Nach bewegten zwei Wochen endlich wieder ein Update! Eine Vorschau auf die kommende Advents-Aktion, Infos zu Let’s Encrypt und unsere Traffic-Filterung sind wesentlichen Themen der letzten Woche:
Wir haben die Filterung und das Routing von ausgehendem Traffic auf dem Webspace grundlegend überarbeitet. Die ausgehende Netzwerk-Anbindung vom Freespace wird immer wieder für DDoS-Angriffe, Portscans oder SQL-Injections „benutzt“. Schon vor Ewigkeiten haben wir deshalb UDP-Traffic komplett gesperrt und nur eine Liste von freigeschalteten Ports ist mit Rate-Limits (z.B. 50 Pakete/s je Port) erlaubt. Zudem gab es eine Sperrliste von IPs für TCP-Verbindungen, meist nach Beschwerden der IP-„Besitzer“. 2014 haben wir dann die Architektur unseres Webspace wesentlich verändert und konnten seitdem nicht mehr nachvollziehen, welcher User-Account einzelne Pakete verschickt hat. Pakete konnten wir nur noch an einem Router abgreifen, der diese Information nicht mehr kannte. Um das wieder zu ermöglichen mussten wir unsere Filter- und Routing-Lösung deutlich anpassen. Der ausgehende Traffic wird nun über ein eigenes Gateway gerouted. Zudem haben wir die Filterung des Traffics direkt zur Quelle, in die Webspace-LXC-Container verlagert, um dort auch die User-ID abgreifen zu können. Damit sind wir nun wieder in der Lage, insbesondere Portscans und UDP-DDoS einem Account zuzuordnen und den Account zu sperren, statt nur Traffic zum Ziel zu filtern.
Let’s Encrypt hat am 17.11. ein Update ihrer Zertifizierungsstellen-Software ausgerollt und dabei unsere Anbindung an Let’s Encrypt beeinflusst. Es war uns nicht mehr möglich, für Domainnamen zu verifizieren dass wir berechtigt sind, Zertifikate auszustellen. Für Domainnnamen, wo dies bereits nachgewiesen wurde, gab es keine Einschränkungen. Die Ursache war letztendlich einfach: in der von uns benutzten Bibliothek wurde ein selbst-signiertes Zertifikat ausgestellt, wie es die Protokoll-Spezifikation vorschreibt. Die neue Software von Let’s Encrypt konnte dieses Zertifikat nicht mehr einlesen, wenn sie während der Verifizierung zu unseren Web-Servern verbinden wollte. Es stellte sich heraus, dass dieses Zertifikat keine Seriennummer enthielt und der neue Zertifikatsparser zwingend eine Seriennummer erfordert. Einen ähnlichen Bug, damals fehlte die X509-Version, hatten wir bereits im August entdeckt und gefixt. Auch für diesen Bug haben wir unseren Patch für die Bibliothek eingereicht. Let’s Encrypt hat zu dem Problem ebenfalls eine Advisory herausgegeben.
Am Wochenende ist der erste Advent und wir starten die Adventszeit direkt mit einer großen Domain-Aktion! Am Sonntag beginnen wir mit saftigen Rabatten für ausgewählte Top-Level-Domains und die Domains eines deutschen Bundeslandes gibt es für wenige Tage sogar komplett kostenlos (für das erste Jahr)! Es lohnt sich also, Sonntag bei uns reinzuschauen! An den nächsten Adventssonntagen wird es zudem Gewinnspiele geben, in denen wir unter anderem lima-city-Merchandise verlosen!
Wir posten Freitag Nachmittags einen kleinen Rückblick auf die Woche. Auch nächste Woche tut sich bestimmt wieder einiges, also: kiek mol wedder rin!
