DDoS Filter für den kleinen Geldbeutel

Man nehme drei VPSes von BuyVM mit https://buyvm.net/kvm-dedicated-server-slices Voxility Filter in Luxemburg.

Das ganze kostet je nach Ausstattung zwischen 15-30€ im Monat und hat einen Durchsatz von circa 1000-3000MBit/s mit Traffic Flat.

Zuvor hatte ich für 15€ einen !350GB Traffic! Filter Service von X4B.net geholt. Bis dieser dann eine Stunde ausgefallen ist und man auf Anfragen nur mit den Schultern gezuckt hat.

Dachte ich mir okay, single point of failure wird beim nächsten Versuch ausgeschlossen.
Daher jetzt drei kleine VPS (1,5-3GHZ 1 CPU Core, ~2GB RAM, ~30GB SSD/HDD reichen völlig!) die in Preis Leistung unendlich mal besser sind als herkömmliche Anti DDoS Lösungen.

Cloudflare Business Angebot 200€ pro Tunnel FÜR EINE WEBSEITE.
Blazingfast Protected TCP Angebot 30€ pro Tunnel FÜR 3 PORTS.
Diverse GRE Tunnel Anbieter die nur auf Anfrage ein Angebot rausgeben, also meist über 200€ im Monat kosten, z.B. Psychz und Incapsula.

Die Konfiguration ist verhältnismäßig simpel!
Dazu leite ich mal auf das BuyVM DDoS Gre Tunnel howto weiter, da ich ja eh schon kostenlos Werbung mache.

X4B.net

Heute kam es, nebst den kleinen UDP Aussetzern durch den Tunnel, was noch ansatzweise verkraftbar war (da UDP derzeit Hauptangriffsziel ist), zu einer längeren Downtime durch X4B.net.

Das nehme ich mal als Grund, einen Erfahrungsbericht zu X4B.net zu erstellen.

Da habe ich natürlich sofort den Support informiert, es ist nicht hinnehmbar das man durch einen DDoS Schutz über 5 Minuten Downtime hat.
Gerade bei einem Service der dies eigentlich um jeden Preis verhindern sollte.

Was bekomme ich als Antwort?

„https://status.x4b.net/incident/1863

If you need high availability you should consider instead of ordering the budget singlehomed locations instead ordering the standard line (with Anycast HA).“

Wahnsinn. Hätte ich nicht sofort jegliches Tunneling entfernt, wäre meine Seiten auch jetzt, anderthalb Stunden später noch down. Dienst sofort gecancelt.

Und natürlich bekommt man kein Geld zurück! Auch bei einem Dienstausfall nicht, was imho einem ein Sonderkündigungsrecht einräumt. Ein Grund mehr den Laden zu meiden.

Habe als Abschluss auf das Ticket noch gefragt, ob die Herren eine Empfehlung hätten, wie ich die Änderungen dessen GRE Tunnel Script rückgängig machen kann und natürlich eine grantige Antwort, „Simply remove anything you have done, and reboot your server.“, zurückbekommen, mit anschließender Ticketschließung.

Zuvor hatte ich einige negative Erfahrungsberichte auf Google gefunden, es aber nicht weiter hinterfragt, da ich mir von sowas gerne selbst ein Bild mache.

Damit kann ich als Fazit nur eine klare Warnung ausgeben, X4B.net als DDoS-Schutz nicht einzusetzen. Der Support ist wirklich durchweg zynisch und grantig.

Als Anhang schreibe ich hier noch ein HowTo für’s manuell die GRE-Tunnel Script Änderungen rückgängig machen drunter.

Zuerst um mit dem Webserver wieder auf eure normale IP zu hören, falls ihr den Webserver nur auf die interne IP horchen lasst:
sed -i — ’s/10.16.0.x/EURE_SERVERIP/g‘ configfile.cnf (oder als wildcard *)
Aus /etc/modules die entsprechenden Module entfernen (ipip / ip_gre). Aus Kernel entfernbar über „modprobe -r ipip“ bzw ip_gre.
ip rule del from 10.16.0.108/30 lookup X4B0
nano /etc/iproute2/rt_tables (alle x4b zeilen entfernen)

Firefox

Ende September kam es bei Mozilla zu einem wahren Urknall.

