vServer - Webserver absichern gegen Bad IPs

  • Besser integrierte Firewall, besseres recht Management, wesentlich leicht gewichtiger und daher besser Performance, kein unnötiges GUI (was sich bei Windows Server auch ausschalten lässt - bei Windows 10 hingegen nicht), gut Wartbarkeit per SSH (kein RDP notwendig), funkt nicht durchgehend nach Hause... Etc.

    Windows 10 ist nicht für Server gedacht noch geeignet und erforderlich viel zu tun + externen Sofware :!:

  • Das ist richtig. Allerdings kann man Windows gut "auf Diät" setzen, ist zwar Aufwand, lohnt sich aber. Da hat man dann schonmal einige GB gewinnen.


    Wobei mir nicht ganz klar ist, warum MS hier das OS so dermaßen vollpumpt mit Dingen, die man nicht notwendigerweise benötigt. Auch im Heimbetrieb.

    Es gibt Windows Server Core welches ohne GUI kommt und wäre eher geeignet für einen einfachen Webserver / Chat.


    Andere Frage die dein Vorhaben sofort stoppt: wie Lizenzierst du den dein Windows auf einer VM ?

  • Wobei mir nicht ganz klar ist, warum MS hier das OS so dermaßen vollpumpt mit Dingen, die man nicht notwendigerweise benötigt. Auch im Heimbetrieb.

    Das soll kein Windows/Linux Thread werden. Zudem betreibe ich sowohl einen Windows als auch mehrere Linux Server im Internet. Von daher bin ich da leidenschaftslos.


    Einige Punkte hierzu:

    - Windows Server kostet sehr viel Geld, Linux ist kostenfrei. Wenn man die Zusatzfunktionen (AD Controller etc.) nicht benötigt, gibt man sehr viel Geld aus um sich das Einarbeiten in ein neues OS zu ersparen.

    - Windows Desktop ist beileibe nicht Windows Server. Wer ein Programm in Windows installieren oder ein Spiel starten kann, ist noch lange kein Windows Server Admin. Windows Server ist ein RIESIGES Feld - viele Admins arbeiten auch hier auf der Konsole (z.B. mit Powershell).

    - Manche Dinge sind unter Windows einfacher, viele aber auch deutlich schwieriger. Ich finde z.B. den IIS sehr umständlich zu konfigurieren, da gibt es deutlich einfachere Konzepte unter Linux.

    - Ich bevorzuge mittlerweile, alle Anwendungen in Docker Containern zu verpacken und kann das nur sehr sehr empfehlen, da es einem vieles erleichtert und Updates trivial macht. Es gibt zwar auch Docker for Windows, allerdings sind quasi alle Container und Docker Compose Files für Linux als Host geschrieben, d.h. man hat größeren Aufwand, das umzuschreiben, was wiederum das Aufsetzen neuer Container / Dienste erschwert.

    - Windows Server bietet viele Vorteile in lokalen (Windows)Netzwerken (um z.B. als Domain Controller zu fungieren und v.m.). Das meinst Du mit "dermaßen vollpumpt mit Dingen, die man nicht notwendigerweise benötigt". Die werden schon benötigt, aber halt z.B. nur in einem großen Firmen LAN.

    - Ein OS, das hinter einer Firewall unzugänglich gute Dienste leistet, ist noch lange nicht auch gut ins Internet stellbar.

    - Es geht auch nicht um "Windows gut auf Diät setzen" im Sinne von Einsparung von GB (das ist doch wurscht), sondern es geht um die Angriffsfläche von außen. Und die ist natürlich bei vielen schon default laufenden Diensten deutlich größer als bei einem nackten Linux, bei dem erst mal quasi nichts nach außen offen ist (außer SSH).


