Beiträge von mauorrizze

    Mails von zwei meiner Netcup Server werden heute von Microsoft/hotmail/outlook geblockt. Auf öffentlichen Blacklists sind die nicht eingetragen, laufen jeweils schon ein bzw. mehrere Jahre ohne Spam zu verschleudern inkl. getestetem spf, dkim und dmarc Settings.

    Würde von einem Versehen ausgehen, beides per Formular melden und gut ist (nur nervig), aber finde seltsam dass beide Server mit sehr unterschiedlichen IPs betroffen sind (37.120.179.xxx und 188.68.51.xxx). Nur auf einem von beiden fand ich im Log Hinweise, dass Ende April noch erfolgreich Mails an outlook/hotmail gingen. Haben das Problem aktuell noch mehr netcup Kunden?

    Code
    host xxx.protection.outlook.com[104.47.32.xx] said: 
    550 5.7.1 Unfortunately, messages from [37.120.179.xxx] weren't sent. 
    Please contact your Internet service provider since part of their network is on our block list (S3150)

    Hast du einen bestimmten Grund ICMP zu sperren?


    Nur den Ansatz so wenig wie nötig freizugeben um hohe Sicherheit zu erreichen. IPv6 ist recht "neu", wenn auch nur was die Verbreitung angeht. Attacken sind in der Praxis noch selten, gleichzeitig gibt's schon einige Angriffszenarien mit NDP und RA (MITM, Windows XP-8 lässt sich mit RA lahmlegen, ...?). Daher wollte ich mal nachfragen, ob sich darüber schon jemand Gedanken gemacht hat. Im Bereich der vServer hier wird sicherlich vieles von Netcup weggefiltert, aber darauf kann man sich ja nicht immer verlassen :D


    Gerade gefunden: rfc4890.txt
    Nach diesem Empfehlungen müsste eventuell der Typ 137 raus, kann aber auch sein dass der von Linux-Kerneln sowieso ignoriert wird.

    EDIT:
    Um (auch) IPv6-Verkehr gut abzusichern, empfiehlt oliver.d als Ausgangsbasis für eigene Firewallregeln:

    Also ich benutze das Folgende als Basis: https://gist.github.com/jirutka/3742890

    Finde ich gut, weil dort auch auf die Empfehlung in rfc4890 eingegangen wird.


    Ansonsten wiederhole ich was in anderen Threads und im Wiki steht: gateway manuell setzen!

    Code
    iface eth0 inet6 static
           address 2a03:4000:x:y::z
           netmask 64
           gateway fe80::1


    --- Originalpost ---
    Hallo,
    am letzten Freitag (3.2.17) waren meine beiden vServer nicht mehr über IPv6 erreichbar. Meine Vermutung ist, dass ich aufgrund einer (veralteten? - das ist die Frage) Empfehlung das IPv6-gateway nicht in

    Code
    /etc/network/interfaces

    eingetragen hatte, sondern es sich bis dahin über IPv6 Neighbor Discovery o.Ä. selbstständig eingetragen hat. Im Wiki ist die manuelle Eintragung aber derzeit drin, also gehe ich davon aus dass einfach seit Freitag der Router nix mehr aussendet. In dem Zusammenhang habe ich meine Firewall-Regeln überprüft und gemerkt, dass die Router advertisement und solicitation Pakete garnicht durchgelassen wurden, trotzdem hat IPv6 ein gutes halbes Jahr inkl. Neustarts funktioniert. Können wir vielleicht mal die minimalen Freigaben, eine Art Empfehlung für die IPv6-Firewall hier sammeln/korrigieren/festhalten?


