Houd je dedicated server in de lucht

Als je een serieuze applicatie draait en de tips in dit artikel nog niet kent dan moet je niet aan beginnen om het zelf te willen doen.

Daarnaast is dedicated niet een term die iets zegt over wie welke verantwoordelijkheid heeft. Het zegt iets over de omgeving en dat deze niet met andere klanten wordt gedeeld. Maar het is niet zo dat als een bedrijf een dedicated server heeft dat dit bedrijf deze dan zelf dient te beheren.

De beheerafspraken en de SLA staan eigenlijk los van het type server. Wat de discussie nog meer vertroebelt is dat in cloud-achtige structuren je niet meer kunt spreken van echt dedicated. Daarom is het beter om over bepaalde performance eisen afspraken te maken. Uiteraard dient er een scheiding te zijn tussen klanten.

Je zou dit ook met een private cloud op kunnen lossen als het volume (qua aantal servers) hoog genoeg is. Een andere trend die ik zie is dat bedrijven hun eigen servers nemen bij een partij als Amazon en Rackspace, maar alsnog niet het beheer willen doen. Er zijn dan partijen die het 24×7 beheer (en beveiliging) voor jou uitvoeren, terwijl je wel zelf een omgeving hebt draaien bij Amazon of Rackspace.

De markt is enorm aan het veranderen de afgelopen jaren en hiermee ontstaan nieuwe soorten dienstverleners. In ons bedrijf zie ik deze verschuiving ook en merk ik dat de klanten de voordelen van de cloud willen combineren met de betrouwbaarheid van een Nederlands support team die de applicatie van de klant echt goed kent.

De opmerkingen van Ian Zein kan ik me helemaal bij aansluiten. Ik kan me echter niet helemaal vinden in sommige dingen die gesteld worden in het artikel.

Ten eerste vind ik de term ‘dedicated server’ een beetje dubieus. Er wordt gesproken alsof het systeem half onder beheer van het hostingbedrijf staat, en half onder beheer van het bedrijf dat de server huurt. Dat lijkt me qua beveiliging direct al niet echt een goede insteek. Geef één partij de verantwoordelijkheid en laat die een goede firewall, een veilige beheeromgeving, en controle en monitoring doen op de server, want gedeelde verantwoordelijkheid is helaas geen verantwoordelijkheid. Daarmee is het dan ook direct mogelijk om (beheer) toegang tot de server te beperken tot een handjevol IP’s, waarbij de eventuele beveiligingsproblemen die hier geschetst worden, drastisch worden verminderd.

“Gelukkig komen dergelijke beveiligingslekken niet vaak voor, hoewel ze voor behoorlijke maatschappelijk ophef zorgen.” De beveiligingslekken die voor ‘maatschappelijke ophef zorgen’ zijn juist maar het topje van de ijsberg. Er worden constant hackpogingen gedaan op servers, op zoek naar lekke (vooral oudere) software. Wanneer ze deze hebben gevonden kunnen ze in veel gevallen volledige controle krijgen over de server, waarbij ze alle data op de server kunnen inzien. Dit moet absoluut niet onderschat worden als je je server en bedrijfsgegevens ook maar enigszins veilig wil houden.

Een DoS-aanval tegenhouden met puur en alleen een firewall is (in het geval van een goede (D)DoS-aanval) helaas niet genoeg. Simpelweg omdat een goede aanval alle bandbreedte opneemt van de server. Hoe snel de firewall dan ook de aanval kan tegenhouden, het is niet mogelijk om downtime van het systeem te voorkomen. De enige goede manier is om meer bandbreedte te hebben dan de aanvallende partij. Een firewall is zeker een goed begin, maar het is niet een oplossing die alle DoS-aanvallen kan tegenhouden.

“De kwaadwillende programmaatjes komen vaak op dedicated servers terecht doordat de gebruikers van deze machines gemakkelijk eigen software moeten kunnen installeren.” Uiteindelijk heeft iemand altijd beheerrechten op een server, waarbij deze gebruiker dus ook rechten heeft om software te installeren. Ik zie niet echt in waarom malware specifiek op dedicated servers meer dan normaal zou moeten voorkomen.

Malware is zoals het artikel stelt inderdaad een zeer schadelijk probleem. Echter volgens mij komt malware veel eerder binnen op een server via bijvoorbeeld een verouderde WordPress-installatie (zie https://forion.com/nl/37/wat-maakt-wordpress-kwetsbaar/?newsID=4 voor meer gedetaileerde informatie daarover). Het is natuurlijk altijd handig om een virusscanner te draaien op het systeem die de software naar de server verstuurt, echter zie ik een aanval via het systeem van de beheerder veel minder snel gebeuren dan een aanval rechtstreeks op de server. Dat is voor een hacker vele malen eenvoudiger.

Afgezien van je site goed in de gaten houden mbt malware (alhoewel dit zeer moeilijk kan zijn zonder tools), is het trouwens ook een goed idee om Google Webmaster tools te gebruiken. Deze heeft de optie om malware te detecteren en geeft je daarbij direct een melding op je e-mailadres, mocht er malware gedetecteerd zijn.

Wat het artikel zegt over inloggegevens/wachtwoorden kan ik me helemaal in vinden. Daarbij raad ik wel aan om een wachtwoordmanager te gebruiken zoals KeePass. Dit is een programma die wachtwoorden versleuteld opslaat, beschermt met één enkel hoofdwachtwoord. Zo kun je dus zeer lange wachtwoorden gebruiken zonder dat je deze op post-its op je scherm hoeft te plakken. Dat zorgt direct ook dat het constant veranderen van je wachtwoorden eigenlijk niet zoveel zin meer heeft wanneer je een wachtwoord 20 karakters of meer hebt. Dit komt omdat het op dit moment niet mogelijk is om een wachtwoord van 20 karakters binnen redelijke tijd te achterhalen. Daarnaast worden inlogsystemen ook steeds vaker beveiligd zodat ze bruteforce inlogpogingen kunnen detecteren en tegenhouden.

Voor meer informatie over een aantal andere aandachtpunten mbt (web)software op een server, zie https://forion.com/nl/37/aandachtspunten-voor-veilige-webapplicatie/?newsID=3

Het stukje van: “Ondernemingen die dedicated servers gebruiken, moeten zorgen dat ze op de hoogte blijven van de nieuwste bedreigingen”, is inderdaad een logische redenering.

Technologie staat nooit stil, dus wees altijd op de hoogte van nieuwste trends zodat je hackers altijd voor blijft!