Amsterdamis majutatud serverid kolivad uude andmekeskusesse

Neljapäeva, 26. jaanuari varahommikul kolime Amsterdamis majutatud Pilve- ja Virtuaalserverid uude andmekeskusesse.

Kolimisega kaasneb katkestus kell 01-05 (Eesti aja järgi), kliendid keda see mõjutab said nädal tagasi e-postile ka vastava eelteavituse.

Kuna meie seni kasutatud Amsterdami andmekeskus hakkas kitsaks jääma, oleme umbes pool aastat plaaninud oma serverite kolimist uude andmekeskusesse.

Toide, võrguühendused ning osa võrguseadmetest on seal juba kohal ja testitud, 26. jaanuari varahommikul liiguvad ühest majast teise ka serverid, mida kasutavad Pilveserver PRO SSD kliendid, aga samuti oma asukohaks Amsterdami valinud Pilveserver VPS ja Virutaalserverite kliendid.

Kolimisega kaasneb ca 4h katkestus – aga nagu timelapse-videost näha, oleme me seda juba oluliselt suurema hulga serveritega harjutanud:

Zone teenuste olekut saab reaalajas jälgida status.zone.eu, samast saab ka tellida e-postile teavituse intsidentide kohta.

Uus asukoht Euroopa ühes kaasaegsemas andmekeskuses (Equinix AM6) tõstab meie süsteemide töökindlust, tagades kõrgendatud nõuetele vastavad toite- ja võrgulahendused, võimsama kliimatehnika ja kõrgema turvalisuse. Andmekeskuse sertifitseeringud hõlmavad nii ISAE 3402, ISO27001, ISO 140001, ISO 50001 kui ka PCI DSS standardeid. Mitmekordistub ka meie kohapealse andmesidevõrgu ühenduskiirus.

Kuna uues andmekeskuses avaneb meil võimalus paindlikumalt muuta olemasolevaid ning luua uusi teenuseid, siis oleme huvitatud ka teie ettepanekutest, soovidest ja tagasisidest – muuhulgas on uues kohas juba paigas esimesed Nutikad Privaatserverid.

Turvalisem FTP

Käesolev postitus on loogiline jätk eelmisele postitusele, mis juhtis tähelepanu viiruste poolt tehtavale laastamistööle veebilehtede seas.

Eelmise postituse lühike kokkuvõtte oleks see, et tänapäeval poetavad küberkriminaalid viiruseid ja pahavara ohvrite veebilehtedele lihtsalt läbi veebilehe enda FTP konto.

FTP konto andmed satuvad nende valdusesse aga seetõttu, et kasutajad ei hoolitse piisavalt enda arvuti ja programmide turvalisuse eest.

Samas pole loomulikult aus veeretada kogu süüd tavakasutaja kraesse. FTP programmid on vaikimisi “lõtvade” seadistustega, mis üheltpoolt on muidugi tore, sest siis ühildub FTP programm kohe vaikimisi võimalikult paljude serveritega ning kasutajal pole probleeme programmi kasutuselevõtul.

Teisest küljest tähendab see seda, et FTP ühendus pole vaikimisi krüpteeritud, viirused/troojanid saavad ühendust pealt kuulata ning niiviisi FTP paroole varastada.

FTP krüpteerimismeetodid – FTPS

ftps80-ndatel, kui FTP protokoll koostati ei mõelnud keegi sellele, et suhtlus peaks toimuma krüpteeritult ning tol ajal polnud see ka tähtis. Seetõttu ei sisaldagi FTP protokoll (RFC959) oma ehedal kujul krüpteerimise võimalusi.

Need on lisatud protokolli hiljem nö. laienduste kujul (RFC2228) ning tänapäeval oskavad enamus servereid/klientprogramme ka neid laiendusi kasutada.

Seega väide, et FTP on ebaturvaline on vale. Pigem ei teata FTP turvalisest rezhiimist piisavalt ja ei osata seda kasutada.

Krüpteerimist on võimalik FTP protokollis realiseerida mitmel erineval viisil, mis koonduvad ühise nimetaja alla – FTPS. Erinevad FTP serverid ja kliendid toetavad erinevaid meetodeid ning võivad samu asju ka nimetada pisut erinevalt.

