Serverfragen

[Miklo]

Hallo Freunde,

hab da mal ne Frage. Und zwar würde ich mir gerne einen Server kaufen der sehr sicher seien soll. Ich weiss nicht, welche Server dafür geeignet sind und welche nicht, wo könnte ich mich informieren, natürlich wäre ich auch sehr erfreut wenn Ihr mir ein paar persönliche Tipps geben könntet.

 

[Johannes Postler]

Sicher? Im Bezug auf Ausfälle? Oder auf Sicherheitslücken?
Meinst du die Hardware oder das Betriebssystem?
Wär fein, wenn du ein paar Informationen posten könntest.
Wenns um die Ausfallsicherheit geht, sollte ein Festplatten-RAID ein wichtiges Stickwort sein. Eventuell könntest du auch redundante Netzteile brauchen - je nachdem wie ausfallsicher der Server sein soll.
Was auch oft wichtig ist, wenn der Server zuhause (oder sonstwo nicht im Rechenzentrum) steht, ist eine ausfallsichere Stromversorgung (USV).

 

[Alexander12]

Hi.

Desweiteren spielt es auch eine Rolle, wie viel du ausgeben willst - Es kann ein kleiner Heimserver sein, bis hin zu eServern von IBM.

Wird er privat oder gewerblich eingesetzt?


MfG Alexander12

 

[Miklo]

Der Server soll gewerblich genutzt werden. Ich meine einen Server( Hardware) der sicher im Bezug auf Sichheitslücken ist. Wieviel ich ausgeben will , keine Ahnung deshalb wollte ich mal nachfragen ob es wirklich so große Unterschiede gibt.

 

[Dennis Wronka]

Egal welchen Server Du Dir zulegst, Du musst selbst fuer die Sicherheit sorgen. Du kannst nicht einfach eine Linux-, BSD- oder meinetwegen AIX-Maschine irgendwo hinstellen und Dich darauf verlassen, dass es schon irgendwie sicher sein wird.
Selbst wenn ein Anbieter damit wirbt seine Server seien sicher vorinstalliert wuerde ich mich da keinesfalls drauf verlassen wollen. Es gibt hinreichend Tools um einen Server auf Herz und Nieren zu testen und dementsprechend noch ein paar Vorkehrungen zu treffen.
Und selbst wenn zum Auslieferungszeitpunkt keine Sicherheitsluecken vorhanden sind ist das keine Garantie, dass das auch in einem Monat, oder vielleicht auch morgen noch immer so ist.
Sicherheit ist keine einmalige Investition, sondern ein Prozess.

 

[zioProduct]

Linux pwnt Hacker, ohne "grösseren" Aufwand,
Windows kanst du genau so sicher machen, einfach mit mehr Aufwand, und mehr Geld

Ich empfehle(wie mein eigener Server):

Raid taugliche Harddisk, plus zusatDisks, für platz, und besonders Sicherungskopien(also ich hab insgesamt 4HDD), dazu nen leisen Lüfter, inkl Netzteil(zB Silent-Series), dann würde ich noch nen Notfallstecker besorgend, wenns wichtig ist, der dir deinen Rechner mit 24h Strom versorgen kann, für denn Fall eines Stromausfalles(wurde schon erwähnt). Desweiteren ne billige Graka, und RAM, mehr brauchste nicht. Also noch Windows oder Susi(okok SUSE)

Damit hast du schon mal nen stabilen Server, was du dann noch an anti Hacker,Virus etc Ware draufschmeisst, soll jedem selber überlassen sein. Natürlich darf er so wenig Ports wie möglich offen haben etc.

so long
ziop

**edit**
Und Denis war wieder mal schneller, hektisches Land dieses Hong Kong was

 

[Dennis Wronka]

Natürlich darf er so wenig Ports wie möglich offen haben etc.

Ich wuerde eher sagen so wenig wie noetig.
Und wenn es moeglich ist sollte der Paketfilter auch so eingestellt werden, dass ein Port-Scanner nicht gleich feststellen kann, dass ein Port gefilter ist, sondern denkt er waere schlicht und ergreifend nicht erreichbar. Das geht ueber entsprechende Antworten je nach Protokoll.
Kleines Beispiel zu Linux:
Wenn mittels IPTables ein Paket gedroppt wird ist im Grunde ziemlich klar, dass ein Paketfilter laeuft, auch bei einem simplen REJECT ist es recht offensichtlich, da ein ICMP-Fehler geschickt wird, obwohl bei einer TCP-Anfrage ein TCP-Reset die richtige Antwort waere.
Da gibt es natuerlich noch mehr, aber da will ich jetzt nicht haarklein drauf eingehen.

**edit**
Und Denis war wieder mal schneller, hektisches Land dieses Hong Kong was

Ja, ziemlich hektisch. Aber man gewoehnt sich dran.

 

[Alexander12]

Hi.

Es gibt hinreichend Tools um einen Server auf Herz und Nieren zu testen

Inwiefern testen die den? Kennst du welche?


MfG Alexander12

 

[Dennis Wronka]

Grundsaetzlich ist schonmal ein Port-Scanner keine schlechte Sache.
Damit kann man dann feststellen was offen ist und anhand dessen entscheiden was noch geschlossen werden muss.
Beispiel: MySQL muss zwar oft laufen, aber es ist meist nicht notwendig, dass es von aussen erreichbar ist.
Als Port-Scanner kann ich nMap empfehlen.

Weiter als ein simpler Port-Scanner geht dann ein Security-Scanner, welcher gezielt auf bestimmte Schwachstellen ueberprueft und diese auflistet. Dies hilft dann gezielt gegen Sicherheitsluecken vorzugehen. Bei Nessus hat man die Moeglichkeit sich auf sichere Checks zu beschraenken, was nicht immer den vollen Umfang an Sicherheitsluecken liefert, da sich zum Teil auf die Ausgabe von Versionsnummern verlassen wird. Laesst man alle Tests laufen kann es zum Denial-of-Service kommen, aber man bekommt am Ende zum Teil mehr Informationen als bei den sicheren Checks.

Hier mal ein Beispiel wie die Info zu einer gefundenen Sicherheitsluecke in Nessus aussieht:

Synopsis :

Arbitrary code can be executed on the remote host through the web client.

Description :

The remote host is missing the IE cumulative security update 905915.

The remote version of IE is vulnerable to several flaws which may allow an
attacker to execute arbitrary code on the remote host.

Solution :

Microsoft has released a set of patches for Windows 2000, XP and 2003 :

http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

Risk factor :

High / CVSS Base Score : 8
(AV:R/AC:H/Au:NR/C:C/A:C/I:C/B:N)
CVE : CVE-2005-2829, CVE-2005-2830, CVE-2005-2831, CVE-2005-1790
BID : 15823, 15825, 15827

nMap gibt es auch fuer Windows, bei Nessus gibt es nur den Client fuer Windows, den Server jedoch nicht.

Weitere interessante Programme sind uebrigens auch in der Linkliste in unserem Security-Board zu finden.