Eigenen Windows V-Server betreiben: Level an benötigten Kenntnissen, damit es sicher ist?

Hallo!

Für ein privates Webprojekt bräuchte ich noch eine Möglichkeit, das ganze zu hosten und dachte da an einen Windows V-Server eines Providers.

Um es auf den Punkt zu bringen: ich bin Programmierer und habe von Serveradministration und Netzwerktechnik keine Ahnung.

Jetzt ist das mit Root- und VServern ja immer so eine Sache bezüglich der Sicherheit, schließlich ist man für den Server verantwortlich. Da es sich um ein privates Projekt handelt, ist die Sicherheit des Projekts an sich nicht der kritische Punkt.
Aber wenn sich jemand Zugang zu meinem Server verschafft und damit Ärger verursacht (illegale files vertreibt, Kinderpornos hochläd, Spamserver aufsetzt etc.), dann ist das nun mal mein Problem aus rein rechtlicher Sicht.

Jetzt frage ich mich: was muss man bei einem Windows V-Server denn so alles machen, wäre das mit meinen geringen Kenntnissen fahrlässig?
Ich meine, sich per Remote Desktop zu verbinden und regelmäßig nach Windows Updates zu suchen sollte jetzt nicht so das Problem sein, aber ich bin natürlich nicht so naiv zu glauben, dass das alles war.

Die Anforderungen: Eine ASP.NET MVC Anwendung und ein WCF-Service, beide müssen von außen erreichbar sein, sonst nichts.

Da ich überhaupt nicht einschätzen kann, welche Aufgaben auf einem zukommen, bin ich auf eure Kommentare gespannt.

Ich würde ja ansonsten einfach auf Windows Azure setzen und bräuchte mir den Kopf nicht zu zerbrechen, vor allem, da ich beruflich täglich mit der Plattform arbeite. Allerdings bekommt man für den Monatspreis einer Small instance ja schon den dicksten Rootserver eines deutschen Providers, wohlgemerkt die Datenbank, Traffic etc. noch garnicht dazugerechnet.

Vielen Dank

Hallo carom,

es muss ja nicht gleich Azure sein. Es gibt ja auch Managed Server.

Was die nötigen Arbeiten angeht, kann ich nicht viel sagen. Aber aus der Differenz des Preises zwischen einem nicht verwalteten und einem unverwalteten Server kannst du ungefähr den Arbeitsaufwand abschätzen. Natürlich haben die Administratoren beim Web-Hoster einen Stundensatz, den man privat nicht ansetzen würde, anderseits verwalten die die mindestens hunderte von Servern. Das heißt, der Aufwand zu ermitteln, was überhaupt zu tun ist, verteilt sich auch entsprechend viele Kunden. Auch das Doing wird automatisiert. Mit anderen Worten, wenn ein Managed Server 70 Euro im Monat mehr kostet, also vielleicht eine Admin-Stunde, dann brauchst du selber für die gleiche Qualität mindestens 100 Stunden. Das ist natürlich eine naive Rechnung, die viele Faktoren unberücksichtigt lässt. Trotzdem zeigt sie das Grundprinzip. Wenn man sich ständig und ernsthaft über bestehende Sicherheitsrisiken informiert und immer schnellstmöglich die nötigen Gegenmaßnahmen ergreift, ist das ein erheblicher Arbeitsaufwand, der in keinem Verhältnis zu dem Nutzen steht, wenn man ihn nur für einen einzelnen Server treibt.

Also gibt es nur zwei Möglichkeiten: sich mit einem geringeren Sicherheitsniveau zufrieden geben oder jemanden zu beauftragen, der sich damit auskennt.

herbivore

oder jemanden zu beauftragen, der sich damit auskennt.

hofft man zumindestens, garantiert werden kann dies jedoch nicht 😉 aber es entbindet einen wenigstens von einem grösserem Teil der Haftung als wenn man den Server selbst konfiguriert. Das is glaub ich eher der entscheidende Part dabei.

