WorNet sichert Domains mit DNSSEC


Kann Ihre Domain DNSSEC? Schnell geprüft:
http://dnssec-debugger.verisignlabs.com/

DNS ist eines der zentralen Systeme des Internets. Umso erstaunlicher ist die Tatsache, dass DNS immer noch weitestgehend ungesichert betrieben wird. Verschlüsselung oder Signierung bei DNS? Fehlanzeige! Für DNS existiert allerdings seit einigen Jahren ein Standard namens  DNSSEC, der eigentlich für Sicherheit sorgen sollte. Dies geschieht bei DNSSEC mit Hilfe von kryptografisch signierten DNS-Records. Die Schlüsselkette muss dabei von allen an einer DNS-Rekursion beteiligten Nameservern bis zum Trust-Anchor bei den Top-Level-Registraren konsistent sein, so, dass der Empfänger die Herkunft von DNS-Antworten eindeutig validieren kann. Bislang können DNS-Abfragen ohne DNSSEC abgefangen und beliebig verändert werden. Damit könnte ein Angreifer beispielsweise durch Manipulation von DNS-Paketen eMails oder HTTP-Anfragen auf einen anderen Server umleiten. Diese Signierung verhindert nun unbemerktes Verändern der DNS-Inhalte.

Weiterlesen

SecuMail sichert E-Mail Übertragung mit DANE


Eine moderne Technik zur zusätzlichen Absicherung von TLS-gesicherten Diensten wie z.B. SMTP oder HTTP heißt:
DANE (DNS-based Authentication of Named Entities)

Warum?
DANE hilft dabei die alten und bekannten Schwächen der verbreiteten TLS-Sicherung zu beheben, indem es unabhängig von der Vertrauenswürdigkeit einer Zertifizierungsstelle ein sicheres Verfahren zur Validierung von SSL-Schlüsseln ermöglicht. Dies ist erforderlich, da jede Zertifizierungsstelle als single point of failure zu betrachten ist. Wird sie kompromitiert, dann sind sämtliche Sicherheits-Maßnahmen, die auf den ausgestellten Zertifikaten basieren, unbrauchbar. Dabei hat der Anwender jedoch weder Einfluß auf die Sicherung seiner Zertifizierungsstelle, noch auf deren  Informationspolitik im Falle eines relevanten Problems.

DANE-Screenshot

Weiterlesen

Modulares Web-Cluster Hosting


Der modulare WordPress-Cluster


Beispiel Zeitschriften-Fachverlag

Seit Mitte 2013 betreiben wir ein weiteren Web-Cluster, diesemal für einen bekannten Münchener Zeitschriften-Fachverlag. Das System hostet gleich mehrere News-Portale des Verlages, welche alle von einer gemeinsamen WordPress Instanz geliefert werden. Unsere Aufgabe dabei ist die Installation und der Betrieb des Clustersystems, während eine Webagentur die Installation und Pflege der WordPress-Installation übernimmt. Inhaltlich legt der Verlag selbst Hand an.

Weiterlesen

Deduplizierender Storage mit dem ZFS-Filesystem


Hallo Kollegen,

wir sind auf der Suche nach einem bezahlbaren Storage-System, das Deduplizieren und Komprimieren kann, und gleichzeitig für hoch produktive Umgebungen geeignet ist. Von einigen Kunden kennen wir die Datadomain von (mittlerweile) EMC, die zwar verblüffend hohe Performance bei optimalen Deduplizier-Raten leistet, jedoch auch erst für entsprechend verblüffende Preise zu haben ist. Wir fragen uns, was zum Beispiel Opensource hier beitragen kann? Bekannte Projekte sind ZFS und Opendedup. Nachdem ZFS auch als Kernelmodul vorliegt und eine weitaus größeres Featureset aufweist, werden wir uns einige Zeit (es wurden mehrere Monate) mit ZFS beschäftigen. Dabei geht es in dieser Reihenfolge um ZFS-Verstehen, Best-Practise, Versuchsaufbau, Benchmarking/Tests, Setup und Hardware für produktive Maschinen und Deployment.

