Search results for: firewall

pfSense Firewall auf gebrauchter Hardware – lohnt sich das?

Kaufmännisch und im Hinblick auf Zuverlässigkeit ist gebrauchte Hardware für eine professionelle Firewall durchaus eine Überlegung wert.

Werfen wir einen Blick auf den Kostenvergleich und dazu gebe einige Erfahrungen mit gebrauchter Hardware zum Besten.

Wer eine oder mehrere Filialen hat, und/oder in seinen Firmenräumen WLAN für Betriebsfremde oder Besucher anbieten möchte, kommt um eine gute Firewall nicht herum. Als wahres Universalgenie hat sich hier die pfSense herauskristallisiert, da es sich um eine skalierbare Lösung handelt, die nahezu jede Anforderung abdeckt. VPNs, Proxy, Antivirus, Certificates und derlei mehr sind mit pfSense konfigurierbar – je nach Hardware.

Die Software basiert auf FreeBSD und lässt sich auch auf PC-Hardware oder in Virtuellen Maschinen installieren. Da diese Systeme 24/7 in Betrieb sind, hat eigens für Firewalling/Routing abgestimmte Hardware durchaus ihre Berechtigung: diese braucht zumeist weniger Strom als vergleichbare PCs. Hauptsponsor und Lieferant der pfSense-Firewalls ist Netgate, ein Texanischer Anbieter ebensolcher, auf Routing und Firewall abgestimmter, Systeme. Aber die Amis lassen sich die Systeme auch ganz gut bezahlen, was immer wieder ein Grund ist, sich nach Alternativen umzusehen.

Probieren wir es aus:

gebrauchte Hardware WatchGuard Firebox mit pfSense Firewall für den professionellen Einsatz

WatchGuard Firebox: gebrauchte Hardware mit pfSense Firewall für den professionellen Einsatz

Für ein Projekt haben wir uns nun eine gebrauchte WatchGuard Firebox zugelegt, und da pfSense drauf installiert.

Das Gerät fanden wir gut, weil es 8 Gigabit-LAN-Anschlüsse an der Geräte-Vorderseite hat, und der Rest der technischen Daten war auch OK. Der Massenspeicher ist eine CompactFlash Card – im Original mit 256 MB – wir haben eine 4GB-Karte eingebaut, aber dazu später mehr. Das Gerät hat sogar einen Festplatten-Einschub, mit einem stärkeren Prozessor wäre sogar ein Proxy-Cache kein Problem.

Die Watchguard hat 8 Gigabit-Ports, von denen wir allerdings „nur“ 6 benötigen, vergleichbar wäre das mit der NetGate SG4860, von 19-Zoll Formfaktor und dem moderneren Prozessor mal abgesehen. Das werfen wir mit den 2 extra-Ports in die Waagschale, dann passt es wieder. Die NetGate liegt bei 800 $, also mit Versandkosten bei rund 800 Euro – das soll als Größenordnung reichen. Der Zoll möchte zwar 19% Mehrwertsteuer haben, aber das ist in einem Betrieb mit derartigem Bedarf irrelevant. In einem anderen Projekt haben wir die 19-Zoll Variante mit Extra-Disk eingesetzt, die schlug dann deutlich kräftiger zu Buche.

Dagegen bekommt man die Watchguard 1250e für knapp unter 400 Euro; es gehen auch mal welche für 200 raus, aber auch andere für 500. Die 400 Euro nehmen wir als kalkulatorische Größe.

Die Installation:

Um pfSense darauf zu installieren, benötigt man ein Nullmodemkabel, einen seriellen Port oder passenden USB-Adapter (siehe Bild), eine CF-Card mit 2 oder 4 GB, ein Lesegerät dafür als Werkzeuge, und das KnowHow und die Befähigung, damit auch umgehen zu können. Serielle Konsole und Diskimages sollten bekannt sein.

Allein die pfSense-Installation schreibt zwar knapp 60 Minuten auf die CF-Card, in der Zeit kann man aber die anderen Dinge Erledigen (BIOS Flashen etc) die zu tun sind. Nach der Grundinstallation muss man noch einige Anpassungen vornehmen, z.B. die Software für das LCD und die Kontrollampen installieren. Aufwand: ca. 2 Stunden – allerdings nicht beim ersten mal.

