PDA

Bekijk Volledige Versie : 1u colocatie en veiligheid



Peter Kroon
13/09/09, 01:54
Beste,

Ik heb een vraagje, ik wil een server in een datacenter plaatsen lieft in amsterdam.

Hoe zit het nu met de veiligheid met de mede rack verhuurder.

Stel iemand die een plaats huurt in de zelfde rack, en hij komt in mijn server via usb poort o.i.d.

Of is elke rack nog appart afgesloten??

Kan iemand mij dit duidelijk maken...

Alvast bedankt

Wynand
13/09/09, 02:43
In de meeste datacentra kan je enkel in het rack waar je server hangt. Andere klanten van je provider kunnen fysiek aan je server. Fysieke toegang = volledige toegang, maar niet zelden ongemerkt/ongestraft.

XBL
13/09/09, 03:44
Dit is inderdaad een probleem met shared colocation. Wil je echt alles veilig hebben, zul je een eigen secured rack moeten nemen met eigen sloten (eigen cilinders). Dit begint echter meestal bij minimaal 1/4 rack. Je kan echter meerdere dingen doen om de boel toch nog zo veel mogelijk te beveiligen:

- Een betrouwbare provider kiezen. Bijvoorbeeld een provider met een relatief kleine afgesloten suite waar niet heel veel klanten staan met losse servers.

- Hierbij: een provider die daadwerkelijk camera beelden maakt en deze ook bereid is te gebruiken voor onderzoek (en dit het liefst ook communiceert hun klanten), hier gaat een preventieve werking van uit en is ook nog te gebruiken als er daadwerkelijk iemand aan je machine zit.

- Verder zoveel mogelijk de machine afschermen: ook lokaal stevige wachtwoorden gebruiken en je root login uit zetten.

- Onder linux ook de reboot mogelijkheid via ctrl+alt+del uit schakelen, wat je ook kan gebruiken zonder ingelogd te zijn.

- Niet automatisch usb drives e.d. mounten.

- Je BIOS beveiligen met een wachtwoord, zodat booten vanaf usb of cdrom alleen door jou ingeschakeld kan worden.

Je kan hier nog veel verder in gaan. In principe is het altijd mogelijk om toegang te krijgen tot de data: bijvoorbeeld door de hardeschijven uit de machine te halen of de BIOS te resetten (kan meestal met een jumper op het toetsenbord). Dit kan je ook weer behoorlijk dicht zetten door je data encrypted op te slaan (na powerloss, als de schijf in een andere machine wordt geplaatst of als een schijf geremount wordt zul je dan een key moeten gebruiken voor decryptie).
Er zijn vast wel meer mogelijkheden, maar de praktijk wijst uit dat in geval van losse colocatie je met wat basale zaken je het eventuele kwaadwillenden het al behoorlijk moeilijk maakt. Als je data en/of hardware zoveel waard is, dan lijkt mij dat je niet kiest voor losse colo.

Overigens heb ik het zelf nog niet meegemaakt dat mensen zijn gaan rommelen aan andermans servers. Dit zal vast wel eens voorkomen, maar ik denk dat mensen die een monitor hangen aan andermans server echt niet zo dom zijn om zaken te proberen te jatten of wat dan ook. Praktisch elk datacenter houd immers bij wie wanneer waar was, dus je bent nogal makkelijk te pakken.

Bedenk overigens wel dat het nadeel van bijna alle dingen die je kan doen, is dat je je bewegingsruimte enorm beperkt. Remote hands uitvoeren kan bijvoorbeeld lastig worden voor datacenter engineers.

The-BosS
13/09/09, 06:26
Je zou bij je toekomstige provider ook eens kunnen horen of er bvb een rack is waar alleen klanten in hangen die onder begeleiding in het rack kunnen. Nadeel is dan wel dat jij ook enkel onder begeleiding bij je eigen spullen kan.

