Posts by gunnarh

    Deine Messung ergibt also 80MB/s "Downloadspeed von ..." => das ergibt inklusive Overhead also ohnehin fast 800MBit der genannten Maximalleistung von 1000MBit. Dein Vergleich mit dem Maserati hinkt also.

    • Du übergibst eine wohlsortierte Liste. In der Liste sehe ich die AES128-Ciphersuiten vorgereiht
    • Du drehst aber andererseits den "SSLHonorCipherOrder" auf Off, somit bestimmt nicht der Server die Order, sondern der Client


    Um zu erreichen was du möchtest, drehst du den SSLHonorCipherOrder Switch auf on und sortierst die Liste dergestalt, dass die von dir präferierte CipherSuite vorne ist. Ich bin mir allerdings - angesichts Deiner Fragestellung - nicht ganz sicher, ob Du dazu ohne Hilfe in der Lage bist. Ich würde Dir daher zum Beispiel den Firefox SSL-Configuration-Generator empfehlen: https://wiki.mozilla.org/Security/Server_Side_TLS


    Noch ein Hinweis: Praktisch ist derzeit kein Angriff gegen AES128 möglich, die Verwendung von AES256 für eine TLS-Verbindung zu einem WebServers daher eher Kosmetik als tatsächlich nötig.

    Dass die von Netcup angebotene VXLAN Lösung offenbar nicht immer die erwartete Bandbreite liefert hat man hier im Forum schon mehrfach vernommen. Ob die Erwartungshaltung berechtigt und zu erfüllen ist, oder die von H6G angeführten Überlegungen vom Kunden zu berücksichtigen sind (obwohl ja nicht Teil der Leistungsbeschreibung) ist denke ich Ansichtssache - ich möchte mich da weder auf die eine, noch auf die andere Seite schlagen.


    Einen Aspekt an der Schilderung den ich allerdings nicht verstehe ist: Wofür benötigst Du diese Bandbreite denn überhaupt? Wie viele gleichzeitge RDP Sitzungen sollen das denn sein? Ich kann mir ad-hoc kein Szenario mit RDP vorstellen, wo man mit dem kostenfreien 100MBit vLAN Adapter nicht auch bereits auskommen würde.

    Ich bin mit AppArmor leider (noch) nicht vertraut.

    Soweit ich das verstehe kann der AppArmor-Schutz aber nicht einfach durch Stoppen des Service abgeschaltet werden. Dafür müsste man schon einen Kernel-Parameter ändern und neu starten.


    Wenn ich

    https://wiki.ubuntu.com/DebuggingApparmor

    richtig verstehe, wäre die empfohlene Vorgangsweise:


    Code
    1. sudo aa-complain /usr/sbin/named

    auszuführen, um für den named-Prozess AppArmor temporär außer Kraft zu setzen.

    Um einen Webshop zu besuchen wir TOR wohl ausreichend schnell sein.


    Mir scheint ja der hier dargelegt Grund ohnehin nur irgend ein vorgeschobenes Argument zu sein um den wahren (vermutlich illegalen?) Einsatzzweck nicht preisgeben zu müssen. Ein WebShop der pro Kunde nur ein Stück liefern will wird wohl die Kundendaten auch auf Zahlungs/Empfänger-Dubletten abgleichen und nicht auf "gleiche IP-Adresse" matchen. Gleiche IP-Adresse ergibt in Zeiten von Carrier-Grade-NAT ja auch gar keinen Sinn mehr.

    Man muss dafür keinen Server mieten, ein WebHosting-Paket reicht aus.


    Eine weitere Möglichkeit wäre keinen externen DynDns-Dienst zu verwenden, sondern den A-Record mittels API gescriptet immer dann zu ändern, wenn Dir eine neue IP-Adresse zugewiesen wird. Gescriptete Lösungen die dies umsetzen wurden hier im Forum soweit ich das gesehen habe schon vorgestellt. Ein paar Scripts die genau das tun findest Du auf GitHub mit den Keywords NetCup dynamic DNS API

    CNAME-Flattening ist nichts anderes als ein fancy Begriff für eine sehr eigenwillige, proprietäre "CNAME Resolver" Implementierung.


    Ein Nameserver der das unterstützt wird so konfiguriert, dass er den CNAME nicht an den anfragenden Client als CNAME ausliefert, sondern die Ziel-IP-Adresse wie ein Resolver anhand des hinterlegten "CNAME Ziels" dynamisch ermittelt und dessen IP-Adresse als A-Record ausliefert.


    Aus Sicht des Clients wird also ein A-Record geliefert.

    Ich staune nicht schlecht.


    Der Thread ist ein halbes Jahr alt, so lange später nochmals vom OP eine Rückmeldung zu erhalten - damit hätte wohl niemand mehr gerechnet :-)


    Und danke ASS für die Verleihung des "Korinthenkxxxer" der "andere Schulmeistern muss" und dem es an "Sozialkompetenz / kognitiven Fähigkeiten mangelt". Im Gegensatz zu Deiner Wortspende habe ich versucht dem OP Hilfestellung zu geben, worin nun Dein geschätzter Beitrag hier besteht entzieht sich aktuell meiner Wahrnehmung. Sehr wohl nehme ich aber wahr, dass Deine Wortspende nicht nur mich sondern auch Maxel20 geringschätzt.