Wie das geht, teile ich am Ende des Artikels.

Die „Rechnung“

Sagen wir mal, als Installationspauschale 200 Euro, dann könnt man das als Service machen (hierbei ist allerdings die Garantie-Frage offen – speziall das BIOS-flashen ist nicht risikolos). Dann bleiben 25% reine Kosten-Ersparnis. Das Ergebnis zur neu gekauften Variante ist gut, hat aber: keine Garantie mehr, ältere Prozessoren (und damit bestimmt auch einen höheren Stromverbrauch), aber dafür 2 Ports mehr.

Benötigt man 8 Ports, hat man weniger die Wahl, bietet NetGate keine Variante mit mehr als 6 Ports an.

Bei kleineren Geräten (2- oder 4-Port) wäre der Aufwand der selbe, bei deutlich geringerem Spar-Potential. Also wenn überhaupt, lohnt es sich nur oberhalb der 4-Port-Grenze. Die Beschaffung der „Werkzeuge“ lohnt schon für eine einmalige Installation (rund 30 Eur).

Ein abschließendes Urteil kann man somit nicht fällen, kommt es doch immer auf die einzelne Situation an. Wer eine Entscheidung sucht, hat hier vielleicht ein paar Hilfen gefunden.

Erfahrung mit gebrauchter Hardware

Einen Rechner / Router / Switch etc., der 2 – 3 Jahre in einem Rechenzentrum gelaufen ist, und der jetzt aus dem Leasing heraus ist und dadurch auf dem Gebrauchtmarkt auftaucht, macht bestimmt keine Probleme. Eine gebrauchte Festplatte von ebay von privat ohne Gewährleistung hingegen, würde ich mir nicht mal ansehen.

Es gibt etliche Händler von gebrauchter Hardware, die genau die Komponenten aus dem ersten Beispiel mit Garantie anbieten.

Wir hatten auch gebrauchte Hardware im Einsatz, interessant sind dann (falls verfügbar) die Betriebsstatistiken. 26.000 Betriebsstunden bei 5 Einschaltvorgängen spricht für Rechenzentrums-umgebung – da kann man sich noch 5 Jahre drauf verlassen – das läuft. Mit derartigen „Kisten“ haben wir in den 15 Jahren Hardware-im-Rechenzentrum bessere Erfahrungen gemacht, als mit manchem Neugerät mit „Kinderkrankheiten“. Festplatten sind allerdings ein anderes Thema.

In unserem Fall sehe ich grundsätzlich zunächst kein Problem darin, eine Firewall als Gebrauchtgerät einzusetzen. Das von uns eingesetzt Gerät kam aus einem Universitäts-Rechenzentrum – also mit an Sicherheit grenzender Wahrscheinlichkeit aus einer klimatisierten Notstrom-versorgten Umgebung.


Links zu Seiten, auf denen steht wie man das macht

Wir sind vorgegangen nach:

https://www.hexhound.com/how-to-flash-pfsense-2-1-to-a-watchguard-firebox-x750e-x550e-ssl-500

Zusätzliche Treiber:

http://www.triebwerk23.de/joomla/index.php/firewalls/watchguard-firebox-x-core-e-x550e-x750e-x1250e-pfsense
Ab Punkt „D“.

Auf dieser Website findet man auch andere Beschreibungen zu pfSense-Installationen auf anderen Embedded-Systems.

 

Netzwerksicherheit ist immer verbesserungsfähig

Netzwerksicherheit: Computernetzwerke sind inzwischen in jedem Büro Gang und Gäbe, sogar in privaten Haushalten finden sich inzwischen mehr Geräte im lokalen Netz, als vor 10 Jahren noch in manchen Unternehmen. Parallel dazu häufen sich die Berichte über Erpressungssoftware, zweckentfremdete Router, Internet of the (broken) things und dergleichen mehr. Zeit für JEDEN, sich über Netzwerksicherheit Gedanken zu machen

Insbesondere dann, wenn ein Internetzugang mehreren Zwecken zur Verfügung steht – z.B. dem Homeoffice und privater Nutzung, oder auch für Geräte die nach aussen kommunizieren, wie Solaranlagen oder Smart-Home-Komponenten, die zumeist bei der Netzwerksicherheit wenig zu bieten haben.