Firefox ist plötzlich wieder schnell, schlank und elegant.
Das komplette Gegenteil zu den vorherigen Jahren, wo eine Menge ehemaliger Firefox Stammuser
in Richtung Google Chrome gewechselt sind, weil es einfach schneller war.

War, denn mit den Beta Versionen hat sich das Bild geändert.
Ich teste es schon eine Weile und muss sagen, es überzeugt mich voll und ganz.

Mit dem neuen Theme „Photon“ genannt und der neuen Webengine mit dem Namen Quantum
sieht die neue Firefox Version einfach sehr schick aus und gibt richtig Gas.

Download Links:
Firefox Beta: Firefox Beta, ab hier schaltet Firefox den Turbo ein
Firefox Developer: Firefox Developer, für diejenigen, die gerne kommende Technologien testen
Firefox Nightly: Firefox Nightly, für die, die es gerne topaktuell haben wollen

Das ganze gibt es auch noch Mobil für Android & iOS

Vielen Dank an Jonas Engels und Maximilian Korte für das Einspielen dieser Informationen!

Hetzner AX60-SSD Server

Ich bin vor kurzem auf Hetzner AX60-SSD Server umgestiegen, weil mein bisheriger Provider mir Dumm gekommen ist und mir unnötige Probleme bereitet hat.
Zudem wollte ich von diesem argen Virtualisierungsoverhead los kommen.

Erstes Manko: Von den zwei bestellten Servern hat sich einer nach kurzer Zeit verabschiedet. Die Daten blieben erhalten, wohl ein defekter RAM Riegel gewesen.

Damit ist es auch schon das letzte Manko, zum Preis von 70,21€, gerade im August ohne die happigen 141,61€ Setupgebühr (zwei Monatsmieten), ist der Server ein richtiges Schnäppchen.

Ein dritter Billigserver aus der Serverbörse dient hierbei als Datenspeicher und Backupserver. Auch laufen dort Gameserver, wodurch sich dieser Server vollständig über Freunde refinanziert.

AX60-SSD 1 Webserver nginx, mailserver, PHP5/7, Mastodon, VPN Client Verbindung zu Server 2, GRE-Tunnel X4B
AX60-SSD 2 DBserver Mariadb, backup-mailserver, VPN Server, GRE-Tunnel X4B
SB41 1 Gameserver, Backupserver, Radiorivendell.de/VoA Relays über dedizierte IPs, GRE-Tunnel X4B

Somit ist der MySQL Server nur über VPN IP und der Webserver nur über X4B DDoS Schutz erreichbar.
Zusätzlich sind die Gameserver über X4B gegen unliebsame Angriffe geschützt.

X4B.net im Test

Ich befinde mich gerade in der Testperiode von X4B.net, einem Anbieter, der hochwertigen DDoS Schutz verspricht.

Das Panel ist sehr aufgeräumt, der Support zuvorkommend, die PoPs sind gut gelegen.

In Roost, Luxemburg befindet sich der von mir gewählte PoP, wo 100GBit/500Mpps und Burst 500GBit/500Mpps Schutz garantiert werden.
Es gibt noch fünf weitere US-Standorte und einen in Bucharest, Rumänien.

Man kann mittels Reverse Proxy, Frame oder GRE-Tunnel arbeiten.

Ich habe mittels GRE Tunnel Webspace, DB und sogar Voice und Gameserver abgesichert, letztere haben dadurch einen lediglich um 10ms erhöhten Ping und keinerlei Anzeichen von Lags.

