PDA

Bekijk Volledige Versie : VPS met extra beveiliging



popking
26/11/10, 10:00
Vraagje:
Ben op zoek naar een VPS met meer aandacht voor beveiliging (extra firewall etc.), vanwege het werken met privacy gevoelige data.

Bij XLShosting bieden zij VPS-en aan met het systeem van astaro (http://blog.xlshosting.nl/vps-en-server-beheer/xls-introduceert-astaro-internet-security-vps/).

De VPS met astaro komt dan als gateway te hangen voor de productie VPS.

Kost wel flink wat meer (80 euro per maand, even snel berekend).

Gaat een dergelijk systeem extra veiligheid opleveren. Is zoiets aan te bevelen? Zijn er andere tips?

Martijn Koot
26/11/10, 11:26
Astaro werkt erg goed in combinatie met een eigen VLAN in onze ervaring. U kunt een opstelling ook uitproberen, neem contact met ons op als u meer wilt weten.

popking
26/11/10, 12:24
Ik ga er ook vanuit dat Astaro volgens jullie goed werkt.

Desondanks ben ik benieuwd wat andere kenners ervan vinden.

Ik ben niet op zoek naar een budget VPS, maar mijn eisen voor de VPS zijn erg basic. De oplossing met Astarto gaat me ongeveer 100 euro per maand kosten. Dat is het voor mij (meer dan) waard. Maar wel onder voorwaarde dat dit een echt goede oplossing is en er geen gelijkwaardige oplossingen zijn die goedkoper zijn.

Zijn er nog andere mogelijkheden? Hoe wordt extra beveiliging door anderen geleverd? Ben overigens niet zozeer op zoek naar aanbiedingen, maar wel naar tips en oordelen...

Mikey
26/11/10, 14:49
Wat wil je beveiligd hebben ?

popking
26/11/10, 16:08
Gaat om een webapplicatie waar privacy gevoelige data in wordt opgeslagen (PHP/MySQL). Die data dient beveiligd te worden.

De scripts zijn safe (heb ik zelf in de hand en laat ik door derden checken).
Van netwerken/servers/firewalls/etc heb ik geen verstand (vandaar hier deze vraag).

Heb nu een managed VPS bij een hoster. Naar volle tevredenheid. Maar voor dit nieuwe project heb ik dus behoefte aan extra veiligheid. Via mijn hoster krijg ik natuurlijk ook oplossingen aangeboden, maar wil het ook breder bevragen via dit forum.

Hostway biedt bijv. ook firewall functionaliteit (http://hostway.nl/vds/index.asp)(packet filter) bij hun VPS-en. Dat gaat - neem ik aan - om de basisfuncties van een firewall. Dat is iets anders dan wat astaro kan bieden...

T. Verhaeg
26/11/10, 16:13
En die webapplicatie moet wel beschikbaar zijn voor het internet?

popking
26/11/10, 16:39
Klopt. Is geen intranetapplicatie (als dat je vraag was).

T. Verhaeg
26/11/10, 16:57
Klopt. Is geen intranetapplicatie (als dat je vraag was).

In een dergerlijke richting dacht ik inderdaad. Misschien kun je ook eens kijken naar een extra authenticatiemogelijkheid (zoals Aladin E-token). Het stukje VPS red je met een goede firewall op de machines zelf en wellicht in combinatie met een reverse proxy (zodat mensen nooit direct op de servers werken) voor een heel gedeelte.

Wat je dan eventueel kunt doen is de server op een interne reeks hangen (denk aan 192.168 of 10.) bijvoorbeeld. De reverse proxy (in dit geval denk ik aan een heel specifiek product, dus ik weet niet of elke proxy / loadbalancer over dergerlijke mogelijkheden beschikt) geef je een extern adres en zo ontsluit je je dienst doordat de webservers hun content aanbieden aan de proxy en de proxy aan de client.

De servers zijn dan in principe niet direct via het web te benaderen, maar kunnen benaderd worden via de proxy. Deze ontsluit de diensten en kan eventueel op zijn beurt al aanvallen of hackpogingen stoppen voor er uberhaupt content doorkomt.

Mikey
26/11/10, 17:06
De reverse proxy (in dit geval denk ik aan een heel specifiek product, dus ik weet niet of elke proxy / loadbalancer over dergerlijke mogelijkheden beschikt) geef je een extern adres en zo ontsluit je je dienst doordat de webservers hun content aanbieden aan de proxy en de proxy aan de client.


Je zou dit met haproxy kunnen regelen, echter creeer je een stukje schijnveiligheid....

