Archief voor augustus, 2012

Beveiligingslek in Magento geconstateerd

woensdag, augustus 15th, 2012 door

Er is ons een beveiligingslek onder de aandacht gebracht voor het Magento e-commerce systeem. Alle versies van 1.4 tot 1.7.0.1 hebben hier last van. Het betreft een lek in de  Zend XML-RPC functionaliteit waar Magento gebruik van maakt en maakt het mogelijk voor kwaadwillenden om database gegevens te bemachtigen.

Er zijn een aantal oplossingen naar voren gedragen door Magento. De opties zijn:

-          Upgraden naar de laatste veilige versie (1.7.0.2);
-          De patch voor jou specifieke versie installeren;
-          De workaround gebruiken die wordt aangedragen.

De verschillende oplossingen zijn te krijgen via de website van Magento en beschreven in het volgende blog item van magento:

http://www.magentocommerce.com/blog/important-security-update-zend-platform-vulnerability/

De Installatron plugin in DirectAdmin beschikt al over de nieuwste update waardoor het updaten erg makkelijk kan worden uitgevoerd, mocht deze nog niet beschikbaar zijn kan via de Installatron admin  een Update/Repair uitgevoerd worden om Installatron bij te werken naar de nieuwste versie.

Tags:
Posted in Hosting, Onderhoud, Security | No Comments »

Domeinnaamdebat 2012

maandag, augustus 27th, 2012 door

Mogen al mijn gegevens in de WHOIS getoond worden? Hoe kan een opsporingsinstantie gegevens van een domeinnaamhouder opvragen? Ik wil een domeinnaam registreren die nu in quarantaine staat, wat zijn mijn mogelijkheden? Hoe ben ik als domeinnaamhouder beschermd tegen het kapen van mijn domeinnaam? Allemaal interessante vragen die een zeer beweeglijke discussie oproepen. Voor SIDN reden genoeg om in 2012 opnieuw een Domeinnaamdebat te organiseren waarbij deze onderdelen centraal staan.

Op 28 september as. zullen belanghebbenden bij het .nl-domein de mogelijkheid krijgen om invloed uit te oefenen op het beleid van SIDN. Net als in 2008 hoopt SIDN met het aantrekken van een zo breed mogelijk publiek (registrars, overheden, opsporingsinstanties, media, bedrijven,etc.) het debat weer in volle gang te krijgen. Er worden twee onderwerpen besproken, waarvoor SIDN ook voorstellen zal doen.

WHOIS
Tot 2010 was deze tool volledig opengesteld voor gebruik door iedereen: hierdoor was het voor iedereen mogelijk om van alle .nl-domeinen de volledige gegevens van een domeinnaamhouder (particulier of zakelijk) op te vragen. In 2010 is dit beperkt tot enkel de naam van de domeinnaamhouder. In dit onderwerp zal besproken worden of dit verder beperkt moet worden of dat bijvoorbeeld alleen mensen met een aantoonbaar belang dit soort informatie moeten kunnen opvragen.

QUARANTAINE
Sinds enkele jaren wordt een .nl-domeinnaam na opheffing niet direct verwijderd, maar eerst voor een periode van 40 dagen in quarantaine geplaatst. Dit met als primair doel om de (ex-)domeinnaamhouder te beschermen: mocht deze zich bedenken kan hij/zij als enige de domeinnaam gedurende een periode van 40 dagen uit quarantaine halen; daarna geldt het principe ‘first come – first served’. We zien nog steeds dat regelmatig zogeheten ‘dropcatchers’ een domeinnaam die uit quarantaine komt direct registreren, vaak met als doel deze domeinnaam met winst te verkopen. In dit onderwerp verdedigt SIDN de huidige procedure, maar toch zullen diverse partijen hier het debat over willen aangaan.

Uiteraard zullen we vanuit Oxilion aanwezig zijn bij dit Domeinnaamdebat. Ben je benieuwd naar de mening van Oxilion? Kom dan 28 september naar de Koninklijke Schouwburg naar het Domeinnaamdebat 2012!

Tags: , ,
Posted in Domeinnamen, Hosting, Juridisch, Vernieuwing en verbetering | 1 Comment »

Beveiliging van DNS

maandag, augustus 13th, 2012 door

Beveiliging is actueel. Overal om je heen lees je over het lekken van persoonlijke gegevens, en de schade die hiermee gepaard gaat. Veelal is dit terug te leiden naar een bepaalde instelling maar ook al is je applicatie en server nog zo waterdicht, het eerste punt waarop je bezoeker je website of applicatie benaderd is vaak via een domeinnaam, ofwel, Domain Name System (DNS). Helaas is dit lang niet altijd zo veilig als je op het eerste idee verwacht…

De meesten hebben vaak een vaag idee van hoe DNS werkt. Je geeft een domeinnaam op en je krijgt een IP adres terug, daarmee is het wel ongeveer mee samengevat voor velen. Dat het ook mogelijk is om hiermee te rommelen zodat deze verwijzing niet altijd hoeft te kloppen is niet voor iedereen bekend. Dat je hiermee in potentie dus ook op een site van iets of iemand anders uit kan komen is al helemaal een eng idee.