Nu is het wel zo dat 99% van de datacenters weten wie op welk tijdstip binnen is en in welke zaal zit. Dit door middel van o.a. badge, biometrie, security, pasportcontrole, etc... of een combinatie van bepaalde middellen. Dus in het geval er iets zou gebeuren met je server(s) dan is het niet al te lang zoeken naar de eventueel schuldige. Waar je ook kan op letten is dat je provider voor ieder rack in zijn beheer andere sleutels of codes gebruikt (zoals bij mij het geval is). Zodat niet iedere klant van je provider in alle racks van die zaal kan. Of dat iemand van de security het rack komt opendoen en sleutels niet aan klanten geeft.

Je kunt zoals XBL aangeeft al een hele reeks van preventieve maatregelen nemen, maar onthoud dat een ctrl+alt+del uitzetten geen nut heeft, want dan drukken ze gewoon op reset of powerstekker er uit en er in. Usb boot uitzetten kan helpen, maar als je linux/unix geinstalled hebt kun je toch nog altijd booten met single user access. En vandaaruit kun je ook al redelijk wat dingen doen. Encryptie is ook een optie, maar vergeet hierbij niet dat dit je systeem trager doet lopen en dat bvb hd-recovery bijna niet meer mogelijk is.

Het punt is als iemand je data wil hebben ze het hoe dan ook wel in hun handen zullen krijgen, niets is namelijk 100% veilig.

XBL
13/09/09, 06:30
@The-BosS single user mode kan je ook weren / cq alleen mogelijk maken voor mensen die dat mogen (namelijk door je bootloader te beveiligen met een wachtwoord en de single usermode optie niet tonen).

wonko
13/09/09, 09:03
Kies een goede provider, en de kous is af. Als je het niet vertrouwt, neem dan een afgesloen rackruimte (1/4de), of een provider waar er altijd iemand van de provider aanwezig is (legt natuurlijk ook beperkingen op de dienstverlening naar jou toe).

Ber|Art
13/09/09, 09:41
Kies een goede provider, en de kous is af. Als je het niet vertrouwt, neem dan een afgesloen rackruimte (1/4de), of een provider waar er altijd iemand van de provider aanwezig is (legt natuurlijk ook beperkingen op de dienstverlening naar jou toe).En bij de meeste providers is camera bewaking...

Spyder01
13/09/09, 13:34
In alle datacenters wordt de toegang wel bijgehouden. Zij door een database achter de biometrische beveiling, of door fysieke beveiliging waar je langs moet en aangemeld moet zijn.

Het is dus niet zo ingewikkeld om erachter te komen wie bijvoorbeeld de stroom van een server van een ander eruit heeft getrokken.

Erik H.
13/09/09, 15:45
Niet bedoeld om TS af te schrikken maar vergis je niet dat er heel veel mensen zijn die beschikken over de nodige "lopers" van alle rack leveranciers. Een sleutelslot is dan ook niet de maximale veiligheid. En een cijferslot vereist uiteraard alleen maar de factor tijd.

Ik denk echter wel dat je kunt stellen dat het scenario dat TS schets niet of zelden gebeurd is. Ik denk dat de kans dat je server gewoon remote via het internet (waar hij toch ook mee verbonden is) echt 100x groter is.

Rob77
13/09/09, 22:34
Sja, met mijn prive colo server komt het ook voor dat ie herstart is omdat een van de andere 41 klanten in die kast de verkeerde stekker eruit rukt . . .

The-BosS
14/09/09, 01:07
Sja, met mijn prive colo server komt het ook voor dat ie herstart is omdat een van de andere 41 klanten in die kast de verkeerde stekker eruit rukt . . .

Dat is dan 9 op de 10 omdat provider foutieve labeling gebruikt of totaal geen.

Het punt is altijd hoeveel wil je betalen voor je veiligheid, indien dat geen probleem is kun je gerust een 1/4 secure rack nemen of een volledig rack zelfs al is het maar voor 1 of 2 server(s).

