Sicherheit auf Dedicated Server bei Hoster

[Ja_Nosch 3]

Guten Morgen!

 

Ich möchte von einem gemieteten VPS (also eine virtuelle Maschine) bei meinem Hoster wechseln zu einem dedicated Server, also eigener Hardware. Darauf soll u.a. ein eigener Mailserver betrieben werden.

 

Nun geht es mir um das Thema Sicherheit und wie ich Zugriffe Dritter - z.B. Personal des Hosters - auch technisch ausschließen kann, insbesondere da der dedicated Server ja nicht in meinen Räumlichkeiten steht (und man normalerweise sagt, dass der, der den Zugriff auf die Hardware hat, auch Zugriff auf die Daten hat).

 

Auf dem Server soll Windows Server 2016 oder 2019 laufen (Lizenzen werden über Hoster mitgemietet).

 

Prinzipiell könnte ich ja einfach Bitlocker aktivieren, ggf. nur mit Key beim Booten (müsste dann über KVM eingegeben werden), dann wäre ich zumindest sicher, wenn jemand den Stecker zieht und die Hardware entwendet.

 

Ich sehe aber Probleme beim laufenden Betrieb. Auf den Servern ist eine IMPI von Supermicro installiert (Screenshots siehe hier: https://serverfault.com/questions/452063/entering-bios-setup-from-supermicro-ipmi-kvm).  Als "Operator" kann ich diesen Zugang nutzen, z.B. um mich über KVM schon während des Bootvorgangs aufzuschalten. Weiß jemand, ob der Hoster über diesen Zugang auf Festplatten zugreifen kann? So wie ich es bisher sehe, ist das nicht möglich, er kann lediglich Sensoren u.ä. auswerten (CPU Temperatur etc.). (Anders kenne ich das vom VPS z.B. einem großen Provider, dort kommt man über das Virtuozzo-Panel über den Kundenbereich auf die Daten des eigenen VPS, auch wenn man dort alle User gesperrt / PW geändert hat! Ist aber ja auch Virtualisierung).

 

Um das ganze aber sicherer zu machen, habe ich mir überlegt, den Host nicht zu verschlüsseln, sondern lediglich die einzelnen Hyper-V-Maschinen (2 darf ich ja betreiben). Ich hätte dadurch auch den Vorteil, die Bitlocker-Keys nicht via (unverschlüsseltem!) KVM, sondern über die RDP-Sitzung des Hyper-V-Hostes eingeben zu können.

 

Welche Möglichkeiten hätte ein Angreifer hier noch, an Daten aus den Hyper-V-Gästen zu gelangen? Zieht er den Stecker, ist sowieso aus, weil die Verschlüsselung beim Neustart abgefragt wird. Schafft er es, z.B. über IPMI, auf den Hyper-V-Host (was in meinen Augen bereits unwahrscheinlich ist), sehe ich keine Möglichkeit, auf die eingebundenen Hyper-V-Gäste zugreifen zu können, auch wenn diese laufen.

 

Mache ich einen Denkfehler?

 

Vielen Dank für Euren Input.

 

[Ja_Nosch 3]

Niemand eine Idee für dieses Szenario, das doch sicher für jede/n relevant ist, der IT (teilweise) in externe Rechenzentren auslagert?

[Nobbyaushb 1.471]

In die Bereiche der RZ kommt nur authorisiertes Personal, die machen das (zwangsweise...) einen Riesenaufstand.

Ich war mal in dem RZ als Gast, in dem mein Server für mein Forum steht - doppelte Personen-Schleuse, Gesichtsscan, sogar Waage - keine Chance, an so eine Dose per Physikalischem Zugriff zu kommen.

 

Bei welchem Hosten möchtest du denn housen?

 

Was sagen die zur Sicherheit ihres RZ´s?

[Ja_Nosch 3]

Lieber Nobbyaushb,

 

danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun?

 

Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen.

 

 

[Nobbyaushb 1.471]

vor 3 Stunden schrieb Ja_Nosch:

Lieber Nobbyaushb,

 

danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun?

 

Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen.

 

 

Dann stelle das Zeug in deine Garage.

 

Ich weiß ja nicht, in welchen RZ du schon warst - ich in vielen.

 

Schönen Tag noch!

 

[daabm 1.354]

Ich hab gestern schon angefangen was zu schreiben, habs dann wieder gelöscht, aber ok: Wie paranoid bist Du, was läuft da drauf? Der nächste Market Place im Darknet?

Es hilft nix, wenn Du die technische Basis aus der Hand gibst (was Du bei einem Hoster MUSST - der Hoster hat IMMER physischen Zugriff), helfen Dir nur Shielded VMs. Und die kriegst Du bei einem Hoster nicht.

[v-rtc 88]

4 hours ago, Ja_Nosch said:

Lieber Nobbyaushb,

 

danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun?

 

Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen.

