Skip to content

Hetzner DS 3000

kju hat mir netterweise einen Server von Hetzner zum Test zur Verfügung gestellt. Der DS 3000 ist ein Athlon 64 3700+ mit 1 GB RAM und zwei 160 GB-SATA-Platten inklusive 6 IP-Adressen, 50 GB Backupspace und einer Trafficflatrate. Das Spiel kostet 99 Euro Einrichtungsgebühr, 39 Euro im Monat und ist monatlich zu kündigen.

Der Server wurde problemlos am 2006-09-30 abends (also schon nach dem Beginn des großen Alturo-Runs) bestellt und am 2006-10-05 gegen 22.00 Uhr geliefert. Den Bestellprozess habe ich bei diesem "gespendeten" Server natürlich nicht selbst durchlaufen. Zum Produkt gehörende Features wie Zusatz-IP-Adressen, Backupspace und Servierüberwachung müssen gesondert nachbestellt werden. Es gibt keinen "Firlefanz" wie Bestätigungsrückrufe, zum Anbieter zu faxende Papierdokumente etc.

Hardware

Der gelieferte Rechner hat einen ein mit 2.2 wirklichen GHz getakteten Prozessor und entspricht der Spezifikation. Zwei baugleiche Samsung-Platten hängen per SATA an einem VIA-Chipsatz; als Netzwerkkarte dient eine RTL-8169, die aber nur mit 100 Mbit am Switch hängt. Letzteres hat ein Geschmäckle, da das Gigabit-Ethernet-Interface in der Serverbeschreibung ausdrücklich und deutlich beworben wird.

Webinterface

Das Webinterface ist wenig überraschend. Trafficauswertung, Auftragsschnittstelle, Resetservice, Rescuesystem, alles da was man braucht (wenn auch nicht unbedingt an der Stelle, wo man die einzelnen Menüpunkte erwarten würde). Die Reaktion von Reverse DNS und Reset sind schnell; die Aktionen finden sofort statt. Beim Reverse DNS kann man beliebige Werte eintragen; eine Prüfung wie bei der Konkurrenz findet nicht statt. Das finde ich angenehm, weil es die Migration erleichtert, bietet natürlich aber dem Anfänger jede Menge Möglichkeiten um sich selbst in den Fuß zu schiessen.

Aus dem Rettungssystem kann man per Shellkommando die Neuinstallation anstoßen. Dabei kann man zuerst aus einer recht reichhaltigen Auswahl wählen, welches System man installieren möchte und wird dann in einen Editor geworfen, in dem man per Textdatei auf das zu installierende System Einfluss nehmen kann. So kann man auch beeinflussen, wie die Platte zu partitionieren ist. Hübsch, wenn es ein bisschen fehlertoleranter wäre: Gleich mein erster Versuch mit Partition 2 als root und "so groß wie möglich" und 10 GB in Partition 3 für /home geht mit fiesen Scriptfehlern daneben. Im nächsten Versuch wähle ich dann Debian 3.1 64 bit und belasse die Einstellungen beim Default; diesmal funktioniert es.

Standardimage

In der Defaultkonfiguration besteht das System aus einer großen ext3-Partition, auf der das 328 MB große System installiert ist. Der einzige nach außen offene Port ist tcp/22; Webserver, Mailserver etc sind nicht installiert. An überflüssigen Packages finde ich die komplette Suite von Packages für PPP und PPPoE, die auf diesem System sicher überflüssig sind, hotplug, Tools für CD-ROM- und Floppylaufwerk, rdate, ein dhcp2-client, einige überflüssige Libraries sowie Teile des gcc verschiedener Versionen. Als root-passwort ist das Passwort des Rescue-Systems gesetzt. Ein Teil der instalierten Packages ist "kept back".

Das 32-bit-Image ist genauso.

Der einkonfigurierte Debian-Mirror ftp.uni-erlangen.de ist aus dem Nürnberger Rechenzentrum via Frankfurt und Hannover erreichbar.

Netzwerkkonfiguration

Die Netzwerkkonfiguration ist statisch in der /etc/network/interfaces eingetragen. Im System kommt die folgende Konfiguration (anonymisiert) an:

# ip addr
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:16:17:98:42:d7 brd ff:ff:ff:ff:ff:ff
    inet a.b.c.208/27 brd a.b.c.223 scope global eth0
    inet6 <snip>/64 scope link
       valid_lft forever preferred_lft forever
3: sit0: <NOARP> mtu 1480 qdisc noop
    link/sit 0.0.0.0 brd 0.0.0.0
# ip route
a.b.c.192/27 via a.b.c.193 dev eth0
a.b.c.192/27 dev eth0  proto kernel  scope link  src a.b.c.208
default via a.b.c.193 dev eth0
#
Die IP-Adressen sind aus 88/8. Wir stellen fest, dass das System in einem /27 liegt, wobei durch eine extra eingetragene Netzwerkroute der Traffic innerhalb des /27 auch über das Defaultgateway geschoben wird. Wie ich später feststelle, ist das System auch ohne diese Sonderroute uneingeschränkt konnektiert. Das später zugewiesene /29 ist aus einem anderen /24.

Ein tcpdump auf dem Interface zeigt schnell, dass hier wie in einem "normalen" LAN verschiedene Kundensysteme in einer Broadcastdomain liegen: Ich sehe ARP-Requests für "fremde" IP-Adressen und sogar vereinzelte Pakete mit Nutzdaten. Darüber bin ich sehr erschreckt, denn ein solches Setup mit vielen verschiedenen, potenziell bösartigen Systemen ist schon seit Jahren nicht mehr zeitgemäß. Aus dem später beauftragten /29-Netz sind nur fünf IP-Adressen nutzbar, da unnötigerweise Netz-, Broadcast- und sogar eine Gatewayadresse weggeschnitten sind.

