Skip to content

Ist ein Paketfilter auf einem Rootserver sinnvoll?

Linux

Wer einen Rootserver - egal ob es eine physische oder virtuelle Maschine ist - im Internet betreibt, muss sich Gedanken um dessen Absicherung machen. Früher oder später kommt man dann auch an den Punkt, wo man entscheiden muss, ob man einen Paketfilter wie Iptables auf seinem Server konfigurieren soll. Hier gibt es unterschiedliche Meinungen im Netz, ob das sinnvoll ist oder nicht. Schauen wir die Argumente doch mal an.

Gründe, warum man keinen Paketfilter auf dem Rootserver benötigt

Auf einem Rootserver gibt es normalerweise nur ein Netzwerkinterface, dass nach außen auf das Internet routet. Daneben haben wir immer noch das lokale Interface, dass nur intern auf dem Rechner erreichbar ist. Auf dem "klassischen" Rootserver sollen Dienste, die man installiert, in der Regel auch vom Internet erreichbar sein. Auf Ports, die nicht erreichbar sein sollen, sollte auch kein Dienst erreichbar sein. Ein Beispiel ist der Webserver, der natürlich vom Internet erreichbar sein soll. Das Datenbankbackend sollte aber nur vom Webserver auf dem internen Interface erreichbar sein. Wenn also alle Dienste auf dem Server korrekt installiert sind, macht ein Paketfilter keinen wirklichen Sinn. 

Ein Schutz gegen DDOS-Angriffe oder ein Lastverteilung muss immer auf den Routern vor dem Rootserver laufen, um zu funktionieren. Also ist auch dies kein Grund für eine Iptables auf dem Server selbst.

Szenarien, in denen ein Paketfilter Sinn macht

Zunächst einmal kann man den Paketfilter als "Sicherheitsnetz" betreiben. Wenn man mal einen Dienst, der eigentlich nur auf der internen Schnittstelle erreichbar sein soll, falsch konfiguriert, wäre er dann aufgrund den dann nicht freigeschalteten Ports eben nicht erreichbar und die Fehlkonfiguration hätte keine Auswirkungen auf die Sicherheit des Servers. Außerdem könnte ein installierter Dienst eine Sicherheitslücke haben, durch die ein Angreifer einen Dienst im Benutzerkontext etablieren könnte, der dann von außen erreichbar ist und entsprechend ausgenutzt werden könnte. Ein Paketfilter würde so etwas verhindern.

Dann gibt es noch einige spezielle Szenarien, die einen Paketfilter nötig machen. So wäre zum Beispiel ein Portknocking möglich, bei dem ein Dienst erst erreichbar ist, nachdem man auf einem anderen nicht bekannten Port "angeklopft" hat.

Fazit

Grundsätzlich macht ein Paketfilter auf einem Rootserver erstmal keinen Sinn. Zur Absicherung von Fehlkonfigurationen oder Folgen von Angriffen auf erreichbare Dienste kann Iptables aber durchaus Sinn machen und genutzt werden. Für einige spezielle Aufgabenstellungen wird der Paketfilter sogar explizit benötigt. Jeder Betreiber eines Rootservers sollte die Notwendigkeit also selbst beurteilen und eine entsprechende Konfiguration einsetzen.

Habt ihr einen Rootserver in Betrieb? Wie sieht es bei euch mit dem Betrieb eines Paketfilters aus. Gibt es Szenarien, die ich nicht angesprochen habe? Lasst es mich in den Kommentaren wissen.

Paris, 13.11.2015

Es ist auch nach zwei Tagen noch schwer, meine Gefühle und Gedanken zu sortieren. Hauptsächlich ist es Trauer und Mitgefühl, vielleicht auch ein wenig Wut. Solche Anschläge wie in Paris gibt es in Syrien und anderen Kriegsgebieten in der Welt täglich, und doch machen die Anschläge in Paris doch mehr mit mir. Warum eigentlich? Weil die täglichen schlimmen Geschehnisse  in der Welt nicht so in den Medien präsent sind? Oder weil man sich tragischerweise daran  hat, das "so etwas" halt passiert?