Im Heim- und Small Office-Bereich findet man zumeist die Frtiz!Box von AVM, diese bietet zumindest für WLAN schon mal einen Gastzugang an, damit Gäste zumindest am WLAN partizipieren können, und dennoch keinen Zugriff auf alle anderen vernetzten Geräte haben. Das ist ein guter Ansatz in Puncto Netzwerksicherheit! Aber was ist mit Selbständigen und Freiberuflern, die ihre Bürogeräte sicher wähnen, während der Junior mit seinem Rechner nebenan Seiten ansurft, die Schadsoftware verteilen, womöglich ohne jegliche Software für Netzwerksicherheit, wie Virenschutz o.Ä.? Leider bietet AVM keine Lösung für verkabelte Netztrennung.

In den letzten Jahren ist Fokus von CRNET immer mehr in den Bereich der Netzwerksicherheit gerückt. Bezeichnend dafür sind verschiedene Artikel in diesem Blog über Firewalls und VPNs. CRNET betreut Systeme der Anlagenkommunikation über VPN genau so wie Netzwerkinfrastrukturen in gemischten Büro- und Wohnhäusern. Letztere werden dann mit Multi-Port Firewalls in getrennte Netze aufgeteilt, die verschiedene Berechtigungsklassen aufweisen.

Es geht hierbei nicht nur um Angriffe von außen, sondern auch immer wieder von innen. Ich hab schon Firmen erlebt, die fast hätten schließen müssen, weil Mitarbeiter private USB-Sticks verwendeten, die leider mit Schadsoftware verseucht waren – gleich ab Werk. Oder der kleine Rachefeldzug des gekündigten Mitarbeiters – aber das ist eine andere Geschichte. Diese Dinge lassen sich nur durch ausgeprägte Zugriffsrestriktionen und/oder massive Backups in den Griff bekommen.

In diesem Zusammenhang haben sich Small-Clients als Windows-Terminals bewährt. Inzwischen sind Mini-Computer, wie der Raspberry Pi, oder NUCs durchaus in der Lage, flüssiges Arbeiten im Terminalmodus zu ermöglichen. Damit verhindert man schon rein Hardwaremäßig unerlaubte Zugriffe angeschlossener Geräte.

Diese Konzepte sind allerdings so individuell zu gestalten wie unsere Unternehmenslandschaft und Situationen. Eine pauschale Empfehlung gibt es hier nicht. Wenn Sie unsicher sind, lassen Sie die Dinge von einem Fachmann begutachten. Eine Analyse und gesprochene Empfehlung kann die Sinne schärfen, kostet nicht die Welt und beschert dem verunsicherten Unternehmer vielleicht einen ruhigeren Schlaf.

Gern schaue ich mir an, was man bei Ihnen besser machen kann – kontaktieren Sie mich!

 


Nachtrag/Korrektur: AVM’s Fritz!Box bietet bei etlichen aktuellen Modellen mit aktueller Firmware auch einen Gastzugang über verkabelte Netzwerke auf LAN-Port 4 an. Allerdings lassen sich da keine weiteren Einstellungen vornehmen.


Passend zum Thema fallen mir dazu 2 Werbefilme von HP ein, ignorieren Sie die Werbung und genießen die Unterhaltung – die Message kann nicht vorbeigehen.

Wirklich spannend und kniffelig: Professionelle Sicherheitslösung mit pfSense

Bei einer Softwarefirma wurde eingebrochen – und zwar Datentechnisch.

Der Lieferant für Computer des Unternehmens hat mich als Fachmann für Netzwerke und Firewalling dazu gebeten, die Sache zu begutachten. Ich kann aus Ermittlungs-Gründen hier natürlich keine Details zum unberechtigten Zugriff nennen, darum geht es auch nicht, sondern es soll um die Sicherheitskomponenten gehen.

