Saturday, October 7. 2006
Hetzner DS 3000
kju hat mir netterweise einen Server von Hetzner zum Test zur Verfügung gestellt. Der DS 3000 ist ein Athlon 64 3700+ mit 1 GB RAM und zwei 160 GB-SATA-Platten inklusive 6 IP-Adressen, 50 GB Backupspace und einer Trafficflatrate. Das Spiel kostet 99 Euro Einrichtungsgebühr, 39 Euro im Monat und ist monatlich zu kündigen.
Der Server wurde problemlos am 2006-09-30 abends (also schon nach dem Beginn des großen Alturo-Runs) bestellt und am 2006-10-05 gegen 22.00 Uhr geliefert. Den Bestellprozess habe ich bei diesem “gespendeten” Server natürlich nicht selbst durchlaufen. Zum Produkt gehörende Features wie Zusatz-IP-Adressen, Backupspace und Servierüberwachung müssen gesondert nachbestellt werden. Es gibt keinen “Firlefanz” wie Bestätigungsrückrufe, zum Anbieter zu faxende Papierdokumente etc.
Hardware
Der gelieferte Rechner hat einen ein mit 2.2 wirklichen GHz getakteten Prozessor und entspricht der Spezifikation. Zwei baugleiche Samsung-Platten hängen per SATA an einem VIA-Chipsatz; als Netzwerkkarte dient eine RTL-8169, die aber nur mit 100 Mbit am Switch hängt. Letzteres hat ein Geschmäckle, da das Gigabit-Ethernet-Interface in der Serverbeschreibung ausdrücklich und deutlich beworben wird.
Webinterface
Das Webinterface ist wenig überraschend. Trafficauswertung, Auftragsschnittstelle, Resetservice, Rescuesystem, alles da was man braucht (wenn auch nicht unbedingt an der Stelle, wo man die einzelnen Menüpunkte erwarten würde). Die Reaktion von Reverse DNS und Reset sind schnell; die Aktionen finden sofort statt. Beim Reverse DNS kann man beliebige Werte eintragen; eine Prüfung wie bei der Konkurrenz findet nicht statt. Das finde ich angenehm, weil es die Migration erleichtert, bietet natürlich aber dem Anfänger jede Menge Möglichkeiten um sich selbst in den Fuß zu schiessen.
Aus dem Rettungssystem kann man per Shellkommando die Neuinstallation anstoßen. Dabei kann man zuerst aus einer recht reichhaltigen Auswahl wählen, welches System man installieren möchte und wird dann in einen Editor geworfen, in dem man per Textdatei auf das zu installierende System Einfluss nehmen kann. So kann man auch beeinflussen, wie die Platte zu partitionieren ist. Hübsch, wenn es ein bisschen fehlertoleranter wäre: Gleich mein erster Versuch mit Partition 2 als root und “so groß wie möglich” und 10 GB in Partition 3 für /home geht mit fiesen Scriptfehlern daneben. Im nächsten Versuch wähle ich dann Debian 3.1 64 bit und belasse die Einstellungen beim Default; diesmal funktioniert es.
Standardimage
In der Defaultkonfiguration besteht das System aus einer großen ext3-Partition, auf der das 328 MB große System installiert ist. Der einzige nach außen offene Port ist tcp/22; Webserver, Mailserver etc sind nicht installiert. An überflüssigen Packages finde ich die komplette Suite von Packages für PPP und PPPoE, die auf diesem System sicher überflüssig sind, hotplug, Tools für CD-ROM- und Floppylaufwerk, rdate, ein dhcp2-client, einige überflüssige Libraries sowie Teile des gcc verschiedener Versionen. Als root-passwort ist das Passwort des Rescue-Systems gesetzt. Ein Teil der instalierten Packages ist “kept back”.
Das 32-bit-Image ist genauso.
Der einkonfigurierte Debian-Mirror ftp.uni-erlangen.de ist aus dem Nürnberger Rechenzentrum via Frankfurt und Hannover erreichbar.