    Quote

    Er hat dann zwar ein Laufwerk gefunden aber moniert, dass Windows nicht auf der Partition installiert werden kann

    Es ist stets hilfreich wortgetreue Fehlermeldungen zu posten. Mit dieser (Deiner) interpretierten Wiedergabe lässt sich wenig anfangen.


    Best-Guess: Dein Server ist/war bereits mit Linux vorinstalliert, Windows mag die bestehenden Partitionen nicht => also alle löschen und dem Windows-Installer die Partitionierung vornehmen lassen.

    Define "nobody can intercept" please.

    And: Is passive eavesdropping OK but Interception is not?


    Who is "nobody"? Other Netcup-Customers? Everyone? Nobody but Netcup?


    Of course at least Netcup could technically do both, passive eavesdropping as well as active interception.


    Other Netcup-Customers having control over Virtual Machines should not be able to do eavesdropping or active interception that easy. Other Netcup-Customers having access to a physical Network-Port (e.g. customers which are renting a physical server) shouldn't have an easy possibility to do eavesdropping or interception too, but I think for them it is only the L2-Network-Environment protecting your encapsulated Ethernet-Frames with a very low guarantee regarding this request (e.g. typically Attacks in L2-Networks like ARP-Spoofing or Flooding the SAT-Tables etc... are maybe not 100% mitigated).

    Regarding Netcups DDOS-Protection I cannot tell you anything helpful for your decision. I never noticed a DDOS on my services the last 4 years - but just use the Forum-search, some other users noticed attacks. Nobody like me not noticing any attacks will ever submit a forum-post like "glad to have Netcups DDOS protection", but every single customer having any Performance/(D)DOS-Issue will likely fire up a new Forum-Post complaining to be victim.


    What I noticed is, that there was a discussion about "UDP DDOS Traffic" which seems to be not detectable / filtered by Netcups DDOS-Infrastructure. As you seem not to speak german and machine-based language-translation probably will not provide you the information, that the the referenced Forum-Thread-Author seems to be a very young and/or unexperienced person (disclaimer: this is just my personal view, based on the style of writing), I would suggest to focus on the Postings of "[netcup] Felix" in this thread which give some insights you maybe like to read.


    Regarding CloudFlare and Latency: A "standard web application" will not noticeable suffer by the "cloudflare latency". But as you seem to have a certain type of Web-Application where latency is a key indicator I would suggest:


    1. prepare and test your setup for cloudflare (or a similar service)

    2. disable cloudflare for regular (day to day, high-performance) service usage

    3. re-enable cloudflare in the case of a DDOS to provide additional protection "on demand"

    4. automate the switch between cloudflare enabled / disabled to make it as easy and trivial as possible for you to quickly add additional protection in case of needed

    Da fällt mir als Lösungsvorschlag nur Redundanz ein.

    Nicht nur ein USB-Stick im Kochtopf, sondern zusätzlich noch einer im Büro + die Rufnummer eines Kollegen im Büro der den Stick aus der Schublade holen könnte im Kuvert mit angeben.


    Die 100% Lösung gibts wohl nicht, und es hängt wohl auch vieles vom Vertrauen ab.

    Aber ich denke man sollte bedenken, dass:

    1. die Lösung durch z.B. Einbruch bei einem selbst oder bei der Vertrauensperson kompromittiert werden kann

    2. sich die Beziehung zur Vertrauensperson zerrütten kann

    3. sich die im Notfall benötigten Daten und Anleitungen ja laufend ändern


    Die Variante des recht statischen Kuverts mit dem die Vertrauensperson per-se noch nicht viel anfängt war da bislang das praktikabelste was mir eingefallen ist.

    Eine Totmann-Schaltung hat halt immer das Potential auch mal aus Unachtsamkeit, wegen langer Abwesenheit etc... "versehentlich" loszugehen.

    Ich halte es für sinnvoll, die Logik auf Wissen + Besitz aufzuteilen. Besitz erfordert dann den physischen Zutritt z.B. zur Wohnung (was im Ablebensfall ja kein Problem darstellt) und Wissen wird durch öffnen eines z.B. versiegelten Umschlags erlangt. Nur den Umschlag zu öffnen bzw. Umschlag gerät in falsche Hände alleine verursacht noch kein Security-Problem.

    wie läuft das Prozedere ab, wenn ich mal versterben sollte

    Anstatt Energie in rechtliches zu investieren, würde ich das Problem besser praktisch mit Technik lösen. Etwas Vertrauen vorausgesetzt ist das nicht schwierig und kann wie folgt aussehen:


    1. Du hinterlegst ein verschlüsseltes Archiv mit allen nötigen Infos, z.B. Zugangsdaten samt Beschreibung wie man wo einsteigt an einem zugriffsgeschützten Ort - z.B. bei Dir zuhause

    2. Du hinterlegst bei der Person, die im Fall Deines Ablebens Zugriff haben soll ein versiegeltes Kuvert - im Kuvert befindet sich der Hinweis wo das verschlüsselte Archiv zu finden ist samt Kennwort (z.B. "USB-Stick im großen Suppenkochtopf in meiner Küche verwahrt, Kennwort: 12345").


    Anstatt die Daten lokal am USB-Stick zu hinterlegen, kann sich darauf auch einfach nur der Zugang zu einem Cloud-Speicher befinden, dann kann man den tatsächlichen Content laufend aktuell halten, ohne den USB-Stick ständig aktualisieren zu müssen.