@XBL: paswoord op bootmanager is niet echt handig indien stroom gereset wordt of als je remote power wil gebruiken. En een optie uit grub of bootloader halen wil niet zeggen dat deze niet meer beschikbaar is. Je kan in bijna elke linux bootloader custom commands ingeven.

Zoals iemand hier al aanhaalde de kans is veel groter dat je remote gehackt wordt of dat iemand fysieke access probeert te verkrijgen.

SiD3WiNDR
14/09/09, 01:15
@XBL: paswoord op bootmanager is niet echt handig indien stroom gereset wordt of als je remote power wil gebruiken. En een optie uit grub of bootloader halen wil niet zeggen dat deze niet meer beschikbaar is. Je kan in bijna elke linux bootloader custom commands ingeven.

Password op je bootmanager betekent niet dat je server niet meer kan booten, enkel dat je een password nodig hebt als je iets wil veranderen aan de parameters. Dat is net het hele idee.

marcel5
06/10/09, 22:33
Veiligheid in de zin van ongeoorloofde toegang zit ik niet zo mee. Onhandigheid van andere gebruikers of personeel is een veel groter probleem.

Een maand of twee terug was mijn backup server ineens offline. Bleek dat een 'engineer' van mijn host wat servers in hetzelfde rack moest verhuizen, en hij dacht dan mijn server er ook bij hoorde. Dat ondanks dat ik mijn frontje obsceen rood/wit heb geverfd (zodat ik 'm makkelijk kan herkennen tussen al die andere Dell machines :) ).

M'n server was wel weer aangekoppeld, maar met de network en Drac uplink omgewisseld. Eerst glashard ontkennen ("ik snap ook niet hoe het kan, maar de netwerk kabels kabels van uw server waren zomaar omgewisseld?") maar na een uur of 2 werkte alles weer. Kom ik de volgende keer in het datacenter zie ik dat een van de voedings stekkers half in de power bar hangt waardoor mijn server maar op 1 voeding draaide.

Mijn server is nu aan alle kanten gelabelled en ik heb mijn stekkers nu met ductape aan de powerbar vast getaped. Ik denk niet dat de host daar blij mee is maar dan moeten ze maar niet zulke idioten in mijn rack laten werken :cursing:

Gelukkig was het m'n backup server, dus ik had geen downtime. Anders was ik behoorlijk pissig geweest.

Randy
06/10/09, 22:40
Een oudje, maar bij bijvoorbeeld XS4ALL kun je ook 4U racks huren, afgeschermd. Zo staat een losse server toch secured. En de prijzen zijn ook goed voor wat je er allemaal bij krijgt.

Hier_ben_ik
07/10/09, 00:48
Volgensmij is XS4ALL de enige die dat aanbiedt toch Randy?

Ik heb me er al eens over zitten verwonderen dat dat niet bij meerdere partijen mogelijk is. Zelfs 1/4 en 1/2 racks zijn vaak shared.

djalken
07/10/09, 01:08
Vaak zijn racks met meerdere compartimenten een stuk duurder in aanschaf en per compartiment moet er natuurlijk een stroomfeed gelegd worden (je deelt je groep liever niet met de buren)

Phu
07/10/09, 05:07
Als je iets met veiligheid en betrouwbaar wilt moet je niet bij XS4ALL zijn.

Die trekken zo je servers eruit ook als je net heb betaald.
wat ze doen met je servers; die gooien ze in xs4all bussie gaan ze rondjes mee rijden
en dan zijn opeens zijn je schijven stuk of mis je de helft van je apparatuur.

Pur
07/10/09, 09:59
Als je iets met veiligheid en betrouwbaar wilt moet je niet bij XS4ALL zijn.

Die trekken zo je servers eruit ook als je net heb betaald.
wat ze doen met je servers; die gooien ze in xs4all bussie gaan ze rondjes mee rijden
en dan zijn opeens zijn je schijven stuk of mis je de helft van je apparatuur.

