aggiornamenti all’infrastruttura

[english version below]

Nel corso degli ultimi mesi siamo stati impegnati dietro le quinte (tra le altre cose) a fare aggiornamenti e manutenzioni all’infrastruttura di A/I. Di seguito riportiamo alcuni degli aggiornamenti e nuove feature piu’ interessanti.

tl;dr va tutto il doppio piu’ forte ed e’ il triplo piu’ bello

Aggiornamento a debian wheezy

Abbiamo aggiornato con successo tutte le macchine all’ultima debian stable (wheezy) nel corso di un weekend circa. Abbiamo notato con soddisfazione come questi aggiornamenti diventino via via sempre meno faticosi negli anni e anche quest’ultimo non e’ stato da meno (ma abbiamo patito lo stesso). In ogni caso ne abbiamo tratto alcuni vantaggi, come l’aggiornamento delle librerie SSL (che ci permettono di offrire delle cifre piu’ moderne), e ne abbiamo approfittato per ottimizzare ulteriormente alcuni sistemi. Un esempio per il pubblico piu’ morbosamente tecnofilo, questo e’ il grafico dell’utilizzo di CPU dei nostri server LDAP prima e dopo l’aggiornamento ed il passaggio ad una nuova tecnologia di database:

openldap_cpu

Firme DNSSEC

Abbiamo firmato con DNSSEC tutte le zone DNS di A/I. Che cosa significa in pratica? DNSSEC fornisce un livello aggiuntivo di sicurezza durante le comunicazioni con A/I, in particolare se si usa DNSSEC e’ possibile stabilire con certezza che gli indirizzi IP di A/I siano proprio quelli giusti. E’ importante pero’ precisare che questo e’ solo un livello aggiuntivo di sicurezza e non protegge da ogni tipo di attacco, ma lo rende piu’ difficile. E’ possibile usare DNSSEC sul proprio computer ad esempio attraverso strumenti come https://www.nlnetlabs.nl/projects/dnssec-trigger/ e aggiungere lo stato DNSSEC al proprio browser con http://www.dnssec-validator.cz/. Ci sono piu’ informazioni anche qui https://it.wikipedia.org/wiki/Domain_Name_System_Security_Extensions.

Separazione dalla rete IPv4

Abbiamo separato completamente la connettivita’ IPv4 da quella IPv6, abbiamo richiesto ed ottenuto indirizzi IPv6 “veri” per la maggioranza delle macchine (inclusi i DNS). Significa in pratica che una macchina con solo connettivita’ IPv6 puo’ raggiungere i servizi di A/I senza fare affidamento sulla rete IPv4.

 

During the course of the last few month we’ve been busy doing (among other things) upgrades and maintenance to the A/I infrastructure. Below there are some updates and the most interesting features.

tl;dr everything is 2x as fast and 3x as beautiful as before

Upgrade to debian wheezy

We’ve been successfully upgrading all machines to the latest debian stable (wheezy) during the course of a weekend. We’ve also been happy in noticing how these upgrades have smoothed over the years. This year was also smooth (but we’ve suffered anyway a little). Regardless, we’ve got something out from the upgrade such as a new SSL version (sporting modern ciphers) and we’ve been optimizing existing systems. As an example to the tech morbidly-curious audience, here’s the CPU usage graph of LDAP server before and after the upgrade:

openldap_cpu

 

DNSSEC signatures

We’ve been signing all A/I DNS zones with DNSSEC. What does this mean in practice? DNSSEC provides and additional layer of security while communicating with A/I. For example it is possible to prove that the obtained IP addresses have not been tampered with. It is important to note however that this is only an additional layer of security and doesn’t protect from all attacks, though it makes those attacks much more difficult. It is possible to run DNSSEC on your computer for example with tools like https://www.nlnetlabs.nl/projects/dnssec-trigger/ or add the DNSSEC status to your browser with http://www.dnssec-validator.cz/. You can also find more information about DNSSEC here https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Split from IPv4 network

We’ve split completely IPv4 connectivity from IPv6 by requesting “real” IPv6 addresses for the majority of machines (including DNS). In practice this means that a machine connected only to the IPv6 network can reach A/I services without relying on the legacy IPv4 network.

2 Responses to “aggiornamenti all’infrastruttura”

  1. Petrus Says:

    Nice job !
    And Debian is working like a charm, rolling updates are so better than a big service pack like windows, I remember hours to repair an Ubuntu after a big update :s
    Thx for your hard work all ! Mail service at A/I from Francia runs very smooth :)

  2. al3xu5 Says:

    ho un dubbio sull’addon ‘dnssec-validator’ di validazione DNSSEC (link: http://www.dnssec-validator.cz): aprendo il file .xpi dell’addon noto che la cartella ‘plugins’ contiene dei moduli binari (come per es. npDNSSECValidatorPlugin_x64.so)…
    sono binari: si sa cosa fanno davvero? fidarsi è bene, ma (in queste cose e di questi tempi) non fidarsi è meglio…
    ciao
    A