin überwacht und beim Bekanntwerden von neuen Problemen sofort aktualisiert, wie es bei unseren Systemen der Fall ist. Erfahrungsgemäß findet sich jedoch in regelmäßigen Abständen neue Sicherheitslücken in weit verbreiteter Software – angefangen von eingesetzten Bibliotheken, kleinen Hilfsprogrammen bis hin zu handfesten Kernel-Fehlern, welche es einem Angreifer erlauben, Root-Rechte auf einem Server zu erlangen. Um diese Software zu aktualisieren müssen die entsprechenden Dienste jedoch neu gestartet werden. Die Installation eines neuen Kernels ist mit einem Reboot und somit einem Ausfall von mindestens fünf Minuten verbunden. Wenn ein Server also eine dauerhafte Verfügbarkeit von 100% ausweist kann dies nur bedeuten, dass dieser nicht gewartet wird und daher höchstwahrscheinlich bereits diverse Sicherheitslücken aufweist.
Schlussendlich ist also die reine Verfügbarkeit allenfalls ein Indikator dafür, dass etwas gehörig schief läuft. In der Zone zwischen “es läuft so leidlich” und “perfekt” liefert ein solcher Test aber keine relevante Information.
Wir haben soeben unseren Frühjahrs-Newsletter Aktuelles von Tralios veröffentlicht. Die Themen in dieser Ausgabe sind:
Den vollständigen Newsletter können Sie auf unserer Webseite nachlesen.
Wir werden immer mal wieder darauf angesprochen, wie unser Spamfilter funktioniert und weshalb dieser so effektiv arbeitet. Ich möchte dies daher heute im Detail erläutern:
Das Geheimnis eines effektiven Spamfilters ist, dass sich dieser nicht nur auf einen Filtermechanismus beschränkt, sondern verschiedene Techniken miteinander kombiniert. Dadurch wird einerseits die Effizienz gesteigert, andererseits aber auch der Mailserver soweit entlastet, dass eine effiziente Erkennung von Spam anhand von inhaltlichen Mustern überhaupt möglich ist. Konkret setzen wir vier Stufen der Mailfilterung ein:
1. Stufe: Blacklisting
Um Spam versendende Server schnell ausfindig zu machen, gibt es überall auf der Welt verteilt sogenannte Spam-Traps, welche von verschiedenen Organisationen betrieben werden. Es handelt sich hierbei um E-Mail-Adressen, welche regulär nicht genutzt werden. Da diese E-Mail-Adressen von keinem Anwender genutzt werden, sollten hier keine E-Mails eintreffen. Falls doch E-Mails in diesen Postfächern eingehen, kann es sich in der Regel nur um unerwünschte Werbung, also Spam handeln. Die in diesen Spam-Traps eingehenden E-Mails werden daher ausgewertet und die IP-Adresse des einlieferndes Mailservers gespeichert. Insbesondere, wenn ein IP-Adresse dabei in verschiedenen Spam-Traps registriert wird, kann man sicher sein, dass der Absender in größeren Mengen Spam versendet. Diese IP-Adressen werden dann auf einer sogenannten Blacklist gespeichert.
Um auszuschließen, dass ein Mailserver, welcher nur kurzfristig und aus Versehen (z.B. nach einem erfolgreichen Hackerangriff) Spam versendet hat, ewig auf der Liste gebrandmarkt wird, werden Einträge auf der von uns genutzten Liste nach 12 Stunden automatisch gelöscht, vorausgesetzt, es treffen zwischenzeitlich nicht wieder neue Spam-Mails ein. Trotz dieser sehr kurzen Zeit, nach der IP-Adressen wieder von der Liste gelöscht werden, befinden sich im Schnitt ca. 100.000 verschiedene IP-Adressen auf der Liste. Dies liegt vor allem daran, dass Spam-Versender meist über lange Zeiträume und in sehr großen Mengen Spam versenden.
Wenn auf unseren Mailservern eine neue E-Mail eingeht wird daher zuerst überprüft, ob der einliefernde Mailserver bereits auf der Blacklist als bekannter Spamversender gelistet ist. Falls ja, wir die E-Mail gar nicht erst angenommen. Dieses Verfahren blockiert bereits ca. 95% aller Spam-Mails. Falls der Versender der E-Mail ausnahmsweise doch kein Spam-Versender war, erhält er eine Nachricht über den fehlgeschlagenen Versuch, die E-Mail bei uns zuzustellen.
2. Stufe: Überprüfung auf Sinnhaftigkeit
Im zweiten Schritt werden E-Mails vom System automatisch anhand verschiedener Kriterien daraufhin überprüft, ob es sich überhaupt um korrekte E-Mails handelt und ob die darin gemachten Angaben stimmig sind. Beispielsweise werden syntaktisch nicht korrekte E-Mails genauso abgelehnt wie solche, bei denen die Absenderadresse eindeutig gefälscht ist.
