Dans les semaines à venir les plateformes mutualisées Celeonet vont être remplacées par de nouvelles architectures.

Afin que vous puissiez être informé de vos nouveaux paramètres de connexion nous vous demandons de vérifier la validité de votre adresse email de contact. Onglet “Mon compte”, icône “Vos informations”.

Le lundi 8 février entre 14:00 et 15:00, si vous êtes client d’une offre mutualisée, vous recevrez un email de Celeonet contenant un lien de confirmation sur lequel il vous faudra cliquer.

Merci de votre collaboration.

Nous vous annoncions en juillet 2007 la fin programmée de Php 4.

Depuis le 8 août 2008, la version 4 de Php n’est plus supportée par php.net et en toute logique plus aucun correctif de sécurité n’est publié.

Celeonet va donc progressivement ne plus proposer que la version 5.2.X qui exécute sans problème les scripts écrits pour Php 4. La version 5.3, qui préfigure le futur Php6, ne sera pas déployée massivement puisque la compatibilité ascendante des scripts n’est pas assurée.

Afin d’effectuer une transition en douceur tous les domaines ou sous-domaines nouvellement créés exécute Php 5.2 dans les environnements mutualisés, virtuels et dédiés.

A compté du 31 mai 2010, Php 4 sera définitivement supprimé de nos offres d’hébergement mutualisées.

Nous vous encourageons vivement à migrer vos sous-domaines en version 5, cette opération est simple et s’effectue via l’interface client Celeonet, Onglet “Domaines”, icônes “Gestion des sous-domaines et des versions”.

2009 vient de se terminer et pour Celeonet elle aura été riche en changements.

Sur le plan humain tout d’abord avec plusieurs recrutements :

- Olivier, notre chef de projets développement,
- Pierre-Yves en tant que développeur,
- Muriel chargée du support niveau 1,
- Terry, notre responsable commercial.

Mais également sur le plan technique avec plus de 150K€ d’investissements et le déploiement de blades.

Le chiffre d’affaire de Celeonet aura connu une croissance de +19.34% par rapport à 2008 pour s’établir à 718K€.

2009 aura également été l’année de la crise économique pour de nombreux acteurs de l’internet, nous l’avons également subie en voyant des projets clients repoussés durant de nombreux mois et parfois même annulés à quelques jours de la signature du contrat, c’est également une année marquée par la défaillance de certains de nos partenaires commerciaux.

Et pour 2010, quels projets chez Celeonet ?

Nous vous en parlions depuis longtemps, vous souvenez vous de la v2 de Celeonet ? Ce projet souvent annoncé, toujours repoussé, est dans les mains de notre équipe de développement depuis mai 2009. La version 2.0 bêta est annoncée pour le 31 mars 2010, sa mise en ligne interviendra dans le courant du mois d’avril 2010. Nous vous en parlerons plus en détail dans un prochain billet.

La version 2.0 de notre SI implique d’importantes modifications de notre infrastructure et de son fonctionnement. D’ici quelques semaines ce sont les plateformes d’hébergement mutualisées qui seront remplacées et revues en profondeur :

- mise en place d’un serveur “d’opérations” entre la base de données et la plateforme d’hébergement,
- gestion des opérations systèmes au travers d’une API,
- remplacement complet des clusters actuellement en production,
- remplacement des serveurs MySQL,
- remplacement des baies de disques par des modèles MSA HP équipées de disques SAS,
- abandon de NFS.

Sur le plan “humain”, il est prévu de renforcer l’équipe système par l’embauche d’un nouvel administrateur système (ou d’une :)). Si vous êtes intéressé(e) par ce poste vous pouvez nous envoyer votre CV à recrutement@celonet.fr.

Commercialement, une refonte des offres mutualisées sera effectuée au second semestre 2010. Notre objectif est de dissocier les besoins des particuliers et des professionnels.
Plusieurs nouveaux services seront lancés, il est cependant encore un peu tôt pour en parler ici.