Netzsicherheit

Was ich in diesem Kapitel erwähne, habe ich nicht selbst ausprobiert, da mein Gastgeber mich gebeten hat, derartige Experimente zu unterlassen. Die Experimente wurden aber von einem anderen Hetzner-Kunden durchgeführt, dem ich unbedingt vertraue.

Bei Hetzner liegen mehrere Kundensysteme innerhalb einer Broadcastdomain. Es ist durch einfache Konfiguration einer fremden IP-Adresse auf das Interface möglich, diese IP-Adresse zu benutzen. Sprich: Will man einen Nachbarn belauschen, braucht man ihn nur aus dem Netz zu flooden, seine IP-Adresse zu übernehmen und schon hat man seinen Datenverkehr auf dem Silbertablett. Mit den gängigen ARP-Angriffen dürfte es möglich sein, dies auch unbemerkt durch das eigentliche Opfer durchzuführen. Sehr unschön.

Vor diesem Hintegrund wundert mich nicht, dass Hetzner ständig Ärger mit den Betreibern der großen IRC-Netze hat. Hetzner hat in seinem Netz den Port tcp/6667 gesperrt, um Botnetze zu verhindern, und behält sich weitere Portsperren in seinen AGB vor. Trotzdem sind die Netze von Hetzner in vielen IRC-Netzen mit einer K-Line von der Teilnahme ausgeschlossen. Das wundert mich wenig, da ich von IRC-Experten erfahren habe, dass es wohl inzwischen Bot-Tools gibt, die größere Netzbereiche rund um die eigene IP nach freien IP-Adressen durchsuchen und dann diese IP-Adressen für weitere Connections ins IRC-Netz missbrauchen. Das funktioniert natürlich in einem so simpel designten Netz wie bei Hetzner hervorragend.

Da sind die anderen Anbieter im Markt besser, die üblicherweise wenigstens die IP-Adresse statisch mit der MAC-Adresse verknüpfen, so dass simple ARP-Angriffe oder simple Übernahmen unautorisierter IP-Adressen nicht erfolgreich sind. Strato und UI gehen sogar so weit, dass die einzelnen Kundensysteme nur /32-"Netze" zugewiesen bekommen und nicht mit anderen Systemen in einer Broadcastdomain liegen. Damit kann man nicht einmal durch die Übernahme einer fremden MAC-Adresse andere Systeme beeinflussen. So gehört sich das. Die einzige von mir wahrgenommene Sicherheitsmaßnahme ist die oben erwähnte Sonderroute auf den Systemen selbst, die aber natürlich wirkungslos ist, da sie einfachst entfernt werden kann.

Per Mail auf diesen Mißstand hingewiesen, reagierte Hetzner sinngemäß mit "Ja, das ist in unserem Netz möglich. Wir kriegen das aber raus und ergreifen dann disziplinarische Maßnahmen.". Muß ich extra dazu schreiben, dass ich diese Politik unangemessen finde?

In das sehr zweifelhafte Bild passt dann auch noch das von Hetzner angebotene User-Web-Forum. Grundsätzlich nehme ich ein solches Angebot als sehr positiv wahr. Allerdings sind im Hetzner-Forum auch etliche Leute mit mehr oder weniger gesundem Halbwissen und umgekert proportionaler Überzeugung von der eigenen Kompetenz unterwegs. Es muss echt nicht sein, dass auf die Frage, warum von einem extra zugewiesenen /29 nur fünf Adressen nutzbar sind, ein Mitglied mit dem Status "Lebende Foren Legende" sinngemäß antwortet mit "Ja, so ist das beim Subnetting halt. Das sollte man als Rootserverbetreiber wissen". Ich verlange von einem Rootserverbetreiber jedenfalls nicht das Wissen, dass man bei einem ordentlich designten Netz durchaus alle acht Adressen eines /29 für Dienste nutzen kann, wenn eine andere IP fürs Routing zur Verfügung steht (was hier ja der Fall ist). Natürlich kam dann auch noch ein "Haudegen" dazu, der eine Aufnahmeprüfung für Rootserverkunden verlangte. Was in diesem Forum passiert, ist jedenfalls nicht schön. Ob der im Forum aktive Hetzner-Supporter wirklich so wenig von IP weiß wie man aus seinen Beiträgen vermuten möchte, kann ich freilich nicht beurteilen - ich mache erst seit fünfzehn Jahren IP.

Installation des zgserver-Standardimages

Das klappt problemlos im zweiten Versuch, nachdem der erste Versuch daran gescheitert ist, dass ich zwar daran gedacht hatte, einen Kernel mit SATA-Unterstützung zu bauen, diesen aber dann nicht installiert hatte. Mein Standardimage ist allerdings nur i386, also 32 bit, und somit auf diesem Rechner nicht empfehlenswert verwendbar.

Fazit

Ein großer Server zu einem verträglichen Preis. Leider ist das Netzdesign auf dem Stand von 1999 stehen geblieben, so dass ein Hetzner-Server aus meinem Standpunkt unter der Berücksichtigung des entstehenden Sicherheitsrisikos derzeit nicht für sicherheitsrelevante Dinge wie DNS oder Mail empfehlenswert ist. Ob die Connectivity für private Streaming- oder Gameserver gut genug ist, vermag ich nicht zu beurteilen.

Ich denke aufgrund dieser Testergebnisse derzeit darüber nach, meinen eigenen DS 1000, der bis heute nicht geliefert ist, grad wieder zu kündigen.

Trackbacks

Dirks Logbuch on : Servertest ...

