Frage zu Vserver mit mehreren IP

Apache, Lighttpd, nginx, Cherokee
manarak
Posts: 86
Joined: 2004-04-04 17:23

Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-19 12:11

Hallo, ich betreibe zur Zeit mehrere kleine Vserver. Der Grund ist, dass ich ich mehrere Gruppen von Websites so getrennt halte möchte, dass Aussenseiter und insbesondere Schnüffler-Webseiten nicht in der Lage sind herauszufinden, dass diese Websites auf derselben Maschine gehostet sind.
Diese Schnüffler Websites sind ja inzwischen recht gründlich und spionieren nicht nur Reverse-IP aus, sondern unter anderem auch Google Analytics IDs sowie EHLO-Antworten des Mailservers.
Hier wären wir schon im Herzen des Themas, ist es möglich einen herkömmlichen Vserver so aufzusetzen, dass dieser gegen aussen die einzelnen IPs vollständig voneinander trennt, i.e. einen anderen Servernamen pro IP verwendet, so auch ebenfalls der Mailserver einen anderen Servernamen im EHLO zurückgibt, usw. ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu Vserver mit mehreren IP

Post by Joe User » 2018-06-19 19:36

Jedem VServer eine eigene öffentliche IP zuweisen, mehr kannste nicht tun.

BTW: Diese "Schnüffel-Websites" sind etwas schlauer als Du und nutzen unter Anderem auch Laufzeiten, Fingerprinting und Kernelverhalten zur Analyse.
Kurz: Dein Versteckspiel funktioniert nicht und hat auch noch nie funktioniert. Es funktioniert nichtmal hinter Cloudflare oder Tor, gegen die physikalischen Gesetze kannste nunmal Nix tun.

Frage: Wozu bitte dieses nutzlose Versteckspiel? Das macht absolut keinen Sinn.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

manarak
Posts: 86
Joined: 2004-04-04 17:23

Re: Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-19 22:17

ich bin baff... kannst Du mir bitte einer dieser Webseiten zeigen, die Fingerprinting und Kernelverhalten nutzen um der Welt zu sagen, dass der lokale Kirchenverein auf demselben Server sitzt wie das lokale Bordell ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu Vserver mit mehreren IP

Post by Joe User » 2018-06-20 00:27

Da die meisten Betreiber solcher Sites kein seriöses Geschäftsmodell verfolgen (Datenhändler, Spammer und Phischer welche es hauptsächlich (aber nicht nur) auf Whois-Daten abgesehen haben), werde ich sie nicht noch mit Backlinks versorgen.

Die technische Umsetzung ist aber kein Problem, das kann jeder Paketfilter von Haus aus und für die Aufbereitung stülpt man dann nur noch eine App oder ein Script drüber. Wer es performannter braucht, der codet kurz ein passendes Modul für den Paketfilter oder gleich für den Kernel und fertig.

Ganz stark vereinfacht kannst Du es Dir wie eine Mischung aus mod_security mit flameeyes Ruleset und dem OS-Fingerprinting von OpenBSDs PF vorstellen. Auch einige Malwarebaukästen oder Metasploit-Module nutzen teilweise solche Techniken, allerdings aus anderen Gründen.



Wenn Du also sauber trennen willst, dann geht das nur über eine deutliche physische Trennung, also unterschiedliche Hoster mit unterschiedlichen Datacentern in unterschiedlichen Städten.



Man kann heutzutage allein mit der Signallaufzeit (und etwas Wissen über den Aufbau und Routing von Datennetzen und Datacentern) den Standort des Servers auf wenige Meter genau lokalisieren. Ist zwar ein recht teurer Spass (die Messgeräte kosten ab 500000 EUR) und erfordert viel Fachwissen und manchmal auch etwas primitive Industriespionage (Besichtigungstermin in Datacentern reicht aus), aber ist rein technisch schon lange kein Problem mehr.
Diese Technik wird gelegentlich von Strafverfolgungsbehörden verwendet um Server im Darknet zu lokalisieren und stillzulegen.



Das Internet ist nunmal weder anonym noch kann man sich darin verstecken, das geht schon rein technisch und physikalisch nicht...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

manarak
Posts: 86
Joined: 2004-04-04 17:23

Re: Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-20 11:21

lassen wir mal die Kirche im Dorf.
mich interessiert nur Schutz vor öffentlichen Webseiten, die bei Eingabe der Domain alles mögliche an Daten ausspucken, wie die von mir genannten Analytics ID, Mailserver EHLO, Mail Zertifikate, Whois-History, auf derselben IP gehosteten Seiten, Servername, usw.