Sur le plan de la communication, le blog qui était quelque peu en sommeil ces derniers mois sera dynamisé. Sa vocation changera quelque peu puisque nous y rédigerons également des fiches “Trucs et astuces” pour vous aider dans la gestion de votre site internet.

Vous pouvez également nous suivre dès à présent sur Facebook et Twitter.

Manon, Muriel, Mickael, Yannick, Terry, Olivier, Pierre-Yves et Yann, vous souhaitent un joyeux Noël et de bonnes fêtes de fin d’année !

L’Equipe Celeonet.

Le 12 décembre 2009 nous avons fait face à une attaque d’une intensité sans précédent. L’effet directe de cette dernière a été l’inaccessibilité de nos infrastructures de 11:00 à 14:10.

Cet événement fait passer la disponibilité de notre réseau sur les 12 derniers mois de 99.98% à 99.94%, chiffre qui reste cependant tout à fait honorable.

Cet article a pour objectif d’apporter une explication claire et technique sur les attaques Ddos et sur les solutions mises en place pour les contrer.

Contexte technique
Celeonet héberge ses serveurs dans deux datacenters connectés par une fibre optique, Telecity SAS et le CNH de Completel à Aubervilliers.

Notre réseau est connecté à Internet par l’intermédiaire de deux routeurs Cisco 7206VXR NPE-G1 dans une configuration de redondance géographique et de lien.

Le routeur principal est connecté par l’intermédiaire de deux fibres optiques Gbs au réseau de Tinet et de Neotelecom, le second routeur est connecté au réseau de Completel et a pour vocation d’assurer la permanence d’accès à Internet de notre réseau en cas de panne du routeur principal.

Capacité
Ces deux routeurs ont une capacité de 1Gbs de bande passante et de 1 million de paquets par seconde. Ils sont surdimensionnés dans un usage normal du réseau Celeonet dont le débit est au maximum de 200Mbs et de 50 000 paquets par seconde.

Objectif d’une attaque Ddos
Une attaque Ddos a pour objectif de saturer la cible en l’inondant de paquets TCP ou UDP. Légitimement, nous pouvons nous demander pourquoi de telles attaques sont lancées contre notre réseau. La réponse n’est pas évidente et il ne nous semble pas opportun de verser dans la paranoïa.

Celeonet hébergeant actuellement plus de 11000 sites Internet, il est probable que cette présence de plus en plus importante fasse de notre réseau une cible de plus en plus visible pour les “nuisibles” du net.

Technique employée
Depuis début septembre, notre réseau est la cible répétée d’attaques Ddos par envoi de paquets UDP. Si la plupart est contrée par nos équipes sans qu’elle ne soit visible pour vous ou les visiteurs de vos sites, certaines ont un impact (23 septembre 2009 et 12 décembre 2009). Il est important de savoir qu’une attaque réussie est toujours suivie de nombreuses autres.

La technique employée consiste à envoyer vers notre réseau de nombreux paquets de données de très petite taille via le protocole UDP. L’utilisation de ce protocole n’est pas anodine : contrairement à TCP qui nécessite que la machine cible “réponde”, UDP permet d’envoyer des données vers une IP cible sans que la machine n’ait à répondre au flux qui lui est envoyé. Éteindre le serveur cible n’a donc aucun impact sur l’attaque.

Le routage de ces paquets de données a un impact direct sur le fonctionnement du routeur qui les traite. L’image suivante met en évidence la violence de l’attaque. A 11:00, un “trou” apparaît : le serveur réalisant les graphes de suivi n’obtient plus de réponse du routeur dans des temps raisonnables.

Une fois l’attaque contenue, l’utilisation CPU baisse et les graphes sont à nouveau réalisés. A 14:10, lorsque le réseau a été à nouveau disponible, l’utilisation du routeur était toujours de 91% pour une utilisation normale de 12%.