Ich nehme hier vorweg, dass unser Versuch mit ZFS gescheitert ist. Und zwar am letzten Punkt „Deployment“. Mehrmals haben wir nach erfolgreichen Tests Probleme im Live-betrieb feststellen müssen, die wir letztlich nicht lösen konnten. Aber dennoch ist ZFS grundsätzlich ein interessantes Filesystem, außerdem haben wir bei diesem Versuchsprojekt viele spannende Dinge gelernt. Weiterlesen

RAID50 vs. RAID10


Hallo Kollegen,

das Thema RAID ist wohl ein niemals endendes. Gerade jetzt, da in Zeiten vortgeschrittener Virtualisierungstechnik auch die Storage-Strategie angepasst werden muss und  damit größere SAN-Systeme auch in kleines und mittleres Gewerbe Einzug erhalten, stellen viele Admins neue Überlegungen über ihren jeweils optimalen RAID-Verbund an. Im Unterschied zu früher sind die Arrays jetzt viel größer, dazu kommt die Problematik der schnellen Daten-Übertragung über das Netzwerk. Auf das Prinzip von dedizierten Storage-Netzwerken und parallelen Daten-Pfaden werden wir ein anderes mal eingehen.
Die Auswahl des RAID-Setups ist schon der erste magische Punkt, der sorgfältig vorbereitet werden sollte, weil nachträgliche Änderungen nur schwer möglich sind. Viele Storage-Systeme verfügen zwar über eine Funktion bestimmte RAID-Level in andere zu überführen,  ohne dabei Datenbestände oder den Betrieb zu verlieren, in der Praxis ist jedoch oft die benötigte Kombinationnicht möglich oder die Live-Migration würde über Tage das gesamte System deutlich belasten, so, dass der tägliche Betrieb beeinträchtigt werden könnte. Die Auswahl des RAID-Levels sollte daher auf soliden Überlegungen beruhen.

Aber wie lässt sich von einer schwer voraussagbaren Anforderungen der eigenen Systeme auf das richtige RAID-Setup schließen?

Im Groben ist das ganz einfach:
Man untersucht die Anforderungen an Performance- und  Platzbedarf und zirkelt dann mit Hilfe der folgenden und vermutlich jedermann halbwegs geläufigen Tabelle der wichtigsten RAID-Level, eine Entscheidung herbei.

RAID 0 RAID 1 RAID 5 RAID 10 RAID 50
Prinzip Stripes über 2 PLatten Ein Platte gespiegelt Verteilte Parität Stripes über n Platten, gespiegelt Stripes über n RAID5
Mindest Anz. Platten 2 2 3 4 6
Datensicherheit keine 1 Ausfall 1 Ausfall 1 Ausfall pro Subarray 1 Ausfall pro Subarray
Kapazität 100% 50% 67% – 94% 50% 67% – 94%
Performance schnell schreiben schnell lesen mittel schnell schnell bei großen Datenmengen
Rebuild Performance gut mittel sehr gut mittel
Vorteil 100% Kapazität / Performance Datensicherheit / Schreib-Performance Datensicherheit /hohe Kapazität Skalierbarkeit / Performance Skalierbarkeit / Kapazität

Große RAID-Setups

Das hat bisweilen ganz gut funktioniert in Zeiten der „Baremetal-Rechner“, die nur sich selbst mit Storage versorgen mussten. Gilt es jedoch beispielsweise einen VM-Ware-Cluster mit drei ESX-Servern und  insgesamt 50 virtuellen Rechnern zu bedienen, dann ist diese Informationsbasis zu dürftig.
Wir nehmen hier vorweg, dass wir schnell zu dem Schluss gekommen sind, die RAID-Level 10 und 50 genauer zu untersuchen, da sie als einzige gleichzeitig hohe Performance, Ausfallsicherheit und Skalierbarkeit mitbringen.