Show preview
Marc testet in seinem Blog den root-Server, den wir auch gemietet haben. Seine Gedanken zur Netzsicherheit machen mich in jedem Fall stutzig. Dazu muss ich mir noch ein paar Gedanken machen. So ganz zufrieden bin ich mit der Hetzner-Netz-Lösung nich

Blog'in'Hameln on : Testsieger auf dem Prüfstand

Show preview
Schon mehrfach hat Hetzner von diversen Computerzeitschriften, allen voran den bekannten und etablierten Erzeugnissen aus dem Heiseverlag, nämlich c&#8217;t und IX, bei Vergleichen von Serverangeboten Empfehlungen eingeheimst. Der letzte entsprechende...

el*Loco blogged on : Scary Netzwerk bei Hetzner

Show preview
Da auch ich von der Schliessung des &quot;Billig-Hosters&quot; Alturo betroffen bin, habe ich mich Cruiser angeschlossen und einen DS3000 Server bei Hetzner bestellt. Die Bereitstellung lief recht prompt, auch die initiale Einrichtung mit Gentoo Linux war kein groß

in der blackbox on : Umzug...

Show preview
In neunacht Tagen läuft mein Vertrag bei strato aus und dieses blog wandert zu den Jungs von Hetzner, die kürzlich wegen ihrer Netztopologie ins Gerede gekommen sind, aber offensichtlich konstruktiv mit der Kritik umgegangen sind. Wenns also hier demnä

Zugschlusbeobachtungen on : First Dedicated Power Server S Limited Edition

Show preview
Ich habe damals entgegen meiner Ankündigung meinen Hetzner DS1000 nicht gekündigt und das System als torres.zugschlus.de in Betrieb genommen. Dabei wäre es\ngeblieben, wenn nicht Hetzner zum 1. April 2007 den Preis für den DS1000 von 19,90 auf 29,90 Euro

Comments

Display comments as Linear | Threaded

Cougar on :

Was allerdings nicht erkärt, warum ein 32-bit Image "nicht empfehlenswert verwendbar" sein soll. Der 3000er hat eh nur 1GB RAM und ansonsten siehe: http://www.rootforum.de/forum/viewtopic.php?t=41964 + Links

-thh on :

Ein Anbieter, dessen Sicherheitskonzept auf "wenn wir das bemerken, werden wir böse" aufsetzt, ist schlicht indiskutabel. Das kann ja wohl nicht wahr sein.

Was "Beim Reverse DNS kann man beliebige Werte eintragen; eine Prüfung wie bei der Konkurrenz findet nicht statt." betrifft: auch das ermöglicht das Setzen eines rDNS-Eintrags aus einer fremden Domain und sollte schon deshalb unterbunden werden.

Mit Verantwortung scheint man's da aber nicht sehr genau zu nehmen. Schade. Der Anbieter machte bisher einen recht positiven Eindruck, aber das ist einfach nur erschreckend.

Marc 'Zugschlus' Haber on :

Nun, wer nicht prüft, ob zu einem gefundenen Reverse-Eintrag auch der Forward-Eintrag passt, hat es eh nicht anders verdient. Ich halte so eine Prüfung im DNS-Frontend nach wie vor für überflüssig und kontraproduktiv.

-thh on :

Das ist einerseits wahr, andererseits sollten solcher Verletzung der (Namens-)Rechte Dritter dort, wo das möglich ist, nicht auch noch die Türen geöffnet werden, gerade dann, wenn das - im Massenhostinggeschäft - nicht direkt fernliegt.

Ich halte die unterlassene Prüfung zwar nicht für ein Sicherheitsproblem, aber für suboptimal und nicht direkt für ein Kennzeichen eines Bemühens um Seriösität und "netzfreundliches" Verhalten.

Dirk Deimeke on :

Sie scheinen die Kritik jedenfalls ernst zu nehmen: http://forum.hetzner.de/wbb2/thread.php?threadid=7361&sid=

Markus Hochholdinger on :

Zur Netzsicherheit: Genau das war der Grund für mich Hetzner zu nehmen. Damit konnte ich ein Setup mit zwei (Xen-)Servern umsetzen, wobei ich Live-Migration der Xen-Gast-Instanzen zwischen den zwei Servern ohne Verlust der Netzwerkverbindung durchführen kann. Das wird schwierig wenn alles an der Haupt-Mac-Adresse oder der Haupt-IP EINES Servers hängt. Sprich für mich ist diese Unsicherheit genau richtig. :-)

Marc 'Zugschlus' Haber on :

Welche Anwendung ist Dir so wichtig, dass Du Hochverfügbarkeit brauchst, aber gleichzeitig so unwichtig, dass es Dir egal ist ob dein Nachbar Deine Daten mitlesen oder Dich einfachst sabotieren kann?

Markus Hochholdinger on :

Diese Verfügbarkeit benötige ich hauptsächlich dafür wenn eine Hardware ausfällt, sprich ich eine virtuelle Instanz schnell auf der anderen Hadware starten muss. Das war schon einige male Praktisch, weil die Hetzner-Hardware jetzt doch schon ziemlich oft getauscht wurde. Und das was hier verfügbar sein muss ist hauptsächlich mein Mail-Postfach über imaps, meine Projektverwaltung über https und mein Wiki über https. Damit arbeite ich täglich und diese sollten nicht länger als eine Stunde offline sein. Das bedeutet Verfügbarkeit für mich :-)

Die Daten können meine Nachbarn gerne mitlesen, da habe ich nichts dagegen. Die wichtigen Dienste laufen über ssl/tls und sollten somit sowohl abhörsicher als auch sicher für "man in the middle attacks" sein.

Das einzige Problem was ich hier für mich wirklich sehe ist, wenn ein Saboteur kommt und mich aus dem Netz drängt. Ist mir zum Glück noch nicht passiert und hoffe natürlich dass Hetzner bei so etwas schnell reagiert. Dank ssl/tls bekomme ich das auch mit wenn sich jemand dazwischen drängt. Oder habe ich bei ssl/tls da etwas falsch verstanden?

