Hallo,
ich liebäugel mit dem von Strato so bezeichneten MultiServer. Im Prinzip ist das sicherlich Xen mit Webfrontend. Die Dom0 wird von Strato verwaltet und auf den anderen kann ich keine Firewall implementieren, oder? Ist das nicht etwas unsicher?
Bislang habe ich eigentlich Dienste, die nun wirklich keiner von außen benötigt, gesperrt, wie zum Beispiel MySQL, LDAP und einige weitere.
Verfügt da jemand über Erfahrungswerte?

danke
mamue

Firewall muss oder nicht ist immer eine Diskussion.

Meine Meinung: eigentlich sollte es ausreichen, wenn das System so konfiguriert ist, daß Dienste, die von außen nicht erreichbar sein sollen auch nicht auf externe Aufrufe hören - damit sollte also eine Firewall, die Aufrufe von außen blockt nicht notwendig sein.

Wie es nun mit Aufrufen von innen nach außen aussieht - das ist immer Interpretationssache - auch da sollte bei einem sauber konfigurierten System eigentlich nicht unbedingt eine Firewall notwendig sein.

Ob Du auf einem virt. System eine Firewall aufsetzen kannst hängt immer von der Art der Virtualisierung ab - was da bei XEN geht oder nicht kann ich Dir nicht sagen, da nicht im Ensatz und daher keine Erfahrungswerte.

Strato sagte gerade am Telefon, dass dies eine Einschränkung sei. Deren Werbepapier erwähnt allerdings explizit diese Möglichkeit:


Es muss nicht mehr der kleinste gemeinsame Nenner gefunden werden, um Sicherheitskonzepte umzusetzen, sondern je nach Einzelsituation können optimale Schutzmechanismen installiert und umgesetzt werden. Dies betrifft die Vergabe von Userrechten, Firewallsystemen, Intrusion-Detection-Systeme (IDS) zur Einbruchserkennung oder auch den Einsatz von gehärteten Betriebssystemen und entsprechenden Schutzmechanismen (grsecurity, SElinux, OpenWall, PaX).

Ist nicht so ganz klar. Ich glaub mal dem netten Menschen von der Hotline ;-)
Im Prinzip gebe ich Dir recht, aber es macht ein paar Dinge etwas komplexer. Wenn ich zum Beispiel möchte, dass Nutzerdatenbank (ldap) zumindest gespiegelt wird, besser noch nur einmal läuft, aber nicht von überall erreichbar ist, dann wird es schwierig, glaube ich. Nunja, es geht eben nicht immer alles.

Danke
mamue

So, der Server läuft. Soweit, so gut. Dafür, dass eine Firewall nicht möglich sein soll, geht das eigentlich ganz gut. Soll heißen, ich kann iptables verwenden und nmap sagt mir, dass das auch wirklich funktioniert. Vielleicht ist das ja keine garantierte Leistung, oder es geht erst seit kurzem - das Produkt ist gerade erst aus dem Beta-Stadium heraus, wenn ich das recht verstehe. Die Basis ist übrigens "Xen 3.2.x -- x86 64 Bit und 32 Bit PAE -- Para-Virtualization".
Man könnte so etwas natürlich rein theoretisch auch selber machen, lässt es aber besser bleiben. Strato blockiert den Switchport nach eigenen Aussagen, wenn dort eine fremde MAC auftaucht. Kann natürlich sein, dass es sich auch damit ähnlich wie mit der Firewall verhält ;-)

mamue

Dafür, dass eine Firewall nicht möglich sein soll, geht das eigentlich ganz gut.
Mit Xen kannst du eigene Kernel benutzen. Wieso sollte da die Nutzung von Netfilter nicht möglich sein?


Man könnte so etwas natürlich rein theoretisch auch selber machen, lässt es aber besser bleiben. Strato blockiert den Switchport nach eigenen Aussagen, wenn dort eine fremde MAC auftaucht.
Mit einem kleinen NAT- oder Routing-basierten Setup ist das im Gegensatz zu einem Bridge-basierten Setup kein Problem. Solche Beschränkungen gibt es auch bei anderen Providern.

Mit Xen kannst du eigene Kernel benutzen. Wieso sollte da die Nutzung von Netfilter nicht möglich sein?

siehe oben. Aussage vom tel. Support. Ich nutzte bisher Xen nicht, kenne aber die Vhost-Angebote und dort klappte das (damals) nicht. Außerdem stand im Angebot nirgends, dass Xen verwendet würde, auch wenn man ziemlich fest davon ausgehen konnte ;-)



Mit einem kleinen NAT- oder Routing-basierten Setup ist das im Gegensatz zu einem Bridge-basierten Setup kein Problem. Solche Beschränkungen gibt es auch bei anderen Providern.
Wie veröffentlichst Du die Route, so daß Deine VM von jedem Telekommunikationsendgerät aus erreichbar wäre?

mamue

Aussage vom tel. Support.
Es ist traurig, aber die Aussagen in Telefonanfragen müssen nicht immer stimmen. Ich habe die Erfahrung gemacht, dass man bei dererlei Anfragen via E-Mail ggf. eine bessere und detailliertere Antwort erhält, allein schon weil die Leute länger überlegen und bei den zuständigen Kollegen nachfragen können. Just my 2¢.


Ich nutzte bisher Xen nicht, kenne aber die Vhost-Angebote und dort klappte das (damals) nicht.
Die normalen Virtual-Server von Strato nutzen Virtuozzo zur Virtualisierung. Da diese auf Betriebssystemebene virtualisiert werden, ist ein eigener Kernel bei diesen nicht möglich.


Außerdem stand im Angebot nirgends, dass Xen verwendet würde, auch wenn man ziemlich fest davon ausgehen konnte ;-)
Das ist richtig. In der Pressemitteilung, in der das Produkt angekündigt wurde, stand damals noch, dass die "Multiserver" Xen zur Virtualisierung nutzen. Auf der aktuellen Webseite und dem Datenblatt zum Produkt steht davon leider nichts mehr.


Wie veröffentlichst Du die Route, so daß Deine VM von jedem Telekommunikationsendgerät aus erreichbar wäre?
Das musst du gar nicht. Der Provider routet alles an den Server, der am Switchport hängt und das Wirtssystem fungiert dann als Router.

Via NAT ginge es z. B. so: http://wiki.rootforum.de/vserver/nat-netzwerkkonfiguration