    Und das sind nur einige Punkte, da gibts noch einige mehr.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Like 8
  • Ein Windows Server ist bei netcup schwierig bis gar nicht rechtssicher lizenzierbar. Eine Lizenz für den Betrieb auf einem PC zuhause reicht jedenfalls sicher nicht. Falls es überhaupt eine Lizenzierungsmöglichkeit gibt, wird sie sicher nicht billig sein. Die eventuelle Idee, den "Server" per Remote-Desktop steuern zu wollen würde ich möglichst schnell verwerfen aus Sicherheitsgründen. Und wenn man schon unbedingt eine grafische Oberfläche braucht, alternative Software für den Zugriff benutzen. Ein Windows-Server mit Windows-Server Betriebssystem ist schon wesentlich schwieriger abzusichern als ein Linux-Server. Bei Windows 10 potenziert sich der Unterschied noch. Die Voreinstellungen sind da einfach für den Betrieb auf einem PC zuhause hinter der Router-Firewall gedacht. Für den Zweck sind sie halbwegs sicher. Ein vServer bei neucup hat aber keine Router-Firewall zwischen sich und dem Internet, hinter der er sich verstecken kann. Da kommen von der ersten Minute an jede Menge Portscans und Hackversuche aus der ganzen Welt. Und wenn da die zahlreichen offenen Scheunentore nicht alle sofort geschlossen werden, dann kann der Server sehr schnell mal gehackt werden.


    Linux ist in den meisten Distributionen kostenlos und lässt sich problemlos als Minimalsystem installieren, wo außer SSH zunächst einmal nichts von außen erreichbar ist - und das ist auch recht einfach abzusichern. Linux bringt auch eine vernünftige Firewall mit. Apache ist auch eigentlich für Linux entwickelt.


    Ich weiss ja nicht, was genau ihr benötigt, aber wenn nichts dabei ist, was nur unter Windows läuft, macht Windows wenig Sinn als OS auf einem Server.

  • Ein Windows Server ist bei netcup schwierig bis gar nicht rechtssicher lizenzierbar.

    Ich bin da mittlerweile nicht mehr so sicher, ob dieses Lizenzierungsmodell von MS (für virtualisierte Umgebungen) in der EU überhaupt rechtswirksam sein kann.

    Hier hatte ich das schon mal angemerkt.


    EDIT:

    Allerdings halte auch ich es für keine gute Idee Windows 10 ins Internet zu hängen. ;)

    Aber wenn du Zeit und Arbeit in die Absicherung steckst (Einlesen in die Materie), dann kann es ja auch durchaus gut gehen. :)

  • Hi tab: OK, aber ein guter Hinweis, das war mir bis jetzt nicht wirklich bewusst. Danke für den Hinweis.


    qaRaphael, ich lese mir das mal durch, danke!


    Ich werde mir das durch den Kopf gehen lassen. Danke für deinen Kommentar.

    EDV = Erfolg durch Versuche *g*

    Edited once, last by chenjung ().

  • Ich bin da mittlerweile nicht mehr so sicher, ob dieses Lizenzierungsmodell von MS (für virtualisierte Umgebungen) in der EU überhaupt rechtswirksam sein kann.

    Hier hatte ich das schon mal angemerkt.

    Ich bin mir da auch nicht sicher. Aber das nutzt mir halt im Zweifel nichts. Wenn MS irgendwann auf den Trichter kommt, dass das Windows 10 auf einem vServer läuft und die Lizenz ungültig macht, dann kann ich MS eventuell verklagen. Aber bis das Verfahren in allen Instanzen rum ist, brauche ich keinen Server mehr. Es ist ja nicht so, dass MS mich gerichtlich zu einer ordnungsgemäßen Lizenzierung zwingen muss. Ich muss MS dazu zwingen, meine Lizenz wieder anzuerkennen, damit mein Server wieder (vernünftig) läuft.

  • Hallo ihr lieben, es scheint hier ja eine richtige Linux-Welle zu geben.

    Nee, es gibt keine Linux Welle, sondern eine für sicher betriebene Server. Wenn du hier im Forum mal stöberst, wie viele Leute Probleme mit ihren Diensten haben, weil die Netcup IPs auf irgendwelchen Blacklisten landen, dann weißt du, warum.