Es gibt jedoch keine Webseite die freien Zungang zu Daten bietet, die mit den von Dir beschriebenen Methoden gewonnen wurden.

Das interessiert mich auch nicht, wenn Leute für das schnüffeln echtes Geld ausgeben wollen, sollen sie halt. Strafverfolgungsbehörden sind mit entsprechendem Befehl des Richters auch willkommen.

Mich interessiert nur der Schutz vor Massenspionage mit anschliessender Veröffentlichung.

So, jetzt ist Expertenwissen gefragt. Unrealistische Szenarien bitte ausblenden.

Ich werde wahrscheinlich einen LAMP Vserver mit Ubuntu LTS installieren.
Ich weiss bereits, dass ich die Master.cf in Postfix manuell konfigurieren muss, damit für jede IP ein anderer Hostnamen und Zertifikat verwendet wird.
Da ich in einem Datenzentrum hoste, sind auffällige IP in einer Zahlenfolge nicht wirklich ein Problem, da das ja auch andere Kunden des Datenzentrums sein können.

Was muss ich sonst noch machen?
oder woran würde die ganze Überlegung scheitern, wie würde sich der Server über das Netz sonst noch verraten?

manarak
Posts: 86
Joined: 2004-04-04 17:23

Re: Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-20 11:32

gibt SSH pro IP einen anderen Hostnamen und Zertifikat zurück?

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Frage zu Vserver mit mehreren IP

Post by ddm3ve » 2018-06-20 15:19

Ja,

manarak,

wenn du wirklich konsequent sein wolltest, dann solltest Du nach Möglichkeit unterschiedliche Betriebsysteme patchlevel usw. auf den vServern betreiben. Oder allgemein wenigstens in den Protokoll Headern die Ausgabe an von Versionen und weiteren Informationen unterdrücken. Du kannst das Ganze sehr paranoid betrachten und natürlich von Redundanzen in Deinem Setup auf Möglichkeiten zu Rückschlüsse zu "Dir" schließen.

Oder Du lässt die Kirche im Dorf gibt's einem Host mehrere IPs und trennst es dort am Apache auf.
Eigenständige Benutzer und Passworte je IP oder sogar Domain.
Eigenständige Registrare u.a. bei den Zertifikaten. Adressdaten wechseln, sofern möglich.
Gleiches gilt für die Domains.
Jede Domain oder IP Gruppe und deren Domain bekommt einen eigenen Mailserver und natürlich auch SSL Zertifikate.
Keine Zertifikatsbundles welche die Verraten könnten und Zertifikate anderer Domains anderer IP Gruppen beinhaltet.
Tja und dann noch kleine aber feine Unterscheide einbauen.
Sprich der Apache an vServer 1 meldet sich anders als auf vServer 2.
Portknocking bei vSever 3? SSL Zertifikate von einer anderen Zertifizierngsstelle?

Wie sieht es mit Deinen IPs aus?
Hast Du ggf. ein IP Range /27 Netz, auch das ist verräterisch.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

manarak
Posts: 86
Joined: 2004-04-04 17:23

Re: Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-20 17:27

es ist noch nichts gebucht, bin ja am sondieren der Möglichkeiten und der un-Möglichkeiten.
Ich hatte mir vorgestellt, den Hoster um einzelne, nicht sich folgenden IPs zu bitten.

Ich möchte nochmals betonen, dass ich mich nicht gegen Profis verteidigen möchte, die eine gezielte Analyse des Servers machen. Es geht mir nur um Massenspionage durch öffentliche Websites, die nicht speziell meinen Server aufs Korn nehmen.

Die SSH Frage ist noch offen?
Wie verhält sich SSH bei mehreren IPs? Muss es speziell konfiguriert werden?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu Vserver mit mehreren IP

Post by Joe User » 2018-06-20 22:33

Ja, OpenSSH muss wie jeder andere Dienst passend konfiguriert werden.


Ich verstehe aber immernoch nicht Dein Problem mit den "Schnüffelsites", denn alles was die machen, kann auch jeder andere Internetnutzer mittels traceroute, telnet und whois machen und das auch noch minutenaktuell und nicht wie diese Websites mit meist veralteten Daten (weil sie ihre Datenbanken in der Regel nur alle 6 bis 36 Monate aktualisieren) verwenden.

Was sollen denn Webhoster machen, wo teilweise mehrere hundert Domains/Webseiten auf einem einzelnen System liegen?

