Wie sinnvoll ist solch eine 1&1 Hardware Firewall ?

[slkzone]

Hallo an alle,

ich möchte mir nun einen dritten root Server anschaffen, und mir ist bei 1&1 und bei Schlund aufgefallen das die root Server mit Firewall anbieten. Bis jetzt habe ich auf meinen Servern eine lokale Firewall genutzt mit iptables.
Wie sinnvoll ist solch eine Hardware Firewall von 1&1 vor einem root Server?
Hat jemand von euch damit Erfahrung ?
Soweit ich noch weiss, soll das eine Cisco Firewall im Switch integriert sein, und es gibt keine Logauswertung.

Beste Grüße

Lukas

[daemotron]

Die "Firewall" ist nur ein einfacher Paketfilter. Einziger Nutzen: wenn Du Dir ne Backdoor einfängst, kann die keine Netzwerk-Verbindung nach draußen aufmachen...

Bei allem anderen gilt: genauso sinnvoll (oder sinnlos) wie ip-tables auf einem einzelnen Server... wobei man bei ip-tables wenigstens dynamisch Angreifer "bannen" kann.

[oxygen]

Bei allem anderen gilt: genauso sinnvoll (oder sinnlos) wie ip-tables auf einem einzelnen Server... wobei man bei ip-tables wenigstens dynamisch Angreifer "bannen" kann.

Naja, ich würde sagen die Hardware firewall hat Vorteile. Da kann der Hacker nicht mal eben iptables -F machen. "dynamische" Banns sind eh sinnlos, da der Traffic ja trotzdem anfällt.

[lord_pinhead]

Wer begnügt sich mit iptables -F wenn er Shellcode nutzen kann beim Login ;)
Die Externen Firewalls haben aber wie gesagt den Vorteil das ein Angreifer sie nicht einfach abändern kann, nur ob die genauso "sicher" sind bzw. die Funktionen besitzen, wie man das gerne hätte, ist jetzt mal dahingestellt. Ich weiß nur von S4Y das man sehr rudimentär das ganze erstellen kann. Also offene und geschlossene Ports etc. Was jetzt das abbremsen bei zuviel verbindungen etc. angeht, wird man glaub ich nicht mit der "Hardware" Firewall glücklich. Spezialanwendungen können ja nicht eingerichtet werden, man muss ja auch das breite Spektrum der Kunden sehen. Vom Anfänger der mit ein paar offenen und geschlossenen Ports glücklich ist, bist zu Freaks die Ihre Packete für die Statistik markieren ist dort ja alles vertreten, und rate mal welcher Teil überwiegt und wem 1und1 mehr aufmerksamkeit schenkt.

[darkman]

Nur so als Anmerkung am Rande:
IPTables Regeln kann man "einfrieren". Dann ist ein Aendern ohne
Reboot z.B. nicht mehr moeglich. Man kann das ganze soweit treiben,
das es das Rescue System bedarf um die Regeln zu aendern. Nachteil
ist dann halt, das man, sollte man was nachtraeglich Sperren/Freischalten
wollen etc. erstmal rebooten muss ;-)

Gruesse,
Darkman

[slkzone]

Ok danke für eure antworten, meiner Meinung nach wäre eine 1&1 Firewall + eine lokale mit iptables keine so schlechte zusätzliche Sicherheit.
Da aber 1&1 in seinen AGB`s keine Download Archive oder Streaming wünscht, bekommen die kein Geld von mir.
Ich lasse mir doch nicht vorschreiben was ich mit meinem Server machen darf oder nicht wenn ich nicht gegen Urheberrecht und sontiges Recht verstosse.
Ich nehme an bei den läuft die Flat im fair use prinzip.

Ich suche einen Server mit Remote Seriellen Konsole, da ich eigentlich ssh abschalten und kann wenn ich es brauche über Remote Konsole einschalten, etwas mehr Sicherheit ;-).

Hat jemand von euch ne Empfehlung an Root Server ?
Z.B. Strato oder KeyWeb oder Hetzner oder etc...