Beim DBserver habe ich in letzter Instanz aber doch auf eine interne VPN gesetzt, damit die IP des DBservers geheim bleibt und nicht von außerhalb nutzbar ist.
Somit erhöht sich die Dauer der DB Anfragen von 0.5ms auf 2ms und nicht auf 10ms und führt vor allem nicht aus dem RZ raus (wenn auch durch GRE Tunnel geschützt).

Die Preise sind, wenn wir uns die 200$ von Cloudflare Business angucken, absolut okay.

Antivirus Subscription Modelle

Ich habe mir mal die aktuellen Subscription Modelle der Antivirenbranche angeschaut und getestet.

Avira Prime
Die All inclusive Variante vom relativ verhassten Avira kommt mit unbegrenzter PhantomVPN Nutzung, Systembeschleunigung, Antivir und anderer Kleinigkeiten.
Es erkennt Eicar schon beim Download.
Die Sache ist nur die, das Avira Prime zuletzt unbrauchbar wurde, da es zu Inkompatibilitätsproblemen mit Windows 10 gekommen ist und knapp einen Monat nichts dagegen unternommen wurde.
Somit ist diese Subscription nicht empfehlenswert.

Panda Security Protection Complete, 6€ im Monat, erster Monat frei
Es erkennt Viren, nicht wirklich Proaktiv, erst beim draufklicken.
Es besitzt hier und da ein paar Gimmicks wie Systembeschleunigung etc.
Was diese Software überhaupt nicht empfehlenswert macht, ist die Tatsache, das deren Accountregistration defekt ist.
In der App heißt es ständig „verifizieren sie ihren Account“. Jedoch, wenn man auf den im Spam Ordner gelandeten Link klickt, bekommt man eine „authorization required“ Meldung
und bekommt seinen Account einfach nicht aktiviert. Als ich dann nach etwa 3 Tagen eine Antwort auf mein Ticket diesbezüglich bekam, gab es nur ein „wir haben einen neuen Verifizierungslink geschickt“, jedoch ist bis heute nicht angekommen. Und jetzt die Krux! Will man sein Abonnement beenden, muss man sich mit seinem Panda Security Account anmelden, welcher ja dummerweise nicht freischaltbar ist! Immerhin kann man auch per E-Mail über den Support die Subscription deaktivieren. Scheinbar beschränkt sich Panda Security damit selbst auf den spanischen Markt, wenn sie keinen Wert drauf legen das man sich vollständig registrieren kann.

Also: Kauft euch einfach ein Jahresabo bei einer bekannten AV-Firma. Mein Tipp: Bitdefender. Aber wartet auf Angebote, die gibt es fast immer. Wer AV-Lösungen zum Vollpreis kauft, hat zu viel Geld.

LiquidSky

Habe mal eine Woche LiquidSky angetestet. Es ist ein Remote Desktop Dienst der besonderen Art.
Unterstützt von Nvidia Grid GPUs, 1GBit/s Anbindung, flottem NAS Speicher und Intel CPUs vermag dieser Dienst einige Spiele auf 60 FPS zu spielen,
es kennt aber auch seine Grenzen, z.B. lässt sich The Witcher 3 natürlich nicht mit maximaler Qualität zocken, ohne zu ruckeln.

Allenfalls für WoW stelle ich mir die Dienstleistung als sinnig vor, sofern man richtig alte Hardware besitzt und seine 1-2 Stunden Spielzeit am Tag genießen möchte.
Anfangs gab es allerdings Probleme, gerade in WoW, was das Mouse Capturing anbelangte. So wurde die Kamera verzogen, wenn man mit der Maus rechts klickte.
Dieser Fehler wurde kurze Zeit später wohl behoben.

In CS:Go und DayZ hat man zwar gute FPS, aber den Input Lag bemerkt man doch deutlich, vermutlich auch dann, wenn man in Frankfurt selbst wohnt.

Wer das ganze mal testen möchte, kann das gerne auf https://liquidsky.tv tun.
Entweder als Pay-to-go, oder als Monatsabo.
Bei letzterem hat man den doppelten Festplattenspeicher zur Verfügung.

