DNSSEC problematik

Opdatering: Vi tilbyder nu DNSSEC.

Vi er begyndt at se en del problemer med DNSSEC og .dk domæner.

Til dem der ikke ved hvad DNSSEC er, så er det en måde at signere ens DNS Zone, så man sikrer sig at den navneserver som svarer for domænet, rent faktisk er den rigtige.

Det gøres ved at signere zonen på navneserveren med en nøgle og herefter give denne nøgle til f.eks. DK-Hostmaster. Når disse to så passer er alt som det skal være.

DNSSEC er meget udbredt på .se TLD’et, men er forholdsvis nyt på .dk – det er også forholdsvis nyt at verdens DNS resolvere (f.eks. Googles Public DNS) rent faktisk validerer på DNSSEC. Senest er TDC begyndt at gøre det.

Problemer begynder at opstå når man så redelegerer domænet til andre navneservere.
Så passer nøglen hos DK-Hostmaster ikke længere med nøglen hos den nye udbyder og så svarer domænet ikke korrekt hvis ens besøgende bruger en DNS Resolver som tjekker på DNSSEC.

På .se domæner løses dette ved at udbyderen (f.eks. os) fjerner DNSSEC fra domænet når man overtager domænet. Det er desværre ikke en funktion DK-Hostmaster giver os mulighed for, her skal domæneejeren manuelt ind i DK-Hostmasters selvbetjening og deaktivere DNSSEC på sit domæne.

Hvordan kan jeg se om der er DNSSEC på mit domæne?

Verisign har et værktøj du kan teste med her: http://dnssec-debugger.verisignlabs.com/.
Hvis der står “No DS records found for example.dk in the dk zone” så er der ingen DNSSEC på dit domæne.

Hvordan fjerner jeg DNSSEC fra mit domæne?

For .dk domæner gøres dette via DK-Hostmasters selvbetjening. For de fleste andre TLD’er kan vi gøre det for dig. Vi drømmer om den dag .dk virker på samme måde.

Understøtter UnoEuro DNSSEC?

Det kunne vi godt, men vi har valgt ikke at gøre det på nuværende tidspunkt. Vi mener DNSSEC giver anledning til en masse problemer hvis man ikke er sat ordentlig ind i det som domæneejer. Samtidig betyder DNSSEC en unødvendig komplicering af vores navneserverinfrastruktur. Vi vil dog formentlig understøtte det på et tidspunkt, når vi mener det gør mere gavn end skade. Selv om vi understøttede DNSSEC, skal en domæneejer stadig ind på DK-Hostmasters hjemmeside og ændre nøgleansvarlig ved en evt. redelegering, så der er stadig rig mulighed for at det giver problemer. Vi mener ikke det er det værd.

Forbedringer af MySQL og phpMyAdmin

Vi har netop færdiggjort en udrulning af en række forbedringer på vores MySQL platform.

  • Alle vores phpMyAdmin installationer er nu SSL beskyttet (https) og browseren tvinges til dette. Så er der ingen ninjaer der kan lytte med på dine SQL kald og dumps.
  • Alle MySQL servere kører nu MySQL 5.6, som har ekstremt mange forbedringer – især ved brug af InnoDB. Før kørte mange af serverne MySQL 5.5 (og kun nogle/nye 5.6).
  • Alle phpMyAdmin installationer er opdateret til version 4.1.
  • Du kan nu importere .gz, .zip og .bz2 filer igennem phpMyAdmin.
  • Mange af vores MySQL servere er blevet opgraderet og har i den sammenhæng fået mere RAM og CPU.

734

WordPress sikkerhed mod brute-force angreb

Hos UnoEuro har vi en lang række filtre og sikkerhedsforanstaltninger, der beskytter vore kunders hjemmesider imod angreb.

Vi ser pt. en del angreb mod WordPress, og i den forbindelse har vi selv lavet en række justeringer til vores filtre, for at aflede så meget af angrebet som vi kan.

Angrebet er et brute-force angreb mod wp-login.php – dvs. der er en række maskiner på internettet der står og forsøger at logge ind i forskellige WordPress installationer, med en række forud-definerede loginoplysninger. Disse systemer bliver ved indtil de rammer plet, giver op, eller bliver blokeret.

Vi anbefaler derfor kunder, der bruger WordPress, at installere plugins der beskytter imod brute-force angreb. Nævneværdige plugins er Limit Login Attempts (Anbefales), Wordfence og WP-Better-Security. De to sidstnævnte kan meget mere end at løse brute-force problemet, hvilket selvfølgelig ikke altid er en fordel :)

Sikkerhed & Ny funktion: 2-Faktor login

Det har åbenbart vist sig svært for nogle online-tjenester, og endda konkurrenter (!), at holde deres kunders adgangskoder hemmelige.