Es stimmt natürlich dass wohl nicht sehr viele die Anforderungen wie ich sie hier benötige haben wollen.

Achja, wer versucht die Daten der virtuellen Platten mitzulesen hat auch schlecht Karten, da die zwei Server über jeweils eine zusätzliche Netzwerkkarte direkt verbunden sind und darüber die virtuellen Festplatten ihre Daten übertragen.

Hm, und noch etwas was mir gerade einfällt. Ich habe eine host route über das default gw für die zwei Server jeweils zum anderen Server (Haupt-IP) benötigt um den anderen erreichen zu können obwohl diese im selben logischen Netzwerk sind. Ist hier vielleicht doch schon ein kleiner Schutz aktiv? Das gilt natürlich nicht für das 29-er Netz. Hier kann jeder der am selben Switch hängt sich eine IP schnappen, was ich ja wollte.

newbierooter on :

hetzner ist halt leider nur ein stuemperverein.

war da nicht neulich erst dieser riesen stromausfall eines ganzen rechenzentrums bei denen? das muss man sich mal reinziehen. wie schlecht designed ist deren rz ueberhaupt, bzw verdient es den namen rz wenn die das so krass draufhaben das ganze teil zu blackouten.

hetzner kommt fuer ernsthafte dinge nicht in frage.

Marc 'Zugschlus' Haber on :

Und Deine Erfahrung in der Administration größerer IP-Netze und in der Organisation des RZ-Betriebs ist sicher besser als die der Leute bei Hetzner? Vor allen Dingen in Anbetracht Deines Nicknamens?

Hetzner ist nicht von ungefähr so groß geworden.

Holger on :

Ja, das war unter anderem bei Hetzner mit dem riesigen Stromausfall. Man sollte aber dazu erwähnen, dass da ein kompletter Stadtteil von Nürnberg mehrere Stunden stromlos war, nicht nur Hetzner. Es gab auch in der Vergangenheit immer mal wieder vereinzelt Probleme mit der Stromversorgung. Man hat es aber zumindest offen angesprochen und nicht verheimlicht.

Ich werde jedenfalls bei Hetzner bleiben. Die Infopolitik ist einmalig, und (zumindest meine) Probleme wurden schnell und unbürokratisch behoben. Und nein, ich war nicht vom Stromausfall betroffen ;-)

Markus Hochholdinger on :

Unter http://www.hetzner-status.de/ gab es bei dem Stromausfall einen Live-Ticker von Hetzner. Ich war von dem Stromausfall betroffen und fand es sehr toll dass man aktuelle Informationen bekommen hat. Der Ausfall hat bei mir von ca. 06:15 bis 07:15 gedauert was ich in Anbetracht der Schwere des Schadens doch beachtlich fand.

newbierooter on :

ahja, klarer fall von logik. alles was grossgeworden ist, ist demnach toll.

welcome to the real world klarer fall von hoechstens mittelmaessigkeit wenns drauf ankommt.

Marc 'Zugschlus' Haber on :

Wie Hetzner meiner Meinung nach im Vergleich mit dem Rest des Marktes wegkommt habe ich in meinem Artikel - denke ich - ziemlich deutlich gemacht.

Andererseits haben wir hier auch eine Situation, wo jeder, der mal einen Rechner unfallfrei mit dem Stromnetz und dem Internet verbunden hat, dem Betreiber dieses nicht ganz kleinen Rechenzentrums voramcht, er könne alles besser und bei dem Anbieter seien sowieso alle doof.

Jungx, was in solchen Rechnzentren steht, ist deutlich mehr als eine simple LAN-Party und ist nichttrivial zu bauen. An Eurer Stelle würde ich eventuell mal ein wenig weniger deutlich den selbstüberschätzenden Vollchecker raushängen lassen. Solche Lästereien sind nämlich eher peinlch.

florz on :

Ich habe mir das bei Strato nie genauer angeguckt, aber zumindest ARP-Requests fuer fremde Adressen waren da mit nem Packetsniffer durchaus auch zu sehen (vor ~ 2 Monaten). Evtl. sieht das bei neu bestellten Rechnern besser aus?

Was Hetzner angeht: Zum einen scheinen die Rechner nicht wirklich in einer (ungefilterten) Broadcast-Domaene zu liegen. Es ist ein bisschen schwierig zu beurteilen, da ich nur Zugriff auf einen Rechner habe, aber es ist mir nicht gelungen, ueber Ethernet direkt irgendwelche Pakete von anderen Rechnern (ausser dem Gateway) zu provozieren und ich habe auch sonst keine Pakete (z.B. ARP-Requests) anderer Rechner gesehen. Es sind allerdings in der Tat reichlich ARP-Requests vom Gateway fuer "fremde" Adressen zu sehen - und ein Versuch, eine Adresse, die offensichtlich gerade unbenutzt war, per ARP zu "uebernehmen", funktionierte auch bestens.

Und: Wie kommst Du eigentlich auf "tcp/6667"? Weder steht das AFAICS irgendwo - noch ist das so :-)

Die Beschreibung dieses Filters in der "System Policy" ist ja eh mehr ein Witz als eine technische Information. Aber wenn man mal ein bisschen testet, kommt man zu folgendem Ergebnis:

UDP- und TCP-Pakete mit Zielport 6667 werden, wenn sie von "draussen" kommen, mit ICMP unreachable (administratively prohibited) beantwortet. Wenn sie von "drinnen" kommen, werden sie gedroppt. Andere Pakete (also Pakete mit einer anderen Protokollnummer), bei denen an der Position, an der bei UDP und TCP die Portnummer steht, 6667 steht, werden, soweit ich das getestet habe, durchgelassen.