Die Netzanbindung und Filial-kopplung hat ein uns allen bekanntes Magentafarbenes Unternehmen gemacht. Man sollte eigentlich überlegen, ob man die nich in Regress nehmen kann, denn das war alles Mist:

  1. Was mir als Erstes auffiel war, das nichts geloggt wird – es war praktisch nicht möglich, nachzuvollziehen, wann welche Datenmengen übertragen wurden. War es „nur“ Vandalismus, oder wurden Daten entwendet? Reine Spekulation und Hochrechnung.
  2. Die Filialanbindung lief über IPSec, und es wurde nur der Traffic durch den Tunnel geschoben der Zielnetzrelevant war, also der Internettraffic einer Filiale ging direkt am Router ins Netz. Das mag zwar volumentechnisch richtig sein, aber aus der Sicherheitsprespektive heisst das: Jeder Rechner in einer Filiale ist ein potentielles Einbruchsgateway.
  3. Administrativer Zugriff von aussen lief über Freigaben. Ein Fehler in einem Service wurde somit direkt draußen abgebildet. Das war aber dem 4. Punkt geschuldet:
  4. Die Lizenzpolitik von Telekom und LANCOM – das ist lächerlich und unverschämt. Also mal abgesehen von der wirklich dämlichen Benutzerführung (verdient die Bezeichnung nicht) in der LANCOM-Software, kann man als Benutzer auch kaum VPN für externe Dienstleister zur Verfügung stellen, weil man für jeden Tunnel eine Lizenz braucht – HALLO, GEHT’S NOCH? Genau damit werden Unsicherheitsfaktoren provoziert – ich weiss nur noch nicht, was von Beiden intensiver wirkt.
  5. Achja, ist zwar jetzt nicht Sicherheitsrelevant, zeigt aber die Qualität der Installation: Die Filial-Telefonie (VoIP) war auf einen Audiocodec für LAN eingestellt, ohne Jitterkontrolle, mit den daraus resultierenden Mängeln, die nur wegen der verfügbaren Bandbreite erträglich waren – kein Vergleich zu jetzt.

Lange Rede, kurzer Sinn: wir haben als zentralen Netzwerkknoten eine dicke pfSense mit Contentfilter und Virenschutz installiert, die Filial-VPNs auf OpenVPN umgestellt und leiten den gesamten Client-Traffic durch den Tunnel.

Somit kann nur noch ein einer Stelle eingedrungen werden: an der pfSense, und da kann ich nur drüber lachen, das hat in 15 Jahren Rechenzentrums-Einsatz keiner hinbekommen, und versucht wurde es täglich rund um die Uhr.

Eine Sache war allerdings wirklich knifflig: An einem Standort steht der dortige Internetanschluss nicht exklusiv zur Verfügung, und der erste Versuch war einen Router hinter das NAT-Netzwerk zu stellen, der einen Tunnel Aufmacht, und den Tunnel-NIC nach „innen“ NATed mit Masquerading, das hat auch gut geklappt, nur die IP-Telefonie nicht so richtig. Also haben wir dort einen OpenVPN-Tunnel als transparente Bridge konfiguriert, und nun stehen die Geräte „hinter“ dem Router Netzwerktechnisch direkt in der Zentrale.

Das haben wir übrigens mit einem UBNT EdgeRouter  realisiert: krasse Lernkurve, geniale Systeme und Power ohne Ende.

Tabula rasa machen / Alte Zöpfe abschneiden

Die alten Zöpfe sind längst überfällige Server-Systeme, die sich schon nicht mehr aktualisieren lassen, und die Festplatten, auf denen diese sich befinden werden dann leer wie unbeschriebene Tafeln sein.

Diesen Artikel hier hatte ich im Januar angefangen, aber nie wirklich zu Ende gebracht oder veröffentlicht. Damals hatten wir dem Plan, in der 2. Jahreshälfte mal einige veraltete Systeme abzulösen. Nun haben die Ereignisse die Planung überholt, denn es gibt Probleme auf der Firewall, die sich so leicht nicht mehr lösen lassen. Nun müssen wir eine heftige Hau-Ruck-Aktion machen. Genau wie mit dem alten Text: den hab ich grad gelöscht.

Der Mailserver, ein Kunden-Messaging-System, die letzten RBI Homepages, der Webmailer, das Abrechnungssystem und einige Statische Webseiten werden nun outgesourced oder abgeschaltet oder umgezogen.

Die Details:

Webmail wird es nicht mehr geben. Es gibt darauf nur noch 2 aktive Nutzer, dafür lohnt es sich nicht, die Seiten zu betreiben. Das sah in prä-Mobilfunk-Mainstram-Zeiten noch anders aus.

