Likes: 0
13/09/09 00:54
Beste,
Ik heb een vraagje, ik wil een server in een datacenter plaatsen lieft in amsterdam.
Hoe zit het nu met de veiligheid met de mede rack verhuurder.
Stel iemand die een plaats huurt in de zelfde rack, en hij komt in mijn server via usb poort o.i.d.
Of is elke rack nog appart afgesloten??
Kan iemand mij dit duidelijk maken...
Alvast bedankt
13/09/09 01:43
In de meeste datacentra kan je enkel in het rack waar je server hangt. Andere klanten van je provider kunnen fysiek aan je server. Fysieke toegang = volledige toegang, maar niet zelden ongemerkt/ongestraft.
13/09/09 02:44
Dit is inderdaad een probleem met shared colocation. Wil je echt alles veilig hebben, zul je een eigen secured rack moeten nemen met eigen sloten (eigen cilinders). Dit begint echter meestal bij minimaal 1/4 rack. Je kan echter meerdere dingen doen om de boel toch nog zo veel mogelijk te beveiligen:
- Een betrouwbare provider kiezen. Bijvoorbeeld een provider met een relatief kleine afgesloten suite waar niet heel veel klanten staan met losse servers.
- Hierbij: een provider die daadwerkelijk camera beelden maakt en deze ook bereid is te gebruiken voor onderzoek (en dit het liefst ook communiceert hun klanten), hier gaat een preventieve werking van uit en is ook nog te gebruiken als er daadwerkelijk iemand aan je machine zit.
- Verder zoveel mogelijk de machine afschermen: ook lokaal stevige wachtwoorden gebruiken en je root login uit zetten.
- Onder linux ook de reboot mogelijkheid via ctrl+alt+del uit schakelen, wat je ook kan gebruiken zonder ingelogd te zijn.
- Niet automatisch usb drives e.d. mounten.
- Je BIOS beveiligen met een wachtwoord, zodat booten vanaf usb of cdrom alleen door jou ingeschakeld kan worden.
Je kan hier nog veel verder in gaan. In principe is het altijd mogelijk om toegang te krijgen tot de data: bijvoorbeeld door de hardeschijven uit de machine te halen of de BIOS te resetten (kan meestal met een jumper op het toetsenbord). Dit kan je ook weer behoorlijk dicht zetten door je data encrypted op te slaan (na powerloss, als de schijf in een andere machine wordt geplaatst of als een schijf geremount wordt zul je dan een key moeten gebruiken voor decryptie).
Er zijn vast wel meer mogelijkheden, maar de praktijk wijst uit dat in geval van losse colocatie je met wat basale zaken je het eventuele kwaadwillenden het al behoorlijk moeilijk maakt. Als je data en/of hardware zoveel waard is, dan lijkt mij dat je niet kiest voor losse colo.
Overigens heb ik het zelf nog niet meegemaakt dat mensen zijn gaan rommelen aan andermans servers. Dit zal vast wel eens voorkomen, maar ik denk dat mensen die een monitor hangen aan andermans server echt niet zo dom zijn om zaken te proberen te jatten of wat dan ook. Praktisch elk datacenter houd immers bij wie wanneer waar was, dus je bent nogal makkelijk te pakken.
Bedenk overigens wel dat het nadeel van bijna alle dingen die je kan doen, is dat je je bewegingsruimte enorm beperkt. Remote hands uitvoeren kan bijvoorbeeld lastig worden voor datacenter engineers.
13/09/09 05:26
Je zou bij je toekomstige provider ook eens kunnen horen of er bvb een rack is waar alleen klanten in hangen die onder begeleiding in het rack kunnen. Nadeel is dan wel dat jij ook enkel onder begeleiding bij je eigen spullen kan.
Nu is het wel zo dat 99% van de datacenters weten wie op welk tijdstip binnen is en in welke zaal zit. Dit door middel van o.a. badge, biometrie, security, pasportcontrole, etc... of een combinatie van bepaalde middellen. Dus in het geval er iets zou gebeuren met je server(s) dan is het niet al te lang zoeken naar de eventueel schuldige. Waar je ook kan op letten is dat je provider voor ieder rack in zijn beheer andere sleutels of codes gebruikt (zoals bij mij het geval is). Zodat niet iedere klant van je provider in alle racks van die zaal kan. Of dat iemand van de security het rack komt opendoen en sleutels niet aan klanten geeft.
Je kunt zoals XBL aangeeft al een hele reeks van preventieve maatregelen nemen, maar onthoud dat een ctrl+alt+del uitzetten geen nut heeft, want dan drukken ze gewoon op reset of powerstekker er uit en er in. Usb boot uitzetten kan helpen, maar als je linux/unix geinstalled hebt kun je toch nog altijd booten met single user access. En vandaaruit kun je ook al redelijk wat dingen doen. Encryptie is ook een optie, maar vergeet hierbij niet dat dit je systeem trager doet lopen en dat bvb hd-recovery bijna niet meer mogelijk is.
