nicht angemeldet
Moin!
Jetzt habe ich mich schon die ganze Zeit zurückgehalten, muß es jetzt aber doch loswerden: was ist bei einem x86 1-Prozessorsystem eigentlich gegen OpenBSD einzuwenden?
Ha?
Nu?
Immer diese Vorurteile gegen Leute mit giftigen Eingeweiden!
*grummel*
;-)
Die Administration desselben spricht dagegen. Warum muß jemand, der mit Linux, speziell Gentoo Linux, seine Erfahrungen gesammelt hat, denn auf Krawall umsteigen auf etwas anscheinend noch sicheres, bei dem zu Beginn erstmal wieder eine kräftige Lernkurve zu absolvieren ist?
Ein Root-Server steht hinter keiner Firewall. Das wäre auch absolut unpraktisch, denn würde der Hoster eine zentral betreiben, müßte er dennoch sämtlichen Traffic durchlassen zu den Servern seiner Kunden, denn er kann ja nicht wissen, was die exotisches mit den Geräten vorhaben. Jegliche Filterung des Traffics würde mindestens Supportaufwand bedeuten, wenn nicht mehr.
Gut, stimmt auch wieder Sven, das ist wohl keine richtige Firewall was ich meinte. Wenn aber eh schon der dicke Cisco-Router da steht, dann ist auch manches dort eingeschaltet (weil es per default eingeschaltet ist und man ein dreimonatiges Studium braucht um zu wissen, wie man's wieder ausstellt ;-). Um alleine schon der Frage "Wer zahlt eigentlich den Traffik?" bei einem DDoS Angriff aus dem Wege zu gehen lohnt es sich aber bereits.
Der Admin eines Root-Servers wird mit Sicherheit nicht an den Router des Hosting-Anbieters gelassen. Und auch der Traffic einer DDoS-Attacke wird nicht vom (aus Sicht des Internets) "hinteren" (d.h. vor Ort befindlichen) Router effektiv abgeblockt, sondern vom "vorderen" (d.h. dem, der dort, wo die Pakete eventuell durch die gelegte Leitung hin zum Rechenzentrum gelangen sollen, steht).
Deine diesbezüglichen Anregungen und Einwände gehen, vermutlich durch deine komplett andere, weil auf viel größere oder andere Situationen ausgelegte Sichtweise, hier leider etwas in die Irre.
Ja, das stimmt, ein Paketfilter macht keinen großen Sinn wenn es auch in manchen Situationen eine Arbeitserleichterung für die dahintergeschalteten Server ist.
Ein Paketfilter kostet außerdem ja auch Performance. Wieviel das in Prozent ist, kann ich nicht sagen, und bei einem mutmaßlich zu 1% ausgelastetem Root-Server (jedenfalls angesichts der angekündigten Projekte der zwei, die auf den Server drauf sollen) fällt das wohl auch kaum ins Gewicht. Christian Kruse hatte seinerzeit, als der alte Self-Server noch beim alten Provider stand, und dort heftig Last durch Forum und Suche abbekam, aber mal behauptet, der serverbezogene Traffic (immerhin an einer 100MBit-Leitung) würde einen CPU-mäßig identischen Rechner benötigen, wenn der die Firewall bilden sollte.
Ein L7-Filter könnte mitunter nützlich sein. Aber für einen einzelnen Server auch eher nicht.
Du denkst wirklich zu groß und aufwendig. Natürlich ist es insbesondere beim Anschluß eines Unternehmens-RZ, welches z.B. die eigene Website hostet, extrem sinnvoll und sowohl von der Entscheidungsbefugnis als auch von der Admin-Struktur her überhaupt möglich, mit einer zentralen und explizit auf die verfügbar zu machenden Dienste angepaßten Firewall, welche z.B. Paketfilter, Proxy etc. enthält, den Sicherheitslevel sowie die Entdeckbarkeit von Normabweichungen zu erhöhen.
Diese ganzen Möglichkeiten gibt es für den Betreiber eines Root-Server-Rechenzentrums aber nicht - zumindest was den Betrieb eben dieser Root-Server angeht. Natürlich steht irgendwo ein Router und zählt den Traffic mit. Ebenso wird irgendwo die Verwaltungs-Infrastruktur des Hosters stehen und abgeschottet sein (das wäre dann das oben genannte Unternehmens-RZ-Szenario - nur dass das "böse Internet" dann eben schon direkt im gleichen Haus, ggf. sogar im gleichen Raum steht). Weitergehende Einschränkungen durch Firewalls sind aber nicht die Regel, sofern diese nicht als unabdingbarer Vertragsbestandteil z.B. in den AGB genannt werden.
Ich erinnere mich, daß bei Hetzner irgendwann mal ein Filesharing-Port gesperrt wurde, weil irgendein Kunde mit dem dadurch angezogenen Traffic die Erreichbarkeit des gesamten Netzwerks gefährdete - oder war das eine gehackte Kiste? Der Server wurde danach dann identifiziert und "behandelt". Naja, das sind zumindest die Probleme, mit denen man sich rumschlagen muß als Hoster. :)
- Sven Rautenberg