• Die Erlöse unserer Entrümpelung wird sofort wieder dem Wirtschaftskreislauf hinzugefügt. #pizza http://t.co/RGc7cKth #
• @cha0tics Danke Danke in reply to novitazaneta #
• Soeben @shoptimax vom Spitzenplatz verdrängt #wmnue #
• Wir haben noch Jobs http://www.netways.de/jobs #wmnue #
• @inwend Danke! in reply to inwend #
• Erster Spitzen-Vortrag von Beate Rank über die Geschichte von unserem Kunden Rakuten(Tradoria) #wmnue #
• Da haben wir doch glatt das Bild vergessen! #Rakuten #wmnue http://t.co/xWvk13YF #
• OSDC 2012: Mark Burgess ist mit "CFEngine und warum die Zukunft von Konfigurationsmanagement Wissen ist" dabei! /mn http://t.co/sckZ9cF8 #
• #CeBIT #OSDC #OSMC und dann kommt ja schon wieder Weihnachten. Kalt wäre es ja schon. #
• Von MySQL über MySQL-Cluster bis zu MongoDB ist auf der #OSDC einiges dabei. Wir freuen uns auf Euch! #
• Eucalyptus wird auch bei der #OSDC dieses Jahr dabei sein! #
• @jalogisch So sehen wir das auch! Ein schönes Wochenende und gute Heimreise! /be in reply to VafaRustamova #

Weiterführende Artikel

• 29.01.2012 -- Twitter Weekly Updates for 2012-01-29
• 22.01.2012 -- Twitter Weekly Updates for 2012-01-22
• 15.01.2012 -- Twitter Weekly Updates for 2012-01-15
• 08.01.2012 -- Twitter Weekly Updates for 2012-01-08
• 01.01.2012 -- Twitter Weekly Updates for 2012-01-01

La RPKI est le système de distribution de certificats et d'objets signés avec les clés de ces certificats, qui permet de poser les bases d'une sécurisation du routage (securite-routage-bgp-rpki-roa.html) dans l'Internet, en permettant aux titulaires des ressources (préfixes d'adresses IP, notamment), d'autoriser tel ou tel opérateur et uniquement ceux-ci, à utiliser ces ressources. Certains préfixes ne sont pas alloués à un utilisateur, ils dépendent directement de l'IANA et ce RFC 6491 est donc consacré à lister les tâches de l'IANA pour ces préfixes. Par exemple, l'IANA devra émettre et signer un objet disant « Personne ne peut annoncer de route vers "198.51.100.0/24" (ce préfixe étant réservé, par le RFC 5737, à la documentation) ».

On le sait, le protocole BGP (normalisé dans le RFC 4271), sur lequel repose tout l'Internet, car c'est lui qui permet à l'information de routage de circuler entre les opérateurs, ce protocole, donc, est peu sûr. N'importe qui peut annoncer n'importe quelle route, dire « Je suis Google, envoyez-moi toutes les requêtes Google » et les autres le croient. Résoudre cette vulnérabilité n'est pas trivial, pour des raisons essentiellement non techniques. Néanmoins, le manque d'un mécanisme standard pour valider les routes était une des faiblesses du routage Internet. Une série de RFC vient de partiellement combler ce déficit.

Les certificats de la RPKI, qui permettent de sécuriser le routage sur l'Internet (securite-routage-bgp-rpki-roa.html) en prouvant un droit à utiliser telle ou telle adresse IP, ne portent pas en clair de nom de titulaire. Cela peut être un problème dans certains cas opérationnels. Par exemple, une route reçue en BGP est refusée par le routeur, l'administrateur réseaux enquête, découvre un certificat qui a expiré, et voudrait prévenir le responsable qu'il a fait une boulette. Mais comment trouver le responsable ? Ou, selon la phrase culte du film Ghostbusters, « Who you gonna call? ». Ce RFC résoud le problème en permettant de mettre une vCard dans le certificat, indiquant qui contacter en cas de problème.