Netzwerkkonfiguration
Die Netzwerkkonfiguration ist statisch in der /etc/network/interfaces eingetragen. Im System kommt die folgende Konfiguration (anonymisiert) an:
# ip addr
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:16:17:98:42:d7 brd ff:ff:ff:ff:ff:ff
inet a.b.c.208/27 brd a.b.c.223 scope global eth0
inet6 <snip>/64 scope link
valid_lft forever preferred_lft forever
3: sit0: <NOARP> mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
# ip route
a.b.c.192/27 via a.b.c.193 dev eth0
a.b.c.192/27 dev eth0 proto kernel scope link src a.b.c.208
default via a.b.c.193 dev eth0
#
Ein tcpdump auf dem Interface zeigt schnell, dass hier wie in einem “normalen” LAN verschiedene Kundensysteme in einer Broadcastdomain liegen: Ich sehe ARP-Requests für “fremde” IP-Adressen und sogar vereinzelte Pakete mit Nutzdaten. Darüber bin ich sehr erschreckt, denn ein solches Setup mit vielen verschiedenen, potenziell bösartigen Systemen ist schon seit Jahren nicht mehr zeitgemäß. Aus dem später beauftragten /29-Netz sind nur fünf IP-Adressen nutzbar, da unnötigerweise Netz-, Broadcast- und sogar eine Gatewayadresse weggeschnitten sind.
Netzsicherheit
Was ich in diesem Kapitel erwähne, habe ich nicht selbst ausprobiert, da mein Gastgeber mich gebeten hat, derartige Experimente zu unterlassen. Die Experimente wurden aber von einem anderen Hetzner-Kunden durchgeführt, dem ich unbedingt vertraue.
Bei Hetzner liegen mehrere Kundensysteme innerhalb einer Broadcastdomain. Es ist durch einfache Konfiguration einer fremden IP-Adresse auf das Interface möglich, diese IP-Adresse zu benutzen. Sprich: Will man einen Nachbarn belauschen, braucht man ihn nur aus dem Netz zu flooden, seine IP-Adresse zu übernehmen und schon hat man seinen Datenverkehr auf dem Silbertablett. Mit den gängigen ARP-Angriffen dürfte es möglich sein, dies auch unbemerkt durch das eigentliche Opfer durchzuführen. Sehr unschön.
Vor diesem Hintegrund wundert mich nicht, dass Hetzner ständig Ärger mit den Betreibern der großen IRC-Netze hat. Hetzner hat in seinem Netz den Port tcp/6667 gesperrt, um Botnetze zu verhindern, und behält sich weitere Portsperren in seinen AGB vor. Trotzdem sind die Netze von Hetzner in vielen IRC-Netzen mit einer K-Line von der Teilnahme ausgeschlossen. Das wundert mich wenig, da ich von IRC-Experten erfahren habe, dass es wohl inzwischen Bot-Tools gibt, die größere Netzbereiche rund um die eigene IP nach freien IP-Adressen durchsuchen und dann diese IP-Adressen für weitere Connections ins IRC-Netz missbrauchen. Das funktioniert natürlich in einem so simpel designten Netz wie bei Hetzner hervorragend.
Da sind die anderen Anbieter im Markt besser, die üblicherweise wenigstens die IP-Adresse statisch mit der MAC-Adresse verknüpfen, so dass simple ARP-Angriffe oder simple Übernahmen unautorisierter IP-Adressen nicht erfolgreich sind. Strato und UI gehen sogar so weit, dass die einzelnen Kundensysteme nur /32-“Netze” zugewiesen bekommen und nicht mit anderen Systemen in einer Broadcastdomain liegen. Damit kann man nicht einmal durch die Übernahme einer fremden MAC-Adresse andere Systeme beeinflussen. So gehört sich das. Die einzige von mir wahrgenommene Sicherheitsmaßnahme ist die oben erwähnte Sonderroute auf den Systemen selbst, die aber natürlich wirkungslos ist, da sie einfachst entfernt werden kann.
Per Mail auf diesen Mißstand hingewiesen, reagierte Hetzner sinngemäß mit “Ja, das ist in unserem Netz möglich. Wir kriegen das aber raus und ergreifen dann disziplinarische Maßnahmen.”. Muß ich extra dazu schreiben, dass ich diese Politik unangemessen finde?