Bei Azure sollte man nicht unbedingt von 0 anfangen; ein paar Anpassungen sind da schon nötig. Zudem musst man die Architektur auch gut überlegen, da Azure hier ein paar Besonderheiten hat, damit man die volle Leistung wirklich ausschöpfen kann.
Wirkt mir aber ein wenig mit "Kanonen auf Spatzen geschossen".

Ein ganz normaler Provider, zum Beispiel domainbox, die auch hier irgendwo im Forum als ASP Hoster aufgelistet sind, reicht da völlig aus - und das zu einem akzeptablen Preis.

Also sich für ein paar Euro einen auf Hyper-V laufendenen Windows Server 2008 R2 im Rechenzentrum zu mieten ist wirklich sehr einfach.
Im Web-Technologie Forum ist irgendwo ein Thread, wo von Erfahrungen mit Hostern berichtet wird. Persönlich habe ich gute Erfahrungen mit Qualityhosting und mit Strato gemacht.

Bei den Server gibt es häufig die Auswahl ob mit Plesk, oder ohne. Ich habe persönlich zwei Server mit Plesk gehabt und kam da gar nicht drauf klar, weil Plesk entweder Fehlermeldungen geworfen hat, oder weil sonst was kaputt war. Daher rate ich aus meiner persönlichen(!) Erfahrung dazu, einen Server ohne Plesk zu mieten.

Je nach Hoster sind sogar schon die passenden .Net Frameworks installiert.

Was man dann halt können muss ist:

• IIS einrichten, aber das sollte man lokal ja sowieso können und nicht mit Cassini entwickeln
• Datenbank, falls benötigt: Microsoft SQL Server aufsetzen können, sofern deine Anwendungen auf MSSQL setzt.

Damit bist du eigentlich schon fast fertig.
Komfortfeatures sind Sachen wie FTP-Server und die MSSQL Instanz für Remotezugriff mit dem Management Studio einstellen, wobei hier dann auch Firewall Settings angepasst werden müssen. Firewalls Einstellungen zu ändern ist einfach. Eine MSSQL Instanz für Remotezugriff einstellen ist das erste mal schon sehr nervig, aber mit maximal 2-3 Stunden sollte das googlebar sein (hmm, das bringt mich auf eine Artikelidee 😉 )

Damit bist du eigentlich schon fast fertig.

(Da mich das Thema auch interessiert:) Ist der Windows-Server also standardmäßig schon "sicher" konfiguriert?
Also sprich: Ist es leichtsinnig, eine "cleane" Server-Installation einfach so am Netz hängen zu lassen?

Davon abgesehen, dass hier ein V-Server für die beiden Appikationen - sofern sie nich unmengen an Ressourcen fressen - absolut oversized wäre; und es wohl ein Managed Hosting güstiger und einfacher machen würde, bezweifel ich sehr, dass die Windows Server bei den ganzen Anbietern schon gehärtet sind.

In meinen Augen ist es auch leichtsinnig ein nicht gehärtetes System ins Netz zu hängen. Die *Server-Core-Versionen haben mit noch die beste Basis für ein Hardening; aber eben halt auch keine GUI.
Basis-Ändeurngen für eine Härtung muss aber ja jeder selbst machen; wenn das ein Provider nach Schema F macht, dann ist es auch kein wirkliches härten.

Hallo,

ich habe einen Windows-V-Server in Betrieb und dabei folgende Sicherungsmaßnahmen durchgeführt:

* Kein Plesk
* Administratorkennwort mind. 20 Zeichen lang (mit Umlauten, Sonderzeichen, Zahlen,...)
* RemoteDesktop-Port geändert
* Windows-Firewall konfiguriert und nur die Ports geöffnet die gebraucht werden.
* jedes Programm/Dienst von mir läuft unter einem eigenen, eingeschränkten Benutzerkonto (FTP, Apache, ...)
* Die Nutzdaten sind in einem Truecrypt-Volume abgelegt

Was ich noch vorhabe:
OpenVPN installieren und die Verwaltung über den VPN-Tunnel durchführen.