Ab einer Nvidia ~GTX 1000er mit Intel i5 wird man bei Liquidsky keine bessere Performance mehr erzielen als lokal.

Hardenedbsd

Ich migriere momentan meine Server von Debian, Ubuntu, Fedora und co. auf Hardenedbsd.
Wo Hardenedbsd nicht verwendet werden kann (z.B. wenn es auf lib32 compatibility ankommt, beispielsweise i386-wine) nutze ich das klassische FreeBSD.
Ein einfaches „pkg install htop nano screen“ installiert eine Prozessübersicht, den nano editor, screen, die Abhängigkeiten und den pkg installer selbst.

Das Projekt ergänzt die standard „hardening“ Settings von FreeBSD um ASLR, PIE, SEGVGUARD, mprotect Verbesserungen, sysctl hardening, network stack hardening, file integrity enforcement, boot hardening, procfs hardening, libressl an Stelle von OpenSSL(wegen Heartbleed gemeidet), TPE, SafeStack, CFI.

Also einiges um Memory Leaks, Overflows, erraten von Prozessen sowie generelle Sicherheitsprobleme zu verhindern.

Ein Feature Vergleich ist hier zu finden.

Zwei gängige Festplattensysteme stehen zur Auswahl, UFS oder ZFS.

UFS ist sehr alt und stabil, wird natürlich weiterentwickelt. Es beherrscht die Basics.
ZFS ist neu und hat eine Masse an Features. Dabei geht einiges an RAM drauf.

Zur Geschwindigkeit habe ich noch nichts Eindeutiges feststellen können, daher habe ich mich für UFS entschieden.
Zudem gefällt mir dieses Oracle Solaris ZFS Rechtedebakel nicht sonderlich.

Bisher gefällt mir hBSD aber sehr.
Das einzige Manko, wie oben geschrieben, ist der fehlende 32bit Support.
Versucht man z.B. i386-wine zu nutzen kommt nur ein „exec: /usr/local/bin/../bin32/wine: Exec format error“.
Es hat auch was Positives, da man den Extraballast nicht hat.

FreeBSD und die Derivate wie HardenedBSD nutzen einen tickless (mit 1000HZ eingestellt) kernel, das heißt, das bei den meisten sehr interaktiven Prozessen, wie z.B. Gameserver mit gut 30% Lasterhöhung gerechnet werden kann (im vergleich zu Debian, welcher mit 250HZ tick kernel läuft), gleichzeitig erhöht sich beim Gameserver die „Qualität“. Sogenannte EPS Server schwören auf tickless als bestes Spielerlebnis.

Gefühlt läuft BSD runder als Linux. Sachen lassen sich schneller entpacken, die Webserver Antwortzeit ist in der Tat etwa 40% schneller.
Zukünftig lasse ich alle Server unter HardenedBSD laufen(mit Ausnahme von plex und zimbra, da diese Programme einfach für CentOS konzipiert sind), sicherheitstechnisch einfach ausgeklügelter und dazu noch schneller.

Ein weiterer Vorteil ist mein direkterer Draht zu den Entwicklern. Und wie es sich für Partner gehört, habe ich noch einen Spiegelserver unter http://hardenedbsd.de eingerichtet. DE Domains sind cheap, also warum nicht?

Eigentlich bin ich mittlerweile ein Fan der „Never touch a running system“-Philosophie, aber die Vorteile überwiegen diese meiner Meinung nach.

Natürlich wird jedes zu migrierende Projekt erst auf 100%ige HardenedBSD Tauglichkeit gecheckt um unnötige Downtimes zu vermeiden.

Bisher auf HardenedBSD migriert: chrony-ntp, teamspeak, radiorivendell relay sowie den Haupt-Mariadbserver
Bisher auf FreeBSD migriert: gameserver
Bleibende Systeme: Zimbra Mailserver(CentOS), Plex Mediaserver(CentOS)