In das sehr zweifelhafte Bild passt dann auch noch das von Hetzner angebotene User-Web-Forum. Grundsätzlich nehme ich ein solches Angebot als sehr positiv wahr. Allerdings sind im Hetzner-Forum auch etliche Leute mit mehr oder weniger gesundem Halbwissen und umgekert proportionaler Überzeugung von der eigenen Kompetenz unterwegs. Es muss echt nicht sein, dass auf die Frage, warum von einem extra zugewiesenen /29 nur fünf Adressen nutzbar sind, ein Mitglied mit dem Status “Lebende Foren Legende” sinngemäß antwortet mit “Ja, so ist das beim Subnetting halt. Das sollte man als Rootserverbetreiber wissen”. Ich verlange von einem Rootserverbetreiber jedenfalls nicht das Wissen, dass man bei einem ordentlich designten Netz durchaus alle acht Adressen eines /29 für Dienste nutzen kann, wenn eine andere IP fürs Routing zur Verfügung steht (was hier ja der Fall ist). Natürlich kam dann auch noch ein “Haudegen” dazu, der eine Aufnahmeprüfung für Rootserverkunden verlangte. Was in diesem Forum passiert, ist jedenfalls nicht schön. Ob der im Forum aktive Hetzner-Supporter wirklich so wenig von IP weiß wie man aus seinen Beiträgen vermuten möchte, kann ich freilich nicht beurteilen - ich mache erst seit fünfzehn Jahren IP.
Installation des zgserver-Standardimages
Das klappt problemlos im zweiten Versuch, nachdem der erste Versuch daran gescheitert ist, dass ich zwar daran gedacht hatte, einen Kernel mit SATA-Unterstützung zu bauen, diesen aber dann nicht installiert hatte. Mein Standardimage ist allerdings nur i386, also 32 bit, und somit auf diesem Rechner nicht empfehlenswert verwendbar.
Fazit
Ein großer Server zu einem verträglichen Preis. Leider ist das Netzdesign auf dem Stand von 1999 stehen geblieben, so dass ein Hetzner-Server aus meinem Standpunkt unter der Berücksichtigung des entstehenden Sicherheitsrisikos derzeit nicht für sicherheitsrelevante Dinge wie DNS oder Mail empfehlenswert ist. Ob die Connectivity für private Streaming- oder Gameserver gut genug ist, vermag ich nicht zu beurteilen.
Ich denke aufgrund dieser Testergebnisse derzeit darüber nach, meinen eigenen DS 1000, der bis heute nicht geliefert ist, grad wieder zu kündigen.
< Künast-Kulanz | Weird networking MTU issue >
Was “Beim Reverse DNS kann man beliebige Werte eintragen; eine Prüfung wie bei der Konkurrenz findet nicht statt.” betrifft: auch das ermöglicht das Setzen eines rDNS-Eintrags aus einer fremden Domain und sollte schon deshalb unterbunden werden.
Mit Verantwortung scheint man’s da aber nicht sehr genau zu nehmen. Schade. Der Anbieter machte bisher einen recht positiven Eindruck, aber das ist einfach nur erschreckend.
Ich halte die unterlassene Prüfung zwar nicht für ein Sicherheitsproblem, aber für suboptimal und nicht direkt für ein Kennzeichen eines Bemühens um Seriösität und “netzfreundliches” Verhalten.
Die Daten können meine Nachbarn gerne mitlesen, da habe ich nichts dagegen. Die wichtigen Dienste laufen über ssl/tls und sollten somit sowohl abhörsicher als auch sicher für “man in the middle attacks” sein.
Das einzige Problem was ich hier für mich wirklich sehe ist, wenn ein Saboteur kommt und mich aus dem Netz drängt. Ist mir zum Glück noch nicht passiert und hoffe natürlich dass Hetzner bei so etwas schnell reagiert. Dank ssl/tls bekomme ich das auch mit wenn sich jemand dazwischen drängt. Oder habe ich bei ssl/tls da etwas falsch verstanden?
Es stimmt natürlich dass wohl nicht sehr viele die Anforderungen wie ich sie hier benötige haben wollen.