La RPKI est l'infrastructure de création et de distribution de certificats pour les titulaires de ressources Internet (essentiellement les adresses IP), afin de sécuriser le routage sur l'Internet (securite-routage-bgp-rpki-roa.html). Ce RFC normalise un protocole de communication pour réclamer ces certificats (avitaillement, ou provisioning). Il sera typiquement utilisé entre les RIR et les LIR.

Le système de sécurisation de BGP (securite-routage-bgp-rpki-roa.html) et du routage sur l'Internet, qui tourne autour de la RPKI, utilise des objets numériques signés cryptographiquement pour représenter les autorisations d'annoncer telle ou telle route. Ces objets sont définis avec la syntaxe CMS et le profil que normalise ce RFC.

Les techniques de sécurisation de BGP du groupe de travail SIDR (http://tools.ietf.org/wg/sidr) viennent d'être publiées (securite-routage-bgp-rpki-roa.html). Elles reposent sur une infrastructure de clés publiques cryptographiques, la RPKI (Resource Public Key Infrastructure). Ce RFC décrit cette RPKI, fondation de tous les systèmes de sécurisation du routage dans l'Internet, ainsi que l'architecture générale du système.

Un ensemble de RFC vient de sortir (securite-routage-bgp-rpki-roa.html), décrivant un mécanisme pour sécuriser les annonces de route sur l'Internet (actuellement, on peut annoncer à peu près ce qu'on veut avec BGP...). Quels sont les logiciels existants qui permettent de regarder ces annonces et/ou de les vérifier ?

Ce document s'inscrit dans la longue liste des RFC sur la sécurisation du routage BGP (securite-routage-bgp-rpki-roa.html). Il décrit la sémantique des ROA (Route Origin Authorization), ces objets qui expriment l'autorisation du titulaire d'un préfixe IP à ce que ce préfixe soit annoncé initialement par un AS donné. La syntaxe des ROA, elle, figure dans le RFC 6482.

Un nouveau sigle va devoir être appris par les administrateurs réseaux et sera sans doute souvent prononcé dans les discussions sur les listes de diffusion d'opérateurs : ROA, pour Route Origin Authorizations, ces objets signés cryptographiquement qui permettent à un routeur BGP de valider l'origine d'une route. Dans la très longue liste des RFC décrivant ce système de sécurité (securite-routage-bgp-rpki-roa.html), notre court RFC 6482 décrit le format des ROA.

La RPKI, cette infrastructure de certificats utilisée pour sécuriser le routage sur l'Internet (securite-routage-bgp-rpki-roa.html), repose sur un certain nombre d'objets (certificats mais aussi révocations et surtout les objets signés qui expriment les autorisations, les ROA). Ce RFC décrit comment ils sont stockés dans les points de publication à partir desquels ils sont distribués au monde entier. Cela permet de consolider facilement les données obtenues auprès de plusieurs points de publication. (Il n'est pas obligatoire qu'une copie de la RPKI soit complète.)

La norme de certificats numériques X.509 est d'une telle complexité (comme beaucoup de productions des comités de l'UIT) qu'il est à peu près impossible de la mettre en œuvre complètement et correctement. La plupart de ses utilisations se font sur un profil de la norme, c'est-à-dire une restriction des usages possibles. De tels profils ont permis l'utilisation pratique de X.509, notamment sur l'Internet. Le profil décrit dans ce RFC a été conçu pour les certificats décrivant le « droit d'utilisation » des ressources Internet, ce qui veut dire, dans le monde du routage, les adresses IP et numéros d'AS (collectivement : les INR pour Internet Number Resources). Ces certificats ainsi profilés seront ensuite ceux utilisés pour la RPKI, afin de sécuriser le routage sur l'Internet (securite-routage-bgp-rpki-roa.html).

NDOUtils 1.5 has just been released and has a number of performance improvements that will benefit large installs.  We ported the speed improvements we made for Nagios XI to NDOUtils and applied an asynchronous DB write patch that ensures monitoring doesn't fall behind if the database is slow.  Get more information on the NDOUtils project page or download the 1.5 release from SourceForge.  Thanks to the Nagios team for XI patches, andree for the async patch, and Eric Stanley for making the new release!