T. Verhaeg
26/11/10, 17:10
Je zou dit met haproxy kunnen regelen, echter creeer je een stukje schijnveiligheid....

Ik denk zelf meer richting een Citrix Netscaler oplossing, maargoed, dat is een erg specialistisch product. Sowieso stap je met een goede firewall en een up to date machine al een stap in de goede richting.

Mark17
26/11/10, 17:20
Wij doen redelijk veel met extra beveiliging op basis van toegang tot bepaalde poorten op basis van het IP van de client. Dat is voor applicaties die enkel vanaf bepaalde (beperkt aantal) locaties beschikbaar moeten zijn een goede oplossing bij naast de normale beveiliging. Daarnaast draaien wij enkele scripts waarmee we bots proberen te lokken en zodra er bepaalde acties uitgevoerd worden wordt het IP van de betreffende bot voor een periode geblokkeerd. Dit alles op basis van iptables met eigen scripts er omheen.

Het is alleen wel afhankelijk van de wensen/eisen wat de beste oplossing is. Astaro gebruiken we ook in bepaalde gevallen en kan op zich ook veel doen, alleen het is niet voor alles geschikt (zoals geen enkele oplossing altijd perfect/optimaal/geschikt is).

T. Verhaeg
26/11/10, 17:26
Wij doen redelijk veel met extra beveiliging op basis van toegang tot bepaalde poorten op basis van het IP van de client. Dat is voor applicaties die enkel vanaf bepaalde (beperkt aantal) locaties beschikbaar moeten zijn een goede oplossing bij naast de normale beveiliging. Daarnaast draaien wij enkele scripts waarmee we bots proberen te lokken en zodra er bepaalde acties uitgevoerd worden wordt het IP van de betreffende bot voor een periode geblokkeerd. Dit alles op basis van iptables met eigen scripts er omheen.

Het is alleen wel afhankelijk van de wensen/eisen wat de beste oplossing is. Astaro gebruiken we ook in bepaalde gevallen en kan op zich ook veel doen, alleen het is niet voor alles geschikt (zoals geen enkele oplossing altijd perfect/optimaal/geschikt is).

Denk dat je daar een goed punt aanhaalt, maar volgens mij wordt het een publieke webapplicatie, daar kan ik me in vergissen though.

Met iptables kun je vaak al veel wegzetten, zoals bruteforce detectie en dergerlijke, ik denk dat met een goede beheerder de enige zwakte nog in de applicatie zit, en die heb je al afgedekt zeg je.

popking
26/11/10, 19:15
Het wordt inderdaad een publieke webapp.


Met iptables kun je vaak al veel wegzetten, zoals bruteforce detectie en dergerlijke, ik denk dat met een goede beheerder de enige zwakte nog in de applicatie zit, en die heb je al afgedekt zeg je.

Daarmee geven jullie aan dat een goed ingestelde firewall voldoende zekerheid biedt en zoiets als astaro nauwelijks meerwaarde heeft?

Mark17
26/11/10, 19:21
Het wordt inderdaad een publieke webapp.



Daarmee geven jullie aan dat een goed ingestelde firewall voldoende zekerheid biedt en zoiets als astaro nauwelijks meerwaarde heeft?

Een goed ingestelde firewall kan icm automatische log analyse veel doen. Daarnaast is goede scripting (die veel afvangt) toch nog belangrijker, maar als enkel poort 80 en 443 (http en https) open staan in de firewall blokkeer je al veel.

Afhankelijk van de applicatie kan het interessant zijn een Astaro in te zetten, hoewel ik niet zeker weet wat er beter aan zou zijn dan een losse VPS inzetten als firewall.

Blacky
26/11/10, 19:23
Natuurlijk niet. Een goed ingestelde firewall is het grootste deel van het verhaal, daarnaast komt er nog een stukje goede beveiliging d.m.v. goed instellen van bestands- en directoryrechten, php, apache (webserver) etc.

popking
26/11/10, 20:17
Een goed ingestelde firewall is het grootste deel van het verhaal, daarnaast komt er nog een stukje goede beveiliging d.m.v. goed instellen van bestands- en directoryrechten, php, apache (webserver) etc.

Maar dat soort zaken is wat mij betreft 'goed systeembeheer'.
Daar is dus astaro niet voor nodig.

Mark17
26/11/10, 20:31
Bij "slecht systeembeheer"/"slechte scripting" helpt een Astaro niet (daar is niet goed iets tegen te doen anders dan het opnieuw en dan goed doen).

T. Verhaeg
26/11/10, 20:35
Maar dat soort zaken is wat mij betreft 'goed systeembeheer'.
Daar is dus astaro niet voor nodig.