Als je veilig en betrouwbaar wil zijn moet je juist wel bij xs4all zijn. Wij ziten er al jaren en geen enkel probleem. De minimale storingen die we hebben gehad zijn op 1 hand te tellen.

Prima partij wat mij betreft.

Technotop
07/10/09, 12:54
Beste,

Ik heb een vraagje, ik wil een server in een datacenter plaatsen lieft in amsterdam.

Hoe zit het nu met de veiligheid met de mede rack verhuurder.

Stel iemand die een plaats huurt in de zelfde rack, en hij komt in mijn server via usb poort o.i.d.

Of is elke rack nog appart afgesloten??

Kan iemand mij dit duidelijk maken...

Alvast bedankt

Dat is het risico van losse servers colocaten: geen enkele provider/datacenter geeft garanties op gedeelde (shared) colocatie; het kan altijd gebeuren dat iemand per ongeluk de stroom of utp kabel lostrekt, of de verkeerde server reboot.

Het risico dat iemand inbreekt op de server lijkt mij nihil; het risico dat er op afstand wordt ingebroken is vele malen groter.

Wil je het risico niet lopen dat iemand aan je server kan komen, dan moet je kiezen voor afgesloten racks: 1/4, 1/2 of 1/1 racks. XS4all heeft inderdaad units vanaf 5U welke kunnen worden afgesloten.

Randy
07/10/09, 17:32
Volgensmij is XS4ALL de enige die dat aanbiedt toch Randy?

Ik heb me er al eens over zitten verwonderen dat dat niet bij meerdere partijen mogelijk is. Zelfs 1/4 en 1/2 racks zijn vaak shared.

XS4ALL is de enigste partij die secured 4/5U aan kan bieden voor zover ik weer. Dit mede omdat KPN eigen gefabriceerde racks heeft en dus voor maakwerk kan opteren. Andere leveranciers verkiezen bijvoorbeeld Minkels voor de racks, die pas beginnen bij 1/4 secured. De marktwerking leert echter dat hier weinig vraag naar is dus er zijn minder aanbieders die je dit kunnen leveren. Ikzelf zie het probleem niet echt, tenzij je paranoïde bent. Immers, ook al heb je een 1/1 'secure' rack, waarschijnlijk heb ik wel een sleutel aan de bos die hem kan openen. Voorkom bij 1U servers gewoon losse kabels. Foutjes kunnen we allemaal maken. Een tywrap, een klemmetje, of iets in die geest. Dan voorkom je al een hoop ellende. Mijn ervaring leert nu eenmaal dat het in shared coloracks eerder een kabelrommel is, zeker wanneer er gebruik gemaakt wordt van horizontale powerbars.

Pur
07/10/09, 18:33
XS4ALL is de enigste partij die secured 4/5U aan kan bieden voor zover ik weer. Dit mede omdat KPN eigen gefabriceerde racks heeft en dus voor maakwerk kan opteren.

Typisch genoeg gebruikt KPN zelf op andere vloeren gewoon standaard racks (ik meen Rittal) en niet de KPN racks. Idem voor de ruimte die voor xs4all zelf is. Daar gebruiken ze ook de KPN kasten. Je zou dus kunnen zeggen dat xs4all meer KPN is dan KPN zelf op DC2 :-)

edge1
07/10/09, 20:52
Als je iets met veiligheid en betrouwbaar wilt moet je niet bij XS4ALL zijn.

Die trekken zo je servers eruit ook als je net heb betaald.
wat ze doen met je servers; die gooien ze in xs4all bussie gaan ze rondjes mee rijden
en dan zijn opeens zijn je schijven stuk of mis je de helft van je apparatuur.

Was dat niet NXS?

Phu
07/10/09, 20:59
Nope echt xs4all geel zwarte racks.
en zwarte busjes met gele letters :)