Kwart webhosters heeft open recursive nameservers

Namen en rugnummers aub. Ook van diegene die hun zaakjes wel erg goed op orde hebben. Op die manier zal kunnen wij zelf onze bedrijfstak ontdoen van prutsers!

Oja, en niet alleen van dit onderzoekje. Maar elke week een ander onderzoekje, zowel technisch als commercieel. Dan kom je vanzelf tot een schifting. :)

Voor mensen die meer informatie willen hoe je Bind kan beveiligen:
http://www.cymru.com/Documents/secure-bind-template.html

En voor te testen (die geen andere server hebben):
http://www.kloth.net/services/dig.php

En dan heb je nog de categorie die wel een A-record retourneren, maar (bewust) het verkeerde:

$ dig @ns0.transip.net www.google.com +short
80.69.67.32

$ dig -x 80.69.67.32 +short
this.domain.is.not.known.

*zucht*

zonder http:// dus :P

dig @rollerscapes.net www.google.com

Ga je gang ;)

Wel alle :|

dig @rollerscapes.net www.google.com

Oh dat komt door die UBB parser :p

ahum, je bedrijfje op ispgids kan ook weleens anders uitpakken he..

Tja, dit is natuurlijk gewoon wat er al lange tijd gebeurd (zijn we als hosters ook deels schuldig aan!), controle paneel er op en draaien maar.

Tegenwoordig is een dedi / VPS draaien zo makkelijk en goedkoop, we gooien er DA op en we zijn een "hoster"!

Als ISP's zijn we hier zelf schuldig aan door erg makkelijk controle panelen te leveren bij dedi's en VPS'en, we willen immers verkopen, dus het is commercie. Maar zo worden je eigen klanten wel concurrent van je.

Dit kende ik idd al langer, zo is DA out of the box een open relay, erg gevaarlijk.

Wido: Daarom kun je ook standaard andere configs mee leveren om dit soort problemen te voorkomen.

Het is natuurlijk niet handig dat dit soort dingen out of the box niet veilig draaien.

Voor registrars van SIDN is er natuurlijk de maandelijkse DNS rapportage die aangeeft welke nameservers open recursive resolvers zijn. Maak daar gebruik van, zou ik zeggen.

Voor de collega's welke het hard kunnen gebruiken, intodns.com is een ideale site om de DNS eens door te lichten. Zie je direct wat beter kan.

Wat overigens ook heel erg vaak voor komt is dat 1 server dienst doet voor het invullen van de shared hosting maar ook functioneert als zijnde de nameservers. Dit veelal zelfs in dezelfde C klasse maar in sommige gevallen worden hiervoor IP's uit verschillende ranges op 1 server ingesteld. Gevolg is dat als de shared hosting bak door een storing niet bereikbaar is, ook de DNS records niet meer bereikbaar zijn..... Ideaal voor bedrijven welke lokaal bijvoorbeeld nog een Exchange server draaien!!

Zoals Wido al aangeeft, tegenwoordig zijn er inderdaad erg veel partijen welke zich met 1 Colo, Dedi of VPS-server al een ISP/Hoster noemen. Iedereen zijn manier om geld bij te verdienen, wij merken echter regelmatig dat mensen hierdoor angstig worden om vervolgens nog met een (echte) ISP/Hoster zaken te doen.

En dit soort misbruik van mijn vermelding/gegevens in ISPgids.com is voor mij een reden om me daaruit te laten verwijderen.. what's next? Erg zorgelijk Arnout :(

Kom op nou, er worden hier geen namen genoemd of iets en anders hadden ze die informatie wel ergens anders vandaan kunnen halen :p

Ik vind dit alleen maar goed, want het schut je goed wakker over wat er in de hosting branche allemaal fout zit/gaat.

Jeroen, alsof jouw tent in het artikel genoemd wordt. Je wilt toch immers van je fouten leren? Ik als klant ga echt niet bij een tent mijn hosting neerzetten, welke alles gedoogd wilt houden.

Ik vind het juist erg goed en ik zie liefst een lijst met partijen. Bij partijen als die van Jeroen wordt ik in ieder geval nooit klant. Ik wil openheid, dan ben ik ook bereid behoorlijk te betalen.

En als partijen uit ISPgids.com zich laten verwijderen, des te beter. Weet ik ook exact waar ik vooral NIET zaken mee moet doen.

Transip, waar ik enkele domeinen heb geregistreerd, mag wel eens aan hun DNS servers sleutelen. Dat lijkt dus niet helemaal oke te zijn.

Wellicht over een maand deze test nogmaals uitvoeren? En dan bekijken hoeveel hosters hun config hebben aangepast:)

@Jeroen; Voel je jezelf aangevallen? Waarom zal Arnout geen onderzoek mogen doen onder de partijen welke op ISPGids.com staan?

Zie het positief: Indien je met dit probleem kampt, laat dit artikel dan de aanzet geven tot het aanpassen van je configuratie.

@Dave:
Voordat je ongefundeerde uitspraken doet: ik behoor tot de lijst die zijn zaakjes wel op orde heeft.

@Arjan:
Ik voel me niet aangevallen, maar ik heb me niet aangemeld op ISPgids.com om vervolgens uitgepluist te worden door een partij die enkel voor nieuwswaarde gaat. Wat is het volgende? Arnout die iedereen gaat bellen of ze hun colocatie/reseller pakket niet bij iemand anders willen afnemen?

@Jeroen
Het gaat er even niet om of je wel of niet jouw zaakjes op orde hebt, maar om openheid omtrent dit soort cruciale zaken richting de buitenwereld. Over ongefundeerd gesproken: de tekst "ik behoor tot de lijst die zijn zaakjes wel op orde heeft" is ook vrij kansloos. Laat dan ook maar zien, dat je je zaakjes op orde hebt, want je bent echt niet de enige die het roept.

Blijkbaar heb je daar toch wel problemen mee, als iemand graag even uitzoekt of het wel goed zit. Maar neem maar van mij aan: met deze houding kom je niet ver.

@Jeroen, ISPGids.com is er juist opgericht om de kwaliteit van ISP's en webhosters inzichtelijk te maken. Daarom verzamelen we ook ervaringen van klanten. Dit soort onderzoeken passen precies binnen die doelstelling. Op dit moment ben ik bezig om nog een aantal andere onderzoeken te doen.

Wat betreft het noemen van namen en rugnummers. Ik heb er bewust voor gekozen om die (nog) niet te noemen. Het doel was in eerste instantie bewustwording. Ik heb zo'n vermoeden dat velen van de partijen die open recursive nameservers hebben zich daar (tot nu toe) helemaal niet van bewust waren. Dit is daarom bedoelt als wakeup-call. Ik sluit niet uit dat wanneer ik het onderzoek herhaal. Dat ik dan wel bekend ga maak om welke partijen het gaat.

@de rest, bedankt voor het bijvallen. :)

@Arnout:
Prima dat je de branche wilt wakker schudden, overigens ben ik van mening dat je niet eens hoort te "slapen" maar altijd bezig moet zijn met zaken als security etc.

Mijn excuses aan Arnout en zijn volgers aangezien ik blijkbaar de enige ben die er zo over denkt :)