Olles kursis erinevate meetodite tööpõhimõtetega on programmis ka hõlpsam õiget (serveriga ühilduvat) krüptomeetodit valida:

  1. Explicit TLS/SSL – tähendab seda, et ühendus FTP serverisse luuakse standardsesse 21 porti ning suhtlus algab mitte-krüpteeritult. Peale AUTH TLS või AUTH SSL käsu saatmist aktiveeritakse alles krüpteering. Mõnikord saab FTP klientprogrammis ka eraldi valida, kumba käsku kasutada ning sellisel juhul oleks eelistatud valik AUTH TLS. Explicit TLS/SSL võidakse nimetatakse lühidalt ka FTPES-iks.
  2. Implicit SSL – SSL krüpteering aktiveeritakse kohe kui FTP serveriga ühendus luuakse. Oluline on teada, et ühendus käib läbi pordi 990 mitte enam tavalise 21 kaudu, sest mõned FTP programmid vajavad Implicit SSL aktiveerimisel ka eraldi pordi numbri muutmist.

Kumba siis valida?

Valida (või vähemalt esmajärjekorras proovida) soovitan Explicit rezhiimi, mis on paindlikum ja tagasiühilduvam, kuna suhtlus käib üle standardse pordi (21) ning samuti saab klientprogramm valida, kui suures ulatuses ta andmeid krüpteerib – kas turvatakse ainult käsukanal (control-channel) või turvatakse lisaks ka andmekanal (data-channel).

Vajadusel saab käsukanalilt krüpteeringu maha võtta kohe kui kasutajatunnus ja parool on turvaliselt serverile edastatud, et kliendi tulemüürid oskaks sissetulevaid FTP DATA porte automaatselt lahti teha. Aga ka seda pole vaja kui kasutada FTP PASSIVE rezhiimi (kui tulemüür väljaminevate ühenduste porte ei piira).

Lisaks peetakse Implicit rezhiimi aegunuks kuna ta on mitte standardne.

SFTP

Tihti aetakse FTPS segamini SFTP-ga, kuid SFTP protokollil pole FTPS-ga peale nimetuse (SSH File Transfer Protocol) midagi muud ühist.

SFTP on üle SSH kanali töötav eraldi binaarprotokoll, mille kasutamise põhiargument on see, et suhtlus FTP kliendi<->serveri vahel on täies ulatuses krüpteeritud. Ehk siis tegelikult seesama, mida võimaldab ka FTPS.

Kui SFTP eeliseid loetleda, siis oleksid need näiteks:

  1. suurem funktsionaalsus käskude näol
  2. standardne kataloogi listingu formaat, mida SFTP kliendid ühte moodi tõlgendada oskavad
  3. suhtlus toimub ainult ühe ühenduskanali kaudu – vastupidiselt FTP protokollile, kus vajatakse ühendust 21 porti ja lisaks DATA porti

FTPS toetavad programmid

FTPS kasutamiseks on vaja, et ka FTP server krüpteerimist toetaks. Kui su veebiteenuse pakkuja FTP server ei toeta FTPS-i, siis nõua seda temalt julgelt 🙂

Alljärgnevalt on enamlevinud FTP klientprogrammide kaupa ära toodud, kuidas saab olemasoleval FTP kontol krüpteeringut aktiveerida:

SmartFTP (4.0)

  1. Vali menüüst Favourites
  2. Tee soovitud konto peal parem klikk ja vali Properties
  3. Määra Protocol väärtuseks FTP over SSL explicit

smart_ftp

CuteFTP (8.3)

  1. Vali menüüst Tools » Site manager » Display site manager
  2. Kliki soovitud konto peal
  3. Vali paremalt Type lehekülg
  4. Määra Protocol type väärtuseks FTP with TLS/SSL (AUTH TLS – Explicit)

cute_ftp

FileZilla (3.3.0.1)

  1. Vali menüüst Fail » Saidihaldur (või File » Site Manager inglise keelses)
  2. Kliki soovitud konto peal
  3. Määra Serveri tüüp (Servertype) väärtuseks FTPES – FTP üle otsese (explicit) TLS/SSL-i

filezilla

WS_FTP Home (12.2)

  1. Vali Connections » Site manager
  2. Kliki soovitud konto peal ja vajuta nuppu Edit…
  3. Vali vasakult Advanced
  4. Määra Server type väärtuseks FTP/SSL (AUTH SSL)

ws_ftpTotal Commander (7.50a) *

  1. Vali menüüst Net » FTP Connect…
  2. Kliki soovitud konto peal ja vajuta nuppu Edit…
  3. Märgista SSL/TLS valik

total_commander

* Total Commander võib SSL/TLS jaoks vajada eraldiseisvat OpenSSL paigaldust. Selle saab siit.