Letzte Woche war ich drei Tage in London um die Cloud Expo Europe zu besuchen. Die Konferenz bot neben überwiegend lokalen Ausstellern ein abwechslungsreiches Konferenzprogramm in 5 parallelen Tracks. Etwas dürftig war die Abgrenzung der Räume zum üblichen Messebetrieb, was das Verfolgen der Vorträge teilweise schwierig gestaltete. Für meinen Geschmack war das Programm insgesamt etwas zu vertrieblich gestaltet und mehr als das übliche SaaS, Iaas, Cloud, Services, Storage, Virtualization usw. war den Vorträgen häufig nicht zu entnehmen. Viele Hosting-Provider mühen sich redlich ihre bisherigen Modelle als dynamisches Paket nach außen darzustellen, was jedoch nach der zweiten Fragen häufig Fragen in Bezug auf Datenschutz, Hochverfügbarkeit usw. aufkommen lässt. Wenngleich die Transparenz für den Endkunden und die Steigerung der Flexibilität eine Herausforderung ist, der man sich stellen muss, hat das ganze auch erkennbare Grenzen. In einem Vortrag eines lokalen Providers verstrickte sich der Vortragende bei Fragen in Bezug auf Ressourcenabrechnung zunehmend in Widersprüche und verstand am Ende sein eigenes Business-Modell nicht mehr. Jeder der mal versucht hat etwas komplexere Ressourcen beim Cloud-Meister Amazon und deren AWS-Dienste zu konfigurieren weiss vermutlich was ich meine.

Der Vortrag des Amazon-CTO Dr. Werner Vogels war “dennoch” der Höhepunkt der Veranstaltung und eine Keynote der Extraklasse. Er referierte über die internen Organisationsstrukturen bei Amazon, aber auch entsprechenden Abgrenzungen zum klassischen Retail-Geschäft um eine Unabhängigkeit der Dienste gegenüber Dritten sicherzustellen. Besonders schön fand ich zu Beginn die Aussage:

We have Amazon AWS for several years, but today we name it cloud-services.

Genau das ist es nämlich bei den meisten Anbietern und bei aller Marketing- und Namespracht darf man nicht enttäuscht sein, wenn am Ende der vertrieblichen Kette einfach ein Server oder eine VM ihren Dienst versieht.

Mit der Migration auf OpenNebula stellten auch wir uns erfolgreich dieser Herausforderung, flexibel Ressourcen anzubieten und kurzfristig auf Trends und Spitzen unserer Kunden zu reagieren. Wie auch immer der ein oder andere Dienst in Zukunft heissen wird; die Frage nach dem Management solcher Infrastrukturen und Implementierung entsprechender Lösungen wird uns auch in den nächsten Jahren weiter beschäftigen.

Auch bei der kommenden OSDC werden wir mit dem Schwerpunkt “Agile Infrastructures” Antworten auf die hoffentlich meisten Fragen liefern können und freuen uns schon auf die vielen spannenden Vorträge.

Weiterführende Artikel

• 20.01.2012 -- IT-Buzzword Bingo – Begriffe für den Alltag
• 09.01.2012 -- Weekly Snap: Epic Perl, OpenNebula & HTML5
• 06.04.2011 -- OSDC 2011 – Erster Rückblick
• 01.09.2010 -- High Performance in der Cloud kann teuer werden
• 30.07.2010 -- Private Cloud

We've been working hard to make SNMP traps with Nagios easier! Announcing the new Nagios SNMP Trap Interface (NSTI) addon - a PHP frontend for the MySQL or PostgresSQL backend that SNMPTT creates. NSTI allows you to filter SNMP results quickly and effectively to get a comprehensive overview of the information you want to see. You can learn more about NSTI and download it from Nagios Exchange.

Software funktioniert immer und ist ausschließlich ohne Bugs. Falls nicht ist sowieso immer der Vendor schuld. Der hat allerdings gerade keine Zeit und damit dauert es bis zur nächsten Bug-Fix Release.