    Meine bis Freitag funktionierende Config, ohne manuelle gateway-Eintragung:


    Aus welcher Quelle ich mir das zusammengesucht hatte weiß ich leider nicht mehr. Typen 1-4 sind Fehlermeldungen, 128/129 echo request/reply, die requests auf 5 pro Sekunde gedrosselt.
    135-137 (Neighbor Solicitation/Advertisement und Redirect Messages) sorgen auch bei manueller Konfiguration für gültige link local-Adressen, richtig? Oder braucht man die bei manueller Konfiguration nicht? Laut tcpdump werden hiervon einige rumgeschickt.
    Ich dachte für Router Advertisement wären noch 133/134 notwendig, aber ich bekam bis Freitag auch ohne diese Freigaben das gateway eingetragen. Sollte man diese lieber noch dazu nehmen?

    Danke für die schnelle Kundenhilfe ;)
    Nach Passwortänderung hat's sofort funktioniert, ich glaub aber es war hauptsächlich mein Passwortmanager-Plugin, der unbedingt das Forums-Passwort eintragen wollte, jedes mal als ich meine Kundennummer von Hand eingetragen habe.

    Hallo, beim Versuch einen weiteren vServer dazu zu bestellen, stehe ich vor dem Problem, mich mit meinem bestehenden Konto im "Shop" nicht anmelden zu können. CCP- und VCP-Zugangsdaten sowie offensichtlich das vom Forum sind bekannt. Bei Verwendung der bekannten Zugangsdaten (dachte das vom CCP wäre relevant) oder in Kombination mit der fünfstelligen Kundennummer heißt es "Achtung: Kundennummer oder Passwort falsch."
    Der Link zu "Passwort oder Kundennummer vergessen" führt mich auf die CCP-Seite, aber dieser Zugang funktioniert ja. Habe ich es hier mit einem layer 8-Problem zu tun oder kann das Problem jemand bestätigen?

    Eine Frage dazu habe ich auch noch: Habe ich beim Kauf des Servers in den Vertragsbedingungen meine Zustimmung zum Scan meiner Systeme auf Sicherheitslücken gegeben? Im Prinzip ist das zwar ein netter Gedanke von Ihnen, vielleicht sollte man die Kunden aber vorher fragen, bevor man in Kundensystemen nach Sicherheitslücken sucht.


    Da hier ja offensichtlich nicht das Dateisystem durchsucht wurde, denn sonst wäre es nicht zu den paar Falschmeldungen gekommen, sondern nur ein Zugriff aus "dem Internet" erfolgt ist, kann ich Ihre Bedenken kein bisschen teilen. Während Sie das hier lesen wird Ihr Server vermutlich zig mal aus der ganzen Welt mit nmap und ähnlichen Tools inspiziert, das finde ich deutlich besorgniserregender als ein einzelner HTTP-Request.
    Sie können ja auch nicht geziehlt mir oder einem anderen einzelnen Menschen rechtlich den Zugriff auf ihre Webseite untersagen, höchstens durch Firewall oder andere Sicherheitsmaßnahmen blocken :D .
    Das einzige was über diesen Vergleich hinaus geht ist der Zugriff auf die IP-Adresse aus den Kundendaten um eben diese zu testen und uns anschreiben zu können. Seh ich aber nicht als "Scan" unserer Systeme, sondern netter Service. :thumbup:

    Hallo, nach der informativen Meldung gestern kam eben noch eine Mail mit dem Betreff:
    "Wichtige Information zum Server mit IP x.x.x.x" in der steht, mein Produkt sei betroffen. Dass netcup sich die Arbeit macht, sogar Kunden einzeln zu warnen finde ich gut, allerdings habe ich wirklich kein froxlor installiert und die angebene Logdatei gibt es auf meinem System nicht. Kann es sein, dass das zum persönlichen Warnen verwendete Skript etwas großzügig reagiert, etwa sobald was anderes als Antwort 404 zu der zu testenden URL http://x.x.x.x/froxlor/logs/sql-error.log vom Server zurück kommt? Bei mir dürfte beim Check auf diesem Weg ein 3xx-Code antworten und aus Gründen auf eine Default-HTTPS-Seite weiterleiten.
    Trotzdem Danke für die Infos!