Achja, wer versucht die Daten der virtuellen Platten mitzulesen hat auch schlecht Karten, da die zwei Server über jeweils eine zusätzliche Netzwerkkarte direkt verbunden sind und darüber die virtuellen Festplatten ihre Daten übertragen.
Hm, und noch etwas was mir gerade einfällt. Ich habe eine host route über das default gw für die zwei Server jeweils zum anderen Server (Haupt-IP) benötigt um den anderen erreichen zu können obwohl diese im selben logischen Netzwerk sind. Ist hier vielleicht doch schon ein kleiner Schutz aktiv? Das gilt natürlich nicht für das 29-er Netz. Hier kann jeder der am selben Switch hängt sich eine IP schnappen, was ich ja wollte.
war da nicht neulich erst dieser riesen stromausfall eines ganzen rechenzentrums bei denen? das muss man sich mal reinziehen.
wie schlecht designed ist deren rz ueberhaupt, bzw verdient es den namen rz wenn die das so krass draufhaben das ganze teil zu blackouten.
hetzner kommt fuer ernsthafte dinge nicht in frage.
Hetzner ist nicht von ungefähr so groß geworden.
Man hat es aber zumindest offen angesprochen und nicht verheimlicht.
Ich werde jedenfalls bei Hetzner bleiben. Die Infopolitik ist einmalig, und (zumindest meine) Probleme wurden schnell und unbürokratisch behoben. Und nein, ich war nicht vom Stromausfall betroffen ;-)
alles was grossgeworden ist, ist demnach toll.
welcome to the real world
klarer fall von hoechstens mittelmaessigkeit wenns drauf ankommt.
Andererseits haben wir hier auch eine Situation, wo jeder, der mal einen Rechner unfallfrei mit dem Stromnetz und dem Internet verbunden hat, dem Betreiber dieses nicht ganz kleinen Rechenzentrums voramcht, er könne alles besser und bei dem Anbieter seien sowieso alle doof.
Jungx, was in solchen Rechnzentren steht, ist deutlich mehr als eine simple LAN-Party und ist nichttrivial zu bauen. An Eurer Stelle würde ich eventuell mal ein wenig weniger deutlich den selbstüberschätzenden Vollchecker raushängen lassen. Solche Lästereien sind nämlich eher peinlch.
Was Hetzner angeht: Zum einen scheinen die Rechner nicht wirklich in einer (ungefilterten) Broadcast-Domaene zu liegen. Es ist ein bisschen schwierig zu beurteilen, da ich nur Zugriff auf einen Rechner habe, aber es ist mir nicht gelungen, ueber Ethernet direkt irgendwelche Pakete von anderen Rechnern (ausser dem Gateway) zu provozieren und ich habe auch sonst keine Pakete (z.B. ARP-Requests) anderer Rechner gesehen. Es sind allerdings in der Tat reichlich ARP-Requests vom Gateway fuer “fremde” Adressen zu sehen - und ein Versuch, eine Adresse, die offensichtlich gerade unbenutzt war, per ARP zu “uebernehmen”, funktionierte auch bestens.
Und: Wie kommst Du eigentlich auf “tcp/6667”? Weder steht das AFAICS irgendwo - noch ist das so :-)
Die Beschreibung dieses Filters in der “System Policy” ist ja eh mehr ein Witz als eine technische Information. Aber wenn man mal ein bisschen testet, kommt man zu folgendem Ergebnis:
UDP- und TCP-Pakete mit Zielport 6667 werden, wenn sie von “draussen” kommen, mit ICMP unreachable (administratively prohibited) beantwortet. Wenn sie von “drinnen” kommen, werden sie gedroppt. Andere Pakete (also Pakete mit einer anderen Protokollnummer), bei denen an der Position, an der bei UDP und TCP die Portnummer steht, 6667 steht, werden, soweit ich das getestet habe, durchgelassen.
