Windows Server 2012 R2 als Gameserver in Minimalkonfiguration

[Sifu]

Hallo Leute,


wie schon im Titel beschrieben habe ich vor einen virtuellen Windows Server 2012 R2 als Gameserver zu betreiben und hab ein paar Fragen.

Zunächst einmal vorweg: Ich habe wenig bis keine Erfahrung mit Servern und bin mir durchaus bewusst welche Konsequenzen ein schlecht konfigurierter und gesicherter Server mit sich bringen kann. (sicherheitstechnisch,rechtlich,etc.)

Allerdings habe ich vor den Server in einer Minimalkonfiguration (gemeint sind Rollen und Features) zu fahren und alle möglichen Sicherheitsvorkehrungen zu treffen. (Mit Handbuch und Forenhilfe)

Bevor ihr sagt, "unmöglich", "nicht machbar" oder "unverantwortlich" lest bitte erst mal weiter.

1. Der Server: Ist ein virtueller Root-Server, Windows Server 2012 R2 der mit VMware virtualisiert und auch über eine Remoteverbindung gesteuert wird.

2. Alle Features wurden Reduziert auf das äußerste Minimum. Da wäre lediglich der IIS dienst zu erwähnen (Webserver deaktiviert) um FTP zu ermöglichen.

3. Windows update wurde eingerichtet und ausgeführt, das OS ist also auf dem neuesten Stand.

4. Eine Antivierenlösung ist mit an Bord und wird aus Performancegründen geplante Scans durchführen (also kein active Virus Scan).

5. Die Gateway-Firewall ist wohl eine Checkpoint Firewall die nur die wichtigsten Windows Ports freigibt und hier werden später noch die Steam-Ports freigegeben.

6. Die Windows Firewall läuft auch mit (entsprechende Freigaben auch hier), wird hier aber eine etwas untergeordnete Rolle spielen, oder?

7. Ich werde der alleinige Administrator/Benutzer auf dem Server sein und auch keine anderen Server/Benuter mit in die Domäne aufnehmen

8. Ich kann den Server jederzeit über ein Controlpanel des Anbieters vom netz nehmen.

9. Der Server läuft noch nicht aktiv im angedachten Betriebszweck sondern nur kurz zur Konfiguration und wird erst nach reiflicher Überlegung und Fachkenntnis wirklich dauerhaft ans Netz gehen.



Jetzt zu meinen Fragen:



1. Haltet ihr das Vorhaben immer noch für eine schlechte/nicht-machbare Idee?

2. Welche Sicherheitsvorkehrungen fallen euch zuerst ein die ich übersehen habe? (manches möchte ich auch noch in den Fragen weiter unten klären)

3. Ist es möglich und ratsam dem Server keine Domäne sondern eine Arbeitsgruppe zuzuweisen?

4. Ist eine Einrichtung eines DNS und DHCP Servers auf meinem WS2012R2 zwingend notwendig wenn ich diesen nur einzeln Betreibe?

5. Ist es richtig, dass der Angriffsvektor auf einen so konfigurierten Server hauptsächlich DDoS Attacken sein werden und wie kann ich mich davor schützen. (Vielleicht Verweis auf andere Forenthreads)

6. Ist der Remoteaccess über VMware Tools eine dauerhaft sichere Lösung auf den Server zuzugreifen oder sollte ich andere Methoden in betracht ziehen?

7. Ist es möglich/ratsam die Spieleserveranwendung mit beschränken Rechten auszuführen oder gar wie in Windows 8.1 unter einem "nicht-Administrator" Konto/Session laufen zu lassen?

8. Welches Tool/Programm ist unter Windows Server das vorrangige zum erstellen von Server-Logs und könnt ihr mir einen Foren-Thread verlinken der sich mit der Auswertung solcher beschäftigt?



Ok soweit erst mal mit meinen Fragen. Wenn ihr mir hier weiterhelfen könnt, wäre ich sehr dankbar.
Jetz werd ich erst mal das Serverhandbuch weiter durchpauken.