Core FTP LE (v2.1)

  1. Vali menüüst Sites » Site Manager
  2. Kliki soovitud konto peal
  3. Määra Connection väärtuseks AUTH TLS

coreftp

FlashFXP (3.6.0)

  1. Vali menüüst Sites » Site manager
  2. Kliki soovitud konto peal
  3. Vali paremalt SSL lehekülg
  4. Secure Socket Layer grupist vali Auth TLS

flashfxp

Cyberduck OS X (3.3) *

  1. Vali bookmark-itud konto ja vajuta Edit
  2. Vali FTP protokollide nimekirjast FTP-SSL (Explicit AUTH TLS)

cyberduck2* Mac OS X-i jaoks

Transmit *

  1. Vali Protocol lahtrisse FTP with TLS/SSL

transmit2* Mac OS X-i jaoks

Kui arvad, et siit nimekirjast on mõni populaarne programm puudu, siis kommentaarides saab sellest teada anda.

test.asdasd.eu

Mastaapne IP vahetus

See nädal toob kaasa ühe suuremat sorti IP vahetuse, millest on varem meie blogis ka põgusalt juttu olnud.

Nimelt muudame neljapäeva öösel vastu reedet (27. nov) veebiserverites ära umbes 130 erinevat IP-d, mis omakorda avaldab mõju üle kümne tuhande .EE lõpulise domeeniga veebileheküljele. Muudatuse mõju on kõigi eelduste kohaselt positiivne, sest selle eesmärk on pakkuda kiiremat ja töökindlamat andmesideühendust virtuaalserverites olevate kodulehekülgedeni.

Loe edasi “Mastaapne IP vahetus”

Ristiretk veebilehti rüüstavate viiruste vastu

computer-virus-bugs-clip-art-thumb3167674Viiruste levik veebilehtede kaudu pole tänapäeval enam midagi erilist ning kindlasti on keskmine arvutikasutaja vähemalt poole kõrvaga sellest midagi kuulnud.

Meie blogis on see teema ka juba mitmeid kordi läbi käinud, kuid kordamine tuleb loodetavasti vaid kasuks.

Kuidas viirused veebilehtedele satuvad?

Kui veel aasta-kaks tagasi oli levinuim viis viiruse sokutamiseks veebilehele kavalalt läbi mõne samal lehel asuva turvaaugu, siis tänapäeval teevad viirused/robotid seda juba jultunult otse läbi veebilehe FTP konto:

  1. Laua- ja sülearvutites resideeruvad viirused oskavad tänapäeval enamlevinutest FTP programmidest paroole varastada ning need seejärel oma peremeestele toimetada.
  2. Too laeb veebilehe failid alla, lisab neile viirusekoodi ning laeb siis uuesti serverisse üles.
  3. Viiruse kood (mis on reeglina tavaline JavaScript) kasutab ära veebilehe külastajate brauseri või brauseri pluginate turvaauke ning üritab uusi külastajaid omakorda nakatada.

Lisaks võidakse kuulata pealt kasutajate internetiühendust, kes mobiilsena olles kasutavad pahaaimamatult võõraid avalikke WiFi võrke, rääkimata sellest, et oma koduseid WiFi ruutereid ei turvata võõraste eest piisavalt.

WiFi puhul ei osata tihti arvata, et nii krüpteerimata kui ka nõrgalt krüpteeritud (WEP, WPA1) võrku on asjatundjal võimalik pealtkuulata ning sealt kaudu e-posti, FTP jne. paroole varastada.

Võib ilmselt rahulikult öelda, et sensitiivseid andmeid kingitakse kurjamitele kandikul.

Viirus teeb veebiärile kahju

Viirust levitav veebiaadress võidakse Google poolt väga kiirelt märgistada kui ohtlik aadress. Google otsingutulemustes kuvatakse selliseid aadresse hoiatusega: This site may harm your computer ning otsijal ei soovitata seda lehte külastada.

Lisaks kontrollib selles nimekirjas olevaid aadresse ka populaarne brauser Firefox, mis teeb kõik endast oleneva, et külastaja sellisele aadressile ei satuks.