Man sucht für sich selbst nach Erklärungen und auch nach Antworten auf die Fragen und Ängste der Kinder (eine kleine Hilfestellung liefern übrigens die Erklärseiten bei logo.de). Im Alltag muss man immer wieder Antworten finden auf so manche Äusserung wie "das haben wir hier auch bald".

In den sozialen Medien ging mal wieder einiges ab. Aber  warum wird versucht,  jede Einzelheit und jede Kleinigkeit zum Anschlag zu berichten. Muss ich unbedingt wissen, wo wieviele Menschen mit welchen Methoden von wie vielen Tätern ermordet wurden. Braucht es Bilder von Leichen, blutigen Kleidern und Bürgersteigen? Man hat eventuell das Bedürfnis, durch das Erfahren von Details das ganze besser zu verstehen, aber tut man das? Patricia schreibt hier auch etwas darüber.

Jetzt ist das Wochenende vorbei und für die meisten von uns beginnt der Alltag der  neuen Woche. Lasst uns versuchen, unsere Menschlichkeit zu bewahren und unsere  Empathie für die Nöte und Bedürfnisse unserer Mitmenschen nicht verlieren. Wir müssen aber auch unsere Freiheit verteidigen und nicht aus Angst diese immer mehr durch Überwachung einschränken lassen.

Alle Bond Songs nacheinander in A Cappella

Na, den neuen Bond schon im Kino gesehen? Für alle, die noch gespannt darauf warten und auch für die, die ihn schon gesehen haben und ein wenig im Bond-Feeling schwelgen wollen, gibt es von der A-Cappella-Gruppe Maybebob ein Video mit allen Bond Songs von Dr. No bis Spectre in chronologischer Reihenfolge.

Bitte schön.

Die Vogelspinne in den Nachrichten

Heute Abend auf der Fahrt nach Hause. Im Radio liefen die Nachrichten und es gab folgende dramaturgisch hervoragend inszenierte Nachricht:

"Im Wald bei X-Dorf haben Spaziergänger eine Vogelspinne gefunden."

 

 

"Das Tier war in einem Terrarium"

(Ach sooooo.)

 

 

"Insgesamt wurden drei Terrarien gefunden."

(Hm....)

 

 

"In zwei Terrarien wurden keine Tiere gefunden."

Test: Linux vServer bei Linevast

Linux

Ein eigener Server im Internet ist dank der Virtualisierungstechnik relativ erschwinglich geworden. Eine solche virtuelle Maschine bietet viele Vor- aber auch Nachteile.

Größter Vorteil: Ich habe Rootrechte und kann alles installieren was ich möchte.

Größter Nachteil: Ich habe Rootrechte und kann alles installieren was ich möchte. ;-)

Spaß beiseite, ob man einen eigenen Server betreiben will, bei dem ich mich um alles kümmern muss, (Absicherung, Updates, Konfiguration usw.) und das eigentlich immer, auch wenn ich eigentlich im Urlaub bin, muss man sich gut überlegen. Aber dazu gibt es einige gute Artikel im Netz, zum Beispiel hier.

Linevast-LogoDer Hosting- und Server-Anbieter Linevast hat mir einen ihrer Linux vServer in der "Starter" Variante zur Verfügung gestellt und ich habe die virtuelle Maschine ein paar Wochen getestet.

Einrichtung und Ausstattung des Servers

Die Einrichtung des Servers ist denkbar einfach. Nachdem man einen Benutzer-Account erstellt hat, kann man den gewünschten vServer buchen und er steht einem dann im eigenen Kundenbereich im Dashboard für weitere Konfigurationen zur Verfügung. So bietet Linevast zum Beispiel einen DDOS-Schutz als zusätzliche Leistung an. Der Starter-Server ist mit 2 CPU, 1GB Hauptspeicher und 30 GB Festplattenplatz ausgestattet. Man bekommt eine V4-IP sowie ein 64er IPV6 Netz. Domains und DNS können verwaltet werden, sind aber natürlich auch über externe Anbieter möglich.

Als Konfigurationsplattform kommt bei Linevast SolusVM zum Einsatz, das Panel ist übersichtlich und verständlich. Es bietet die wichtigsten Funktionen zur Verwaltung der virtuellen Maschine auf einen Blick.