Weder verstehe ich, weshalb UDP gefiltert wird (immerhin hat Hetzner mir gegenueber geaeussert, dass es darum ginge, IRC zu filtern), noch scheint man sich bei Hetzner der Probleme bewusst zu sein, die potentiell dadurch auftreten, dass man nach Paketen statt nach Verbindungen filtert. Auf eine etwas indirekte Anfrage kam nur ein “Hmm, was ist denn damit?”, auf eine konkrete Beschreibung des Problems ein “Vielen Dank fuer Ihre Anregung, wir werden das dann mal intern diskutieren.” Nein, geaendert hat sich seitdem natuerlich nichts :-)
Andere lustige Dinge, die mir noch aufgefallen sind:
Das Root-Passwort fuers Rescue-System hat nur (hoechstens) 32 bit Entropie. Das mag fuer ein Rescue-System reichen, ich kann nur nicht ganz nachvollziehen, warum man nicht einfach tatsaechlich 8 Zufallszeichen nimmt anstelle einer 8-stelligen Hex-Zahl.
Naja, und dann waren da noch ein paar nicht sonderlich ueberzeugende Erlebnisse mit der Zuverlaessigkeit des Backupservers und den zugehoerigen Aeusserungen des Supports - der letzte Stand dabei ist, dass ich nun seit einigen Wochen (mit mehrfacher Nachfrage und Empfangsbestaetigungen vom TTS) darauf warte, dass das Quota auf dem Backupserver endlich von derzeit ~ 40 GB auf die in der Leistungsbeschreibung genannten 50 GB erhoeht wird.
PS: Kann man diesem Ding hier irgendwie abgewoehnen, deutschen Text mit englischen Anfuehrungszeichen zu verschoenern?
Ansonsten ist es natürlich gaaanz toll dem hochgelobten Provider Hetzner eins aufs Dach zu geben. wers nötig hat...
Grüße
Milan
Falls hier jemand 88.198.37.129 als Default-Gateway hat, koennten wir das gerne mal im Detail ausprobieren. Oder kann Zugschlus nochmal klarstellen, ob eine derartige Uebernahme von dem “anderen Hetzner-Kunden” tatsaechlich erfolgreich durchgefuehrt wurde?
Ansonsten kann ich nur noch feststellen, dass ich Deine Bewertung der sachlich nachvollziehbaren Darstellung der technischen Maengel bei einem Hostingprovider, ibs. als Warnung an “meinesgleichen”, also potentielle Kunden, etwas befremdlich finde.
Ja, tcpdumps können gefälscht sein. Aber warum sollte man sowas machen? Außerdem vertraue ich demjenigen, von dem ich diesen tcpdump habe, unbedingt.
Was mir inzwischen auch noch wieder eingefallen ist: Man kann vom gehosteten Rechner aus das Web-Management-Interface des Switches erreichen, das dann allerdings noch passwortgeschuetzt ist. Das scheint auch eigentlich nicht beabsichtigt zu sein. Der Switch “bei mir” scheint ein Trendnet TE100-S24WS zu sein - port-based VLANs sollten damit laut Trendnet-Webseite moeglich sein.
Die Frage zur Nutzbarkeit der acht Adressen des Subnetzes war sehr naiv formuliert, sie lies auf eine völlige Unkenntnis von Dingen wie Netzmaske, Gateway etc schließen. Die Selbstschutz-Reaktion des Forumteilnehmers mit dem typischen “Wer sich nicht mit Linux auskennt, soll sich keinen potentiell gefährlichen Root-Server mieten” wurde dadurch von “aba” geradezu provoziert.
Eine kleine Anmerkung, dass diese grundlegenden Kenntnisse sehr wohl vorhanden sind, aber das Routingkonzept als solches in Frage gestellt wird, hätte sicher zu einer konstruktiven Diskussion geführt.
Grüße,
migru
Was die rDNS-Geschichte angeht sehe ich auch keinen Großen Sinn darin hier eine Überprüfung einzuführen.
Wir sind seit Jahren zufriedener Hetzner Kunde und jedem der über Hetzner schimpft kann ich nur den Colo-Rack empfehlen. Da hat es genügend Platz für ne mittelgroße USV und das Netzlayout kann man dort auch halten wie man will.