Performance ist nicht gleich Performance

Storage-Performance nicht so einfach messen und durch einfache Zahlenangaben charakterisieren. In der Regel wird einfach eine mittelgroße Datenmenge sequenziell auf den zu testenden Store geschrieben bzw. gelesen. Das lässt sich zumeist recht einfach umsetzen und das Ergebnis sind dann Zahlen wie z.B. 73MB/s schreiben etc. . Werden beispielsweise große zusammenhängende Datenmengen bewegt, ist das schon einmal eine hilfreiche Information. Andere Fragen bleiben jedoch zunächst unbeantwortet. Welche Eigenschaften eines Storage-System lassen z.B.einen Windows Domain-Controller in Windeseile booten oder helfen eine relationale Datenbank zu beschleunigen? Ausschlaggebend dafür ist ein schwer zu messendes Kriterium, namens Transaktionen pro Sekunde (tps). Also die Anzahl der Schreib- bzw Lese-Zugriffe pro Zeiteinheit. Die tps eines Systems lassen sich nur durch ausgeklügelte Benchmarks ermitteln, da dazu ein Testumgebung nötig ist, die parallel extrem viele kleine und kleinste I/O-Requests starten kann. Der für das durchschnittliche Serversystem „natürlichen“ I/O-Last kommt das jedoch erheblich näher, als die übliche Lese- und Schreibrate sequenzieller Daten.

Geeignete Benchmarks lassen sich z.B. in der Opensource-Welt finden. Wir verwenden ein freies Tool namens FIO u.a. zur Ermittlung der TPS-Werte. Mit einem  anderen Programm namens Bonni haben wir gute Erfahrungen auf kleineren Storage-Systemen gemacht. Für Tests an besonders schnellen Systeme, z.B. wenn SSD-Platten z.B. für Caches verwendet werden, mussten wir auf FIO umsatteln. Die genaue Funktionsweise von Benchmarkprogrammen, sowie die Interpretation der Resultate werden wir in einem eigenen Blogartikel genauer besprechen.

Welche Kriterien sind entscheidend für hohe TPS-Werte?

  • Die Anzahl der verwendeten Festplatten.
    Je mehr Festplatten (auch Spindeln genannt) gleichzeitig arbeiten, desto mehr Arbeit kann logischerweise auch verrichtet werden. Das trifft insbesondere auf TPS zu, da eine herkömmliche Festplatte bauartbedingt einige Zeit benötigt, um den Lesekopf neu zu positionieren. Bei vielen kleinen Zugriffen an „unterscheidlichen“ Stellen auf der Platte, entstehen so viele kleine Lese-Pausen, während sich der Kopf zum nächsten Ziel bewegt.
  • Das RAID-Setup.
    Am RAID-Level hängt ab, welche Arbeit der Controller verrichten wird und in welcher Weise Festplatten parallel arbeiten können. Logisch betrachtet sind in einem RAID 50 Verbund an einem Schreibzugriff mehr Platten aktiv beteiligt, als z.B. in einem RAID10. Beim Letzteren sollte daraus einen Performace-Gewinn resultieren.
  • Performance und Drehgeschwindigkeit der eingesetzten Festplatten.
    Je schneller sich die Datenscheibe der Festplatte dreht, desto weniger Zeit vergeht bis sich die „gesuchten Daten“ unter dem Lesekopf befinden. Insbesondere nach Repositionierungen des Kopfes muss dabei gewartet werden.

In der Praxis

Soweit die Theorie. Jetzt möchten wir wissen ob wir für unser VMWaren-Cluster besser RAID10 oder RAID50 einsetzten sollen und wie wir die Performance verbessern können.

Setup

  • VM-Ware-Cluster mit drei ESX-Servern (je 96GB RAM) und insgesamt 50 virtuellen Rechnern
  • Dell Equallogic PS4000 mit 12 Festplatten je 15.000 rpm
  • Dell Equallogic PS4000 mit 16 Festplatten je 7.200 rpm
  • Eine Linux-VM mit FIO-Benchmark Software.