Aus Sicherheitsgründen wird es auf dem (neuen) Mailserver keine unverschlüsselte Kommunikation und kein POP3 mehr geben.

Die (2) RBI-Homepages werden gesnapshotted und laufen als statische Seiten weiter, bis sich die jeweiligen Domain-Inhaber mal zu etwas anderem entschließen.

Alle statischen Websites kommen hinter einen Proxy in einen Sammelaccount, bis sich die jeweiligen Domain-Inhaber mal zu etwas anderem entschließen.

Alles andere wird umgezogen oder ist mit den Kunden bereits kommuniziert.

Wer auf dem jetzigen Mailserver verschlüsseltes SMTP und IMAP aktiviert hat, der braucht nichts zu machen, der neue Server wird noch für die Gültigkeitsdauer der Zertifikate auf diesen Namen hören.

Der Zeitplan:

Donnerstag oder Freitag nächster Woche wird umgeschaltet (wahrscheinlich in der Nacht Do/Fr, damit die Downtime keiner merkt), der letzte Syncronisierungslauf wird wohl nicht länger als 10 Minuten dauern, und dann ist wieder alles online. Alle manuellen Umzüge werden bis dahin abgeschlossen sein.

Ich hätte das auch gern entspannter gehabt, aber ich kann im Moment den reibungslosen und sicheren (im Sinne von zuverlässig) Betrieb nicht mehr gewährleisten.

Update 27.5.2015, 11:00 Uhr:

Der Zeitplan steht fest: Morgen Abend (Donnerstag, den 28.05.2015)  ab 17:00 Uhr wird der alte Mailserver vom Netz genommen. Dann laufen die letzten Datensyncronisierungen und die IP-Adressen werden umgeschaltet, und dann sollte das neue Ensemble ca. 20 Minuten später wieder online sein.

Kunden die auf andere Server (z.B. die von Artfiles) umziehen, wurden informiert.

Dann geht nur noch IMAP-S  (kein POP3 mehr) und auch SMTP nur noch verschlüsselt. Sollte Ihre Software keine verschlüsselte Kommunikation unterstützen, wäre das ein guter Zeitpunkt auf ein Programm umzusteigen, was das kann. Unverschlüsselte Mailkommunikation ist heutzutage absolut indiskutabel.

Wenn Sie Ihr Konto erst NACH dem Umzug umstellen wollen oder können, dann können Sie gleich die korrekten Servernamen verwenden: „mx.anycast.io“. Der CRNET-Servername wird nur auf einer IP für die Dauer der Zertifikatsgültigkeit abgebildet (also bis Nov. 2016) und ist dann komplett hinfällig. Dahinter läuft ab Umstellung „mx.anxcast.io“.

Wer das ist und wieso dort, berichte ich später.

Webmail wie gesagt gibt es nicht mehr, aber dafür kann ein Web-Messaging-Account (Open Exchange) gebucht werden. Das ist eine Software für Mail, Kontakte, Kalender, Aufgaben, Dateien / Dateisharing im Browser, die auch syncronisation mit Mobilgeräten oder Desktop erlaubt. Die Konditionen stehen noch nicht fest, geplant ist 5,- Euro je User und Monat minimum, aber dafür ist dann schon online-Speicher und mehrere Mailadressen darin enthalten.

 

Hey, da ist ein Update …..

Oder: ein Mausklick verursacht 100 Minuten Stress.
Don’t touch a running System!

Da der Mailserver immer noch nicht outsourced ist, sondern sogar neue SSL-Zertifikate bekommen hat, hatte ich immer noch ein Auge auf die IPv6-Optionen. Allerdings hat unsere Firewall nun auch schon ein paar Tage (über 1000) auf dem Buckel, und da hat es mich doch gefreut, als ich in der Firewall selbst angeboten bekommen habe, diese automatisch auf den aktuellen Stand zu bringen. Dann kann die auch IPv6, und mit SSL ist auch alles besser …

Schnell noch die aktuelle Konfiguration heruntergeladen (man weiss ja nie) und geklickt …. und das war es dann: nichts ging mehr.