Vielen Dank euch

ciao

Lukas

[buddaaa]

also meine erfahrung mit der 1&1 firewall:

- verbindungs-abbrueche bei SSH- und openVPN verbindungen traffic (zumindest bis vor 2 monate als ich die FW entgueltig abgeschaltet habe. dazu gabs auch mal einen thread hier irgendwo und nie eine antwort von 1&1 trotz mehrere anfragen).
- umstaendlich zu konfigurieren
- kein handling von FTP (d.h. wenn Du aktiv & passives FTP benutzen wilst musst Du alle TCP-high-ports auf alle TCP-high-ports erlauben)
- kein logfile oder sonst eine diagnose-moeglichkeit. d.h. bei der fehlersuche hilft nur ausschalten und schauen obs besser ist.

aber allein durch das SSH-problem ist das ding fuer mich unbenutzbar.

p.s.: ich habe von cisco noch nichts ausser switchen und routern gesehen, was getaugt hat ;)

[r. u. serious]

Ich nehme an bei den läuft die Flat im fair use prinzip.

Rechne doch mal nach, oder informier dich mal, was der Traffic einer dauerhaften gut ausgelasteten 100MBit/s Leitung einen Proider kosten würde. Dann wird dir schnell klar werden, dass eine echte Flatrate entweder sehr viel teuerer kalkuliert werden muß als gängige Preise für Rootserver in Deutschland, oder eben nur dann möglich ist, wenn das Angebot für "Poweruser" unattraktiv gemacht wird (Einschränkung dessen was man anbieten darf; Temporäre Drosselung; usw.)

[aldee]

Da aber 1&1 in seinen AGB`s keine Download Archive oder Streaming wünscht, bekommen die kein Geld von mir.
Ich lasse mir doch nicht vorschreiben was ich mit meinem Server machen darf oder nicht wenn ich nicht gegen Urheberrecht und sontiges Recht verstosse.

Mehr, als dass du keine Dienste betreibst, über die urheberrechtsverletztende Inhalte verbreitetet werden können (sprich: von jedermann mit Inhalten befüllbare Filesharing-Dienste etc.), oder auf solche per Links verweist (Bittorrent lässt grüßen) will 1&1 ja auch gar nicht. So interpretiere ich zumindest den §4.4 ihrer Rootserver-BGB. Bisher habe ich mit 1&1 eigentlich die Erfahrung gemacht, dass es ihnen völlig egal ist, was du mit der Büchse machst, wenn du nicht gerade zig Terabyte an Traffic verbrätst - bspw. im Gegensatz zu Hetzner (Port 6667-Sperre).

[danu]

Ich glaube dass diese AGB's zun Teil veraltet sind. Mit den mir zur Verfügung stehenden 500 GB/Monat kann ich noch locker eine ganze Community mit download und Streaming Services hosten.

[daemotron]

"dynamische" Banns sind eh sinnlos, da der Traffic ja trotzdem anfällt.

Fully Ack, was den Traffic angeht - allerdings würde ich "sinnlos" so nicht stehen lassen wollen. Eventuell kannst Du auf die Tour einen Daemon, der geflooded wird vor dem Durchsatz-Tod bewahren (da mit iptables die Filterung erfolgt, bevor das Paket auf Layer 7 und damit an die Applikation durchgereicht wird). Oder verhindern, dass der 4711te URL-Exploit-Versuch vielleicht doch an mod_security vorbeikommt und Dir ein Kunden-Jail sabotiert (weil Du den Angreifer schon nach dem dritten Versuch für 30 Minuten rausschmeißt).

Allerdings gebe ich Dir recht, bei DoS oder DDos ist der Nutzen sehr begrenzt - irgendwann packt die Kiste die Paket-Flut auch Layer 3 nicht mehr... das gilt aber auch für eine vorgeschaltete Firewall. 100MBit sind halt einfach 100MBit 8) Und in puncto Traffic-Accounting hilft der vorgeschaltete Filter auch nix, da besagter Hoster den (abzurechnenden) Traffic am äußeren Port mißt, also inclusive eventuell später ausgefilterter Pakete.