Vi anbefaler alle kunder at bruge unikke adgangkoder til deres webhoteller og konti, altså koder du ikke bruger andre steder end hos os, så du ikke risikerer dine data fordi linkedIn, last.fm, Blizzard, Apple, Amazon eller Yahoo er uheldige at lave begynderfejl.

2-faktor login

Vores seneste tiltag i forhold til at optimere vores sikkerhed, er muligheden for at tilføje et 2-faktor login på sin UnoEuro konto. Hvis du slår den til, så betyder det, at selv om nogen skulle kende både dit Konto nr. og din adgangskode, så vil de stadig ikke kunne tilgå din UnoEuro konto, uden de også har adgang til din unikke Authenticator.

Sikker FTP log ind

Husk, at du hos UnoEuro har mulighed for at benytte FTPS (SSL krypteret FTP). Herved sikrer du at dit webhotel-kodeord ikke kan blive opsnappet.

Endvidere er det en god idé ofte at scanne din computer for vira og andet malware.  Især hvis du har gemt dine loginoplysninger i dit FTP program, da det er en populær måde for hackere at opsnappe adgangskoder på (FTP programmer krypterer normalt aldrig koden i deres database).

Opdater dit CMS system

Det kan ikke gentages ofte nok, at du skal sørge for at holde dit CMS system opdateret – det betyder at du skal sørge for at holde CMS, plugins, temaer og alt derudover opdateret til den nyeste version. Vær samtidig altid kritisk over for hvilke plugins og temaer du vælger at bruge i dit CMS.

Opbevaring af adgangskoder

Alle adgangskoder hos UnoEuro opbevares i krypteret form, så selv om nogen skulle få adgang til vores interne database, vil de ikke automatisk have adgang til vores servere eller vore kunders adgangskoder.

Login historik

Hvis du er bange for, at din konto er blevet kompromitteret, kan du hurtigt og nemt se om det rent faktisk er tilfældet. Vi har nemlig tilføjet en login-historik i dit kontrolpanel, som viser alle IP-adresser der har været logget ind på din UnoEuro konto.

Disse tiltag er blot endnu et par skridt i vores stræben efter, at gøre alt hvad vi kan, for at sikre vore kunders oplysninger, adgangskoder og produkter.

Alle funktionerne kan findes under “Stamdata” i vores kontrolpanel.

Microsoft SQL 2012

Microsoft SQL 2012 er netop blevet frigivet i onsdags.
I den sammenhæng vi har vi netop opsat en ny MS SQL server (mssql2.unoeuro.com) med MS SQL 2012 installeret.

Det betyder (efter alt at dømme) at vi kan prale med vi er Danmarks første webhoteludbyder til at tilbyde MS SQL 2012 :) Alle nye bestillinger af MS SQL får dermed automatisk MS SQL 2012.

Vi vil i den nærmeste fremtid opgradere vores MS SQL 2008 server til 2012, så alle kunder kan nyde godt af de nye funktioner.

Windows VPS’er

Lige siden vi i september måned lancerede vores Virtual Private Server produkt, har det væltet ind med forespørgsler på en Windows udgave – og så bliver vi jo nød til at makke ret!

Derfor er vi glade for, at vi nu endelig kan tilbyde Windows 2008 R2 SP1 (x64) for både VPS Sølv og VPS Guld pakkerne – og det til en pris hvor konkurrenterne stadigvæk ikke kan følge med.

(Windows kræver mere end 512MB RAM for at loade, så derfor tilbydes det ikke på VPS Bronze produktet)

Fuld kontrol og ultimativ ydeevne!

Med en VPS opnår du en fantastisk ydeevne med fuld kontrol over dit eget operativsystem (RDP/SSH adgang), hvor du desuden kan konfigurere dine applikationer præcist som du vil. Vi placerer dig på en kraftig fysisk server med dedikerede RAM og CPU ressourcer, som vil sikre at din hjemmeside eller webshop opnår den optimale ydeevne. Dertil har du selvfølgelig mulighed for at tilkøbe og installere dine egne SSL certifikater.

Læs mere om vores VPS servere.

