Peters Blog

on Security and More

Kleine wijziging, grote impact

6/Jun 2014 By P. Peters
Internet Access Facilities Achterkrant security

In mei zijn we weer druk bezig geweest allerlei kleine wijzigingen aan te brengen, die uiteindelijk een grote impact zullen hebben. Een bepaalde wijziging is echter iets meer dan klein, maar daar kom ik later op terug.

SSH aanval

Vanaf begin mei lijken de aanvallers, die in proberen te breken via SSH, weer druk bezig te zijn gegaan. Was het normale aantal enkele tientallen per dag; in mei liep het op tot tientallen per minuut of erger. We hebben natuurlijk wel gecontroleerd of een aanvaller toevallig wel binnen is gekomen, maar de gebruikersnamen die gebruikt werden in de aanval bestonden niet op onze servers. Behalve root natuurlijk, maar daar hebben we gelukkig goede wachtwoorden bij ingesteld. Er is dus geen ongeautoriseerd persoon binnengekomen.

Op bepaalde momenten was het aantal verbindingen, dat de aanvallers opzetten, zo groot dat we zelf niet meer in konden loggen op de servers. Ook ons monitoringsysteem begon te piepen. Niet alleen onze alarmtelefoon had het druk, maar ook klanten die bij ons een monitoringdienst afnemen. Of dat zelf hebben opgezet.

We kenden het programma fail2ban al langer, maar hadden nooit aanleiding gezien om dat structureel in te zetten. Dat hebben we nu wel gedaan en dan gelijk op een manier die IAF-waardig is. Fail2ban blokkeert een IP adres, dat de aanval uitvoert, in de lokale firewall. Dat is mooi voor die server, maar de aanvallers beperken zich niet tot een enkele server. Om applicaties als fail2ban te misleiden, zwermen ze uit over hele IP ranges. Dan haalt het IP adres op geen enkele server de limiet die ervoor zorgt dat de firewall wordt aangepast.

Omdat we al gedurende enige tijd alle logregels naar een centrale server sturen, konden we fail2ban op die server installeren. Hierdoor bleef een aanvallend IP adres meetellen, ook als hij naar een andere server overstapte.

De andere maatregel die we hebben getroffen, was het blokkeren van het IP adres in de centrale routers. Het gevolg hiervan was dat de aanvaller gelijk geen enkele server in ons netwerk nog kon bereiken. Dus inclusief de servers van de klanten.

Omdat we centrale logserver hebben, kunnen we fail2ban ook andere aanvallen, dan alleen SSH laten analyseren. Momenteel houden we ook aanvallen op FTP in de gaten. In de toekomst zullen we dat waarschijnlijk uitbreiden naar IMAP en authenticated SMTP.

Back-up

We zijn momenteel bezig met het inrichten van een nieuwe back-up omgeving. De mogelijkheid om uw gegevens naar die omgeving te kopiëren is momenteel beperkt tot een paar protocollen. Met andere protocollen was het niet mogelijk om de omgeving veilig genoeg te maken. We zijn de laatste week van mei echter druk aan de slag gegaan om dat toch gerealiseerd te krijgen. We verwachten begin juni op onze helpdesk pagina een uitgebreide uitleg te kunnen plaatsen.

xDSL

Zoals u van ons gewend bent, houden we onze leveranciers nauwgezet in de gaten. We bieden al jaren ADSL en SDSL diensten aan van KPN (Whitelabel en Bitstream) en BBned. De mogelijkheden van BBned zijn niet meer in lijn met wat onze klanten wensen. Dat geeft u zelf massaal aan door te kiezen voor onze Whitelabel producten.

Mede hierom hebben we besloten te stoppen met het aanbieden van BBned en Bitstream xDSL. De klanten, die deze dienst nog gebruiken, hebben ondertussen een brief gekregen met een voorstel om over te stappen.

Sinds kort is ons Whitelabel productenpalet trouwens uitgebreid met VDSL. Als u snel internet wilt en niet de mogelijkheid hebt om dat via FttH te doen of geen zin hebt om internet via de kabel af te nemen, is dat een goede optie.

xDSL plus diensten

Het netwerk waarover wij onze Whitelabel diensten aanbieden, is geschikt voor Pinnen over IP. Dit is zeker interessant voor winkels, apotheken en andere organisaties waar veel gepind wordt. Uw pinautomaat is continu aangesloten en hoeft niet voor iedere transactie opnieuw een inbelverbinding met de bank te maken. Uw klant is veel sneller klaar en u kunt uw aandacht aan de volgende klant wijden.

Bitstream bood de mogelijkheid voor het afsluiten van een extra SLA waarbij u kon verwachten dat KPN sneller aan de slag ging bij een storing. Niet veel klanten maken van die mogelijkheid gebruik, maar als u dat toch wenst, dan kunnen we u geruststellen. Een dergelijke SLA is ook bij onze Whitelabel diensten mogelijk. Indien u die extra SLA wenst, neem dan contact op met onze helpdesk.

Disclaimer

Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.

More Reading
Newer// Werken
Older// Veiligheid

Copyright; 1995 - 2015 Peter Peters. All rights Reserved.