Dass sich aus dieser Geschichte fast eine Kampagne gegen Hetzner entwickelt hat finde ich grässlich. Zumal “kju” als NEUkunde und mit seinem eigenartigen Umgangston nicht gerade in bestem Licht dasteht.
Ich bin ein Freund klarer Worte. Wer das nicht mag, muß mich nicht lesen. Es dient der Sache aber kaum, wenn man um den heissen Brei herumredet, und der heiße Brei ist, daß das Netzwerksetup bei Hetzner untypisch und unsicher ist. Aber anders als Du nimmt Hetzner die Kritik von Andreas, Marc und mir ja offenbar ernst. Es besteht also Hoffnung.
Habe - wir haben Interesse am von Marc diskutierten Produkt, gerade wegen der “Mängel” - die Diskussion ebenfalls mit Interesse verfolgt und man sieht wieder die fatalen Folgen der neuen Schlechtschreibung:
Manche Leute können nicht zwischen “besser wissen” und “besserwissen” unterscheiden.
Von meiner Seite Dank für die Mühe, die Ihr Euch mit dem Test gemacht habt.
Gruß Hans
Fragen über Fragen...
Es ist mehr als lächerlich über was für Kleinigkeiten ihr euch aufregt. Hetzner ist ein Hoster der rein auf Mischkalkulation basiert und es ist ja wohl klar ersichtlich, dass dieser nicht für den super profesionellen Bereich ausgelegt ist. Ihr kristiert Punkte auf einem klugscheißerischen und erbsenzählerischen Nievau das für die meisten Hetznerkunden schlichtweg uninteressant ist.
Wenn ihr für den DS 3000 statt 39€ 149€ zahlen würdet, dann könntet ihr gerne solche Beiträge verfassen - alles andere ist mehr als unangebracht.
Keiner eurer selbsternannten Probleme haben mir bei Hetzner je Ärger gemacht, und ich denke dass 97% aller Kunden dies genauso sehen.
Ich finde die genannten Kritikpunkte durchaus berechtigt.
> Hetzner ist ein Hoster der rein auf Mischkalkulation basiert
Bei anderen ISPs, die “rein auf Mischkalkulation basieren”, ist die Netzwerksicherheit trotzdem gewährleistet. Das ist also keine Ausrede. Es gibt einfach defizite bei einigen ISPs. Nicht nur Hetzner.
> und es ist ja wohl klar ersichtlich, dass dieser nicht für den super profesionellen Bereich ausgelegt ist.
Wo in der Angebotsbeschreibung steht gleich nochmal, dass die Server nur für unbedarfte Privatpersonen geeignet sind?
> Ihr kristiert Punkte auf einem klugscheißerischen und erbsenzählerischen Nievau das für die meisten Hetznerkunden schlichtweg uninteressant ist.
Deine Daten sind dir nichts wert? Dass jemand anderes als dein Server auftreten kann stört dich nicht?
> Wenn ihr für den DS 3000 statt 39€ 149€ zahlen würdet, dann könntet ihr gerne solche Beiträge verfassen - alles andere ist mehr als unangebracht.
Und wenn es nur 9€ wären. Eine gewisse Konkurrenzfähigkeit muss einfach gegeben sein, sonst kann sich ein Unternehmen nicht auf dem freien Markt halten.
> Keiner eurer selbsternannten Probleme haben mir bei Hetzner je Ärger gemacht, und ich denke dass 97% aller Kunden dies genauso sehen.
“Selbsternannte” Probleme. Nur weil dich die Netzwerksicherheit nicht interessiert, heißt das nicht, dass es allen egal ist.
Um eins zu sagen: Hetzner hat im Hinblick auf die Kritik gut reagiert und den Kunden die Möglichkeit gegeben, Verbesserungsvorschläge zu machen. Das ist ein Pluspunkt. Dass nun die ganzen Schwachmaten (no offense...) hier ankommen und rumpöbeln, dafür kann Hetzner nichts. Aber die Schwachmaten...
Zumal ich nicht so ganz sehe, inwiefern genaues Wissen ueber ein Produkt fuer einen potentiellen Kunden von Nachteil sein soll. Wer meint, mit den aufgefuehrten Problemen leben zu koennen, dem ist es doch weiterhin unbenommen, bei Hetzner Kunde zu werden.