Ergebisse (Ausschnitt)

EQL1 (10×15.000rpm) EQL2 (14x7200rpm)
RAID 10 RAID 10 RAID 50
Lesen-TPS 4KB 2161 tps 1406 tps 1390 tps
Lesen / Schreiben – TPS 4KB 1360 tps 800 tps 595 tps

Im direkten Vergleich auf EQL2 stehen sich RAID10 und RAID50 auf der selben Hardware gegenüber.
Außerdem werden zwei RAID10 Setups auf sehr ähnlicher Hardware, jedoch mit unterschiedlichen Ferstplattenbestückungen gegenüber gestellt.

Fazit:

Erwartungsgemäß ist RAID10 als das „teuerste“ RAID auch bei TPS am schnellsten. Allerdings ist der Vorsprung nicht sehr groß (zwischen 5% und 25% schneller als RAID50) und es gibt eine weitere Überraschung.
Die Bauart der Festplatten, insbesondere die Drehgeschwindigkeit, scheint auch in großen Verbünden maßgeblichen für die Leistung am Ende des Tages ausschlaggebend zu sein. Unseren Ergebnissen zufolge, ist die Annahme naheliegend, dass eine Verdoppelung der Drehgeschwindigkeit auch in etwa die Anzahl der Transaktionen verdoppelt. (Wenn man die Anzahl der Festplatten hochrechnet und Unterschiede in der übrigen Hardware vernachlässigt).

RAID 10 RAID 50
Vorteile Beste TPS-Werte, schnelles Rebuild, wenig Performanceverlust bei degradeten Arrays, etwas bessere Redundanz Beste Nutzung der Speicherkapazität (preisgünstiger), Ordentliche TPS-Werte, kleiner Vorteil beim lesen großen Datenmengen
Nachteile Nur 50% der Speicher-Kapazität nutzbar (teurer) Performanceverlust bei degradeten Arrays und während des Rebuilds, etwas weniger Redundanz
Einsatzzweck Schnelle Datenbanken, Storage für (virtuelle und physische) Systeme mit maximalen Leistungsanforderungen Große Datenbanken, Storage für (virtuelle und physische) Rechnersysteme mit normalen Anforderungen, Backup, Fileserver

Aufgrund dieser Messergebnisse haben wir uns entschieden, zwei unterschiedliche Storage-Systeme für unser VMWare-Cluster zu betreiben. Ein Storagesystem mit viel Speicherkapazität auf Basis normal-schneller Platten und RAID50 und dazu ein etwas kleineres System mit RAID10 und schnellen Platten. So können wir jede virtuelle Maschine und alle anderen Systeme mit Speicherplatz-Bedarf, nach Anforderung sortiert auf den jeweils individuell passenden Storage umziehen.

IT bleibt spannend!

Hannes Wilhelm
WorNet AG 2012

 

Quellen:

Onlinespeicher TrinityBox erhält neue Webseite


Heute haben wird das von uns selbst produzierte Einführungsvideo zur TrinityBox fertiggestellt und mit der neuen Produkt-Webseite www.TrinityBox.de veröffentlicht:

Damit steht jetzt ein passender Webauftritt als umfassende Informationsquelle im Internet zur Verfügung, auf der alles zu lesen ist, was es über die TrinityBox zu wissen gibt.

TrinityBox Webseite

Wir bedanken uns für die umfangreiche Unterstützung und werden auch weiterhin Tipps und Hinweise zu Produkt und Webseite dankbar annehmen!

IT bleibt spannend!