Het punt is als iemand je data wil hebben ze het hoe dan ook wel in hun handen zullen krijgen, niets is namelijk 100% veilig.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
13/09/09 05:30
@The-BosS single user mode kan je ook weren / cq alleen mogelijk maken voor mensen die dat mogen (namelijk door je bootloader te beveiligen met een wachtwoord en de single usermode optie niet tonen).
13/09/09 08:03
Kies een goede provider, en de kous is af. Als je het niet vertrouwt, neem dan een afgesloen rackruimte (1/4de), of een provider waar er altijd iemand van de provider aanwezig is (legt natuurlijk ook beperkingen op de dienstverlening naar jou toe).
13/09/09 08:41
En bij de meeste providers is camera bewaking...Kies een goede provider, en de kous is af. Als je het niet vertrouwt, neem dan een afgesloen rackruimte (1/4de), of een provider waar er altijd iemand van de provider aanwezig is (legt natuurlijk ook beperkingen op de dienstverlening naar jou toe).
Berrie Pelser, Ber|Art Visual Design V.O.F. Managed Secure WordPress SEO Cloud Hosting met Zoekmachine Optimalisatie en Social Media Strategie
13/09/09 12:34
In alle datacenters wordt de toegang wel bijgehouden. Zij door een database achter de biometrische beveiling, of door fysieke beveiliging waar je langs moet en aangemeld moet zijn.
Het is dus niet zo ingewikkeld om erachter te komen wie bijvoorbeeld de stroom van een server van een ander eruit heeft getrokken.
13/09/09 14:45
Niet bedoeld om TS af te schrikken maar vergis je niet dat er heel veel mensen zijn die beschikken over de nodige "lopers" van alle rack leveranciers. Een sleutelslot is dan ook niet de maximale veiligheid. En een cijferslot vereist uiteraard alleen maar de factor tijd.
Ik denk echter wel dat je kunt stellen dat het scenario dat TS schets niet of zelden gebeurd is. Ik denk dat de kans dat je server gewoon remote via het internet (waar hij toch ook mee verbonden is) echt 100x groter is.
13/09/09 21:34
Sja, met mijn prive colo server komt het ook voor dat ie herstart is omdat een van de andere 41 klanten in die kast de verkeerde stekker eruit rukt . . .
14/09/09 00:07
Dat is dan 9 op de 10 omdat provider foutieve labeling gebruikt of totaal geen.Oorspronkelijk geplaatst door Rob77
Het punt is altijd hoeveel wil je betalen voor je veiligheid, indien dat geen probleem is kun je gerust een 1/4 secure rack nemen of een volledig rack zelfs al is het maar voor 1 of 2 server(s).
@XBL: paswoord op bootmanager is niet echt handig indien stroom gereset wordt of als je remote power wil gebruiken. En een optie uit grub of bootloader halen wil niet zeggen dat deze niet meer beschikbaar is. Je kan in bijna elke linux bootloader custom commands ingeven.
Zoals iemand hier al aanhaalde de kans is veel groter dat je remote gehackt wordt of dat iemand fysieke access probeert te verkrijgen.
Dennis de Houx - All In One ~ Official ISPsystem partner
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
14/09/09 00:15
Password op je bootmanager betekent niet dat je server niet meer kan booten, enkel dat je een password nodig hebt als je iets wil veranderen aan de parameters. Dat is net het hele idee.
06/10/09 21:33
Veiligheid in de zin van ongeoorloofde toegang zit ik niet zo mee. Onhandigheid van andere gebruikers of personeel is een veel groter probleem.
Een maand of twee terug was mijn backup server ineens offline. Bleek dat een 'engineer' van mijn host wat servers in hetzelfde rack moest verhuizen, en hij dacht dan mijn server er ook bij hoorde. Dat ondanks dat ik mijn frontje obsceen rood/wit heb geverfd (zodat ik 'm makkelijk kan herkennen tussen al die andere Dell machines).
M'n server was wel weer aangekoppeld, maar met de network en Drac uplink omgewisseld. Eerst glashard ontkennen ("ik snap ook niet hoe het kan, maar de netwerk kabels kabels van uw server waren zomaar omgewisseld?") maar na een uur of 2 werkte alles weer. Kom ik de volgende keer in het datacenter zie ik dat een van de voedings stekkers half in de power bar hangt waardoor mijn server maar op 1 voeding draaide.
Mijn server is nu aan alle kanten gelabelled en ik heb mijn stekkers nu met ductape aan de powerbar vast getaped. Ik denk niet dat de host daar blij mee is maar dan moeten ze maar niet zulke idioten in mijn rack laten werken
Gelukkig was het m'n backup server, dus ik had geen downtime. Anders was ik behoorlijk pissig geweest.
06/10/09 21:40
Een oudje, maar bij bijvoorbeeld XS4ALL kun je ook 4U racks huren, afgeschermd. Zo staat een losse server toch secured. En de prijzen zijn ook goed voor wat je er allemaal bij krijgt.
Linkedin: linkedin.com/in/randytenhave
06/10/09 23:48
Volgensmij is XS4ALL de enige die dat aanbiedt toch Randy?
Ik heb me er al eens over zitten verwonderen dat dat niet bij meerdere partijen mogelijk is. Zelfs 1/4 en 1/2 racks zijn vaak shared.
Quote