VPS met extra beveiliging

[popking]

Vraagje:
Ben op zoek naar een VPS met meer aandacht voor beveiliging (extra firewall etc.), vanwege het werken met privacy gevoelige data.

Bij XLShosting bieden zij VPS-en aan met het systeem van astaro.

De VPS met astaro komt dan als gateway te hangen voor de productie VPS.

Kost wel flink wat meer (80 euro per maand, even snel berekend).

Gaat een dergelijk systeem extra veiligheid opleveren. Is zoiets aan te bevelen? Zijn er andere tips?

[Martijn Koot]

Astaro werkt erg goed in combinatie met een eigen VLAN in onze ervaring. U kunt een opstelling ook uitproberen, neem contact met ons op als u meer wilt weten.

[popking]

Ik ga er ook vanuit dat Astaro volgens jullie goed werkt.

Desondanks ben ik benieuwd wat andere kenners ervan vinden.

Ik ben niet op zoek naar een budget VPS, maar mijn eisen voor de VPS zijn erg basic. De oplossing met Astarto gaat me ongeveer 100 euro per maand kosten. Dat is het voor mij (meer dan) waard. Maar wel onder voorwaarde dat dit een echt goede oplossing is en er geen gelijkwaardige oplossingen zijn die goedkoper zijn.

Zijn er nog andere mogelijkheden? Hoe wordt extra beveiliging door anderen geleverd? Ben overigens niet zozeer op zoek naar aanbiedingen, maar wel naar tips en oordelen...

[Mikey]

Wat wil je beveiligd hebben ?

[popking]

Gaat om een webapplicatie waar privacy gevoelige data in wordt opgeslagen (PHP/MySQL). Die data dient beveiligd te worden.

De scripts zijn safe (heb ik zelf in de hand en laat ik door derden checken).
Van netwerken/servers/firewalls/etc heb ik geen verstand (vandaar hier deze vraag).

Heb nu een managed VPS bij een hoster. Naar volle tevredenheid. Maar voor dit nieuwe project heb ik dus behoefte aan extra veiligheid. Via mijn hoster krijg ik natuurlijk ook oplossingen aangeboden, maar wil het ook breder bevragen via dit forum.

Hostway biedt bijv. ook firewall functionaliteit (packet filter) bij hun VPS-en. Dat gaat - neem ik aan - om de basisfuncties van een firewall. Dat is iets anders dan wat astaro kan bieden...

[T. Verhaeg]

En die webapplicatie moet wel beschikbaar zijn voor het internet?

[popking]

Klopt. Is geen intranetapplicatie (als dat je vraag was).

[T. Verhaeg]

Klopt. Is geen intranetapplicatie (als dat je vraag was).

In een dergerlijke richting dacht ik inderdaad. Misschien kun je ook eens kijken naar een extra authenticatiemogelijkheid (zoals Aladin E-token). Het stukje VPS red je met een goede firewall op de machines zelf en wellicht in combinatie met een reverse proxy (zodat mensen nooit direct op de servers werken) voor een heel gedeelte.

Wat je dan eventueel kunt doen is de server op een interne reeks hangen (denk aan 192.168 of 10.) bijvoorbeeld. De reverse proxy (in dit geval denk ik aan een heel specifiek product, dus ik weet niet of elke proxy / loadbalancer over dergerlijke mogelijkheden beschikt) geef je een extern adres en zo ontsluit je je dienst doordat de webservers hun content aanbieden aan de proxy en de proxy aan de client.

De servers zijn dan in principe niet direct via het web te benaderen, maar kunnen benaderd worden via de proxy. Deze ontsluit de diensten en kan eventueel op zijn beurt al aanvallen of hackpogingen stoppen voor er uberhaupt content doorkomt.

[Mikey]

De reverse proxy (in dit geval denk ik aan een heel specifiek product, dus ik weet niet of elke proxy / loadbalancer over dergerlijke mogelijkheden beschikt) geef je een extern adres en zo ontsluit je je dienst doordat de webservers hun content aanbieden aan de proxy en de proxy aan de client.