Auch kein Problem, immerhin ist das Produkt kostenlos und der Quellcode offen, aber Hersteller Code ändern? Wenn in der Software selber keine Hook Konzepte oder Factories vorgesehen sind ist man nicht mehr Update-Fähig. Patches passen nicht mehr auf die neue Version und müssen mühsam angepasst werden oder man hat die Dokumentation verlegt oder erst gar keine angelegt.

Unter Perl gibt es ein paar Interessante Konzepte, Hooks nachträglich anzulegen. Eine davon ist Hook::WrapSub, welche Aufruferketten mit eigenen Prozeduren verbindet.

Folgendes Beispiel:

#!/usr/bin/perl -w package TEST_SCRIPT::BINARY; use version 1.0; use strict; use subs qw(do_something);   sub do_something { my ($first, $last) = @_; return sprintf('My name is %s, %s', $last, $first); }   print do_something('Eduart', 'Zimmermann'); print "\n";   exit(0);

Ein Aufruf brachte folgendes Ergebnis:

$ perl test_script.pl My name is Zimmermann, Eduart

Wir bräuchten nun eine Änderung in der Funktion ‘do_something‘ ohne den eigentlich Code zu verändern und verbauen eine Aufruferkette in einem eigenen Module:

package HookThat; our $VERSION='1.0'; use Hook::WrapSub; use Data::Dumper;   Hook::WrapSub::wrap_subs sub { splice @_, 0, 1, $_[0]. '-Hubert'; }, 'TEST_SCRIPT::BINARY::do_something', sub { $Hook::WrapSub::result[0] =~ s/My name is/I am the holy/; };   1;

Dieses Modul binden wir in den bisherigen Code ein. Das bleibt die einzige Änderung. Eventuell gibt die Software Möglichkeiten vor, eigene Module in die Ausführung zu laden. Dann benötigt man überhaupt keine Änderungen am Quelltext mehr. Außerdem, alle eigenen Anpassungen in einem Module zu organisieren erleichtert eine spätere Wartung deutlich.

$ diff -u test_script.pl test_script_neu.pl --- test_script.pl 2012-02-02 15:27:12.476374490 +0100 +++ test_script_neu.pl 2012-02-02 15:30:58.388368456 +0100 @@ -4,6 +4,7 @@ use strict; use subs qw(do_something);   +require 'HookThat.pm';   sub do_something { my ($first, $last) = @_;

Die Ausgabe ändert sich durch unseren Hook folgendermaßen:

$ perl test_script.pl I am the holy Zimmermann, Eduart-Hubert

Die Funktion ‘wrap_subs‘ erweitert den Aufruf von ‘do_something‘ durch einen Pre- und einen Postwrapper. In der ersten Prozedur ändern wir das Argument des Vornamens und verändern in der zweiten (bzw. letzten) den ersten Satzteil. Es lassen sich dadurch auch komplexe Ketten gestalten um die Software passend für den jeweiligen Einsatzzweck fit zu machen, z.B. Mailverarbeitung zu generalisieren oder ‘eigentlich’ interne Datenquellen durch Fremdsysteme (DB, Soap) zu befüllen ohne die Boardmittel der Anwendung zu verändern.

Für Perl gibt es noch weitere Module die mehr oder minder den selben Zweck erfüllen, Hook::LexWrap sei hier noch zu nennen, welches allerdings in der aktuellen Version keine Änderung der Argumente zulässt (Und dadurch fast schon wieder völlig unbrauchbar ist). Auch den Weg ‘zu Fuß’ gibt es natürlich (“Perl Symbol Table Hackery”):

*_Foo = *Foo; *Foo = sub { print "Doing something different\n"; };

Alle diese Möglichkeiten sind zwar nicht besonders Simple und Perl erhöht nicht gerade die Leserlichkeit. Beim nächsten Update hält sich der Frust aber deutlich in Grenzen und die Anpassungen sind schnell wieder aktiv – Kaffeetrinken – Fertig!