Ang. driftproblem d. 21 oktober

UnoEuro blev fredag d. 21. oktober berørt af en række uheld, hvilket desværre betød, at en stor del af vores kunder ikke kunne modtage e-mails før sidst på dagen. Vi har løbende udmeldt driftsinformation og opdateringer på hjemmesiden. Inden vi afslutter sagen, vil vi dog gerne give en opsummering på hændelsen, og prøve at forklare hvad der skete, hvordan vi nåede frem til en løsning og hvad vi vil gøre, for at sikre det ikke sker igen.

Tidligt fredag nat gik en af vores diske ned, på det disksystem (SAN) som håndterer flere af vores mail løsninger – en hændelse som absolut ikke er faretruende, da vores SAN er konfigureret til at kunne håndtere op til 4 samtidige diskfejl. I løbet af morgenen og indtil kl. 08.37 mistede vi dog yderligere 3 diske, hvilket stadig ikke var et direkte problem.

Da tabet af flere diske ville være absolut katastrofalt, stod vi på daværende tidspunkt derfor med 2 muligheder. Vi kunne lade disksystemet køre videre, og håbe på at vi ikke ville miste flere diske imens de 4 ødelagte diske blev genopbygget, hvilket ville ske over en periode på ca. 40 timer, da genopbygning i et kørende system kun vil køre med ca. 30% hastighed. Alternativt kunne vi erkende, at der var en fejl på det enkelte netværk (SAN) og derfor slukke hele systemet, hvorved en genopbygning blot vil tage 10-13 timer, da den således kan køre med 100% hastighed.

Vi tog derfor en strategisk beslutning, om at slukke for disksystemet, for at være sikre på at vores løsninger ville komme op og køre igen allerede den samme dag.

Kl. 20.30 fredag aften – ca. 11,5 timer efter at vi tog systemet ned, var det færdig med at gendanne/reparere de første diske og vi følte os derfor trygge ved at starte systemet op igen. Hele episoden har været meget beklagelig, til dels fordi at denne form for tekniske problemer normalt kun berører os internt, men specielt fordi at det denne gang ligeledes har været en meget langsommelig affære og har berørt mange af vores kunder.

Læs videre “Ang. driftproblem d. 21 oktober”

TDC kunder og udgående mail server

Djævlene inde ved TDC, har åbenbart valgt at lukke ned for deres udgående mailserver, smtp.mail.dk.

De har desværre også blot valgt at gøre det uden rigtigt at informere deres kunder, og i vant stil valgt at give skylden på alle andre når man ringer til dem.

Vi vil derfor opfordre alle vore kunder, inkl ikke-TDC kunder, at sende igennem vores udgående SMTP server, asmtp.unoeuro.com – den server kan du også bruge ligemeget hvor i verden du befinder dig.

Brug evt. port 587, da TDC også har været så venlige at lukke port 25 for deres kunder.

 

(Bemærk asmtp.unoeuro.com ikke må bruges til masse-udsendelser)

Massiv opdatering af alle ASP webhoteller

Vi har netop færdiggjort en langventet opgradering af samtlige ASP webhoteller.

Sikkerhed frem for alt

Alle ASP webhoteller kører nu på splinternye Windows 2008 R2 (64-bit), IIS 7.5 servere, med et ordentligt los RAM.

Det betyder ekstra hastighed og ekstra sikkerhed for alle kunder.

Fjernelse af udvalgte ASP komponenter

Som tidligere nævnt, har vi været nød til at fjerne alle ASP komponenter fra ServerObjects, da disse komponenter ikke virker på 64-bit operativsystemer og ikke længere bliver opdateret.

Fjernelse af Frontpage Udvidelser

Vi har samtidig været nødsaget til at fjerne Frontpage udvidelser fra alle servere undtagen én.

Frontpage udgør et forholdsvis stort sikkerhedsproblem for den enkelte server og virker slet ikke på Windows 2008 R2 (64-bit). Grundet den støre efterspørgelse på Frontpage, har vi dog valgt at beholde det på én enkelt server, og samle alle Frontpage kunder på denne. Ønsker du Frontpage bedes du kontakte vores support og blive flyttet til denne server.

Vi anbefaler kunder, der ikke har strengt nødvendigt brug for Frontpage, at bruge fx. Web Deploy eller FTP til at udgive filer med i stedet.

Web Deploy & WebMatrix

Da vi har opgraderet til IIS 7.5 kan vi nu tilbyde fuld adgang til Microsoft Web Deploy og WebMatrix.

Med Web Deploy kan du nemt udgive filer til dit webhotel, og med WebMatrix kan du installere fx. Umbraco med få klik.