Gruß SiFu

 

[danton]

3. Ist es möglich und ratsam dem Server keine Domäne sondern eine Arbeitsgruppe zuzuweisen?

Ja, eine Domäne macht bei einem einzelnen System keinen Sinn - du hast keine Vorteile. Vielmehr sind die Domänendienste ein zusätzlicher Angriffsvektor.

4. Ist eine Einrichtung eines DNS und DHCP Servers auf meinem WS2012R2 zwingend notwendig wenn ich diesen nur einzeln Betreibe?

DHCP braucht du nur, wenn dein Server IPs an andere virtuelle Maschinen auf deinem Server vergeben soll, also wohl eher nicht. Sofern du deine Domain bei deinem Domain-Anbieter verwaltest (und das ist für dich wahrscheinlich die bessere Option), brauchst du auch keinen DNS-Server. Einen DNS-Server sicher zu konfigurieren, ist keine einfache Aufgabe, also betreibe ihn nur, wenn du zwingend einen eigenen benötigst.
Ergo: Beides gar nicht erst installieren.

5. Ist es richtig, dass der Angriffsvektor auf einen so konfigurierten Server hauptsächlich DDoS Attacken sein werden und wie kann ich mich davor schützen. (Vielleicht Verweis auf andere Forenthreads)

Nein, jeder Dienst (also auch deine Gameserver) sind ein potenzieller Angriffsvektor.

7. Ist es möglich/ratsam die Spieleserveranwendung mit beschränken Rechten auszuführen oder gar wie in Windows 8.1 unter einem "nicht-Administrator" Konto/Session laufen zu lassen?

Sofern eine Anwendung nicht zwingend Admin-Rechte benötigt, sollte sie immer unter einem nicht-priviligierten Konto laufen -> das ist IMHO Grundlagenwissen für die Server-Administration.

Warum läuft der Windows-Server in einer virtuellen Maschine und nicht direkt auf der Hardware? Je nach verwendetem Gameserver brauchen diese recht viele Resourcen, so dass du vermutlich ohnehin nicht mehrere virtuelle Maschinen paralelle laufen lassen solltest.

Ansonsten habe ich bei deinen Fragen den Eindruck, als wenn du nicht wirklich weisst, was du da tust - und hast somit noch einen langen Weg vor dir, bevor du deinen Server sicher im Internet betreiben kannst.
Nur weil ein Windows Server 2012 ähnlich aussieht wie die Windows 8/8.1, ist er doch von einem ganz anderen Kaliber und benötigt tiefgreifende Kenntnisse des Systems.

 

[Sifu]

Danke für diese erste Einschätzung. Ja da habe ich wohl noch viel zu tun!

Zum Server: Der läuft in einer virtuellen Umgebung weil ich nur diesen zu Testzwecken zur Verfügung gestellt bekomme und ich ihn nicht selber angemietet habe.

Ich stehe zwar noch am Anfang eines langen Lernprozesses, aber mich würde folgendes interessieren:

Im Moment stellt es sich für mich so dar, als könnte ich meinen Server mit folgenden Punkten absichern:

- Regelmäßige Updates des OS und aller installierten Applikationen
- Nur die nötigsten Ports in der Firewall öffnen und gegebenenfalls
"Ländersperren" einrichten
- Alle Dienste "richtig" und sicher konfigurieren
- Nur die nötigsten Dienste und Applikationen installieren
- Servermonitoring mit Benachrichtigungsfunktion (Email) aktivieren
- Interne Sicherheit (NAP etc.)
- Möglichst verschlüsselte Verbindungen zum Server nutzen (z.B. secure FTP)
(natürlich nicht für "unkritischen" Datenverkehr wie für den Spiele - Datenstrom)

Also könnte ich meinen Server vernünftig betreiben (für den erwähnten Zweck im ersten Post - Gameserver) wenn ich mir die mich betreffenden Punkte aus diesem Fachbuch raussuche?
GalileoPress Windows Server 2012

Oder würden mir dann noch zu viele Basics fehlen dass vom Betrieb des Servers abzuraten wäre. Ich meine irgendwo ist das ganze ja eh ein nicht endender/fortwährender Lernprozess und irgendwo muss man ja mal anfangen. (Ja das könnte man auch zuerst auf einem Rechner im LAN und nicht gleich im Internet, ich weiß )

Welche Lektüre könntet ihr mir noch empfehlen?