Achso, dies ist übrigens der hundertste (ja, 100) Dev-Blogpost – Tättärätäääää! Vielen Dank an alle im Development für all die Gedanken, Zeilen und Worte im Schweiße des Angesichts ausformuliert …

Weiterführende Artikel

• 09.01.2012 -- Weekly Snap: Epic Perl, OpenNebula & HTML5
• 06.01.2012 -- Epische Entwicklungsumgebung in Eclipse
• 02.01.2012 -- Weekly Snap: AwStats Reporting, Perl for Programming & CSS Frameworks
• 30.12.2011 -- The glory of Perl
• 27.10.2011 -- Perl-Scripts mit PAR::Packer kompilieren

Dans l'ensemble du travail engagé pour améliorer la sécurité du routage sur l'Internet, un sous-problème important est celui de la gestion des clés. En cryptographie, c'est souvent par une faiblesse dans cette gestion que les systèmes de sécurité sont compromis. Le groupe de travail KARP (http://tools.ietf.org/wg/karp) de l'IETF est occupé à améliorer les protocoles de gestion de clés et son premier RFC, ce RFC 6518, expose les propriétés attendues des futurs protocoles de gestion des clés des routeurs.

Ce court RFC spécifie les précautions que doit prendre une mise en œuvre de TCP pour éviter qu'un attaquant ne puisse deviner le numéro de séquence initial. Rien de nouveau, les précautions en question étant programmées dans TCP depuis de nombreuses années, juste un rappel et une mise à jour du précédent RFC sur ce sujet, le RFC 1948.

Auf www.adityaravishankar.com unternimmt der (fast – haha) gleichnamige Blogbesitzer nicht nur eine Reise zur Perfektion (eigene Deklaration), er beschäftigt sich unter anderem auch mit HTML 5. Und zwar nicht mit dem üblichen dumpfen Webseiten-Gedöns, sondern – für mich als passionierten Computerspiele-Nerd viel interessanter – Spieleprogrammierung in HTML5 und Javascript, exemplarisch am ersten Teil von Command&Conquer (auch bekannt mit dem Beinahmen Tiberian Dawn). Das ist nicht unbedingt etwas, worauf ich (oder die Welt) schon immer gewartet hätte.
(Zumal, das Original ist kostenlos zu haben. Außerdem war ich nie ein Fan des Command&Conquer-Universums und kam lediglich in den noch jungen Jahren der Serie (und mir) damit freiwillig in Kontakt. Danach wand ich mich fast völlig von Echtzeit-Strategie im allgemeinen und C&C im speziellen ab und verbriet meine Zeit lieber im Taktik-Bereich (oder dem verfassen sinnfreier und unnötig langer Texte wie diesem hier) und bin bis heute dem gar (mehr oder weniger) rundenweisen Ablauf zugetan. Wo war ich? Ach ja …) Aber erstens war mir nicht wirklich bewusst, dass man mit diesen Mitteln „ernsthaft“ Unterhaltungssoftware umsetzen kann (vermutlich kann man tatsächlich nicht – oder?). Und zweitens könnte ich es damit auch mal versuchen.

Die Hoffnung stirbt zuletzt
Was Spieleprogrammierung betrifft, so kam ich nie über ein paar sich langsam auf dem Bildschirm aufbauende farbige Linien oder etwa einen unkontrolliert aus dem Bild „laufenden“ Cursor (aka „Joysticksteuerung“) hinaus. Da war das höchste der Gefühle schon, aus dem Amstrad/Schneider CPC International-Magazin und Konsorten vielleicht ein paar Basic-Listings abzutippen, dann die Nachfolgeausgabe zu versäumen, um dann zu bemerken, zu blöd zu sein, die (prinzipiell in die Vorlage eingebauten sowie die) mir unterlaufenen Fehler korrigieren zu können.

Daran änderte sich auch nichts, als mir später beispielsweise ein DirectX-7-Programmierlehrbuch in die Hände fiel, das erneut den Wunsch aufkeimen ließ, es doch noch einmal zu versuchen. Für die nächsten Ferien schmiedete ich große Pläne, deckte mich mit Pizza und Cola ein, um die „durchcodeten“ Nächte zu überstehen … ratze schon am ersten Abend um halb Zehn ein und ließ das Buch anschließend im Regal verstauben. Gleich neben „C++ Einstieg leicht gemacht“ (oder so – Allerweltstitel hier einsetzen).