Der Zustand ist also nicht entschuldbar.
Hetzner wird sicherlich auch bemerken wenn ein Server gerade einem Angriff ausgesetzt ist, ganz zu schweigen davon dass der Serverinhaber der die IP übernimmt wohl direkt bei Hetzner rausfliegt und Ärger mit der Staatsanwaltschaft haben wird.
Ich meine, ich kann das Problem schon verstehen, nur ist das einfach sooo unwahrscheinlich.
Im Blog wird das so formuliert (“Sprich: Will man einen Nachbarn belauschen, braucht man ihn nur aus dem Netz zu flooden, seine IP-Adresse zu übernehmen und schon hat man seinen Datenverkehr auf dem Silbertablett.”) als ob es mal eben ein Mausklick wär und das Root Passwort des Opfers plötzlich auf dem Monitor erscheint ;)
Auch ist es eher unwahrscheinlich, dass Hetzner das bemerken wuerde. Es duerfte wesentlich einfacher sein, das Problem komplett zu unterbinden, als einen entsprechenden Angriff zu detektieren.
Alles in allem waere es vermutlich besser, wenn Du Dich einmal mit der Funktionsweise der moeglichen Angriffe beschaeftigst, bevor Du Mutmassungen darueber anstellst, wie ungefaehrlich diese sind.
Es geht doch nicht nur um absichtliche Übernahme von IP-Adressen. Genauso ärgerlich ist es, wenn jemand seine Kiste versehentlich falsch konfiguriert, und damit Deine IP lahmlegt. Und im Forum haben sich diverse Teilnehmer gemeldet, denen genau das (als Opfer) passiert ist. Einer hatte mehrfache Ausfälle eines Teils seiner IPs, und zwar bis zu neun Stunden.
Dir wäre das egal, wenn Dein Server neun Stunden nicht erreichbar ist? Warum hast Du dann überhaupt einen?
Wie gesagt: Ein Kunde hatte einen Ausfall von neun Stunden. Nämlich bis am nächsten Morgen wieder Hetzner-Mitarbeiter zur Arbeit kamen und einer sich drum gekümmert hat.
Und die Reaktionszeit des “24 Stunden Support” ist in der Tat zwischen 30-60min (eigene Erfahrung)
Super, andere legen die IP lahm auf Grund mangelnder LAN-Sicherheit und ich soll dann noch für die Korrektur bezahlen? Ne, so gehts ja nun auch nicht.
Da kann die Nachbarin ja schlecht die Post dafür verantwortlich machen, obwohl es sicherlich unschön ist, mehrere a/b - Paare unterschiedlicher Teilnehmer durch eine einzige Dose zu führen.
Gruß Hans
Einstiegsserver gibt es jetzt nur noch für 49,- bei gleicher Leistung und
Ausstattung. Das wurde auch für alle Bestandskunden durchgesetzt, deshalb
zahlt man jetzt auch für seine alte Möhre vom letzten Jahr plötzlich 49
Euro. Einmonatige Vertragsbindung machts möglich!!! Aber wenigstens waren
das nur 25% Preiserhöhung, bei den alten Servern für 19 Euro wurde der
Preis auch um 10 Euro auf 29 Euro erhöht, das sind satte 50%. Begründet
wird das mit Strompreiserhöhung, Mehrwertzsteuer (wobei Hetzner noch Anfang
des Jahres auf der c’t fett geworben hat “wir übernehmen das für sie”),
Kosten fürs Rechenzentrum ...
Kunden die das nicht mitmachen wollen können kostenlos downgraden auf
Hardware vom April 2006. Allerdings ohne jede Unterstützung, der aktuelle
Server wird sofort abgebaut und gegen einen alten ersetzt, Platte zu
übernehmen ist auch nicht möglich. Also nur ein Alibi, es ist nicht
gewünscht downzugraden, sondern es soll der höhere Preis gezahlt werden.