 

[Jesaja]

Weiß nicht genau, ob die Lücke noch aktiv ist und auf deine Spiele(welche?) zutrifft:
Eine Firewall, die die maximale Anzahl ein- bzw ausgehener Pakete blockiert, um DRDOS abzuschwächen.

Zu NAP, DHCP, usw: Bevor du sowas installierst, lies dir durch, wozu die da sind.
NAP sorgt in einem Domänennetz in Verbindung mit den Switchen dafür, dass Clients mit veralteten Patchen nicht ins Netz kommen.
Das ist für dich völlig uninteressant.

Ansonsten sehen die Überlegungen gut aus.

 

[Sifu]

Ok werd ich sofort mal schaun ob die Sicherheitslücke bei mir zutrifft, danke!
Übrigens handelt es sich um das Spiel ArmA3.

Ich denke ich werde in dieser Richtung auch weitersuchen und alles zu den Steam Services im Allgemeinen (Angreifbarkeit, beste Konfiguration für System und Firewall etc.) suchen.

NAP hatte ich nur der Vollständigkeit halber in die Liste mit aufgenommen.

Jetzt werde ich erstmal FTPS aufsetzen um mal ein paar Dateien rüberschieben zu können.

Gruß

 

[Sifu]

Hallo,

ich bin gerade Dabei eine Antivirenlösung für meinen Server zu installieren.
Es handelt sich um Sophos Enterprise Console + Anhang.

Dazu benötige ich bei der Installation eine SQL Datenbank samt Useraccount (für den lokalen Benutzer) die ich angeben kann.

Bei der aktuellen Version 5.2.2 der SophosEnterpriseConsole wird kein SQL Server 2008 mit installiert, also wollte ich die schon vorinstallierte MySQL Version benutzen.

Allerdings kann ich die Instanz meines MySQL Servers, der als Dienst läuft, bei der Installation nicht mit auswählen.

Ich habe den verdacht, dass ich dazu das Microsoft Authentication Plugin von Oracle/MySQL benötige oder ich irgendwas am ODBC drehen muss damit das funktioniert.

Allerdings komme ich im Moment nicht weiter. Weiß hier vielleicht jemand Rat?

Danke

 

[danton]

Sophos erwartet eine Instanz des SQL-Servers von Microsoft, das wird mit MySQL vermutlich nicht funktionieren. Außerdem: Warum willst du eine große Verwaltungskonsole (denn nichts anderes dürfte die Enterprise Console sein) auf deinem Server installieren anstatt nur einen einfachen Virenscanner für Server? Der Virenscanner dürfte außerdem auch keine SQL-Datenbank benötigen.
Bei den Postings, die du hier schreibst, weißt du anscheinend nicht wirklich was du da tust, sondern stocherst nur wild im Nebel rum. Vielleicht solltest du dir doch besser einen Gameserver-Anbieter suchen, der seinen Gameserver im Programm hat und da einen mieten (dann kümmert sich der Anbieter um die Sicherheit des systems).

 

[Sifu]

Naja ich möchte ja etwas lernen. Wenn ich mir einfach einen Gameserver bei Nitrado o.Ä. hole dann beschränkt sich das auf Knöpfchen auf einem Webinterface drücken. Solange ich mich stückweise meinem Ziel nähere ist das für mich ok.

Zur Antivierenlösung: Ja die Konsole zu installieren mag ein bisschen "overkill" sein, aber wenn man sich mal die anderen Anbieter von Antivirenlösungen anschaut wird man bei allen eine professionelle Enterprise Edition nehmen müssen.

Dann hab ich mich halt für Sophos entschieden und gesehen, dass es einmal die Console (zur Verwaltung aller Workstations/Server im Netz) und die Endpoints (mit standalone Installer)gibt. Bevor ich dann aber den standalone Installer nehme und der dann vielleicht Lizenzrechtlich/Updatetechnisch nicht ohne die Anbindung an die Console bzw. einen Domaincontroller funktioniert, installiere ich halt das ganze Paket.