Was soll ich tun, Fisch?
Bleibt die Frage: Taugt so ein HTML5/Java-Kongolerat auch für mehr, als ein paar Sprites über den Bildschirm wandern zu lassen? Ermunternd immerhin, dass Herr Shankar die Umsetzung einer Wegfindung demonstriert, eine Aufgabe, mit deren zuverlässiger Umsetzung nicht nur zu Zeiten des Erscheinens des Original-C&C viele Programmierer so ihre liebe Not hatten. Blöd wiederum, dass beim HTML-Remake ebenfalls die Panzerchen hängen bleiben.
Ok, und was für ein Spiel mache ich dann? Für eine flüssig laufende 3D-Engine mit modernsten Grafikeffekten taugt javascript eher nicht. Wie wäre es also mit Taktik, die das nicht braucht? Sagen wir, in Form eines (endlich mal guten) Jagged Alliance 2-Remakes? Da müsste ich dann vermutlich mit jursitischem Ärger rechnen. Außerdem erscheint genau davon in wenigen Tagen ein neuer (Gerüchten zufolge brauchbarer) Ableger. Originäre Ideen bei mir sind da eher mau – etwas vom Kaliber “5 Gewinnt” wäre weder sonderlich innovativ (Modifikation eines bekannten Spielprinzips), noch will das jemand ernsthaft spielen (ein Stein mehr für eine siegreiche Reihe ist ein spielerischer Rückschritt).

Ich glaube, selbst wenn ich in der Lage wäre, Spiele zu programmieren, müsste ich wohl vor meiner notorischen Ideenlosigkeit kapitulieren. Ich für meinen Teil kehre erst einmal zurück zu meinen Testfällen für icinga-web. Spaß genug, würde ich sagen … wie Spieleprogrammieren per HTML5 in der Praxis funktioniert, verklickert Ihnen daher nächste Woche an dieser Stelle HTML-Maniac Herr Meyer – er weiß es nur noch nicht …

Zufällige Artikel

• 01.09.2008 -- Deutsche Sprachbausteine für Asterisk 1.4 und 1.6
• 23.05.2010 -- Twitter Weekly Updates for 2010-05-23
• 25.08.2009 -- Twitter Development – Zusammenfassung
• 19.03.2010 -- Configuration Management mit PUPPET
• 06.07.2008 -- Inhaltsverzeichnis Juni 2008

Mit dem Abschluß des Call for Papers beginnt nun für uns die Detailarbeit am Vortragsprogramm. Wobei wir uns sehr freuen, bereits jetzt die ersten, hochkarätigen Referenten bekannt geben zu können. Mit dabei sein werden unter anderem die Open Source Spezialisten

• Mark Burgess (CFEngine)
• Kris Buytaert (inuits)
  
• Kristian Köhntopp (booking.com)
• Benedikt Stockebrand (IPv6)
• Constantino Vázquez Blanco (OpenNebula)

Alle Informationen zum Konferenzprogramm mit dem Schwerpunktthema “Agile Infrastructures” werden auf www.netways.de/osdc ständig aktualisiert und sukzessive erweitert.

Ansonsten heißt es für alle Teilnahmewilligen schnell sein, denn die vergünstigten Frühbucherpreise sind nur noch bis 15. Februar zu haben. Also am besten gleich online anmelden!

Sinnvoll erweitern läßt sich der Konferenzbesuch übrigens mit den am Vortag der Konferenz (24. April) stattfindenden 1-Tages-Intensiv-Workshops zu den Themen Puppet Configuration Management, IPv6 und OpenNebula.

Im Zentrum der OSDC wird auch in diesem Jahr wieder das Zusammentreffen von und mit der Open Source Community, der Erfahrungsaustausch der Teilnehmer untereinander sowie die vielen spannenden Diskussionen rund um Open Source Data Center Solutions mit den OS-Experten stehen. Wir freuen uns schon sehr und sind gespannt, wen wir am 25. & 26. April bei uns in Nürnberg persönlich begrüßen dürfen!

Weiterführende Artikel

• 19.12.2011 -- Weekly Snap: OSDC CfP, App Store & Doctrine Tips with Xmas & Travel Fun