Grüße

Hannes Wilhelm

fail2ban gegen schwache Passwörter


Beim Betrieb von Serverdiensten im Rechenzentrum werden zwangsläufig auch diverse Ports für das Internet freigeschalten, um Benutzern und Admins Zugang zu ermöglichen. Trotz sorgfältig eingesetzter Firewalltechnik können dabei schwache Passwörter von einem Angreifer aus dem Internet ggf. leicht erraten werden (Brute Force Attacke).
Wir schließen diese Lücke mit dem Programm fail2ban.
Es funktioniert nach dem Prinzip: erfolglose Loginversuche erkennen und nach einer festgelegten Anzahl die IP-Adresse sperren. Fail2ban ist für Posix-Betriebssysteme erhältlich, so ist z.B. bei SuSE- und Ubuntu-Linux ein vorkonfiguriertes Paket in der Distribution enthalten. Es lassen sich mehrere Dienste (auch gleichzeitig) damit überwachen, u.a. Apache, Lighttpd, sshd, vsftpd, qmail, Postfix und Courier Mail Server. Dabei werden die Logausgaben vom fail2ban-Daemon laufend überwacht und im Falle einer Attacke der oder die Angreifer per IP-Tables Regel verbannt.
Fail2ban ist auf allen gehosteten Servern unserer Kunden, die mit einem Wartungsvertrag ausgestattet sind, sowie unseren Eigenen im Einsatz. Dank der einfachen Handhabung entsteht dabei kaum administrativer Aufwand.

IT bleibt spannend!

Viele Grüße
Hannes Wilhelm

 

Quellen:

http://www.fail2ban.org/wiki/index.php/Main_Page
http://de.wikipedia.org/wiki/Fail2ban

TrinityBox – die flexible Remote Backup Lösung


Liebe Kunden, Freunde und Interessenten,

ich freue mich, Euch heute unser neues, gerade fertiggestelltes Produkt vorzustellen:

Die TrinityBox

zur Sicherung wichtiger Daten an einem entfernten Standort. Als einfache Remote-Backup Lösung in Eurem Büro oder Serverraum.

Was kann die TrinityBox?
Sie stellt dort, wo sich Ihre wichtigen Daten befinden, ein Netzlaufwerk bereit. Das Netzlaufwerk sorgt einenständig dafür, dass all seine gespeicherten Daten automatisch auf den bereitgestellten Online-Speicher im WorNet Rechenzentrum gesichert werden.

Wie macht sie das?
Die TrinityBox besteht aus drei Komponenten:

  • Einem Gerät, das Netzlaufwerke bereitstellt (NAS), und das Ihnen dauerhaft zur Verfügung gestellt wird.
  • Dem TrinityLink. Ein robuster Prozess zur Übertragung der Daten.
  • Dem WorNet Rechenzentrum in München, das gesicherten Online-Speicherplatz bereitstellt.

Außerdem sind weitere wertvolle Funktionen eingebaut:

  • Bandbreitenmanagement
  • Monitoring
  • TrinityWeb als Informationszentrale
  • Weitere Netzlaufwerke zu Ihrer freien Verfügung
  • Daten-Kurierservice

Für wen ist die TrinityBox geschaffen?
Für Büros, Unternehmen, Praxen, Kanzleien, Selbständige, IT-Dienstleister, Werkstätten, Agenturen, industrielle Betriebe, Handelsunternehmen, öffentliche Einrichtungen, Vertreter,  usw. …
Kurz: für alle, die sicher gehen möchten oder müssen, dass Ihre Daten nicht von einem Standort alleine abhängig sind.

Interesse?
Gerne könnt Ihr euch selbst überzeugen und euch kostenlos eine Demo-TrinityBox zum ausprobieren borgen.

Weitere Informationen findet Ihr auf dem Produktblatt oder auf unserer Homepage.
Natürlich beraten wir Euch gerne auch persönlich am Telefon: 08171-418090

TrinityWeb informiert

IT bleibt spannend!

Viele Grüße
Hannes Wilhelm

Backup made in Germany


Neue Partnerschaft mit Backup-Spezialist SEP.

Zwei aktuelle Projekte haben uns veranlasst, uns auf die Suche nach einen geeigneten Anbieter von Backup-Software zu machen, das am besten gleich für beide Projekte eingesetzt werden kann.
Anbieter sind ja bekanntlich zahlreich vorhanden.
Sehr wichtig für uns ist die Eignung für eine heterogene Server-Landschaft, denn wir und die meisten unserer Kunden betreiben Server mit den Betreibssystemen Windows und Linux.