Was Du da vorhast ist security by obscurity und hat noch nie funktioniert, im Gegenteil, oft öffnet man mit solchen dämlichen Spielchen erst potentielle Sicherheitslöcher.


Wie gesagt, wenn Du (warum auch immer) Dein Vorhaben umsetzen willst, dann kommst Du um zwei physisch getrennte Systeme bei unterschiedlichen Hostern nicht herum.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

manarak
Posts: 86
Joined: 2004-04-04 17:23

Re: Frage zu Vserver mit mehreren IP

Post by manarak » 2018-06-21 10:24

Du verstehst mich falsch, Joe.
Das Ziel ist nicht Security, sondern das Ziel ist genau Obscurity.

Mit Whois usw. kommt man bei mir nicht weiter, und mein Ziel ist es eben dass man mit Telnet (? waas? telnet??? wer lässt heutzutage sowas noch offen??) oder traceroute und allen anderen nach aussen nutzbaren Diensten des Servers auch nicht weiterkommt und nur die entsprechende IP mit den dazugehörigen Domains sieht und sonst nix.

Das Problem mit den Schnüffelseiten ist eben dass diese in die Privatsphäre der Seiteninhaber eindringen wenn diese nicht vorsichtig genug sind, und z.B. aus Bequemlichkeit die gleiche Google Analytics Stammnummer auf mehreren Webseiten benutzen.

Das Hauptproblem ist nicht an sich dass jemand/Einzelpersonen gezielt diese Informationen herausfinden, sondern vielmehr dass diese Informationen dann öffentlich publiziert werden und in Google und anderen Suchmaschinen zu finden sind, und genau das machen diese Schnüffelwebseiten indem sie automatisiert Informationen zusammentragen und publizieren.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Frage zu Vserver mit mehreren IP

Post by ddm3ve » 2018-06-21 10:39

manarak wrote:
2018-06-20 17:27
Die SSH Frage ist noch offen?
Wie verhält sich SSH bei mehreren IPs? Muss es speziell konfiguriert werden?
Bei mehreren vServer ist das doch kein Problem.
Dem SSHD den Server Banner abklemmen.

Im Grunde gehst Du mit jedem Dienst gleich vor.
Prüfe mit Telnet und anderen Netzwerkmitteln wie sich die jeweiligen Dienste verhalten und was sie alles ausplaudern.
[edit]
Für eine gut Analyse nutze und teste Netzwerksniffer und auch ggf. Nessus oder andere gute Werkzeuge in dem Umfeld. Das ganze natürlich in deinem LAN und eigenen Infrastruktur.
[/edit]
Entscheide für Dich was Sie erzählen dürfen und nicht und stelle es gemäß der Konfiguration des Dienstes ein.

Kurz und undiplomatisch gesagt:
Es ist Deine Aufgabe heraus zu finden was der Server über dich her gibt. Ansonsten musst Du konkreter werden mit Deiner Anfrage.
Dann kann man Dir auch konkret Tipps geben. Aber so ist die Diskussion zu philosophisch und wenig zielführend.
Also analysiere erst mal was auf Deinem Server läuft oder laufen soll.
Dann befasse Dich mit jedem Service sehr genau. Prüfe was da übers Netzwerk geht von Layer 3 -8.
Wenn Du soweit bist, dann geht die Frage los, wie Du die öffentlich ermittelbare Informationen vermeiden willst / kannst.
In machen Fällen bedeutet es, die Software selbst zu schreiben und ggf. kompilieren.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu Vserver mit mehreren IP

Post by Joe User » 2018-06-21 11:51

Die GA-Nummer hat absolut nix mit Privatsphäre zu tun und wenn Du Deine Webseiten nicht durch diese Nummer verbunden sehen willst, dann verwende halt für jede Webseite eine eigene. Wo ist das Problem?

Wenn man etwas veröffentlicht dann macht man es nunmal öffentlich und somit für Jeden weltweit zugänglich. Deswegen steckt das Wort öffentlich auch bereits im Wort veröffentlichen. Wer das nicht will der muss dann halt aufs Veröffentlichen verzichten.

Warum willst Du also unbedingt etwas veröffentlichen was Du vor der Öffentlichkeit verbergen willst? Das macht absolut keinen Sinn.

Oder anders gefragt: Warum genau stört Dich diese "Datensammlung" von Daten die Du selbst absichtlich für jeden zugänglich veröffentlicht hast? Wovor genau willst Du Dich schützen? Warum?


Investiere die Ressourcen lieber in die saubere Administration des Servers, statt mystischen Phantomen nachzujagen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.