Microsoft legt sich selber lahm
Microsoft kämpfte mit Router-Problemen. Jetzt soll Akamai helfen.
Artikel erschienen in Swiss IT Reseller 2001/02
Artikel erschienen in Swiss IT Reseller 2001/02
Die letzten Januarwochen waren für das Image von Microsoft nicht gerade glücklich: Eben noch hatte Steve Balmer die grösste Werbekampagne der Firmengeschichte angekündigt, «Für Business-Kunden braucht es heute schnelle und flexible Lösungen. Dafür ist ein Grossteil der heutigen Technologien zu gross, zu langsam und zu teuer», und schon ist Microsoft am 23. und 24. Januar praktisch aus dem Web verschwunden.
Erst soll ein Hackerangriff für den Ausfall verantwortlich sein, dann folgt die Feststellung, ein Redmonder Techniker habe bei der Konfiguration eines Routers gepfuscht und damit den Weg zu den dahinter liegenden DNS (Domain Name Service)-Servern versperrt. DNS-Server wandeln Web-Namen in maschinenlesbare, numerische Internet-Adressen um.
Offensichtlich befanden sich alle DNS-Server des Unternehmens in einem einzigen IP-Subnetz hinter dem Router, ohne Backup für einen Störfall. Das ist genau die Anordnung, vor der die Internetexperten warnen: «Die DNS-Server sollten so plaziert werden, dass wenigstens ein Server immer für alle relevanten Teile des Internet erreichbar ist (…)
Es ist daher kein gutes Vorgehen, alle Server an einem einzigen Ort zu plazieren, auch wenn dies einfach einzurichten und zu verwalten ist.» (RFC 2182 «Selection and Operation of Secondary DNS Servers» – solche RFCs (Request For Comments) enthalten sämtliche Spezifikationen für die Internet-Protokolle).
Befinden sich alle Server im gleichen IP-Subnetz, können die DNS-Server lahm gelegt werden, wenn der Router, der den Datenverkehr in das Netz leitet, nicht mehr mitspielt. Genau das war bei Microsoft passiert
Erst soll ein Hackerangriff für den Ausfall verantwortlich sein, dann folgt die Feststellung, ein Redmonder Techniker habe bei der Konfiguration eines Routers gepfuscht und damit den Weg zu den dahinter liegenden DNS (Domain Name Service)-Servern versperrt. DNS-Server wandeln Web-Namen in maschinenlesbare, numerische Internet-Adressen um.
Offensichtlich befanden sich alle DNS-Server des Unternehmens in einem einzigen IP-Subnetz hinter dem Router, ohne Backup für einen Störfall. Das ist genau die Anordnung, vor der die Internetexperten warnen: «Die DNS-Server sollten so plaziert werden, dass wenigstens ein Server immer für alle relevanten Teile des Internet erreichbar ist (…)
Es ist daher kein gutes Vorgehen, alle Server an einem einzigen Ort zu plazieren, auch wenn dies einfach einzurichten und zu verwalten ist.» (RFC 2182 «Selection and Operation of Secondary DNS Servers» – solche RFCs (Request For Comments) enthalten sämtliche Spezifikationen für die Internet-Protokolle).
Befinden sich alle Server im gleichen IP-Subnetz, können die DNS-Server lahm gelegt werden, wenn der Router, der den Datenverkehr in das Netz leitet, nicht mehr mitspielt. Genau das war bei Microsoft passiert
Und gleich noch mal
Damit nicht genug. Donnerstag und Freitag das gleiche Problem. Die Sites von Microsoft (dazu gehören mns.com, hotmail.com, Microsoft.com, encarta.com u.a.) sind wiederum an zwei Tagen nicht mehr zu erreichen. Diesmal scheint es wirklich ein Hackerangriff zu sein. Jedenfalls wurde das FBI eingeschaltet.Ironischerweise hat vermutlich ausgerechnet der Fehler, der für den ersten Ausfall verantwortlich war, die Schwäche im Microsoft-Netzwerk aufgedeckt, welche den zweiten Angriff ermöglichte. Die Attacke zielte nämlich nicht, wie bisherige «Denial of Service»-Angriffe, direkt auf den Webserver, sondern auf die Router, und konnte so die Web-Services von Microsoft lähmen.
MS reagiert
Microsoft CIO Rick Devenuti räumte in einer Stellungnahme ein, dass der grösste Softwareproduzent der Welt Teile seines Netzes, in denen auch Produkte anderer Hersteller eingebunden seien, nicht mit «ausreichenden Selbstschutz-Techniken» ausgerüstet habe. Mit anderen Worten, sich nicht an die Standard-Empfehlungen gehalten habe.Unterdessen reagierten die Redmonder auf die Kritik an ihrer Netzstruktur. Neben den vier DNS-Servern im gleichen IP-Subnetz wurden weitere DNS-Server eingebunden. Diese werden von Akamai betrieben. Im Unterschied zu den Microsoft-eigenen DNS-Servern sind sie auf verschiedenen Netzen und geografisch unterschiedliche Orte verteilt.
Akamai betreibt laut eigenen Angaben mehr als 8000 Server in 54 verschiedenen Ländern, die über 460 Telecom-Netze mit dem Internet verbunden sind. Bemerkenswert: Akamai ist eine «Unix-Company» und arbeitet mit Solaris. Das Webangebot www.akamai.com läuft unter Linux. Als Webserver nutzt das Unternehmen den Enterprise-Server von Netscape. (fis)
Artikel kommentieren