Sellest piisab, et vähendada ja kaotada veebilehe külastajad ehk potentsiaalsed kliendid.

Mida saab veebiteenuse pakkuja teha?

FTP kontode kaudu viiruste üleslaadimise vastu on teenusepakkujal keeruline midagi jäädavat ette võtta. Umbes aasta aega tagasi integreerisime Zones kõikidesse FTP serveritesse automaatse viirusetõrje ning viirustega faile veebiserverisse üleslaadida ei saa ja faile viirustega ülekirjutada ei saa. Samuti teostatakse viirusekontrolli kogu failisüsteemis kord nädalas ning viirusega failidele piiratakse ligipääs. Lisaks oleme viirusetõrje baasi käsitsi kümneid viirusesignatuure lisanud, mida üldises baasis pole.

Hoolimata kõigest sellest nakatatakse serverites siiski iga päev mitmeid kodulehti viirustega.

Miks? Aga seetõttu, et mõnda konkreetset brauseri turvaauku ära kasutavaid JavaScript-i viiruseid on võimalik lugematul hulgal erineval viisil kirjutada ja obfuskeerida, tehes neid tuvastavate signatuuride kirjutamise ja lisamise täiesti võimatuks missiooniks.

Praegu katsetame erinevaid kriteeriumeid, mille alusel FTP kasutajaid automaatselt liigitada kas pigem õigeteks kasutajateks või pahalasteks. Kuigi hetkel kogume alles statistikat ning lõplik süsteem pole veel paigas, oleme enda jaoks välja mõelnud mõned olulisemad tunnused, mille alusel hakkame FTP serveritesse sisenejatel ilmselt juba peatselt vahet tegema ning ligipääsu vastavalt lubama või keelama:

  1. FTPS – kõik meie FTP serverid toetavad krüpteeritud ühendust (NB! mitte ajada segi SFTP või FTP over SSH-ga) ning samamoodi toetavad seda enamlevinud FTP klientprogrammid. Seevastu pole silma jäänud, et automaatselt viiruseid üleslaadivad robotid seda kasutaks. Kui FTP kasutaja oma programmis selle seadistuse aktiveeriks, oleks see meie jaoks piisav tunnus sellest, et tegemist on autentse kasutajaga.
  2. Eesti IP – reeglina kurjamid Eesti IP-de pealt sees ei käi, kuigi üksikuid juhtumisi on olnud. Hetkel on Eesti IP pealt tulija piisav kinnitus selleks, et tegemist on autentse kasutajaga ning talle on ligipääs lubatud.
  3. Valgete IP-de nimekiri (ip whitelist) – plaanis on virtuaalserveri haldusliideses kasutajal võimaldada ära nimetada IP-d, millelt kliendi FTP kasutajad sisse tohivad tulla. See tagaks, et ükski võõras kunagi midagi halba FTP kaudu teha ei saa. Isegi siis kui ta teab kasutajatunnust ja salasõna.
  4. Valgete riikide nimekiri (country whitelist) – sarnaselt eelmisele punktile on plaanis lisada ka lubatud riikide nimetamise võimalus, mille IP-lt sisenedes lubatakse FTP kasutaja sisse.
  5. RBL – kuigi meie statistika järgi on FTP pahalaste IP-d harva mustades nimekirjades, võib sellest aegajalt siiski abi olla. Plaan on blokeerida ligipääs sellistel välismaistelt IP-delt, mis on näiteks Spamhaus exploits block list nimekirjas.

Antud reegleid kombineerides püüame leida mingi kuldse kesktee, et õiged kasutajad ei saaks väga häiritud aga viirused jääks ukse taha.

Mida saab tavakasutaja ise teha?

Kasutage viirusetõrjet ja hoidke seda värskena!

Iga päev tuvastatakse kümneid uusi viiruseid!

Tasuta viirusetõrje  Microsoft Security Essentials saab SIIT.

Kui soovid kiirelt ja lihtsalt oma arvuti enamlevinud viirustest puhtaks teha siis selleks on näiteks see TASUTA online scan.

Lisajuhiseid oma turvalisuse kaitsmiseks leiad siit.

Oleme avatud konstruktiivsetele ettepanekutele

Kellel on kokkupuuteid antud teemaga ning mõtteid, kuidas saaksime meie kui teenusepakkuja kontrolli veel tõhustada, siis alumine kommentaarium on aruteluks avatud.