We kunnen ons hier gelukkig tegen wapenen; Domain Name System Security Extensions (kortweg DNSSEC) helpt ons hierbij. Middels cryptografie maken we een chain of trust vanaf het beginpunt van DNS (de rootzone, ook wel ‘.’) tot de uiteindelijke domeinnaam. Nederland draait hierin flink bij, op het moment van schrijven lopen we zelfs voor op alle toplevel domains.

De aanpassingen hiervoor zijn tweeledig. Enerzijds moet je het opvragen van domeinnamen beveiligen. In dit stadium moet immers een validatie plaatsvinden van het gevraagde. Dit heeft Oxilion sinds vorige week geactiveerd voor alle servers. We gebruiken hier de software Unbound voor. Daarnaast moet je ook je nameservers zelf voorzien van software om je domeinnamen te voorzien van DNSsec. Het serveren van de DNS informatie dient dus ook op de beveiligde manier te gebeuren. Momenteel zijn we in volle gang met testen om dit zo probleemloos mogelijk te laten verlopen. Het streven is om hier in oktober gebruik van te maken.

Meer weten? Kom dan ook langs op onze Lunch & Learn over DNSsec op 18 oktober!

Posted in Geen categorie | No Comments »

Automatisering in managed servers

maandag, augustus 6th, 2012 door

Oxilion biedt sinds kort de managed server aan. Om deze vorm van servers op een schaalbare en foutloze manier te kunnen uitrollen, wordt een grote mate van automatisering toegepast. Dit nieuwsbericht staat stil bij de technische kant van het beheer van dit type server.

Vanaf het moment van ontvangen van de opdracht voor oplevering van de server wordt een zogenaamde lifecycle van de server ingericht. Deze begint bij een stuk administratie: met de gebruiker is al een administratieve inventarisatie gedaan over de wensen en eisen ten aanzien van het beheer. Deze wordt vertaald naar een initiele configuratie van de server. Vervolgens wordt deze configuratie uitgerold via The Foreman. Dit systeem configureert de virtuele server automatisch en installeert het operating systeem middels Kickstart. Vervolgens wordt de server aangemeld bij het configuratie-beheersysteem Puppet waarmee de benodigde additionele softwarepakketten worden geinstalleerd en geconfigureerd.

Na initiele configuratie wordt door Oxilion de server voorzien van updates in de software om zo de server maximaal te beveiligen en te garanderen dat alle actuele functionaliteit beschikbaar is. De updates worden in de verschillende onderhoudsvensters uitgevoerd en gecontroleerd door Katello. Dit systeem zorgt ook voor het inventariseren en ophalen van alle benodigde updates. Wanneer een server onderdeel is van een groep van servers, wordt ook gekeken naar de afhankelijkheden tussen servers. Alle doorgevoerde updates worden gecontroleerd en in de rapportage opgenomen.

Met het invoeren van deze technische systemen, is een goede basis voor een schaalbare en goed controleerbare omgeving gelegd en kunnen we op ieder moment van de dag de status van alle beheerde servers controleren.

Tags: , ,
Posted in Cloud, Development, Vernieuwing en verbetering | No Comments »

Serverupdates

dinsdag, augustus 7th, 2012 door

Waarom updates doorvoeren op een (virtuele) server? Ontwikkeling aan software staat nooit stil. Updates en upgrades volgen elkaar in een rap tempo op. Waarom is het zo belangrijk om deze ook door te voeren op een virtuele server? Een vraagstuk waar we bij Oxilion vaak mee te maken hebben.

Het hebben draaien van een server met daarop software is vaak het begin. Daarna begint het pas. Bedrijven zijn voortdurend op zoek naar verbeteringen en voeren deze door in hun software. Updates en upgrades volgen elkaar dan ook in een hoog tempo op. In de meeste gevallen vervalt ook de ondersteuning op voorgaande versies. Voor deze oude software worden geen updates meer doorgevoerd en je staat dus in principe stil, waar alles om je heen verder gaat. Je maakt dan geen gebruik van de nieuwe mogelijkheden en benut je wellicht de kansen niet.

Naast het mislopen van nieuwe mogelijkheden vormt verouderde software ook een makkelijkere ingang voor hackers. Doordat deze software niet meer (volledig) ondersteund wordt en niet meegaat in de vernieuwde technologie is het makkelijker te hacken. De gevolgen van een hack kunnen enorm zijn. Hoe vaak lees je tegenwoordig wel niet dat er data gelekt is vanwege een hack. Wanneer het persoonlijk gegevens betreft ben je daarmee ook nog eens strafbaar. Tenminste als je niet de juiste maatregelen getroffen hebt om de hack te voorkomen.

Als laatste maakt verouderde software het erg lastig om te migreren naar een omgeving met wel de nieuwste versies software. Simpelweg omdat de applicatie of websitecode niet compatibel is met de nieuwe versies. De applicatie of website doet dan niet meer wat je verwacht. Met alle gevolgen van dien.

Het updaten van software is daarom van groot belang. Eens?

Tags: , ,
Posted in Algemeen, Hosting, Security | No Comments »