 

 

Warum fragst Du dann?

[Ja_Nosch 3]

Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird. (Nicht nur) als Berufsgeheimnisträger sollte jede/r dieses Thema hochhalten, was aber leider in der Praxis nicht passiert - das genau ist doch auch, was in diesem Forum oft kritisiert wird. Klassisches Beispiel ist doch, dass den Leuten von Mailverschlüsselung erzählt wird, da aber nur die die Transportverschlüsselung gemeint ist. Schaut man dazu noch bei großen Hostern in die Einstellungen derer Webmailer, sieht man, dass selbst die mit den dahinterstehenden IMAP-Servern ohne SSL/TLS kommunizieren ...

 

Wir kommen aber vom Thema ab. Ich war einfach erschrocken, als ich gesehen habe, wie leicht man bei HE im Virtuozzo PowerPanel (VZPP) auf das Dateisystem "seines" Windows-VPS zugreifen kann - und das auch bei (bis auf den RDP-Port) geschlossener Firewall und keinerlei anderer User in der Windows-Benutzerverwaltung.

 

Hat jemand von Euch Erfahrung mit IPMI-KVM von Supermicro? Dieses System war bei besagtem Hoster schonmal in der Fachpresse, wegen Sicherheitslücken und es gibt da noch immer Fehler / veraltete Softwarestände. Ohne KVM ist aber keine Lösung für mich bei nem dedicated Server.

 

Ihr habt doch sicher auch hin und wieder die Anforderung, dass vom Host auf eine VM nicht zugegriffen werden können soll - wie regelt ihr das? Nicht umsonst gibt es seit Windows Server 2016 ja die Shielded Virtual Machines, wenn auch kein Anwendungsfall für mich.

 

Danke Euch für Ideen

 

P.S.: @Nobbyaushb habe in einem anderen Thema Deine private Ausrüstung gesehen, da kann man ja neidisch werden - top. "Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste). Gerne per PN Infos zu der KVM-Problematik, die ich meine.

bearbeitet 14. Mai 2019 von Ja_Nosch

[Dr.Melzer 191]

vor 14 Minuten schrieb Ja_Nosch:

"Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste).

Wenn dir die Datensicherheit so wichtig ist (was ich gut nachvollziehen kann) sollte es kein Problem sein, gegen entsprechende Bezahlung, auch in deiner Garage eine feste IP zu bekommen.

[Ganzjahresgriller 1]

vor 54 Minuten schrieb Dr.Melzer:

Wenn dir die Datensicherheit so wichtig ist (was ich gut nachvollziehen kann) sollte es kein Problem sein, gegen entsprechende Bezahlung, auch in deiner Garage eine feste IP zu bekommen.

Und so teuer ist das dann auch nicht. Ich war auch schon in diversen RZ und ich kann die Paranoia und Befürchtungen vom Personal des Hosters in keiner Weise nachvollziehen. Wenn ich kein Vertrauen zu dem Hoster habe dann bin ich beim falschen

[daabm 1.354]

vor 18 Stunden schrieb Ja_Nosch:

Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird.

 

Wo ist der Widerspruch? Wir haben keine Server in einer Cloud stehen, das Problem stellt sich für uns also gar nicht Und zwar aus genau diesem Grund... Es gibt keine Cloud-Anbieter, die unseren Datenschutzanforderungen gerecht werden.

[magheinz 110]

Eine Alternative ist übrigens die Colocation, also eigene Hardware im RZ

 Die kommt meist in abschließbare Schränke und bleibt somit in deinem alleinigen Zugriff. 

[mwiederkehr 373]

vor 7 Stunden schrieb magheinz:

Eine Alternative ist übrigens die Colocation, also eigene Hardware im RZ

 Die kommt meist in abschließbare Schränke und bleibt somit in deinem alleinigen Zugriff.

Das wird dann aber teuer. Mietet man nur ein viertel, halbes oder ganzes Rack, hat der Betreiber des Rechenzentrums noch einen Schlüssel. Selbst bei Cages kenne ich es nur so, dass zwar an der Türe steht "Zutritt nur mit Kunden" und dass man als Kunde vor jedem Zutritt informiert wird, aber der Betreiber kommt immer noch alleine rein. Da müsste man schon seine eigenen Racks hinstellen. Davon gibt es sogar welche in einem Panzerschrank, aber das ist dann nicht mehr günstig.

 

Eigene Hardware kann aber je nach Anwendung sinnvoll sein, gerade im Hinblick auf Sachen wie Meltdown & Co.

[magheinz 110]

Es gibt ja entsprechend gesicherte 19"-Gehäuse. 

Ja, das wird deutlich teurer. Da steht dann die Frage im Raum, was einem die Sicherheit und der Datenschutz wert ist. 

[v-rtc 88]

Wir haben auch einen Cage in einem RZ mit Zutrifftskontrolle. Kosten keine Ahnung, sicher genug.