 

[danton]

Wenn das Ziel deines "was dabei lernen" ist, dass du hinterher einen einzelnen Gameserver administrieren kannst (oder von mir aus auch eine Hand voll), dann solltest du dich fragen, ob sich dieser Aufwand für dich lohnt. Allein für das üben wirst du zahlreichen Stunden über mehrere Wochen/Monate lang investieren. Und damit ist es nicht genug: Bei einem Server hast du jeden Tag was zu tun, manchmal nur ein paar Minuten, oft aber mehr - 365 Tage im Jahr. Und du must immer darauf vorbereitet sein, kurzfristig auch mal mehrere Stunden in den Server zu investieren, z.B. wenn ein Fehler auftritt, eine Sicherheitslücke zu schließen ist oder auf Abuse-Meldungen zu reagieren.
Und für das Üben und Ausprobieren solltest du dir eine Testumgebung auf deinem heimischen Rechner schaffen (dank VMWare & Co. braucht es dazu nicht mal zusätzliche Hardware) und erst einen Server im Internet verwenden, wenn du weißt, was du da tust.
Das gesagt: Bezüglich Antivirus: Die meisten Anbieter bieten auch Standalone-Antivirenlösungen für Server an und das ist es, was du brauchst. Einerseits willst du keinen OnAccess-Scan deines Virenscanners nutzen, um Resourcen zu sparen, andererseits installierst du dir eine Verwaltungsumgebung, die dir keinen Mehrnutzen bringt, aber ein zusätzlicher Angriffspunkt ist und zusätzliche Resourcen verbraucht. Das Gegenteil sollte der Fall sein, der OnAccess-Scanner kann mit seiner Verhaltenserkennnung nämlich evtl. einen Virus erkennen, bevor er aktiv wird.

 

[Thunderbyte]

Du hast zwar bisher viel erzählt, bist uns allerdings die Ressourcenkonfiguration des VServers schuldig geblieben. Mit zu wenig RAM ist ein solcher Server nämlich schnell einzubremsen.

Ich betreibe selbst Windows Server auf ESXi, das geht mit ausreichend Ressourcen durchaus. Ob das das beste OS für einen Gameserver ist, sei dahingestellt. Mit Linux kann man Spieleserver (wenn dafür verfügbar) mit deutlich weniger Ressourcen aufsetzen.

Ich denke auch, dass die komplette Sophos Suite Overkill ist. Du willst ja nur einen Virenscanner und keinen Sophos Server, der ein ganzes Netzwerk mit Updates versorgen kann. Zuerst versuchst Du Ressourcen zu "sparen", dann machst Du Dir als Virenscanner das Komplettpaket drauf, das Du gar nicht brauchst. Für Windows sind übrigens so ziemlich alle Virenscanner nicht wirklich billig.

Bzgl FTP würde ich mich nicht unbedingt mit IIS rumärgern. Filezilla Server ist da viel kompakter, ist nicht so mit dem System verheiratet wie der IIS und ist in 10 Minuten betriebsbereit.

Domaincontroller ist unnötig, ein "rogue" DHCP und DNS Server ggfalls sogar schädlich für das Netzwerk Deines Anbieters. Ich würde mich nicht wundern, wenn dieser das sogar verbieten würde.

 

[Sifu]

Ja ich denke das System muss sich nicht verstecken. Herzstück ist ein Intel Xeon 2,2Ghz (4vCores) mit 8GB RAM und SSD Speicher. Ich könnte sogar noch auf 16GB erweitern. Aber ich muss sagen, dass Windows Server 2012 R2 sowieso recht schlank daherkommt wenn, wie bei mir, nur die nötigsten Rollen installiert sind. Gut es gibt höher getaktete Prozessoren aber wenn die Leistung wirklich nicht reicht, dann wars ein nettes Experiment.

Was die Internetanbindung betrifft bin ich mir noch nicht ganz sicher: Der Ethernet Adapter zeigt mir einen Gbit-Adapter an. Ist aber natürlich ein virtueller Server und ob das die tatsächliche Verbindungsgeschwindigkeit ist...

Auf jeden Fall hat ein erster Test, den Game Client runterzuladen, eine durchschnittliche Übertragungsrate von ca. 200Mbit ergeben. Kurzzeitige Ausschläge bis 500Mbit waren auch zu verzeichnen.