Weder verstehe ich, weshalb UDP gefiltert wird (immerhin hat Hetzner mir gegenueber geaeussert, dass es darum ginge, IRC zu filtern), noch scheint man sich bei Hetzner der Probleme bewusst zu sein, die potentiell dadurch auftreten, dass man nach Paketen statt nach Verbindungen filtert. Auf eine etwas indirekte Anfrage kam nur ein "Hmm, was ist denn damit?", auf eine konkrete Beschreibung des Problems ein "Vielen Dank fuer Ihre Anregung, wir werden das dann mal intern diskutieren." Nein, geaendert hat sich seitdem natuerlich nichts :-)

Andere lustige Dinge, die mir noch aufgefallen sind:

Das Root-Passwort fuers Rescue-System hat nur (hoechstens) 32 bit Entropie. Das mag fuer ein Rescue-System reichen, ich kann nur nicht ganz nachvollziehen, warum man nicht einfach tatsaechlich 8 Zufallszeichen nimmt anstelle einer 8-stelligen Hex-Zahl.

Naja, und dann waren da noch ein paar nicht sonderlich ueberzeugende Erlebnisse mit der Zuverlaessigkeit des Backupservers und den zugehoerigen Aeusserungen des Supports - der letzte Stand dabei ist, dass ich nun seit einigen Wochen (mit mehrfacher Nachfrage und Empfangsbestaetigungen vom TTS) darauf warte, dass das Quota auf dem Backupserver endlich von derzeit ~ 40 GB auf die in der Leistungsbeschreibung genannten 50 GB erhoeht wird.

PS: Kann man diesem Ding hier irgendwie abgewoehnen, deutschen Text mit englischen Anfuehrungszeichen zu verschoenern?

Milan Holzäpfel on :

Auch Kunde bei Hetzner, würde auch vermuten dass sich keine aktiven IP-Adressen übernehmen lassen. Scheint aber auch nicht in jedem RZ-Bereich 100% identisch zu sein..

Ansonsten ist es natürlich gaaanz toll dem hochgelobten Provider Hetzner eins aufs Dach zu geben. wers nötig hat...

Grüße Milan

florz on :

Falls das anders ruebergekommen sein sollte: Ich denke sehr wohl, dass man auch "aktive" Adressen uebernehmen kann (ich haette sonst keine Idee, wie das sonstige Verhalten des Netzes zu erklaeren waere), ich habe das lediglich bisher nicht ausprobiert, da ich ungerne fremder Leute Serverbetrieb ohne deren Zustimmung stoeren moechte, und ausserdem vermute ich, dass die "Standard-Vorgehensweise" fuer einen MitM-Angriff nicht 100%ig funktioniert, aber das wuerde ich kaum als ausreichende Sicherheit bezeichnen.

Falls hier jemand 88.198.37.129 als Default-Gateway hat, koennten wir das gerne mal im Detail ausprobieren. Oder kann Zugschlus nochmal klarstellen, ob eine derartige Uebernahme von dem "anderen Hetzner-Kunden" tatsaechlich erfolgreich durchgefuehrt wurde?

Ansonsten kann ich nur noch feststellen, dass ich Deine Bewertung der sachlich nachvollziehbaren Darstellung der technischen Maengel bei einem Hostingprovider, ibs. als Warnung an "meinesgleichen", also potentielle Kunden, etwas befremdlich finde.

Marc 'Zugschlus' Haber on :

Selbst durchgeführt habe ich die Übernahme wie im Artikel erwähnt nicht. Ich habe allerdings einen tcpdump gesehen, aus dem man sehen konnte, dass Server A mit einer IP-Adresse im Netz war, die zu Server B gehört. Beide Server sind vom gleichen Kunden gemietet.

Ja, tcpdumps können gefälscht sein. Aber warum sollte man sowas machen? Außerdem vertraue ich demjenigen, von dem ich diesen tcpdump habe, unbedingt.

florz on :

Jo, es ging mir auch nur darum, ob das auch nur daraus gefolgert war, dass man z.B. offensichtlich ungenutzte Adressen (also welche, fuer die ARP-Requests zu sehen sind, die aber nie beantwortet werden) uebernehmen kann (was ja durchaus ziemlich naheliegend waere), oder ob es tatsaechlich mit vergebenen/aktiven Adressen geht - nicht um die Glaubwuerdigkeit der Quelle oder so.

Was mir inzwischen auch noch wieder eingefallen ist: Man kann vom gehosteten Rechner aus das Web-Management-Interface des Switches erreichen, das dann allerdings noch passwortgeschuetzt ist. Das scheint auch eigentlich nicht beabsichtigt zu sein. Der Switch "bei mir" scheint ein Trendnet TE100-S24WS zu sein - port-based VLANs sollten damit laut Trendnet-Webseite moeglich sein.

migru on :

Zur "Verteidigung" der Comunity des Hetzner-Forums sollte folgendes erwähnt werden:

Die Frage zur Nutzbarkeit der acht Adressen des Subnetzes war sehr naiv formuliert, sie lies auf eine völlige Unkenntnis von Dingen wie Netzmaske, Gateway etc schließen. Die Selbstschutz-Reaktion des Forumteilnehmers mit dem typischen "Wer sich nicht mit Linux auskennt, soll sich keinen potentiell gefährlichen Root-Server mieten" wurde dadurch von "aba" geradezu provoziert.

Eine kleine Anmerkung, dass diese grundlegenden Kenntnisse sehr wohl vorhanden sind, aber das Routingkonzept als solches in Frage gestellt wird, hätte sicher zu einer konstruktiven Diskussion geführt.