Mesures mises en place
Elles ont été nombreuses depuis septembre et ont permis de protéger notre réseau jusqu’à hier.

Nous avons créé un logiciel de suivi du nombre de paquets transitant par notre réseau. En cas de détection d’un nombre anormal de paquets, la machine cible est automatiquement mise hors ligne. Malheureusement, cette mesure reste sans effet dans le cas d’une attaque via le protocole UDP.

Des firewalls ont été déployés sur les tronçons les plus sensibles de notre réseau.

Netflow a été activé sur nos routeurs. Il s’agit d’une fonctionnalité de certains équipements réseaux permettant d’obtenir des informations sur le trafic qui les traverse, tel que le nombre de paquets par source d’émission, leur destination, leur taille, etc. C’est donc une fonctionnalité qui fournit des informations importantes pour la sécurité du réseau.

Connaître la source précise d’une attaque permet de blackholer les attaquants, c’est-à-dire que plutôt que de traiter les paquets envoyés par le serveur réalisant le Ddos, ces derniers sont envoyés vers un “trou noir” logiciel. C’est l’équivalent du /dev/null que connaissent tous les utilisateurs d’UNIX.

Il ne s’agit pas d’une mesure préventive mais curative.

Nouvelle stratégie
L’activation de Netflow se révèle être une erreur. S’il donne des informations pertinentes pour contrer une attaque, il est également très consommateur de ressources CPU lorsqu’il fournit des informations sur des centaines de milliers de paquets à la seconde.

Lors de l’attaque du 12 décembre 2009, si l’analyse de trafic n’avait pas été en place, notre réseau n’aurait pas connu d’indisponibilité.

Nous l’avons par conséquent désactivé et il ne sera plus utilisé qu’au coup par coup.

L’ampleur de cette dernière attaque nous force également à envisager le remplacement du routeur 7206VXR NPE-G1 principal par un routeur plus puissant, le Cisco ASR1004 10GE, dont la capacité en terme de traitement de paquets est de 15 millions par seconde.

Si vous souhaitez obtenir plus d’informations, vous pouvez poser vos questions par l’intermédiaire des commentaires du blog.

L’Équipe Technique

La nouvelle version des serveurs virtuels est en ligne !

Nous nous sommes appliqués à intégrer les remarques de nos clients pour rendre cette offre plus performante, plus complète par l’ajout de fonctionnalités et plus écologique en terme de consommation électrique.

Vous pourrez trouver le descriptif complet en cliquant sur ce lien.

Quelles sont les nouveautés ?

- La RAM est doublée, trois offres sont disponibles avec respectivement 256,512 et 1024Mo de RAM,
- un effort commercial conséquent a été réalisé sur l’offre 1024Mo qui débute à 45 € / mois,
- le gestionnaire de mailings listes ‘Sympa’, plus convivial qu’EZMLM, a été intégré,
- vous disposez d’un accès permanent aux logs Apache de vos sites,
- MySQL 5 est systématiquement disponible et sa configuration modifiable à la carte,
- vous pouvez créer autant d’utilisateurs et de bases de données MySQL que vous le souhaitez,
- le serveur de messagerie est intégré à votre virtuel, vous disposez d’accès dédiés aux services pop, imap, smtp,
- vous disposez d’un accès crypté via un certificat SSL à votre messagerie via les protocoles SMTPs, IMAPs et POPs,
- vous pouvez maintenant déléguer la gestion d’une zone mail spécifique à un client donné en créant des administrateurs de zone de messagerie,
- vous disposez d’autant de comptes de messagerie que vous le souhaitez,
- le webmail RoundCube a été intégré à l’offre,
- vous pouvez souscrire en option à l’antivirus et à l’antispam pour protéger vos boites aux lettres des pourriels,
- vous pouvez souscrire en option à la sauvegarde de vos fichiers web et de vos bases de données,
- la consommation électrique est optimisée par l’utilisation de processeur Xeon L, de RAM Low Energy, et de serveurs de type Blade. Le tout pour aller encore plus loin dans nos engagements GreenIT et la protection de la planète.