Was den Antivirenschutz betrifft, hab ich jetz die Endpoint Security drauf (also keine Console) - scheint wunderbar zu laufen. Die komplette Konsole wäre natürlich sehr sperrig (auch weil ich ja dann noch SQL Server bräuchte), keine Frage.

Aber jetz noch kurz ein paar Anmerkungen/Fragen:

1.

Internet Explorer 11: Hat ja standardmäßig die Erweiterte Sicherheit aktiviert. Manche Fragen sich ja was so ein Browser überhaupt auf einem Server verloren hat, aber ich brauch ihn nun mal um ein paar essentielle Downloads zu machen, wie z.B. DirectX (Version von 2010), Steamclient, Antivirus Client etc.

Benutzt man den (IE) am besten erst gar nicht, installiert sich einen anderen Browser oder deaktiviert man die "Erweiterte Sicherheit" und benutzt die "Trusted Sites" Richtlinie?
Wie bekomme ich sonst auf sicherem Weg meine Daten auf den Server?

FTPS scheint ja nicht sehr schnell zu sein (v.A. mit 128bit Verschlüsselung).
Ehrlich gesagt hab ichs auch nicht zum Laufen bekommen obwohl ich an so ziemlich alles gedacht hatte.

Könnte ich vielleicht meinen Heimrechner in die Domäne mit aufnehmen und so Daten sicherer und schneller übertragen? Dann müsst ich halt auch wieder neue Rollen installieren, was mein System wieder aufbläht.

Ehrlich gesagt, die Erweiterte Sicherheit im IE11 abzuschalten halte ich eigentlich für keine gute Idee, weil ich gelesen hab, dass sich Sicherheitsstufen im IE auch auf andere Windowskomponenten auswirken.

2. Den Gameserver werde ich auf einem lokalen Konto ausführen. Gibt es da noch weitere Rechteeinschränkunen die ich sofort durchführen könnte ohne die Ausführung des Gameservers zu beeinträchtigen?

Auf jeden Fall habe ich zur Steam Software schon gelesen, welche die einzigen Schreibrechte sind, die diese braucht.

3. Aktive Verteidigung gegen DoS und DDoS. Es soll immer mal ein paar trollige/zornige Kiddies geben, oder auch nur ein paar Streuner die nach angreifbaren Servern Ausschau halten.
Wenn mal "Stau" in der Leitung is brauch ich schon ein paar bessere Techniken als "Stecker ziehen" oder Aussitzen.
Gibts hierzu ein paar nützliche Anlaufstellen?

4. In der externen Firewall meines Servers sind die Ports 80, 8443 und ein 3xxx freigegeben. Allerings ließen sich die Sophos Antivirus Lösung sowie der Steam-Client problemlos installiern, inklusive Update/Download. Benutzen diese Anwendungen vielleicht nur Port 80, werden sie vielleicht während der Installation an einen windowseigenen Prozess gebunden und kommen so durch die Firewall oder hab ich was Grundlegendes übersehen?

Gruß

 

[danton]

Man benutzt gar keinen Browser auf dem Server (und noch weniger, wenn der Benutzer den Namen Administrator hat), sondern lädt sich die benötigte Software auf seinen heimischen PC herunter und schiebt sie dann per FTP auf seinen Windows-Server. Browser und dessen Plugins (insb. Flash, Java, Adobe Reader) sind mittlerweile nun einmal das größte Einfallstor für Malware.
Wenn du Software auf dem Server laufen hast, die sich nur lokal über eine Weboberfläche konfigurieren läßt, dann trägst du dessen Adresse in die Trusted Sites ein, damit sie funktioniert.
Eine Domäne hilft dir nicht, um Daten sicher auf deinen Rechner zu übertragen, aber du kannst es mit einem anderen FTP-Server versuchen (Filezilla wurde ja shcon genannt), der ist ggfl. performanter.
In wieweit der du die Rechte von deinem Gameserver einschränken oder erweitern mußt, hängt vom von dir eingesetzten Gameserver ab.
Bezüglich externer Firewall: Die wird vermutlich nur die eingehenden Ports sperren, aber ausgehend recht offen konfiguriert sein. Im übrigens könnte müßten eigentlich auch die Ports für FTP offen sein - und da kann die Firewall evtl. auch ausbremsen. Eine überlegen wäre evtl. auch, auf dem Server ein VPN laufen zu lassen (kann Windows ja von Hause aus) und z.B. darüber die Sachen laufen zu lassen, die nur du benötigst (z.B. Remote Desktop, FTP) und diese dann in der Firewall dicht zu machen und dafür die VPN-Verbindung in der Firewall erlauben. Mit VPN könntest du auch auf eine Verschlüsselung für FTP verzichten, was das ganze evtl. schneller macht.

