Sichere Datenübertragung innerhalb des Netcup-Netzwerks?

  • Kann ich davon ausgehen, dass Datenverkehr zwischen meinen verschiedenen Netcup-Servern (V-Server an V-Server oder auch VServer an Webspace und umgekehrt) von niemanden mitgelesen werden kann, weder von außerhalb noch von Kunden innerhalb desselben Netzwerks?


    Oder anders gefragt: Kann ich unbedenklich z.B. einfaches FTP zwischen Netcupservern verwenden oder MySql-Abfragen ohne SSL-Tunnel tätigen? (Sichere Passwörter natürlich vorausgesetzt.)

  • Vermutung meinerseits: Das VLAN ist wohl eher dazu da, dass man sich darin komplett austoben kann. Also jegliche (privaten) IP-Adressen vergeben, die man möchte, zwischen den Servern hin und her routen, wie man lustig ist und so weiter und so fort. Und nicht zuletzt kann netcup das je nach Anforderung sicher am Switch und/oder Router priorisieren, auf andere Uplinks legen, gezielt aufstocken, … – das ist quasi wie eine eigene Netzwerkverkabelung zwischen mehreren gebuchten vServern oder dedizierten Systemen. Nur, dass netcup dafür keine Kabel anrühren muss und absolute Flexibilität hat, weil der Switch es immer noch über die gleiche (Glasfaser)leitung zum Router transportieren kann! :)


    Doch zurück zum Thema: Wenn es vom Protokoll und der Software unterstützt wird, verschlüssel es einfach. Der Overhead ist meistens zu vernachlässigen. Dann kann sich auch das Ziel ändern und man muss sich keine Gedanken machen. Prinzipiell würde ich aber (gerade bei den vServer-Produkten) sehr stark davon ausgehen, dass man als Kunde keinen Unfug anstellen kann. Aber wie immer gilt, dass es eine 100% Sicherheit nicht gibt. Nirgends, auch nicht in Deinem LAN zu Hause… ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Vielen Dank für eure Rückmeldungen.


    Grundsätzlich stimme ich euren Bedenken zu, hatte aber in einem anderen Thread den Hinweis eines Netcup-Mitarbeiters gefunden, wonach die Netze netcup-intern sicher seinen. Ich glaube da ging es um Backups und FTP, bin mir aber nicht mehr ganz sicher.


    Konkret kam mir die Frage auf, weil ich regelmäßig Daten von einem Netcup-Webserver auf einen Netcup-VServer sichern möchte. Die Webserver haben leider kein rsync, aber scp und ftp. Mit scp kann ich Verzeichnisinhalte leider nicht listen (oder irre ich?) und FTP schien mir da die einfachste Lösung.


    Kann ich ftp über ssh machen? Oder gibt es für meinen Anwendungsfall bessere Möglichkeiten, auf die ich nicht gekommen bin?


    Es gäbe ja noch die Möglichkeit die Verzeichnisse auf dem Webserver zu packen und dann mit scp zu holen, aber ich möchte halt nur die neuen oder geänderten Datein (incrementiell) sichern.

  • Kann ich ftp über ssh machen?


    FTP kann auch TLS, nennt sich FTPS. Das sollte jeder vernünftige FTP-Server aktiviert haben.


    Nicht zu verwechseln mit SFTP, das über SSH läuft!



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich habe jetzt eine Lösung für mich gefunden. Um regelmäßig ein Backup von einem Netcup-Webserver auf einen Netcup-VServer über SSL zu ziehen, eignet sich ganz wunderbar das Programm lftp als rsync-Ersatz. Ähnlich wie rsync überträgt es bei korrekter Parametrisierung nur die neuen bzw. geänderten Dateien. Allerdings stets die ganze Datei und nicht nur die geänderten Teile einer Datei.


    Code
    lftp -u user,password hosting9064.af954.netcup.net -e „mirror --verbose --only-newer /zielpfad“


    Ich musste allerdings die SSL-Zertifikats-Validierung ausschalten, da das Programm sonst eine Fehlermeldung liefert. Siehe hier:


    anil's tips: lftp --> Fatal error: Certificate verification: Not trusted


    Danke für's Mitdenken.

  • Die Probleme mit dem SSL-Zertifikat kann man normalerweise lösen, wenn man den Pfad zum CA-Cert (oder dem Zwischenzertifikat) explizit angibt. Das Paket ca-certificates (unter Debian/Ubuntu; woanders unter anderem Namen) muss natürlich trotzdem installiert sein. Versuch es einmal mit /etc/ssl/certs bei der Option ssl:ca-path. Wenn das nicht klappt, lade Dir mit OpenSSL das Zwischenzertifikat vom netcup FTP-Server herunter und gib es als ssl:ca-file an.


    Genau wegen dieser Probleme und dem andauernden Wartungsaufwand bin ich irgendwann auf cURL für den automatisierten FTP-Upload umgestiegen. Das kann aber afaik keine rekursiven FTP Uploads/Downloads.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)