Ist auch verständlich, bei ca. 20.000 Servern spült diese Erhöhung pro
Monat 200.000 Euro in die Hütte.
ich habe gerade ein bisschen IP-Rechnung hinter mir, nachdem ich in der Schule anno dazumal nicht so aufgepasst hatte ;) Was ich “gelernt” habe, ist:
alle bits=0 beschreibt das Netz
alle bits=1 ist der Broadcast
* der Gateway ist normalerweise alle bits auf 0, ausser dem LSB, das auf 1 ist
So gesehen scheint mir der Hetzner-Setup ziemlich klar. Bei einigen Experimenten schien mir, dass das Linux die “Netz”-Adressen und die “Broadcast”-Adressen nicht immer gut verdaut, wenn man sie als interface-Adressen vergibt. Was sehe ich da falsch?
Grüsse,
Ineiti
Aber: Ein so nach dem Lehrbuch durchdesigntes Netz ist nur dann “sicher”, wenn alle Netzteilnehmer einander vertrauen, weil die Übernahme von IP-Adressen und damit das “man-in-the-middle”-Spielen mehr oder weniger trivial ist.
Genau dieses Gegenseitige Vertrauen ist in einer Housing-Umgebung mit Mietservern nicht gegeben. Deswegen muss man hier ein wenig mehr Aufwand treiben, um die sonst mögliche gegenseitige Manipulation, Behinderung und Belauschung mindestens schwerer zu machen.
IPv6 Check
Quicksearch
Blog Administration
Categories
Recently added
Comments
Syndicate This Blog
Show tagged entries
admintipp alice alturo apache artikelreihe auto bahn berlin blog brille datenschutz db debian debian-english deutsche bahn dhl dienstleistung dns domain durchhilfe e90 einkauf english essen ethernet exim flitterwoche foehr2011 foto fotos fundsache grml grub gsm gui-vs-tui hamburg hardware hausbau hochzeit hosting hp ice internet karlsruhe katze katzendiabetes kde kernel kleidung lazyweb linux linuxtag lvm mail mannheim meta mobilfunk musik nagios netzwerk notebook optiker paris2010 paul pc-hardware pelle persönlich php pki post prisma prozesse rant reallife reise reisebericht rootserver rootserver-test rufnummern rufnummernportierung s-bahn s9y sandra security spam stuttgart tanzen technik telefon tk-anbieter umts umzug2007 usb vortrag vrn windows wireless zkmlf zulmp öpnv
Marc testet in seinem Blog den root-Server, den wir auch gemietet haben. Seine Gedanken zur Netzsicherheit machen mich in jedem Fall stutzig. Dazu muss ich mir noch ein paar Gedanken machen. So ganz zufrieden bin ich mit der Hetzner-Netz-Lösung nich Comment (1)
Tracked: Oct 07, 19:00
Schon mehrfach hat Hetzner von diversen Computerzeitschriften, allen voran den bekannten und etablierten Erzeugnissen aus dem Heiseverlag, nämlich c’t und IX, bei Vergleichen von Serverangeboten Empfehlungen eingeheimst. Der letzte entsprechende... Comment (1)
Tracked: Oct 08, 14:02
Da auch ich von der Schliessung des “Billig-Hosters” Alturo betroffen bin, habe ich mich Cruiser angeschlossen und einen DS3000 Server bei Hetzner bestellt. Die Bereitstellung lief recht prompt, auch die initiale Einrichtung mit Gentoo Linux war kein groß Comment (1)
Tracked: Oct 09, 21:25
In neunacht Tagen läuft mein Vertrag bei strato aus und dieses blog wandert zu den Jungs von Hetzner, die kürzlich wegen ihrer Netztopologie ins Gerede gekommen sind, aber offensichtlich konstruktiv mit der Kritik umgegangen sind. Wenns also hier demnä Comment (1)
Tracked: Dec 04, 16:01
Ich habe damals entgegen meiner Ankündigung meinen Hetzner DS1000 nicht gekündigt und das System als torres.zugschlus.de in Betrieb genommen. Dabei wäre es geblieben, wenn nicht Hetzner zum 1. April 2007 den Preis für den DS1000 von 19,90 auf 29,90 Euro Comment (1)
Tracked: Mar 20, 22:56