3. Stufe: Greylisting
Das Ziel eines Spam-Versenders ist im Allgemeinen, in möglichst kurzer Zeit besonders viele E-Mails versenden. Da die Ressourcen der eingesetzten Rechner (meistens PCs aus einem Bot-Netz, welche mit Hilfe eines trojanischen Pferdes gekapert wurden) sind jedoch begrenzt. Nimmt ein Mailserver eine E-Mail nicht gleich entgegen, wird eine Zustellung dieser E-Mail daher kein zweites mal probiert. Nach geltenden Internetstandards ist dies jedoch Pflicht und jeder normale Mailserver verhält sich entsprechend: kann eine E-Mail nicht gleich zugestellt werden und wird vom Empfänger kein permanenter Fehler-Code geliefert, so wird die Zustellung in regelmäßigen Abständen nochmals probiert, bis die Mail angenommen wird oder ein sehr langer Zeitraum (ca. sieben Tage) vergangen ist.
Diese Tatsache macht sich die von uns eingesetzte Technik, das sogenannte Greylisting zu nutzen. E-Mails von unbekannten Absendern werden von uns erst nach einer kurzen, 5-minütigen Wartezeit angenommen. Der sendende Mailserver muss die Zustellung der E-Mail also mehrfach probieren. Spam-Versender machen sich diese Mühe nicht, weshalb Spam-Mails gar nicht erst bei uns ankommen. Nachteil des Greylisting ist eine verzögerte Zustellung von E-Mails von meist fünf bis 15 Minuten. Um diese zu verhindern merken sich unsere Mailserver daher, von welchen Adressen sie bereits E-Mails erfolgreich entgegen genommen haben und akzeptieren alle weiteren E-Mails dann sofort. Dadurch wird nur die allererste E-Mail eines neuen, unbekannten Absenders um einige Minuten verzögert. Alle weiteren E-Mails kommen direkt beim Empfänger an.
Um die Verzögerung für Bekannte große Absender möglichst gering zu halten, haben wir diese auf einer globalen Whitelist vermerkt. E-Mails dieser Absender werden immer direkt und ohne Verzögerung von unseren Systemen entgegen genommen. Die Einschränkungen durch Greylisting sind dadurch in der Praxis äußerst gering und werden kaum wahrgenommen. Ein Großteil der nach den ersten beiden Filterstufen übrig gebliebenen Spam-Mails werden jedoch in diesem Verfahren endgültig aussortiert.
4. Stufe: Automatische Mustererkennung
Es gibt leider Spam-Versender, welchen die oben beschriebenen Techniken ebenfalls bekannt sind und die daher versuchen, diese geschickt zu umgehen, was in manchen Fällen auch gelingt. Diese E-Mails können von unseren Mailservern dann nicht anhand von formalen Kriterien oder den IP-Adressen blockiert werden und werden daher den Kunden zugestellt. Um auch an diesem Punkt noch reguläre Mails und Spam-Mails voneinander zu unterscheiden, ist eine Analyse des Inhaltes notwendig.
Effektivität des Spam-Filters in einem Beispiel-Postfach
Spam wird nicht zum reinen Selbstzweck versendet, sondern meist, um damit Produkte zu verkaufen, wie z.B. Medikamente, Potenzmittel oder Versicherungen. Die verwendeten Begriffe und Satzmuster wiederholen sich in den E-Mails häufig und können von unserem Mailserver automatisch erkannt werden. Da Maschinen in der Regel die Bedeutung der Begriffe nicht verstehen und daher nicht von sich aus erkennen können, ob es sich bei dem in einer E-Mail angepriesenem Produkt um ein gewünschtes handelt oder nicht, gibt es in unserem Kundencenter die Möglichkeit, E-Mails manuell als Spam zu markieren. Eine genaue Anleitung dazu findet sich in unserem Handbuch. Der Mailserver untersucht markierte E-Mails auf die verwendeten Textmuster und lernt diese. Sobald er in weiteren Mails ähnliche Textmuster findet, werden diese E-Mails dann automatisch als Spam markiert und können von den Benutzern z.B. automatisiert in einen “Spam”-Ordner verschoben werden. Natürlich verlangt dieses System etwas Mitarbeit der Benutzer um den Filter zu trainieren. Ein gut trainierter Spamfilter erkennt jedoch nahezu jede verbleibende Spam-Mail und sorgt dadurch für einen Spam-freien Posteingang.
Wir haben soeben unseren Winter-Newsletter Aktuelles von Tralios veröffentlicht. Die Themen in dieser Ausgabe sind:
Den vollständigen Newsletter können Sie auf unserer Webseite nachlesen.
Wir überwachen für einen Kunden eine Reihe von Servern, die hinter einem DSL-Anschluss stehen. Per Icinga wird eine
Vielzahl von Diensten überwacht. Alle Server hängen an einer USV.
Monitoring-Grafiken des Stromausfalls
Was auf den Grafiken schön zu sehen ist:
Gegen 00:23 Uhr kommt es zum Stromausfall. Der Router ist stromlos und die Verbindung daher unterbrochen, der
Packet-loss beim Ping geht auf 100%. Icinga verzeichnet den Host als “Down” und setzt den Status der Dienste auf
“Unknown”. Im Graphen für den DiskIO wird der letzte bekannte Wert weitergezeichnet.
