Roland Kamphuis Rotating Header Image

Posts Tagged ‘ip’

Eigen AS netwerk

mei 3rd, 2026
by Roland.
No comments yet

Vorig jaar was ik bij de NNOG meetup, en een van de dingen die me opviel is dat er een aantal engineers een private AS netwerk hadden. Iedere provider op het internet heeft uniek AS nummer( Autonomous system). Hiermee kan er onderscheid gemaakt worden tussen bijv het KPN netwerk en het Vodafone netwerk. Mijn onderneming heeft ook sinds 2006 een eigen AS, waarmee je onafhankelijk het internet kan regelen binnen. Een van de dingen die je nodig hebt om dat functioneel te krijgen is een hele dure router. Die krengen gingen vroeger voor minimaal 50k, en nog steeds; in mijn onderneming gebruiken we hardware routers van Arista met 32x100gbit poorten. Echter zijn er ook goedkopere oplossingen op de markt gekomen die voor kleine netwerken zeer betaalbaar zijn. Zo kan je voor nog geen 500 euro ook een mikrotik kopen die in de praktijk hetzelfde zou moeten kunnen, maar dan op 1 of 10gbit snelheid. Ook de software routers zijn een optie geworden doordat de reguliere computers ook een stuk sneller zijn geworden. Dus vandaar dat ik nu ook een prive AS nummer heb aangevraagd om zo te kunnen gaan spelen en experimenteren met alternatieve hardware zonder daarmee de productie omgeving in mijn onderneming te hoeven verstoren.

Ripe NCC is de instantie in Europa/Rusland die in deze regio de ip adressen en AS nummers uitdeelt. Officieel moet je Ripe lid worden of een Ripe sponsor zien te vinden. Gelukkig is mijn onderneming sinds 2009 al ripe lir en kon ik via die weg een een PI block en PI AS aanvragen. Belangrijk is dat je deze als PI aanvraagt. PI staat namelijk voor Provider independent en wordt op de naam van de eindklant uitgegeven. Dat betekend ook dat ik zowel het ipv6 block als AS nummer kan meeverhuizen als ik naar een andere Ripe sponsor wil. Ofwel de resources zijn altijd van mij. Nadeel van PI is dat je geen onderverdeling mag doen van je ip blokken.
De PI optie kost 75 euro per jaar per resource (AS, ipv4, ipv6), afrekenbaar via je Ripe sponsor plus eventuele tussenpartij doorschuifkosten. Mijn bedrijf biedt deze optie ook aan mocht je interesse hebben.
De optie voor PI bestaat ook voor ipv4, helaas zijn die blocken heel schaars geworden omdat ripe in 2012 gestopt is deze uit te geven. Mocht je een PI block weten te bemachtigen of over te nemen dan is dat de beste optie!
De enige andere manier om aan ipv4 te komen is om deze te huren in PA vorm (niet je eigendom) of zelf RIPE deelnemer te worden en een ip PA block te kopen van een andere partij. Een ipv4 /24 block gaat op dit moment voor rond de 6500 euro. En daarbij komt ook nog dus de jaarlijkse Ripe lidmaatschap kosten van 1800 euro.
Ik heb voor mijn private netwerk een ip block van mijn bedrijf gehuurd. En opnieuw kan je dit ook bij mijn bedrijf bestellen bij interesse.

Mijn netwerk:

AS198092 Kamphuis
2001:678:1264::/48
62.129.148.0/24

Sinds een paar maanden heb ik mijn prive server geupgrade van een Atom D525 naar een EPYC 7413 en heb ik opeens veel meer performance tot mijn beschikking. (Passmark 411 VS 36.966 ofwel 8900% sneller).
Meer info over deze server upgrade binnenkort, netzoals hoe het uitrollen van het netwerk gaat.

Ruzzie met een hacker

dec 24th, 2011
by Roland.
No comments yet

Af en toe gebeurd het nog dat er een server geïnfecteerd raakt en dat de server allerlei nevenactiviteiten vertoond. Vaak komen deze hackers binnen via lekken in php-scripts. De hackers zetten een script aan om zo bijv. andere machines te infecteren, wachtwoorden te verzamelen of andere websites plat halen.

Zo werd ik deze ochtend wakker met een tiental abuse mails in de mailbox. Dus ik log in op die machine die blijkbaar andere machines aan het brute-forcen was (niet technische term: alle user/wachtwoord combinaties proberen op andere servers).
Ik kom er al snel achter dat de hacker via roundcube binnen is gekomen en begin om alle schade ongedaan te maken. Ik stop als eerste het script van de hacker en gooi alle bestanden van hem weg, vervolgens begin ik apache te patchen zodat ik zeker weet dat daar ook geen lek in zat. Terwijl ik dat aan het doen ben ontvang ik het bericht “ha” van een andere ingelogde gebruiker. Blijkt die gebruiker de hacker te zijn die op hetzelfde moment ook nog ingelogd was. En nog geen seconde later verlies ik de connectie met de server (ofwel de hacker had mij eruit gegooid). Opnieuw connecten leverde geen resultaat op.
Dus ik bel de klant op van de server en controleer samen met hem of de backups van afgelopen nacht goed zijn. (zodat ik het systeem kan aanpakken, en in geval dat de hacker iets heeft geïnfecteerd of verwijderd het hele systeem opnieuw kan inrichten).
Maargoed, ik kon nog steeds de server niet in. Dus pakte ik het grover aan en rebooten de server met de APC switch. Door continue de server te pingen kon ik op de eerste seconde inloggen.
Ik moest snel zijn, want ik moest de lek nog dichten. Dus snel het updaten van roundcube aangezet, en voordat dat klaar was, was meneer hacker ook weer ingelogd. Dus ik noteer snel zijn ip en ban hem van de server. Ik dacht, dat is te makkelijk, dus ik maakte mijn borst al nat voor geval de hacker terug zou komen van een ander ip of een botnet zou inzetten. Opeens kreeg ik weer een timeout van de server, en stond verbaasd te kijken want de hacker kon mij er niet uit hebben gegooid omdat ik hem eerder had kunnen blokkeren. Uit ergernis probeer ik op een andere machine van mij in te loggen om vanaf daar naar de server te verbinden. Blijkt die server ook plat. Toen ik google.nl intypte in de browser leek het niet de servers te zijn maar mijn internet verbinding die plat was.

Ik keek in mijn thuis router (DD-WRT) en zag dat ik een flinke inkomende attack binnenkreeg. Ofwel die hacker had in die kleine tijd voordat ik hem geblokkeerd had mijn ip genoteerd en op mijn ip een dos gestart.
Dus ik pakte mijn mobiel (lang leve de internet op de telefoon) en logde via Vodafone dus opnieuw in op die server. Daar bleek alles na mijn blokkade rustig te zijn en heb ik rustig de server verder af kunnen beveiligen. De server nog gecontroleerd op mogelijk backdoors, rootkits en geïnfecteerde bestanden. De server draait inmiddels weer als een zonnetje.
De dos aanval op mijn thuis-internet verbinding hield na 20 min op.

Mijn dank gaat dan ook weer uit voor roundcube, mogen ze daar eens leren veilige code schrijven. (Dit is niet de eerste keer dat de versie van roundcube lek is, zie ook hier). Mocht je nog roundcube versie 0.5 draaien, update hem snel mogelijk naar 0.7!  (Geen idee over versie 0.6 een lek bevat, na dit voorval heb ik alle versies geupdate naar 0.7).