Grüße, migru

Stefan on :

Ich finde auch dass manche Leute im Hetzner-Forum (z.B. kju) sehr provokativ und besserwisserisch aufgetreten sind. Bei der angeblichen Professionalität ist das doch etwas verwunderlich. Wie "migu" bereits geschrieben hat gibt dann doch professionellere Möglichkeiten Hetzner ein neues Routingkonzept vorzuschlagen. Ob sie dieses dann letzten Endes umsetzen ist streng genommen ihr Problem und sollte nicht mit - nennen wir es mal unangemessenen Kommentaren - gewisser Leute einhergehen.

Was die rDNS-Geschichte angeht sehe ich auch keinen Großen Sinn darin hier eine Überprüfung einzuführen.

Wir sind seit Jahren zufriedener Hetzner Kunde und jedem der über Hetzner schimpft kann ich nur den Colo-Rack empfehlen. Da hat es genügend Platz für ne mittelgroße USV und das Netzlayout kann man dort auch halten wie man will.

Dass sich aus dieser Geschichte fast eine Kampagne gegen Hetzner entwickelt hat finde ich grässlich. Zumal "kju" als NEUkunde und mit seinem eigenartigen Umgangston nicht gerade in bestem Licht dasteht.

kju on :

Deine Argumentation ist nicht nachvollziehbar. Meine Kritik ist nicht deswegen weniger richtig, weil ich Neukunde bin. Ich kann mir natürlich vorstellen, daß es einigen nicht gefallen hat, daß ich ihre Inkompetenz bloß- und richtiggestellt habe. Tough luck. Und im übrigen waren das genau die Teilnehmer, die selber als erste arrogant aufgetreten sind und behauptet haben, das müsse alles so sein (weil sie eben inkompetent sind).

Ich bin ein Freund klarer Worte. Wer das nicht mag, muß mich nicht lesen. Es dient der Sache aber kaum, wenn man um den heissen Brei herumredet, und der heiße Brei ist, daß das Netzwerksetup bei Hetzner untypisch und unsicher ist. Aber anders als Du nimmt Hetzner die Kritik von Andreas, Marc und mir ja offenbar ernst. Es besteht also Hoffnung.

Hans Bonfigt on :

Bestätigung.

Habe - wir haben Interesse am von Marc diskutierten Produkt, gerade wegen der "Mängel" - die Diskussion ebenfalls mit Interesse verfolgt und man sieht wieder die fatalen Folgen der neuen Schlechtschreibung:

Manche Leute können nicht zwischen "besser wissen" und "besserwissen" unterscheiden.

Von meiner Seite Dank für die Mühe, die Ihr Euch mit dem Test gemacht habt.

Gruß Hans

Florian Laws on :

Warum macht der "Mangel" das Produkt für Euch gerade interessant?

geo on :

wenn man keine Ahnung von dns, mail und sicherheit hat, dann sollte man es nicht aufs netzdesign schieben. Jeder ist selber für seinen Server verantwortlich ..

neogeo on :

Inwiefern haben normale Kunden bei Hetzner, die kein Housing betreiben, sondern einen der dedizierten Server gemietet haben, denn Einfluß auf die Netztopologie? Und was hat Mail damit zu tun?

Fragen über Fragen...

mulda on :

@florz, Marc Es ist mehr als lächerlich über was für Kleinigkeiten ihr euch aufregt. Hetzner ist ein Hoster der rein auf Mischkalkulation basiert und es ist ja wohl klar ersichtlich, dass dieser nicht für den super profesionellen Bereich ausgelegt ist. Ihr kristiert Punkte auf einem klugscheißerischen und erbsenzählerischen Nievau das für die meisten Hetznerkunden schlichtweg uninteressant ist. Wenn ihr für den DS 3000 statt 39€ 149€ zahlen würdet, dann könntet ihr gerne solche Beiträge verfassen - alles andere ist mehr als unangebracht. Keiner eurer selbsternannten Probleme haben mir bei Hetzner je Ärger gemacht, und ich denke dass 97% aller Kunden dies genauso sehen.

Scully on :

Es ist mehr als lächerlich über was für Kleinigkeiten ihr euch aufregt.

Ich finde die genannten Kritikpunkte durchaus berechtigt.

Hetzner ist ein Hoster der rein auf Mischkalkulation basiert

Bei anderen ISPs, die "rein auf Mischkalkulation basieren", ist die Netzwerksicherheit trotzdem gewährleistet. Das ist also keine Ausrede. Es gibt einfach defizite bei einigen ISPs. Nicht nur Hetzner.

und es ist ja wohl klar ersichtlich, dass dieser nicht für den super profesionellen Bereich ausgelegt ist.

Wo in der Angebotsbeschreibung steht gleich nochmal, dass die Server nur für unbedarfte Privatpersonen geeignet sind?

Ihr kristiert Punkte auf einem klugscheißerischen und erbsenzählerischen Nievau das für die meisten Hetznerkunden schlichtweg uninteressant ist.

Deine Daten sind dir nichts wert? Dass jemand anderes als dein Server auftreten kann stört dich nicht?

Wenn ihr für den DS 3000 statt 39€ 149€ zahlen würdet, dann könntet ihr gerne solche Beiträge verfassen - alles andere ist mehr als unangebracht.

Und wenn es nur 9€ wären. Eine gewisse Konkurrenzfähigkeit muss einfach gegeben sein, sonst kann sich ein Unternehmen nicht auf dem freien Markt halten.

Keiner eurer selbsternannten Probleme haben mir bei Hetzner je Ärger gemacht, und ich denke dass 97% aller Kunden dies genauso sehen.

"Selbsternannte" Probleme. Nur weil dich die Netzwerksicherheit nicht interessiert, heißt das nicht, dass es allen egal ist.