Nun sei dazu gesagt, das es sich dabei nicht um „echte“ Hardware handelt, sondern um ein virtualisiertes System, das mittels VLANs die böse Aussenwelt vor den ebenfalls virtualisierten Servern abschirmt. Wenn das Ding aus ist, ist Netztechnisch CRNET quasi nicht existent – zumindest die Systeme, die dort hinter sind. Aber es gibt eben keinen Powerknopf, Monitor, Tastatur – und selbst wenn, sind es immer noch über 300 km bis zum Rechenzentrum, in das ich auch gar nicht hinein komme – auf einen Sonntag um 23:00 Uhr.

Naja – da war kein Kaffee mehr vonnöten. Also den Installer neu laden, auf einen internen Server schieben, die VM davon booten lassen, die Grundkonfiguration eintippen, um ein System hinter der Firewall dazu zu motivieren, die gesicherte Konfiguration von meinem Rechner herunterzuladen, um diese dann intern auf die Firewall hochzuladen, um festzustellen, das das Netzwerkkarten-Mapping nicht passt, um den Downdload/Upload-Stunt dann nach manuellem Patchen der 25 MB-XML-Konfiguration und neuer Installation und Basiskonfiguration erneut durch zu spielen, damit es wieder läuft.

Klingt verwirrend? War es auch! Und belastend, weil das Ergebnis, bis es wieder lief, eben nicht sicher war.

Zur Not hätte ich die 25 MB abtippen müssen  – naja, nicht ganz, die alten Statistikdaten hätte ich weggelassen.

Nun ist es aktuell, und dann kann ich mich ja auch mal bei Zeiten um IPv6 kümmern.

Aber den Updateknopf, den fass ich da nicht mehr an, dann mach ich es lieber gleich neu!

 

Vorbeigerauscht – schon wieder Dezember

Jetzt ist schon wieder Dezember, die Weihnachtsmärkte sind eröffnet, und man bekommt einen Schreck darüber, was man in diesem Jahr noch nicht geschafft hat. Ob das dann alles in die letzten 4 Wochen des Jahres passt?

Nachdem der erste Schreck nach dem Kalenderblick abgeklungen ist, hab ich mir angesehen, was denn eigentlich geplant war, und da werd ich die Punkte mal abhaken.

Zu Punkt 1:  IPv6 ist inzwischen im Rechenzentrum angekommen, aber in Hinblick auf die langfristige Planung, die einen Ausbau des Outsourcing vorsieht, derzeit nicht im Fokus. Da wir recht viel mit NAT hinter der Firewall arbeiten, stünde der Aufwand in keinem Verhältnis zum Mehrwert. – gestrichen –

Zu Punkt 2: Erledigt 🙂

Zu Punkt 3: Unverändert

Zu den Punkten 4 bis 6: Nix ist bautechnisch passiert – und damit alles +1 Jahr verschoben.

Zu Punkt 7: Erledigt 🙂

Na, ist doch alles ganz gut gelaufen. Wenn ich dabei berücksichtige, das ich durch nicht-dienstliches stark beansprucht wurde, dann kann ich nicht meckern.

Na dann bleibt noch meinen Lesern und Kunden eine besinnliche Adventszeit, ein gesegnetes Weihnachtsfest und einen guten Rutsch ins neue Jahr zu wünschen – wir lesen uns spätestens 2015.

Ihr

Christian Rehkopf

 

Serverkeller gibt’s hier nicht

Ich war eben direkt erschüttert, als ein Kunde mir mitteilte, das in seinem Betrieb die Annahme besteht, das CRNET auf Servern Webhosting betreibt, die hier (oder woanders) in einem Keller stehen.

Nein, diese 90er Jahre Serverkeller gibt es seit 2002 bei CRNET nicht (mehr).