Das ist bestimmt nicht die ultimative Lösung, aber da der Server nur von einem eingeschränkten Benutzerkreis verwendet wird, denke ich, dass es ausreichend ist.

Ist der Windows-Server also standardmäßig schon "sicher" konfiguriert?

Ich habe Windows Server 2008 und Windows Server 2008 R2 nun bei insgesamt 4 verschieden Hostern gehabt und sofern die Firewall an ist (sollte bei allen standardmäßig der Fall gewesen sein), habe ich noch keine Probleme erlebt.
Auch bei eigenen Installationen auf einem Hyper-V, also wenn die Installation komplett frisch vom Image ist, musste ich nichts weiter einstellen, an das ich mich jetzt erinnere.

Also sprich: Ist es leichtsinnig, eine "cleane" Server-Installation einfach so am Netz hängen zu lassen?

Alle angebotenen Windows Updates durchlaufen lassen ist auf jeden Fall empfehlenswert.

Wie auch schon oben von jemand anders erwähnt, ein gutes Windows-Passwort für Remotezugriffe ist auch zu wählen.
Ich habe auch schon oft Angriffe gesehen, bei deinen ein Remotezugriff auf Benutzeraccounts wie "Administrator" oder "Admin" versucht wurde. Daher am besten diesen Konten gar nicht haben, sondern einen anderen User dafür anlegen.

Vielen Dank für die Antworten. Auch wenn die Meinungen geteilt sind, so hat mich der Thread doch eher dazu bewegt, das ganze mal anzugehen. Werde den VServer halt regelmäßig beobachten.

edit:

Bei Azure sollte man nicht unbedingt von 0 anfangen; ein paar Anpassungen sind da schon nötig. Zudem musst man die Architektur auch gut überlegen, da Azure hier ein paar Besonderheiten hat, damit man die volle Leistung wirklich ausschöpfen kann.

Rein aus Interesse: könntest du bitte ein paar kurze Sätze dazu schreiben?
Also welche Anpassungen du grob meinst, welche Besonderheiten für volle Leistung. Braucht nicht ausführlich sein, kenne die Plattform schon etwas.

Damit wollt ich eigentlich nur sagen, dass man eben die Arbeitsweise von Azure bei der Entwicklung beachten sollte. Themen waeren Azure Throttling oder Azure Elastics.
Wenn die Applikation bzw. die Art oder Umsetzung der Applikation nicht fuer verteilte Systeme geeignet ist, bringt einem Azure im Hinblick auf Performance auch nicht viel.

Dazu hat aber MS ein paar Guides veroeffentlicht.

Sind vor allem Queues, Connections, Pools, Threads etc auf die man achten sollte.
Sollte man so oder so, aber im Hinblick auf Azure noch mehr. Bei Channel9 gabs glaub mal ne PDF oder Video-Serie dazu. Azure Tips and Tricks

Hallo Abt, vielen Dank. Ich war erst irritiert - das von dir genannte sind allgemeine Tipps und nicht speziell auf die Sicherheit bezogen, richtig? Das war oben nicht genau herauszulesen.

Wenn die Applikation bzw. die Art oder Umsetzung der Applikation nicht fuer verteilte Systeme geeignet ist, bringt einem Azure im Hinblick auf Performance auch nicht viel.

Jop, soweit komme ich noch mit. Mit Azure Throttling und Azure Elastics hatte ich bei Google nicht arg viel Erfolg, dürfte ich dich bitten, nur zu diesen 2 Themen einen Link zu posten? Damit wäre mir geholfen. Throttling kannte ich bisher nur als Eigenheit bei SQL Azure, zu Azure Elastics spuckt Google auf Platz 1 übrigens einen anderen Post von dir im Forum hier aus 😄 (bei welchem ich deiner Aussage zur Virtualisierung in Azure nicht ganz zustimmen kann, ich denke das ist pure Virtualisierung).

Danke nochmal.