Skift af IP adresser

Alle ASP webhoteller har samtidig fået skiftet IP adresser, og er derfor nu flyttet over på vores nye netværk. Det giver en ekstra stor sikkerhed imod netværksnedbrud og angreb, samt selvfølgelig redundant 10GBit forbindelse til serverne. Vores system har sørget for automatisk at gøre dette for alle kunder, så de fleste har formentlig intet opdaget :)

 

Vi beklager evt. gener som det har medført enkelte af vores kunder, men håber samtidig på forståelse, i det ændringerne giver det os en langt mere stabil og ensformig platform at levere rigtig god ASP og ASP.NET hosting på.

IPv6 på navneservere

Vi har i dag tilføjet nye IP adresser på ns1.unoeuro.com og ns2.unoeuro.com.

Dermed er vores navneservere nu beskyttet af større firewalls, samt redundante 10GBit forbindelser.

Vi har desuden også tilføjet IPv6 på serverne, så det nu er muligt at bruge native AAAA records.

Husk du stadig kan flytte alle dine .dk domæner til vores navneservere, ganske gratis.  Læs mere her.

Webmail i FireFox 4

Firefox 4 er netop blevet udgivet, og med den er kommet en række ændringer og forbedringer. En af ændringerne er at Firefox ikke længere tillader XUL.

Desværre kræver vores ‘Avancerede’ brugerflade i webmailen netop XUL. Det er derfor ikke længere muligt for kunder at logge på dette brugerflade med FireFox 4 eller nyere.

Vi arbejder på at finde en ny webmail, men desværre er der langt imellem de gode løsninger. Indtil da, vil vi anbefale vore kunder at bruge en af de alternative brugerflader, som stadig virker.

PS. Forslag til webmail systemer modtages gerne :)

Ændring af midlertidige URLs

Vi har altid tilbudt en midlertidig URL til alle vores webhoteller. URL’en kan fx. være ditdomæne.dk.linux19.unoeuro.com

Desværre er der opstået en række tekniske problemer med at den midlertidige URL ender på unoeuro.com, og derfor vil vi snarest mulig ændre den midlertidige URL til i stedet at ende på unoeuro-server.com (eks. ditdomæne.dk.linux19.unoeuro-server.com).

Heldigvis er disse URLs kun alternative, og på ingen måde ment til varig brug, så de fleste kunder vil formentlig intet bemærke.

Vi vil igen understrege at permanent brug af den alternative/midlertidige adresse ikke er anbefalet. Adressen er kun ment til brug imens ens domæne ikke peger på webserveren (eks. under flytning eller registrering).

Hvis du har angivet den midlertidige URL i eks. en .htaccess fil eller i din kode, skal denne naturligvis opdateres.

Vi beklager ulejligheden.

Udfasning af forældede ASP komponenter

Som et led i vores projekt om større sikring af servere og netværk, imod fjendtlige angreb, har vi et stort ønske om at opgradere vores Windows 2003 servere til Windows 2008 R2.

Dette betyder at vi er nød til at udfase en række ASP komponenter, som ikke længere bliver vedligeholdt, og derfor hverken er kompatibel med Windows 2008 eller sikkerhedsopdateret.

Vi vil derfor stoppe med at tilbyde følgende ASP Komponenter på vores 2003 servere:

  • ServerObjects AspMAIL
  • ServerObjects AspPOP3
  • ServerObjects AspHTTP
  • ServerObjects AspDNS
  • ServerObjects AspIMAGE

Du kan finde alternativer til alle komponenterne, her: http://www.unoeuro.com/support/faq/6/20/

Komponenterne er allerede utilgængelig på nye servere. Det er derfor kun eksisterende kunder på følgende servere, som skal være opmærksom på dette:

  • nt1.unoeuro.com
  • nt2.unoeuro.com
  • nt3.unoeuro.com
  • nt4.unoeuro.com
  • nt5.unoeuro.com
  • nt6.unoeuro.com
  • nt7.unoeuro.com
  • nt8.unoeuro.com
  • nt9.unoeuro.com

Vi forventer at udfase komponenterne over en længere periode, men vi gerne opfordre kunder til allerede nu at udskifte disse komponenter i deres kode.

Netværksopgradering og angrebsbeskyttelse

Som nogle kunder måske har bemærket, igennem årene, så er UnoEuro til tider offer for DDOS angreb. Et angreb mod en enkelt side, på en enkelt server, kan være skyld i at hele vores netværk bliver utilgængeligt. Nogle har måske også hørt om denne type angreb i forbindelse med WikiLeaks, som også har været offer for denne type angreb.
Igennem de snart 7 år UnoEuro har eksisteret, har vi været ramt af al for mange af denne type angreb. Angrebene har til tider været så voldsomme at vores netværk hidtil ikke har været kraftigt nok til at håndtere presset. Vi har i disse situationer været afhængige af at fx. TDC tog telefonen og hjalp os – noget som ofte kunne tage al for lang tid.