In der Tat war das sogar mal so, denn Rechenzentren waren mal viel teurer, als das heute der Fall ist. Die Firma, die ich vor CRNET geführt habe (1999 – 2002), hatte in der tat noch einen Serverkeller, aber mit der Umstrukturierung 2002 sind deren Systeme zusammen mit meinen aus den damaligen Geschäftsräumen in Berlin Schöneberg  in das LEVEL3-Rechenzentrum in Berlin umgezogen. Der Serverkeller davor hatte eine 2 MBit Anbindung mit 1 Mbit SDSL Backup, ein Klimagerät und eine Batterie-USV für ein paar Minuten. Die Bandbreitenauslastung lag zuletzt bei 30%, damals waren Internetzugänge noch per Einwahl über Modem und ISDN üblich. Das folgende Quartier hatte eine 10-MBit Anbindung direkt an verschiedenen Backbones, echte Notstromversorgung, sowie Brand- und Überschwemmungsschutz. Wir hatten einen kompletten 19 Zoll Schrank gemietet

Wenn ich jetzt schon mal dabei bin, kann ich ja einen Abriß geben.

2005 ging es dann in das Rechenzentrum in der Berliner Alboinstraße, zusammen mit einem Hardwareupdate. Die gesamte Hardware wurde erneuert und aus dem kompletten Schrank (40 HE) wurden 6 HE bei 2 Servern mit 100 MBit Anbindung. Da diese Systeme komplett fern-administrierbar waren, ist das Büro anschließend nach Beelitz gezogen. Auf diesen Systemen hat CRNET dann auch mit der Virtualisierung angefangen.  2008 wurde dann vollvirtualisiert und 2009 der Unterbau dann auch angeglichen. Dann gab es Server, Massenspeicher und Firewall jeweils getrennt: getrennt als Maschine und getrennt von den Services.

Und danach (Ende 2009) einen weiteren Wechsel des Rechenzentrums, diesmal in das Rechenzentrum Mitte. Das Virtualisierungssystem wurde kontinuierlich erweitert, aber es stieß dann doch an seine Grenzen. Die Lösung dafür haben wir im Cloud-Computing gefunden. In diesem Zusammenhang haben wir alle „üblichen“ Websites, die auf Apache/MySQL/PHP basieren in  eine Webcloud gezogen und den „Rest“ der virtualisierten Systeme in einen WebCloud-Account, beide sind voll skalierbar, hochverfügbar und haben 50 GBit Anbindung. Und: die Cloud ist dermassen Redundat, das es bisher fast keine Ausfälle gegeben hat, die jemand bemerkt hat. Es liegt in der Natur der Technik, das die mal ausfällt und/oder gewartet werden muss, aber das ist kein Grund, das eine Website oder ein Service deshalb nicht erreichbar sein muss.

Nein, das macht der Herr Rehkopf nicht alleine.

Geht auch nicht. Kunden, die schon länger bei mir sind, wissen, das im Urlaubsfall mein Telefon umgeroutet wird zu meinem Kompagnon, und umgekehrt. Abgesehen davon sind viele Dinge sehr speziell und ohne Spezialisierung geht es nicht. Meine Schwerpunkte waren (neben der Homepageerstellung) immer Netzwerke, Virtualisierungssysteme, DNS, Firewalls und TCP/IP. Aber echtes Programmieren (damit meine ich nicht Typoscript oder HTML) mach ich nicht, das können andere wesentlich besser.

So, wenn ich also morgen nicht mehr in der Lage sein sollte, meine Arbeit zu machen, oder wenn mein Keller überflutet, oder wenn ich im Sommer umziehe, dann hat das nichts mit der Verfügbarkeit von den von CRNET angebotenen IT-Diensten zu tun.

CRNET Chronologie

Technisch

Grundsteinlegung von CRNET in der jetzigen Form mit einem einzelnen Windows-Server im April 2003.

Vielen Jahren Hosting auf eigener Hardware, bis ein halber Schrank voll war.

In diesem Zusammenhang wurden alle Produktivsysteme von 2007 bis 2009 virtualisiert und liefen zuletzt in einem VMware ESX-Datacenter mit NAS-Storages.

Anfang 2012 wurde der Entschluß gefasst, sich nach 16 Jahren (1996 bis 2012) von eigener Hardware im Produktiveinsatz zu trennen, und die gesamte Infrastruktur in einer Cloud hosten zu lassen. Variable Kosten für Strom und Traffic sind so besser kalkulierbar, und somit fairer auf die Kunden umzulegen.

Unternehmerisch

CRNET sollte eigentlich nur eine vorübergehende Lösung sein. Das Unternehmen wurde April 2003 gegründet, als der Inhaber bei Fairnetworx GmbH als geschäftsführender Gesellschafter ausstieg und ein Teil der Kunden weiterhin betreuen wollte und sollte.