Gegen 00:47 Uhr liefert der Stromversorger wieder, der Router bootet und die Verbindung wird wieder hergestellt. Der Packet-loss beim Ping geht auf 0% zurück. Gleichzeitig kommen wieder Messwerte vom Server, der von der USV die ganze Zeit mit Strom versorgt wurde.
Bis ca. 00:56 Uhr läuft wieder alles normal. Danach ist keine Messung des DiskIO mehr möglich, der Router ist jedoch erreichbar. Icinga meldet ab diesem Zeitpunkt ein Service-Problem, da der Host (bzw. der Router davor) erreichbar (“Up”) ist, jedoch keine Messwerte geholt werden können.
Was ist passiert? Die (schon recht betagte) USV hatte offenbar nicht mitbekommen, dass wieder Strom anliegt. Sie hat daher den Betrieb so lange wie möglich mit Batterie-Strom aufrecht erhalten. Als gegen 00:50 Uhr klar wurde, dass die Batterien nicht mehr lange halten würden, wurden die Server ordnungsgemäß heruntergefahren.
Somit brauchen wir nun nicht herauszufinden, warum die Batterien der USV versagt haben, sondern können uns darauf konzentrieren mit dem Hersteller zu klären, warum die USV nicht wieder in den Online-Betrieb geschalten hat.
Auch vor unserem Büro macht der alljährliche Karnevals-/Fastnachts-/Faschingsbeginn keinen halt. Punkt 11 Uhr ging’s mit einem kräftigen Paukenschlag los!
Ein neues Angriffstool für Denial-of-Service Angriffe [0] nutzt eine Schwäche im SSL-Protokoll um Server in die Knie zu zwingen.
Insgesamt geht es hier nicht um einen Angriff mit dem Ziel in ein System einzudringen, sondern vielmehr darum, ein Denial of Service, also den Ausfall oder die Nicht-Erreichbarkeit eines Dienstes zu erreichen. Prinzipiell kann der Angriffsvektor dadurch geschlossen werden, dass das (ohnehin in den meisten Browsern nicht implementierte) Rekeying, das Neuaushandeln des Session-Schlüssels während der Verbindung deaktiviert wird. Zumindest das veröffentlichte Tool läuft dann ins Leere.
Prinzipiell handelt es sich hier um ein Designproblem von SSL, welches schon länger bekannt, jedoch nicht trivial zu beheben ist. Neu ist lediglich das Tool, welches einen solchen Angriff “für jedermann” möglich macht.
Es wäre im Zweifelsfall eine administrative Aufgabe, Hosts, welche derartige Angriffe lancieren über die Firewall auszusperren.
Sorgen um die Sicherheit der eigenen Daten oder einer Webanwendung muss man sich aufgrund dieser Entwicklung jedoch nicht machen.
Wir haben soeben unseren Herbst-Newsletter Aktuelles von Tralios veröffentlicht. Die Themen in dieser Ausgabe sind:
Den vollständigen Newsletter gibt es auf unserer Webseite.
Es gibt verschiedene Möglichkeiten, wie ein Mailserver Spam erkennen kann. Eine sehr beliebte, weil wenig ressourcenhungrige Variante, ist das Filtern anhand einer sogenannten Blacklist. Die Blacklist benennt IP-Adressen oder Namen von Servern, welche innerhalb eines festgelegten Intervalls Spam versendet haben. Beispielsweise werden also alle Server gelistet, die innerhalb der vergangenen 24 Stunden Spam versendet haben.
Der Vorteil einer solchen Blacklist besteht nun darin, dass der Empfänger erkennen kann, ob es sich um Spam handelt oder nicht ohne die E-Mail genauer anzusehen . Er prüft einfach die Adresse des einliefernden Mail-Servers gegen die Blacklist. Wie gesagt ist dies ein Verfahren, welches sehr effizient ist.
Problematisch ist dieses Verfahren dann, wenn über einen Mailserver sehr viele Mails versendet werden. Dann kann schon ein kleiner Anteil von Spam-Nachrichten dazu führen, dass ein Server blockiert wird. So erging es gerade T-Online, deren Server auf den Blacklisten von Spamhaus und SpamCop, zwei weit verbreiteten Anbietern, gelandet sind (vgl. Heise: T-Online weiterhin bei SpamCop gelistet).
Unabhängig davon, wie groß das Vertrauen in einen Blacklist-Betreiber ist, der sein Geld damit verdient, dass er sich für die Löschung aus der Blacklist bezahlen lässt, kann unserer Meinung nach eine Blacklist nie als alleiniges Merkmal herangezogen werden. Unser Spamschutz setzt daher auf eine Kaskade mehrerer verschiedener Techniken, sodass die Abfrage einer Blacklist nur zu einem gewissen Prozentsatz in die Spamerkennung einfließt. Alles andere hielten wir für unverantwortlich.