Je zou dit met haproxy kunnen regelen, echter creeer je een stukje schijnveiligheid....

[T. Verhaeg]

Je zou dit met haproxy kunnen regelen, echter creeer je een stukje schijnveiligheid....

Ik denk zelf meer richting een Citrix Netscaler oplossing, maargoed, dat is een erg specialistisch product. Sowieso stap je met een goede firewall en een up to date machine al een stap in de goede richting.

[Mark17]

Wij doen redelijk veel met extra beveiliging op basis van toegang tot bepaalde poorten op basis van het IP van de client. Dat is voor applicaties die enkel vanaf bepaalde (beperkt aantal) locaties beschikbaar moeten zijn een goede oplossing bij naast de normale beveiliging. Daarnaast draaien wij enkele scripts waarmee we bots proberen te lokken en zodra er bepaalde acties uitgevoerd worden wordt het IP van de betreffende bot voor een periode geblokkeerd. Dit alles op basis van iptables met eigen scripts er omheen.

Het is alleen wel afhankelijk van de wensen/eisen wat de beste oplossing is. Astaro gebruiken we ook in bepaalde gevallen en kan op zich ook veel doen, alleen het is niet voor alles geschikt (zoals geen enkele oplossing altijd perfect/optimaal/geschikt is).

[T. Verhaeg]

Wij doen redelijk veel met extra beveiliging op basis van toegang tot bepaalde poorten op basis van het IP van de client. Dat is voor applicaties die enkel vanaf bepaalde (beperkt aantal) locaties beschikbaar moeten zijn een goede oplossing bij naast de normale beveiliging. Daarnaast draaien wij enkele scripts waarmee we bots proberen te lokken en zodra er bepaalde acties uitgevoerd worden wordt het IP van de betreffende bot voor een periode geblokkeerd. Dit alles op basis van iptables met eigen scripts er omheen.

Het is alleen wel afhankelijk van de wensen/eisen wat de beste oplossing is. Astaro gebruiken we ook in bepaalde gevallen en kan op zich ook veel doen, alleen het is niet voor alles geschikt (zoals geen enkele oplossing altijd perfect/optimaal/geschikt is).

Denk dat je daar een goed punt aanhaalt, maar volgens mij wordt het een publieke webapplicatie, daar kan ik me in vergissen though.

Met iptables kun je vaak al veel wegzetten, zoals bruteforce detectie en dergerlijke, ik denk dat met een goede beheerder de enige zwakte nog in de applicatie zit, en die heb je al afgedekt zeg je.

[popking]

Het wordt inderdaad een publieke webapp.

Met iptables kun je vaak al veel wegzetten, zoals bruteforce detectie en dergerlijke, ik denk dat met een goede beheerder de enige zwakte nog in de applicatie zit, en die heb je al afgedekt zeg je.

Daarmee geven jullie aan dat een goed ingestelde firewall voldoende zekerheid biedt en zoiets als astaro nauwelijks meerwaarde heeft?

[Mark17]

Het wordt inderdaad een publieke webapp.



Daarmee geven jullie aan dat een goed ingestelde firewall voldoende zekerheid biedt en zoiets als astaro nauwelijks meerwaarde heeft?

Een goed ingestelde firewall kan icm automatische log analyse veel doen. Daarnaast is goede scripting (die veel afvangt) toch nog belangrijker, maar als enkel poort 80 en 443 (http en https) open staan in de firewall blokkeer je al veel.

Afhankelijk van de applicatie kan het interessant zijn een Astaro in te zetten, hoewel ik niet zeker weet wat er beter aan zou zijn dan een losse VPS inzetten als firewall.

[Blacky]

Natuurlijk niet. Een goed ingestelde firewall is het grootste deel van het verhaal, daarnaast komt er nog een stukje goede beveiliging d.m.v. goed instellen van bestands- en directoryrechten, php, apache (webserver) etc.