Wir suchen im Enterprise-Segment, dort dünnt es schnell aus und einige bekannte „Platzhirschen“ bleiben übrig, wenn man Spreu vom Weizen getrennt hat. Sehr bekannt sind dabei Produkte von Symantec (Backup Exec), Hewlett-Packard  (Data Protector) oder Acronis (Backup & Recovery). Weniger bekannt ist allerdings die Firma SEP, die jedoch genau in diesem Enterprise Segment zuhause ist.

In der Juli – August Ausgabe der Fachzeitschrift ADMIN – Netzwerk & Security gibt es einen Artikel in dem alle genannten Hersteller, einschließlich SEP-Sesam, direkt gegenübergestellt und verglichen werden. Letzterer schneidet dabei u.a. beim Thema Unix und freier Software am besten ab.

Neben dem überdurchschnittlichen Feature-Reichtum sehen wir vor allem die ortliche Nähe der Firmenzentrale als Vorteil. Die SEP AG hat Ihren Sitz in Weyarn. Dort sind Entwicklung und Vertrieb zugange und man kann dort einfach anrufen und mit ihnen sprechen – wir praktizieren das ;-). Bei komplexen Konzeptionen oder Schulungen werden wir „einfach rüber fahren“ und nachfragen.

Als nächstes werden wir bei einem mittelständischen Maschinenbau-Betrieb ein neues Backup-System einführen, das auf SEP basieren wird. Wegen der heterogenen Infrastruktur mit Linux und Windows in hauptsächlich virtualisierter Umgebung ist die Wahl dabei auf SEP-Software gefallen.

IT bleibt spannend!

Viele Grüße

Hannes Wilhelm

Alternative zu PuTTY


Immer das selbe Problem: man sitzt vor einem Windows-Rechner und möchte einen Linux-Server administrieren. Soweit zwar ein ganz normaler Vorgang, aber in Ermangelung einer ssh-fähigen Konsole auf der Windowsseite bleibt einem kaum eine Alternative zum bekannten Terminalprogramm namens PuTTY, um auf Unix-Systeme zu gelangen. Natürlich ist nichts gegen den guten alten Putty einzuwenden, aber trotzdem kann es ziemlich nervig werden wenn man ihn täglich benutzen muss, weil er nicht gerade ein Übermaß an Komfort bietet.

Es gibt eine Alternative namens mRemote.
http://www.mremote.org/

mRemote ist ein freies (GPL) Windows-Programm, das eine Vielzahl an Verbindungsprotokollen beherrscht:
RDP, VNC, SSH, Telnet, Rlogin, HTTP, ICA, externe Applikation  etc…

Linux Konsole

Für die tatsächliche Verbindung verwendet mRemote vorhandene Programme und Bibliotheken.

So kommt im Falle von SSH – ratet mal – PuTTY zum Einsatz! 🙂

Wir ersetzen also PuTTY durch PuTTY und alles wird gut …

Aber wo ist denn da der Vorteil von mRemote?
Beim mRemote kann man für jede eingerichtete Verbindung Daten hinterlegen wie z.B. Logindaten und Fenstergrößen etc.
Außerdem erscheint eine gemeinsame Liste aller eingerichteten Host-Verbindungen, unabhängig von deren Verbindungstyp. Alle Verbindungen können dann per Klick und ohne manuelle Eingabe von Authentifizierungdaten, geöffnet werden. Die offenen Verbindungen stehen in Tabs zur Verfügung und lassen sich somit wesentlich komfortabler bedienen, vor allem  wenn man bei der Arbeit gerne mehrere Fenster gleichzeitig geöffnet hat. Sehr praktisch ist das.

Windows RDP

Sowohl Installation, als auch Bedienung sind einfach, daher kann man dieses Tool in einer geeigneten Sekunde mal schnell runterladen und testen.

Viele Grüße
Hannes

IT bleibt spannend!