  • Zum Thema Absicherung: klassischer Aufbau: 2 VPS/RS. 1x Der Server und davor eine PFSense/OpenSense mit den entsprechenden Blocklisten und Serviceeinschränkungen. Direkter Zugriff auf den Server nur per VPN (Über die PFSense) oder die Konsole.

  • Zum Thema Absicherung: klassischer Aufbau: 2 VPS/RS. 1x Der Server und davor eine PFSense/OpenSense mit den entsprechenden Blocklisten und Serviceeinschränkungen. Direkter Zugriff auf den Server nur per VPN (Über die PFSense) oder die Konsole.

    Yep. That is the way. Andere Anbieter stellen auch direkt eine Firewall vor dem Server (Servercluster) zur Verfügung... Ist eine sehr niedrig hängende Frucht, die von Netcup einfach nicht gepflückt wird.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Nee, es gibt keine Linux Welle, sondern eine für sicher betriebene Server. Wenn du hier im Forum mal stöberst, wie viele Leute Probleme mit ihren Diensten haben, weil die Netcup IPs auf irgendwelchen Blacklisten landen, dann weißt du, warum.

    Die IPs von Netcup landen auf Blacklists? WOW, sollte nicht so sein!? (auf das OS bezogen?)


    TBT: Verstehe ich das richtig? Keine Firewall vor den Servern? Betrifft das nur die VPS oder auch die Root?

    EDV = Erfolg durch Versuche *g*

    Edited once, last by chenjung ().

  • Die IPs von Netcup landen auf Blacklists? WOW, sollte nicht so sein!? (auf das OS bezogen?)


    TBT: Verstehe ich das richtig? Keine Firewall vor den Servern? Betrifft das nur die VPS oder auch die Root?

    2. Korrekt - zumindest kein Firewall wo du ports etc angeben kannst - also ohne Sofware Firewall wird aller Trafic frei rein und raus geleitet auf allen Ports (ein DDOS Schutz und eine Überwachung um z.B. Malware befallen gibt es nartürlich endet dann in einem Abus Hinweis).

    Nur die alten auf VServer basierenden haben sowas - Beispiel Anbieter die sowas haben H, Oracle etc.

  • 2. Korrekt - zumindest kein Firewall wo du ports etc angeben kannst - also ohne Sofware Firewall wird aller Trafic frei rein und raus geleitet auf allen Ports (ein DDOS Schutz und eine Überwachung um z.B. Malware befallen gibt es nartürlich endet dann in einem Abus Hinweis).

    Nur die alten auf VServer basierenden haben sowas - Beispiel Anbieter die sowas haben H, Oracle etc.

    Danke für deine Antwort. OK ... das ist schon hart, finde ich. Das überrascht mich jetzt doch schon.


    Bei dem H kann ich beständigen, da hatte ich eine ziemlich dicke Firewall.

    EDV = Erfolg durch Versuche *g*

  • Danke für deine Antwort. OK ... das ist schon hart, finde ich. Das überrascht mich jetzt doch schon.


    Bei dem H kann ich beständigen, da hatte ich eine ziemlich dicke Firewall.

    Naja tut erstmal nicht so viel zur Sache - iptables ist meist mehr als ausreichend (ist auch keine reine Sofware Lösung da es auf Kernel Level läuft) und hat verschiedene schöne Interfaces wie Firewall-CMD etc.

    (Wirklich grosse Vorteil hat ein Provider Firewall nicht - zumindest auf Linux)

  • Ich habe überlegt, man kann ja einen kleineren vServer (mit Linux) als Firewall vor den Windows Server schieben? Zwar benötigt man dieses vLAN als Verbindung zwischen den beiden Servern, aber das könnte gehen, oder?


    Ich meine, der Firewall ist es ja egal, welches OS dahinter steht? So müsste man eig. den VServer (VPS 200 z.b. - Linux / FireWall / vLAN) -> durchreichen an den Windows (Webserver) oder? Weil langfristig wäre das ein schönes Projekt und ich könnte dabei noch einiges lernen.

    EDV = Erfolg durch Versuche *g*

    Edited 3 times, last by chenjung ().