OVH Community, your new community space.

Sicherheitspolicy: Einige laufende Arbeiten


oles@ovh.net
24.06.09, 17:56
Guten Tag,

wir nähern uns der 60'000 Server Marke, und einer der Hauptgründe dafür ist, dass immer mehr von Ihnen Virtualisierung auf den Servern von OVH verwenden. Dies hängt zum Teil an unseren für diese Nutzung vorbereiteten Distributionen, den Failover-IPs, den Loadbalancing IPs und allen Diensten, die wir zusätzlich anbieten (vKVM, Hardware KVM, Firewall). Vor allem aber gibt es derzeit allgemein eine grosse Nachfrage auf diesem Markt (Einsparungen machen zu können ist immer gut). Wir haben unsere technische Infrastruktur angepasst, um Ihnen Virtualisierung anbieten zu können, aber heute sind wir mit dem, was wir Ihnen anbieten, nicht mehr zufrieden. Wir können das besser machen, und wir werden es besser machen. Warum? ... Weil ich es will!

Beispiele für Dinge, die wir noch verbessern können:

- Eine virtuelle Maschine, die auf einem Server läuft, wird gehackt und
startet Angriffe, spooft das Netzwerk usw. Derzeit erkennen wir, dass das Problem vom physischen Server ausgeht, und sperren den ganzen Server, anstatt nur die betroffene virtuelle Maschine zu blockieren.

- Unser Netzwerk schützt sich gegen Server, die mit den MACs unseres
Netzwerks "herumspielen". Sobald wir das feststellen wird automatisch der Port des Servers blockiert (Cisco Human Network, es ist kein manueller Eingriff erforderlich). Das Netzwerk hat das Problem beseitigt, indem es den Server vom Netz getrennt hat, und kann somit ohne Beeinträchtigungen weiter funktionieren. Für den Server ist dies jedoch natürlich nicht optimal. Bei der Virtualisierung kann man deshalb die Pakete "routen" oder eben mit den MAC Adressen "spielen". Wir möchten beide Möglichkeiten anbieten.

Wir werden darum einige Sicherheitsregeln im Netz ändern, um diese neuen Nutzungsmöglichkeiten zu erlauben, aber trotzdem weiter einen "paranoiden" Sicherheitslevel beizubehalten (denn wer im Netz nicht paranoid ist, hat üblicherweise nur eine sehr geringe Lebenserwartung). Deshalb werden wir etwa 30% der Switchs in unseren Racks austauschen müssen (mehr als 400 Stück ... autsch! Das ist dann natürlich schon weniger lustig, aber wo gehobelt wird fallen nun mal Späne...!), um unsere Virtualisierungskunden bei OVH noch glücklicher zu machen - und dabei trotzdem zu verhindern, dass diese glücklichen Kunden alle anderen Kunden beeinträchtigen (die bei OVH auch glücklich sind, aber vielleicht nicht so sehr, wie es die Virtualisierungskunden in Kürze sein werden...).

Um die technischen Aspekte zusammenzufassen: die Kommunikation zwischen dem Server und "dem ganzen Rest" (die anderen Server, Router, das Internet) wird mit einer Art Tunnel gesichert, damit der Server in diesem Tunnel "suspekte Dinge" tun kann, ohne dass dies zu Beeinträchtigungen der anderen Server, der Router und des Internets führen kann.

Was erzählt er denn da eigentlich? Also, sehr technisch gesprochen... dies werden wir in Kürze in der entsprechenden Meldung erklären; also was wir genau machen. Dies ist technisch gesehen sehr komplex, es braucht etwa 4 Seiten, um das Ganze zu erklären.

http://forum.ovh.de/showthread.php?t=6998

Natürlich ändert sich dadurch für 99,99% unserer Kunden nichts. Es wird sich wohl nur für eine Handvoll Kunden, die grenzwertige Dinge tun, etwas ändern. Das ist alles.

Alle anderen Kunden werden es lieben, denn wir werden dann mehr Dinge erlauben können, und haben trotzdem weiterhin ein sehr gut abgesichertes Netzwerk.

So, das wars

Mit freundlichen Grüssen

Octave