Solus-Konsole

Betriebssystem

Man hat die Auswahl zwischen sechs Linuxdistributionen in verschiedenen Versionen. Debian, CentOS, SuSE, Ubuntu, Fedora und Scientific stehen zur Auswahl. Auf meinem vServer habe ich das standardmäßig installierte Debian 7 64bit belassen und damit getestet. Das Betriebssystem wird in einer sehr kleinen Paketauswahl installiert, was ich persönlich sehr angenehm empfinde, denn man schleppt dann keinen unnötigen Ballast mit herum. Als Webserver ist allerdings bereits ein Apache betriebsbereit installiert, so dass ein Aufruf der IP-Adresse im Browser die Apache "It Works!" Seite zeigt.

Erste Konfigurationsschritte

Der Server ist selbstverständlich über SSH erreichbar. Allerdings ist in der Standardinstallation der Root-Login über ein Passwort möglich. Dies ist natürlich als Erstes anzupassen. Man sollte sich halt immer vor Augen halten, dass es sich bei einem virtuellen Server um ein Produkt handelt, bei dem man von Anfang an die komplette Verantwortung für die Sicherheit des Systems hat. Hier stellt der Anbieter die Plattform zur Verfügung und ist dann eigentlich "raus aus der Nummer".

Der Apache ist wie oben schon erwähnt bereits startklar in der Grundkonfiguration von Debian installiert. Als Mailer ist sendmail installiert und nachdem man seiner IP-Adresse einen Rechner/Domain-Namen verpasst hat, ist auch die Mailzustellung an andere Mailserver problemlos möglich. Auch hier ist die Grundkonfiguration von Debian natürlich an die eigenen (Sicherheits-)Bedürfnisse anzupassen oder natürlich ganz nach Geschmack auch ein anderer Mail-Server zu installieren.

Webserver und Blog

Eine der ersten Tests war natürlich der Betrieb als Webserver. Hierzu habe ich noch den MySQL-Server und PHP-Unterstützung installiert, um natürlich sofort ein Serendipity-Testblog aufzusetzen. :-)

Das war in wenigen Minuten erledigt und der Testblog läuft auf der virtuellen Maschine sehr flüssig.

Problemfall VPN und der Support

Die nächste Aufgabe war, einen VPN-Server für die persönliche Nutzung aufzusetzen. Es ist ja immer ganz nützlich, wenn man unterwegs mit dem Smartphone mit einem vertrauenswürdigen VPN verbunden ist. Mitnutzer desselben Hotel-WLANs oder Hotspots können dank der Verschlüsselung nicht mithören. Ein VPN-Server auf dem Router daheim hat immer den Nachteil eines eventuell langsamen Upstreams und so ist natürlich so ein vServer mit einer schnellen Internetanbindung in beide Richtungen eine feine Sache.

Bei der von mir geplante Nutzung von Strongswan mit IKEV2 stieß ich jedoch auf einige Probleme, so dass ich auch Gelegenheit hatte, den Support von Linevast zu testen. Der Support ist über ein Ticketsystem in der Benutzer-Konsole realisiert. Ich bin sehr angetan von den raschen und kompetenten Hilfestellungen, die ich bekommen habe. So wurden Fragen im Ticket auch noch spät Abends und teilweise auch auch Wochenende beantwortet.

Das Problem war, dass die VPN-Verbindung zwar geklappt hat, aber der Datenverkehr ins Internet nicht mehr zurück an die virtuelle IP meines Smartphones genattet wurde. Nachdem vom Support noch einige Firewall-Einstellungen versucht wurden und es immer noch nicht geklappt hat, war die Lösung schließlich ein Problem von Strongswan im Zusammenspiel mit der OpenVPS-Implementierung, mit der die vServer bei Linevast realisiert sind. Mit Hilfe des Supports habe ich dann auf OpenVPN gewechselt und das funktioniert jetzt ganz wunderbar (mit dem kleinen Wehrmutstropfen, dass mein BlackBerry Z30 kein OpenVPN unterstützt, aber mit anderen Geräten ist das kein Problem).

Ich fand es toll, wie der Support mit mir zusammen nach Lösungsmöglichkeiten gesucht hat, die Kontakte mit den einzelnen Mitarbeitern waren sehr angenehm. Sehr empfehlenswert!