Astaro zal een iets krachtigere oplossing zijn dan een softwarematige firewall, maar in zijn puurste vorm blijft het gewoon een firewall. Zolang deze goed ingesteld staat kun je toch wel redelijk wat wegzetten qua security, mits de applicatie zelf veilig is..

EK-Media
26/11/10, 20:47
Astaro zal een iets krachtigere oplossing zijn dan een softwarematige firewall, maar in zijn puurste vorm blijft het gewoon een firewall. Zolang deze goed ingesteld staat kun je toch wel redelijk wat wegzetten qua security, mits de applicatie zelf veilig is..

:thumbup: Kennis geeft macht, in theorie is alles leuk en aardig, maar het blijft een firewall naar mijn idee en in dat opzichte heb je met jouw stantpunt wel gelijk.

The-BosS
27/11/10, 02:56
Naast een firewall (ipfw, iptables) heb je ook IDS/IPS (Intrusion Detection/Protection System bvb snort) nodig die wel gekende hack, leaks, etc snift in het netwerk. Of het nu astaro, pfsense, smoothwall, endian, vyatta, ... is komt het gewoon op gebruiksgemak neer. Wat is het simpelste om in te stellen, wat gebruikt de minste resources, ... want uiteindelijk zijn de meeste software "firewalls" allemaal gebaseerd op iptables of ipfw en snort.

Blacky
27/11/10, 05:13
Maar dat soort zaken is wat mij betreft 'goed systeembeheer'.
Klopt, maar de vraag was of een goede firewall afdoende zekerheid biedt en dat is dus niet zo, mede omdat het hier dacht ik om een VPS ging.
Goed systeembeheer hoort er dan ook bij, er zijn nog zat mensen die denken "firewall en ik ben klaar" en dan denken dat ze klaar zijn.

Randy
27/11/10, 10:45
Wanneer je poort 80 gewoon open zet met een firewall een de achterliggende zaken niet goed beveiligd bereik je alsnog niets. Een dergelijkje appliance heeft m.i. weinig zijn. Het is net als Linux v.s. Windows discussies. De veiligheid van het systeem wordt bepaald en gelimiteerd door de kennis van de beheerder (en de stok waarmee hij de gebruikers wat educatie geeft).

vDong
27/11/10, 18:05
Wanneer je poort 80 gewoon open zet met een firewall een de achterliggende zaken niet goed beveiligd bereik je alsnog niets. Een dergelijkje appliance heeft m.i. weinig zijn. Het is net als Linux v.s. Windows discussies. De veiligheid van het systeem wordt bepaald en gelimiteerd door de kennis van de beheerder (en de stok waarmee hij de gebruikers wat educatie geeft).

Wat Randy hier bedoeld is het mandaad wat de beveiliger/beheerder heeft.

Een hardwarematige oplossing is nooit het antwoord, de enige 2 redenen voor een hardware matige oplossing zijn schijnveiligheid en beheersgemak, het laatste is zelden de reden.

In dit specifieke geval als er gekozen wordt voor een hardware appliance, en bv de developers worden door niemand teruggefloten als ze eissen dat de mysql databases vanaf hun werkplek(of overal) benaderbaar moeten zijn, is gelijk je hele beveiliging weg. met mandaad bedoel ik dus in dit geval dat de beheerder de developers overruled als de beveiliging in het gedrang komt. Randy noemt dat opvoeden met de stok, wat op zich hetzelfde is.

Magus
03/12/10, 21:36
als het privacy gevoelige data betreft zou ik toch echt niet alles op een enkel platform zetten, maar slechts de data die werkelijk nodig is bereikbaar maken op het frond-end platform. dus idd iets met een proxy

IP2internet
14/12/10, 16:14
Zijn RSA of VPN ook geen mogelijkheden?

Unixboy
15/12/10, 14:53
Laat ik hier dan ook even mijn lichtje over schijnen. Mensen en in het bijzonder popking.

Indien het hier gaat om medische gegevens (waar ik het idee van krijg als ik kijk naar de branche van popking) zijn er wel wat bijzondere regels van toepassing te vinden in NEN7510 en NEN7513. Ik snap dat veel van jullie hier zitten om jullie eurocenten te verdienen maar in plaats van die eurocentjes denk even aan de veiligheid van de patientdossiers voordat je een aanbieding doet.

Ik werk voor een bedrijf wat o.a. zaken doet voor enkele bedrijven in de gezondheidszorg sector. Ik ben hier niet om mijn diensten aan te bieden, ik ben hier slechts om bewustwording te creƫren.