Et toujours :

- l’infogérance de la solution comprise,
- la personnalisation du Php.ini suivant vos besoins,
- une adresse IP dédiée,
- un nombre de domaines hébergeables illimités.

Vous souhaitez plus d’informations sur ce nouveau produit ? N’hésitez pas à nous contacter par l’intermédiaire du formulaire de contact du site.

L’Equipe Celeonet.

Nous ne sommes plus qu’à quelques heures du lancement de la version 2 des serveurs virtuels.

Le mode de fonctionnement de ce service a été totalement revu tant sur le plan technique que sur le plan des fonctionnalités, nous publions sur le blog quelques photos de cette plateforme qui se base maintenant sur des blades centers HP et des baies de disques SAS.

Le HP c7000 de face avec deux lames insérées

Le mini écran de contrôle du blade

Une lame capot ouvert, bixeon Low Energy, 32Go de RAM

Le HP c7000

Face arrière avec deux turbines apparentes (12 au total)

Une turbine de refroidissement hors de son logement.

Baie de stockage MSA, casacadable pour un nombre maximum de 96 disques

Connectique de la baie MSA

Phpfrance (oups erreur d’extension) organise jusqu’au 15 avril un concours de développement auquel Celeonet s’est associé.

Nous vous invitons à découvrir en cliquant ici le réglement de ce concours et ses modalités.

Plusieurs prix sont à remporter pour les meilleurs développeurs :

Une formation Php Expert Certifié dispensée par Anaska :

Un Hébergement d’1 an “CeleoTurbo” + 1 nom de domaine offert par Celeonet :

Un livre PHP 5 avancé (éditions Eyrolles) :

Des autocollants forum PHP pour décorer son bureau !

A vos claviers

Le webmail Celeonet vient d’être mis à jour de la version 5.4 de Atmail vers la version 5.6.

Cette nouvelle version corrige un certain nombre de bugs et les problèmes de compatibilité avec certains navigateurs.

Visuellement il n’y a pas de grosses modifications si ce n’est une fenêtre de login plus large et plus ergonomique.

Bien-entendu tous les carnets d’adresses, agendas et paramétrages spécifiques de vos comptes de messagerie ont été importés.

Comme vous le savez peut-être nous utilisons les services de Gandi pour l’enregistrement des noms de domaines d’extension .com / .org / .net / .biz / .eu.

Depuis hier soir 19:00, il est impossible d’enregister des noms de domaines par l’intermédiaire de Gandi.

En voici la cause :

Bonjour,

Je suis désolé de devoir vous contacter un vendredi soir à ce sujet
mais nous avons raté l’échéance de certificat SSL sur notre APi XML
qui intervient demain. Le certificat actuel a été renouvelé et
prolongé mais si vous testez la validité du certificat SSL dans votre
code, et en fonction de comment cela est fait, vous risquez d’avoir un
problème temporaire sur la journée de demain. En cas de soucis,
n’hésitez par à nous contacter directement.

Cordialement / Kind Regards Nicolas Lhuillery Directeur du Produit Gandi

Par “si vous testez la validité du certificat SSL dans votre code” il faut comprendre toute connexion à l’API Gandi est impossible.

Les .fr et les .be pour lesquels nous sommes registrar ne sont pas concernés.

Cela fait maintenant 17 heures qu’il est impossible aux sociétés utilisant les services revendeurs de Gandi d’enregistrer des noms de domaines et qu’aucune réponse n’est apportée à nos mails.

Les dysfonctionnements de l’API Gandi étant récurrents (rarement aussi longs) il va nous falloir trouver une solution plus fiable pour nos opérations sur les noms de domaines.

Edit 13:04
L’API Gandi est à nouveau fonctionnelle après plus de 18 heures d’indisponibilité