Um eins zu sagen: Hetzner hat im Hinblick auf die Kritik gut reagiert und den Kunden die Möglichkeit gegeben, Verbesserungsvorschläge zu machen. Das ist ein Pluspunkt. Dass nun die ganzen Schwachmaten (no offense...) hier ankommen und rumpöbeln, dafür kann Hetzner nichts. Aber die Schwachmaten...

florz on :

Auf die Gefahr hin, einem Troll zu antworten - aber mehr als Warnung an Leute, die sich verleitet sehen koennten, diese Aeusserung ernstzunehmen: Woher weisst Du, dass keiner Deiner Racknachbarn z.B. Deine Mails mitliest? Mithin: Woher weisst Du, dass sich bei Dir nicht schon lange Aerger anbahnt? Und woher sollten das die "97% aller Kunden" wissen?

Zumal ich nicht so ganz sehe, inwiefern genaues Wissen ueber ein Produkt fuer einen potentiellen Kunden von Nachteil sein soll. Wer meint, mit den aufgefuehrten Problemen leben zu koennen, dem ist es doch weiterhin unbenommen, bei Hetzner Kunde zu werden.

kju on :

1&1 und Strato sind auch nicht gerade unbedingt die Anbieter für Profikunden. Und dennoch haben die ihr Netzwerksetup so im Griff, daß dort die beschriebenen Sicherheitslücken nicht vorhanden sind. Es kostet auch nicht die Welt, diese abzustellen, die einmaligen Kosten betragen zwischen 10 und 30 EUR pro Server, eine nicht komplette Absicherung aber deutliche Verbesserung wäre sogar vollkommen kostenlos machbar.

Der Zustand ist also nicht entschuldbar.

mulda on :

Dann frage ich dich: Wie wahrscheinlich ist es dass ein Nachbar aus deinem Subnet 1.) dich rausfloodet 2.) deine IP übernimmt 3.) deine Daten abgreift, wenn es überhaupt was abzugreifen gibt. Es ist ja nicht so dass dein Server dann tagelang unter einer fremden IP rumdümpelt, ich würde mal darauf tippen dass die Situation bei einem aufmerksamen Admin in maximal 30 Minuten wieder behoben ist. Hetzner wird sicherlich auch bemerken wenn ein Server gerade einem Angriff ausgesetzt ist, ganz zu schweigen davon dass der Serverinhaber der die IP übernimmt wohl direkt bei Hetzner rausfliegt und Ärger mit der Staatsanwaltschaft haben wird. Ich meine, ich kann das Problem schon verstehen, nur ist das einfach sooo unwahrscheinlich.

Im Blog wird das so formuliert ("Sprich: Will man einen Nachbarn belauschen, braucht man ihn nur aus dem Netz zu flooden, seine IP-Adresse zu übernehmen und schon hat man seinen Datenverkehr auf dem Silbertablett.") als ob es mal eben ein Mausklick wär und das Root Passwort des Opfers plötzlich auf dem Monitor erscheint ;-)

florz on :

Was Du uebersehen hast: "Mit den gängigen ARP-Angriffen dürfte es möglich sein, dies auch unbemerkt durch das eigentliche Opfer durchzuführen."

Auch ist es eher unwahrscheinlich, dass Hetzner das bemerken wuerde. Es duerfte wesentlich einfacher sein, das Problem komplett zu unterbinden, als einen entsprechenden Angriff zu detektieren.

Alles in allem waere es vermutlich besser, wenn Du Dich einmal mit der Funktionsweise der moeglichen Angriffe beschaeftigst, bevor Du Mutmassungen darueber anstellst, wie ungefaehrlich diese sind.

kju on :

Du hast die Tragweite des Problems wohl noch nicht verstanden, obwohl von der Problematik tatsächlich betroffene Kunden im Forum über ihre Probleme berichtet haben!

Es geht doch nicht nur um absichtliche Übernahme von IP-Adressen. Genauso ärgerlich ist es, wenn jemand seine Kiste versehentlich falsch konfiguriert, und damit Deine IP lahmlegt. Und im Forum haben sich diverse Teilnehmer gemeldet, denen genau das (als Opfer) passiert ist. Einer hatte mehrfache Ausfälle eines Teils seiner IPs, und zwar bis zu neun Stunden.

Dir wäre das egal, wenn Dein Server neun Stunden nicht erreichbar ist? Warum hast Du dann überhaupt einen?

kju on :

Nachtrag: Ist Dir eigentlich schon aufgefallen, daß in den ganzen Nachtstunden das RZ nicht besetzt ist und kein Hetzner-Mitarbeiter da aktiv irgendwelche Überwachung durchführt? Soviel dazu, daß das in 30 Minuten gefixt würde. Von wegen.

Wie gesagt: Ein Kunde hatte einen Ausfall von neun Stunden. Nämlich bis am nächsten Morgen wieder Hetzner-Mitarbeiter zur Arbeit kamen und einer sich drum gekümmert hat.

Olli on :

Und genau für sowas gibts n Formular über das man den Hetzner Support auch ausserhalb der Zeiten 24/7 erreichen kann. Und die Reaktionszeit des "24 Stunden Support" ist in der Tat zwischen 30-60min (eigene Erfahrung)

kju on :

Klar, und dafür zahl ich dann 116 EUR? Daß man die nicht bezahlen muß wenns nicht der eigene Fehler ist steht jedenfalls nirgends.

kju on :

Ach, und da das ja selbst bei Managed Servern 116 EUR kostet (wo es wohl eigentlich nie der Fehler des Kunden sein kann), wird das wohl auch nicht so sein.

Super, andere legen die IP lahm auf Grund mangelnder LAN-Sicherheit und ich soll dann noch für die Korrektur bezahlen? Ne, so gehts ja nun auch nicht.