For at tilbyde vores kunder den absolut bedste og mest stabilt drift, er vi derfor i fuld gang med at opgradere hele vores netværksinfrastruktur.

Hermed en lille opdatering på hvor langt vi er nået indtil videre

  1. Vi har opgraderet hele vores backbone infrastruktur, for at være klar til flere udbydere, IPv6 og 10gbit internet leverancer.
  2. For at kunne modstå fremtidige angreb mod vores netværk, har vi opgraderet vores internetforbindelse til 2x10gbit fiber fra henholdsvis TDC og Telia.
    Før har vi alene haft TDC som internet leverandør, på en 2GBit forbindelse (pt. kun 25% udnyttet – så bare brug løs).
  3. Vi har investeret i nyt software til analyse, alarmering og bekæmpelse af DoS/DDoS angreb, disse har allerede vist sig værdifulde. Vi har inden for de sidste 2 måneder afværget 5 mindre og 2 større angreb proaktivt ved hjælp af dette software og vores nye backbone udstyr.
  4. Vi er ved at opsætte ekstern backup-mx server og har allerede opsat en ekstern navneserver. Så hvis vores netværk skulle gå ned, vil ingen mail gå tabt.

Hvordan vil det påvirke dig som kunde?

Ovenstående har krævet rigtig meget arbejde og planlægning internt, og vil også kunne påvirke Jer som kunder, da vi for at få fuld udbytte af de to forskellige internetudbydere skal skifte IP adresse på de fleste shared services – det være Web, Mail og MySQL servere.

Rent praktisk betyder det der skal ændres DNS records på rigtig rigtig mange domæner.
Alle domæner der ligger på vores navneservere, vil vi selvfølgelig tage os af og du som kunde vil intet skulle foretage dig, det vil kun være kunder der har andre navneservere end vores, der aktivt skal foretage sig noget. Disse kunder vil løbende få mails omkring den nødvendige ændring af IP adresse. Det er vigtigt at du reagere på disse mails hurtigst muligt.

I en overgangsperiode, vil serverne have 2 IP adresser, den gamle og den nye – så alle kunder får mulighed for at ændre deres DNS og undgå nogen form for nedetid.

Når dit domæne er skiftet til de nye IP adresser, opnår dit webhotel automatisk den ekstra angrebsbeskyttelse i form af 10GBit båndbrede og redundante internetleverandører.

Nem opsætning af SPF record

En SPF rcord kan sørge for at du ikke modtager spam, og at andre ikke sender spam fra dit domæne.

I SMTP protokollen er det desværre muligt af sende mail fra alle domæner i verden. Dvs. at alle fx. kan sende en mail fra bill@microsoft.com, eller steve@apple.com, og der er intet i SMTP protokollen for at forhindre dette.

Som en ‘nødløsning’ blev SPF recorden opfundet. SPF virker ganske simpelt ved at opsætte en TXT record i domænets DNS zone, der indeholder en række regler om hvilke servere der må sende mail for et givet domæne.

Vi har gjort det rigtig nemt at opsætte SPF records hos UnoEuro, ved at lave en record som vi sørger for at vedligeholde, så du er fri for at tænke videre over hvilke servere hos os du skal godkende.

  • Hvis du kun sender mail igennem dit UnoEuro webhotel og asmtp.unoeuro.com
    Tilføj en TXT record med følgende indhold: v=spf1 include:spf.unoeuro.com -all
    Brug evt. vores DNS skabelon til dette. Du finder denne i vores DNS Administration.
  • Hvis du sender mail igennem anden mailserver (fx. hos internetudbyder, et nyhedsbrevssystem el. lign.), dit UnoEuro webhotel og asmtp.unoeuro.com
    Tilføj en TXT record med følgende indhold: v=spf1 a:andenserver.dk include:spf.unoeuro.com -all fx. v=spf1 a:asmtp.mail.dk include:spf.unoeuro.com -all

Se også vores OSS indlæg om emnet: https://www.unoeuro.com/support/faq/2/136/

Hvis du har opsat en SPF record, kan du teste den ved at sende en mail til spftest@openspf.org, og læse den fejlbesked du får tilbage (du får altid en fejl tilbage, læs fejlen)