Kommenteerige julgelt 🙂

Veebi vahendusel levivate viiruste levik Eestis hoogustumas

Eestis teevad sellel kuul jõudsat laastamistööd arvutiviirused, mis levivad  veebilehekülgede vahendusel. Suure tõenäoususega on tegemist Gumblar/Martuz perekonda kuuluvate viiruste või nende modifikatsioonidega, mis oma ülemaailmselt võidukäiku alustasid käesoleva aasta kevadel.
Gumblar/Martuz levib veebilehekülgede kaudu ja nakatab pahaaimamatuid kasutajaid kasutades selleks nõrkuseid levinud tarkvaraprogrammides, nagu Adobe Flash või Adobe Reader. Olles kasutaja arvuti nakatanud, otsib Gumblar arvutist FTP tarkvara (näiteks FileZilla, DreamWeaver vms) ning üritab selle seadistustest leida salvestatud FTP serverite andmeid. Kui andmed leitakse, edastatakse need kurjategijatele, kes seejärel kasutavad neid ära üha uute veebilehekülgede nakatamiseks.
Septembris tuvastasime me ainuüksi oma klientide hulgas üle 100 lekkinud kasutajakonto, oktoobris on neid seni olnud juba üle 200.
Viiruse leviku tõkestamiseks ja selle tuvastamiseks oleme Zones FTP tarkvarasse ja veebiserverisse integreerinud viirusetõrje. See on paljusid rünnakuid suutnud ennetada, kuid viiruse arenedes signatuurid muutuvad ja antiviirused on alati sammu võrra viiruseautoritest maas, seetõttu suudavad end kõige paremini kaitsta siiski kasutajad ise.
Seeõttu tuletaksin siinkohal meelde õpetussõnu oma eelmise aasta postitusest (http://blog.zone.ee/2008/03/28/kodulehekulje-turvalisus-algab-kodust/):
Tootjapoolsed turvaparandused tuleb oma arvutisse paigaldada esimesel võimalusel, see kehtib nii operatsioonisüsteemi kui ka rakendustarkvara kohta, ka Firefoxis või Operas on vahest turvaauke.
Kasutatavate veebirakenduste versioonid tuleb hoida ajakohased.
Paigaldage oma arvutisse aktuaalne viirusetõrjetarkvara. See ei pea olema ilmtingimata tasuline, täiesti korralikke tooteid võib ka tasuta leida näiteks AVG-lt või BitDefenderilt.
Säilitage oma autentimisinfot turvaliselt, head tasuta töövahendid selleks on näiteks PasswordSafe ja TrueCrypt . Mac’i platvormil on väga heaks tööriistaks 1Password.
Kui te määrate salasõnu, siis andke neile turvalisem kuju. Selle peale tasub mõelda kasvõi seetõttu, et meie haldusliides DataZone lubab niikuinii määrata AINULT vasutõetava keerukustasemega salasõnu.
Muutke salasõnu aeg-ajalt. Seda ei pruugi teha liiga tihti, ka korra aastas oma salasõnu muutes teete seda tihemini, kui enamik inimesi.
Olge turvalised, kasutage antiviirust.

dreamstime_9751696Eestis teevad viimasel ajal jälle jõudsat laastamistööd arvutiviirused, mis levivad  veebilehekülgede vahendusel. Tegemist on Gumblar/Martuz perekonda kuuluvate viiruste või nende modifikatsioonidega, mis oma ülemaailmselt võidukäiku alustasid juba käesoleva aasta kevadel.

Gumblar/Martuz levib veebilehekülgede kaudu ja nakatab pahaaimamatuid kasutajaid kasutades selleks nõrkuseid levinud tarkvaraprogrammides, nagu Adobe Flash või Adobe Reader. Olles kasutaja arvuti nakatanud, otsib Gumblar arvutist FTP tarkvara (näiteks FileZilla, DreamWeaver vms) ning üritab selle seadistustest leida salvestatud FTP serverite andmeid. Kui andmed leitakse, edastatakse need kurjategijatele, kes seejärel kasutavad neid ära üha uute veebilehekülgede külastajate nakatamiseks.

Loe edasi “Veebi vahendusel levivate viiruste levik Eestis hoogustumas”