Hans Bonfigt on :

Naja, ich bin 'mal besoffen nach Hause gekommen, habe versehentlich die Telephonschnur samt -dose aus der Wand gerissen und den Schaden sofort "repariert", mit dem Ergebnis, daß die Nachbarin abgeklemmt war und ich auf ihre Kosten telephonierte (gottseidank ist das schnell aufgefallen). Da kann die Nachbarin ja schlecht die Post dafür verantwortlich machen, obwohl es sicherlich unschön ist, mehrere a/b - Paare unterschiedlicher Teilnehmer durch eine einzige Dose zu führen.

Gruß Hans

Wankoo on :

Ist da jetzt schon was passiert? Hat da jemand was mitbekommen?

kju on :

Ja, man hat die Server offenbar jetzt in eigene VLANs gepackt. Jedenfalls kann man andere Server im selben (unnötigerweise vergebenen) Subnetz nicht mehr direkt erreichen.

Chris on :

Mal was Anderes: Das DS 3000 Angebot für 39 Euro steht ja jetzt schon eine Weile. Lohnt es sich da zu warten, bis Hetzner ein noch günstigeres Paket schnürt?

JoJo on :

Wohl eher kaum, Hetzner hat gerade die Preise mächtig erhöht, die Einstiegsserver gibt es jetzt nur noch für 49,- bei gleicher Leistung und Ausstattung. Das wurde auch für alle Bestandskunden durchgesetzt, deshalb zahlt man jetzt auch für seine alte Möhre vom letzten Jahr plötzlich 49 Euro. Einmonatige Vertragsbindung machts möglich!!! Aber wenigstens waren das nur 25% Preiserhöhung, bei den alten Servern für 19 Euro wurde der Preis auch um 10 Euro auf 29 Euro erhöht, das sind satte 50%. Begründet wird das mit Strompreiserhöhung, Mehrwertzsteuer (wobei Hetzner noch Anfang des Jahres auf der c't fett geworben hat "wir übernehmen das für sie"), Kosten fürs Rechenzentrum ... Kunden die das nicht mitmachen wollen können kostenlos downgraden auf Hardware vom April 2006. Allerdings ohne jede Unterstützung, der aktuelle Server wird sofort abgebaut und gegen einen alten ersetzt, Platte zu übernehmen ist auch nicht möglich. Also nur ein Alibi, es ist nicht gewünscht downzugraden, sondern es soll der höhere Preis gezahlt werden. Ist auch verständlich, bei ca. 20.000 Servern spült diese Erhöhung pro Monat 200.000 Euro in die Hütte.

Linus on :

Hallo,

ich habe gerade ein bisschen IP-Rechnung hinter mir, nachdem ich in der Schule anno dazumal nicht so aufgepasst hatte ;-) Was ich "gelernt" habe, ist:

  • alle bits=0 beschreibt das Netz
  • alle bits=1 ist der Broadcast
  • der Gateway ist normalerweise alle bits auf 0, ausser dem LSB, das auf 1 ist

So gesehen scheint mir der Hetzner-Setup ziemlich klar. Bei einigen Experimenten schien mir, dass das Linux die "Netz"-Adressen und die "Broadcast"-Adressen nicht immer gut verdaut, wenn man sie als interface-Adressen vergibt. Was sehe ich da falsch?

Grüsse,

Ineiti

Marc 'Zugschlus' Haber on :

Was Du gelernt hast, ist dem Grunde nach richtig, wobei da auch viel Konvention dabei ist. So kann man zum Beispiel das Gateway frei wählen, und ich nehme üblicherweise nicht die erste, sondern die letzte IP im Netz für das Gateway.

Aber: Ein so nach dem Lehrbuch durchdesigntes Netz ist nur dann "sicher", wenn alle Netzteilnehmer einander vertrauen, weil die Übernahme von IP-Adressen und damit das "man-in-the-middle"-Spielen mehr oder weniger trivial ist.

Genau dieses Gegenseitige Vertrauen ist in einer Housing-Umgebung mit Mietservern nicht gegeben. Deswegen muss man hier ein wenig mehr Aufwand treiben, um die sonst mögliche gegenseitige Manipulation, Behinderung und Belauschung mindestens schwerer zu machen.

Soldier on :

Ohh zum Glück hab ich mir das durch gelesen. Hat sich mittlerweile was daran geändert an der Sicherheit? Weil ich wollte mir gerne im Juni den DS5000 nehmen..... Ist das wirklich ein so großes Sicherheitsrisiko? Ich kenne mich zwar relativ gut mit der Sicherheit von Linux aus, aber soooo erfahren bin ich auch wieder nicht. Oder meint ihr, ich sollte lieber einen anderen Anbieter nehmen.

Marc 'Zugschlus' Haber on :

So wie man hört, hat es einige Änderungen gegeben. Ich kann das nicht mehr prüfen, da ich meinen Hetzner-Server seit der letzten Preiserhöhung gekündigt habe. Welchen Anbieter Du nehmen sollst, kannst nur Du Dir selbst beantworten, denn nur Du weißt was Du willst.

florz on :

Ich hatte kuerzlich die Gelegenheit, auf einen frisch georderten Hetzner-Server zu gucken, und wollte daher mal ein (Nicht-)Update abkippen: Nach wie vor sieht man ARP-Requests fuer fremde Adressen und nach wie vor kann man mindestens ungenutzte Adressen auch problemlos uebernehmen. Die Erhoehung der Sicherheit besteht offensichtlich darin, dass man nunmehr Neukunden per E-Mail darauf hinweist, dass man das aber nicht darf.

alex on :

Ist das heute, 2009, immer noch so? Also das Problem mit der Netzwerksicherheit...

mcdinner on :

nein, das wurde geändert!

Marc 'Zugschlus' Haber on :

In wirklich allen RZs? Schon zu dem Zeitpunkt, zu dem ich den ursprünglichen Artikel schrieb, gab es Hetzner-RZs, in denen man nicht einfach die IP des Nachbarn übernehmen konnte.

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options