 

[Sifu]

Danke für die Tipps und Hinweise soweit.
Hier ein kurzes Update:

Also FTP bekomm ich nicht ganz zum laufen. Als Client habe ich den Filezilla und als FileServer immer noch den ISS FTP. Dass muss doch jetzt mal klappen
Verbinden will ich über FTPS Explizit-Aktive. Filezilla zeigt mir auch an, dass die Authtifizierung geling, allerdings schaltet er dann immer im letzten Moment auf Passive um (zeigt mir zumindest die Message an) und "Open Binary Connection" schlägt dann fehl. Also liegt es irgendwo an meinem Data-Channel nehme ich an.

Hab mir gedacht dass es vielleicht an meiner Client-Firewall oder am Client-Router liegt, der wahrscheinlich nicht all die passiven Ports >1024 freigegeben hat. Vielleicht teste ich probeweise mal Passive FTP.
Zumindest sind serverseitig und server-routerseitig Port 20 ausgehend und 21 eingehend freigegebn.
Zur externen Server-Firewall: Dass ist wohl doch keine Chekpoint-Firewall. Welche es genau ist kann ich nicht sagen, sie lässt sich nur über ein sehr simpel gehaltenes Webinterface ansprechen und nur einzelene Ports lassen sich freischalten und zwar in beide Richtungen gleichzeitig.

Zum IIS FTP: Es gibt da einen Reiter/Verknüpfung bei dem man die passive ports-range einstellen kann. (Also welche der passiven Ports benutzt werden sollen)

1. Ist dort die standardeinstellung immer "0-0", auch wenn ich eigentlich Active FTP benutzen will?

2. Es gibt direkt darunter eine weitere Einstellmöglichkeit. Und zwar kann man dort die externe IP-Adresse der externen Firewall mit angeben.

2.1.: Unter welchen Bedingungen muss ich die dort angeben? Der Begleittext lässt ein paar Fragen offen.

2.2. Wie finde ich die externe IP der externen Firewall heraus? "ipconfig" in der Komandozeile des Servers liefert mir zwar eine IP-Adresse des Standardgateways des Servers, aber ist das zugleich die externe IP-Adresse der Firewall, oder wie bei einem Router im LAN nur die interne IP?
Zumindest ist sie grundverschieden von der IP meines Servers, was ja eigentlich auf die externe IP hinweist...

3.Und noch eine zum Schluss: Wie könnte ich denn den maximalen Upload/Download der Serververbindung messen? Und sollten Tools wie Wireshark (zum überprüfen des Datenverkehrs) überhaupt installiert werden? Was sagt da wohl der Hoster?

Danke und
Guten Rutsch!

 

[danton]

Für FTP müssen die Firewalls ausgelegt sein, denn im Gegensatz zu z.B. HTTP werden hier zwei Verbindungen (Steuer- und Datenkanal) aufgemacht. Aktives FTP über NAT hinweg ist recht aufwendig zu handhaben und es gibt einige Heimrouter, die da Probleme machen. Als Ausweg gibt es passives FTP, da müssen aber zusätzliche Ports serverseitig erreichbar sein. Die beiden Verfahren sind z.B. in der Wikipedia beschrieben. Eine Alternative zu FTP wäre noch SFTP (also FTP over SSH), allerdings kann der IIS das meines Wissens nicht - eine Alternative wäre OpenSSH for Windows. Der Filezilla-Client kann auch mit SFTP umgehen. Da hättest du dann die Firewall-Probleme mit umgangen.
Bezüglich Netzwerkgeschwindigkeit bietet sich an, einfach mal eine größere Datei per FTP von einem anderen Server zu saugen. Verwende einen beim Provider (z.B. einen FTP-Mirror für Linux Distris, den der Provider betreibt) und einen (oder mehrere) externe, um zu sehen, wie es außerhalb es Provider-RZs mit der Bandbreite aussieht. Bedenke auch, dass für Spiele neben Bandbreite auch die Latenz oft ein wichtiger Faktor ist.