Leistung

Die Leistung des vServers ist im Testbetrieb wirklich sehr ordentlich. Natürlich kann ich nicht sagen, wie es bei einer großen Besucheranzahl auf dem Webserver aussehen würde. Die Produktbeschreibung auf der Webseite von Linevast empfiehlt den Starter-Server für kleine bis mittlere Projekt und nach meinem Gefühl nach den Tests ist das durchaus eine realistische Angabe.

Fazit

Wie ich zu Anfang schon erwähnt habe, ist ein vServer eine günstige Möglichkeit, einen eigenen Root-Server zu betreiben, wenn man die Möglichkeiten eines solchen Produktes braucht und auch beherrschen kann. Für den einfachen Betrieb einer Webseite mit einem Blog wäre ein virtueller Server sicherlich etwas oversized. Für den ambitionierten Admin ist der Starter Server durchaus einen Blick wert. Der Service hat in den Testwochen prima funktioniert, ich habe (bis auf einen kurzen Ausfall am Anfang der Testzeit durch einen defekten Switch) keine Ausfälle des Servers bemerkt. Der Support ist sehr kompetent, freundlich und schnell, was ich übrigens mit als eine der wichtigsten Merkmale eines Hosting- und Serveranbieters sehe.

Linevast hat eine breite Produktpalette von Hosting bis zum Root-Server. Wenn ihr gerade einen Anbieter für ein neues Projekt sucht, schaut doch mal vorbei, ob etwas für euch dabei ist.

Winterzeit

Heute morgen aufgestanden, 6km laufen, duschen, frühstücken, mit den Kindern am Tablet rumspielen, Kaffemaschine sauber machen, mit frischem Kaffe an den Rechner setzen, Blogartikel schreiben.

Auf die Uhr schauen, noch nicht mal 11 Uhr.

Ich liebe ja die Winterzeit. :-)

BBUGKS-Live Folge 5

Internet

bbugks-live-logo

Es gibt einen neuen Podcast der BlackBerry-User-Group Kassel. Diesmal haben Oliver und ich zum ersten mal einen Gast im "Studio". Mit Sven Ziegler haben wir einen Gesprächspartner, der uns interessante Einblicke in die App-Entwicklung für BlackBerry 10 gibt. Und natürlich ist das neue Android Smartphone von BlackBerry - das Priv - ein Thema unseres Gesprächs.

Viel Spaß beim Hören.

Hier geht es zum Blogeintrag der Folge auf bbugks.de.

Tagebuchblog 14-10-2015

@Work

Heute morgen habe ich erstmal die Nachbarbüros mit "Winter Wonderland" beschallt (siehe Wetter). :-) Mein Lieblingswort im Büro ist momentan übrigens "Datenbankabfragehokuspokus".

Laufen bei 3 Grad

Ich habe seit Januar 2014 einige Kilos abgenommen und dieses Jahr im Frühling mit dem Laufen angefangen. Bisher ware ich immer nur bei einigermaßen warmen Temperaturen unterwegs. Heute hatte ich mal Gelegenheit, die neuen warmen Laufklamotten auszuprobieren. Es ist eine sehr angenehme 6km-Runde geworden und jetzt kann der Winter kommen.

Bloggen

Drüben bei der BlackBerry-User-Group Kassel habe ich mal sehr subjektiv aufgeschrieben, warum mich das BlackBerry OS10 so begeistert.

Wetter

Tja, heute morgen gab es tatsächlich Schneefall mit ganz dicken Flocken. Wer allerdings meint, dass es für einen 14. Oktober heute besonders kalt war, dem muss ich mal ein Foto von vor zwei Jahren zeigen (ach was, ich zeig es euch allen):

Wetter2013

 

Filme aus den 90ern an einem Foto erkennen

Ich bin ein großer Kino- und Filmfan. In letzter Zeit komme ich allerdings selten ins Kino, was sehr schade ist. Die 90er waren allerdings eine Zeit, in der man mich ständig in irgendwelchen Lichtspielhäusern finden konnte.

Heute hat die die Facebook-Timeline diesen Link zu einem Filmquiz reingespült, in dem man 99 Filme aus den 90erJahren an einem Foto erkennen muss. Ich hab 89/99 erkannt, und ihr? Viel Spaß!

tweetbackcheck