VPS unsicher?

[drbo8]

Guten Tag,

ich habe seit langem den Wunsch mir einen zusätzlichen Server zuzulgenen, um diesen dann als Mail- und VPN-Server zu nutzen. Nun stehe ich aber vor der Entscheidung, ob es denn ein VPS oder dedizierter Server sein soll. Ich bin in solchen Fragen, wenn es um Sicherheit geht immer sehr paranoid. Daher: Ist ein VPS unsicherer, im Sinne von der Betreiber kann sich leichter Zugriff auf den Server verschaffen, als ein dedizierter Server?

MfG

 

[vb-server]

Bei vServern kann er die HD einfach mounten, oder bei OpenVZ mit cd in das Verzeichnis wechseln. Bei dedicated müsste er physikalisch zum Server gehen

 

[Alderon]

Wenn es um die Daten geht: da kommt er bei beiden Systemen prinzipiell sehr einfach ran. Selbst wenn die Platten verschlüsselt in einem dedizierten Server hängen, gibt es noch Späße wie DMA.
Theoretisch könntest Du "Sicherheit" nur erreichen, in dem nur Du physischen Zugriff auf den Server hast.
Dann bleiben aber noch Sicherheitslücken und Backdoors.

Anders gesagt: ist man paranoid genug, bleibt einem nur noch das Offlineleben.
Ansonsten mag ein dediziertes System marginal "sicherer" sein in Bezug auf den Hoster aber das ist IMO eher platonische Sicherheit.

 

[[netcup] Felix]

Zunächst einmal der Hinweis, dass ein Anbieter von VPS oder dedizierten Servern in Deutschland nicht einfach so auf deiner Festplatte herum suchen darf.

Je nach Virtualisierungs-Technik und wie die Festplatten angesprochen werden, können auch VPS vor den Blicken des Betreibers geschützt werden, indem die Festplatte verschlüsselt wird. Hier sollte als Virtualisierungstechnik eine Vollvirtualisierung, wie VM-Ware oder KVM, genommen werden.

Rein theoretisch ist es sowohl bei einem dedizierten wie auch bei einem virtuellen Server möglich, dass sich der Anbieter hier ein klingt, selbst wenn das Filesystem verschlüsselt ist. Im letzterem Fall muss das Filesystem aber gemountet sein.

Viele Grüße

Felix

 

[Rukola]

Hierzu fällt mir dann auch gleich wieder einmal die Frage ein, die ich mir schon ewig stelle. Wie werden Admins eines Hosters überprüft ? Werden die überhaupt überprüft ?

Damit meine ich nun speziell keine staatlichen Ermittlungsbehördern, sondern z.B. ganz banal Wirtschaftsspionage.... oder der schlecht bezahlte Admin, der sich ein "Taschengeld" verdienen möchte. Klar ist das eine Sache des Vertrauens, aber ich lese immer im Hochglanzformat wie toll und sicher die Rechenzentren geschützt sind... aber was ist mit den Mitarbeitern ? Ich habe bei noch keinem Hoster irgendeine Info dazu gefunden.

Wenn ich mich recht erinnern kann, macht der Verfassungsschutz doch solche "zivilen" Überprüfungen in der Wirtschaft !?

Wäre ja evtl. mal ein zukünftiges Verkaufsargument für einen Hoster

 

[GwenDragon]

Hierzu fällt mir dann auch gleich wieder einmal die Frage ein, die ich mir schon ewig stelle. Wie werden Admins eines Hosters überprüft ? Werden die überhaupt überprüft ?

Wenn überhaupt... prüft der Hoster per erweitertem Führungszeugnis.

Wenn ich mich recht erinnern kann, macht der Verfassungsschutz doch solche "zivilen" Überprüfungen in der Wirtschaft !?

Unsinn. Das sind nicht die Aufgaben des Landesverfassungsschutzes.

 

[Deleted member 11691]

Hier sollte als Virtualisierungstechnik eine Vollvirtualisierung, wie VM-Ware oder KVM, genommen werden.

Oder OpenVZ, wobei das dann ein bisschen viel komplizierter zum Einrichten und Warten ist.

Weiters möchte ich hier dazu sagen, dass eine Fulldisk-Encryption nicht dabei hilft, den Provider davo abzuhalten, diese Blicke zu ermöglichen. Bei KVM kann einfach der RAM, Festplatte, etc. gedumpt werden und hierbei dann der Key der Verschlüsselungsmethode ausgelesen werden. Gleiches gilt auch für dedizierte Maschinen, wenn man das mit cold-boot attack macht.

 

[Thunderbyte]

Sind wir doch mal ehrlich: je nach Kenntnisstand des Servermieters ist ein hypothetischer Zugriff des Providers auf den Server immer noch um Längen unwahrscheinlicher als der Angriff "von außen" über Sicherheitslücken des OS, der eingesetzten Websoftware, des CMS/Frameworks etc.

 

[PHP-Friends]

Klar ist das eine Sache des Vertrauens, aber ich lese immer im Hochglanzformat wie toll und sicher die Rechenzentren geschützt sind... aber was ist mit den Mitarbeitern ? Ich habe bei noch keinem Hoster irgendeine Info dazu gefunden.

Genau das ist es: Eine Sache des Vertrauens. Das ist es de facto überall und nicht nur in dieser Hinsicht. Und ob man seinem Provider vertrauen kann, hängt stark davon ab, wie dieser sich präsentiert. Wenn man bei einem offensichtlichen Kinderzimmerhoster unterkommt, darf einen sowas nicht wundern.

Letztendlich muss man das realistisch betrachten - mir persönlich ist kein Fall bekannt, bei dem ein Mitarbeiter eines Hosters in dieser Form Mist gebaut hätte. Das mag mitunter an zwei Dingen liegen:

1) Der Provider sucht sich seine Mitarbeiter auch nicht x-beliebig aus, sondern schenkt diesen ein gewisses Vertrauen (und das normalerweise nicht grundlos).

2) Die entsprechenden Arbeitsverträge sorgen normalerweise bei so einer Aktion - wenn sie denn rauskommt - für den mehr oder weniger sicheren finanziellen Ruin des (Ex-)Mitarbeiters.

Ich würde das Ganze daher weniger "panisch" betrachten, da es meiner Meinung nach kein realistisches Szenario ist, dass sowas passiert.

 

[Firewire2002]

Letztendlich muss man das realistisch betrachten - mir persönlich ist kein Fall bekannt, bei dem ein Mitarbeiter eines Hosters in dieser Form Mist gebaut hätte. Das mag mitunter an zwei Dingen liegen:

Mir würde da noch eine 3. Möglichkeit einfallen: Die Admins der großen Hoster sind so professionell, die lassen sich einfach nicht erwischen.

 

[PHP-Friends]

Deswegen sprach ich explizit davon, dass mir kein solcher Fall bekannt ist.