 

[Sifu]

Ok, ich denke ich werde dann die Filezila Lösung (Server + Client) in betracht ziehen.

Letzte Frage für dieses Jahr:
In der Übersicht meines Webservers (Webinterface) wird mir eine kritische Statusmeldung angezeigt: internal_ping: <ServerIP> rta,nan lost 100%.

Ist das ein interner Test meines Servers auf die Funktionsfähigkeit der Leitung?
Kann diese Meldung dadurch verursacht werden, dass meine externe Firewall keine ICMP Pakete zulässt?

Danke

 

[danton]

Der Filezilla-Server kann kein SFTP (nur der Client), d.h. solange du deine Firewall nicht anpaßt, ist es egal, ob du den IIS oder Filezilla nimmst. Deshalb hatte ich für SFTP ja auch OpenSSH for Windows vorgeschlagen.
Bezüglich Ping: Wenn deine Statusmeldung im Webinterface deines Hosters gemeint ist, dann hört sich das ganz nach deiner Firewall an. Gibt es einen besonderen Grund, warum du ICMP gesperrt hast? Denn ICMP ist viel mehr als nur ein Ping oder Traceroute. Denk auch daran, ICMP neben deiner externen Firewall auch in der Windows-Firewall zu erlauben, falls das noch nicht der Fall ist.

 

[Sifu]

ICMP ist von Haus aus schon gesperrt gewesen(aus Sicherheitsgründen laut Hoster) und ich habe bis jetzt auch keine Probleme damit gehabt außer der Fehlermeldung.

Werde dann einfach mal nachlesen wozu ICMP sonst noch gut ist.
Ok danke.

 

[Sifu]

Hallo im neuen Jahr.

Hier ein kurzer Zwischenstand des Server-Setups:

- FTPS funktioniert nun endlich, da ich auf FTPS Explicit Passive gewechselt habe. Die offenen Ports habe ich auf 50 beschränkt und für meine Zwecke ist es machbar diese nach Übertragung auch wieder zu schließen.

- Der Gameserver ist auch schon eingerichtet und es funktioniert soweit alles.

Die nächsten Schritte werden jetz sein, die in Windows integrierte Server-Backup Rolle zu installieren. (Hier gibt es noch Probleme, wahrscheinlich weil diese auf Features aufbaut die noch zu installieren sind)

Und hier noch ein paar Fragen:

1. Ich habe bei meinem Anbieter nun ein 200GB NAS eingerichtet auf das ich meine Backups speichern möchte. Allerdings habe ich noch Bedenken zur Sicherheit.

- Wenn ich das NAS auf meinem Server als Netzlaufwerk einbinde, ist die Datenübertragung dann verschlüsselt? Könnte da jemand Daten abgreifen wie bei ungesichertem FTP?

- Die zu speichernden Daten haben für mich keine persönliche Relevanz, jedoch ist zu überlegebn ob System-Backups dort gut aufgehoben sind!?

2. Seit ich die ICMP Ports freigegeben habe, zeigt mir mein Server-InfoPanel auch keine kritische Meldung mehr an (internal_Ping...)

Allerdings habe ich von DoS angriffen über genau dieses Protokoll gehört. Wie wahrscheinlich ist das und kann man sich davor schützen? Evtl. gewisse Länder-IP-Sperren einrichten?

3. Inwieweit ist es die Aufgabe meines Hosters DoS/DDos Angriffe abzuwehren, zumindest bei Attacken, die nur an der externen Firewall aufzuhalten sind? (Immerhin kann ich an meiner externen Firewall selbst nicht viel einstellen, außer Ports zu öffnen oder zu schließen)