Als sich nach einiger Zeit herauskristallisierte, das aus dem Provisorium eine Dauerlösung werden würde, musste auch die Grundlage optimiert werden.

Es wurden neue Technologien erlernt um mehr verkaufbare Leistungen anzubieten, und den Kundenstamm besser halten zu können.

Strategisch

Diese Seite hier hab ich ca. 2013 geschrieben. Jetzt (Januar 2019) plane ich eher einen Rückzug aus dem Business – zumindest was den WEB-Teil betrifft.

Die Entwicklung des Internet gefällt mir nicht mehr.

Ich werde mich eher auf die Bereiche konzentrieren, die man nicht BLOGt: Sicherheitslösungen für kleine und mittlere Betriebe, verschlüsselte Standortvernetzung, Firewalling, VPN und ähnliches.


Ende 2023: Feierabend!

über CRNET

CRNET CR stellen die Initialen des Inhabers und Firmengründer von CRNET, Christian Rehkopf, dar – dennoch ist CRNET keine „One-Man-Show“, sondern ein Netz aus Freelancern und Partnern – und das ist das NET.

Dazu kommen noch etliche helfende Hände von nebenberuflichen Mitarbeitern für Virtualisierung, Firewalling und Systementwicklung – so sind z.B. alle Server von CRNET virtualisiert und in einer Servercloud mit theoretisch unendlichen Ressourcen am arbeiten. So etwas baut niemand alleine.

Willkommen zurück und willkommen

In diesem Monat gab’s bei uns keine neuen Websites produktiv online, sondern Umzüge. Ein Kunde war schon mal auf „meinen“ Servern.

Bei CRNET fühlen sich die Kunden wohl.
CRNET ist super
Dennoch kommt es gelegentlich vor, das der eine oder andere geht. Das passiert aber eigentlich nur aus Gründen außerhalb meines Machtbereiches, also z.B. wenn eine Backoffice-Software auch Web-Module anbietet, die dann auf den Servern des Anbieters laufen müssen, oder wenn eine Kunde eigene Server aufstellt weil die hausinterne IT meint, das schaffen die noch „nebenbei“.

„Nebenbei“ geht das inzwischen übrhaupt nicht mehr. Meine Wahrnehmung ist, das in den letzten 2 – 3 Jahren die Updatefrequenz der Server-Software erheblich höher geworden ist.
Jeder Server-Software.
War es vor ein paar Jahren noch möglich, auch mal ein Update uszulassen und beim nächsten Durchgang beide zu machen, so ist inzwischen die Chance, eine Sicherheitslücke unentdeckt offen zu lassen nahe Null. Ich seh an der Firewall, das permanent Scanner versuchen sich einzuloggen, Ports zu erreichen, und weiteren Schindluder versuchen.

Und mit permanent mein ich wirklich unentwegt, also mehrere Tausend Zugriffsversuche in der Minute, die nichts mit normalem Betrieb zu tun haben.

Teilweise kamen Updates so häufig, das ich gefühlt nichts anderes mehr gemacht habe, als zu aktualisieren.

Das war für mich einer der Gründe, warum ich einen Teil des CRNET 2012 in eine Cloud gezogen habe, und das „normale“ Hosting nicht mehr auf eigenen Maschinen mache. Denn Server zu aktualisieren ist eine Arbeit, bei der es egal ist, ob man 200 oder 20.000 Kunden auf dem System hat – es muss gemacht werden – und zwar sofort.

Und damit hat sich das „nebenbei“ aber völlig erledigt, und hat es sich vor ein paar Jahren noch gelohnt ab einer gewissen Zahl von Domains auf einen „eigenen root-Server“ zu ziehen, so kommt so etwas heute im worst case mit einem Daten-technischen Suizid gleich.

Und dann freu ich mich, wenn sich Kunden wieder an mich wenden, anstatt sich nach Dritten umzusehen. Und es ist auch schön, wenn andere von „Kollegen“ zu mir kommen, weil diese CRNET empfehlen. Das zeigt, das sie wissen, was sie an mir haben. Danke für das Kompliment und herzlich willkommen.

Reisebüro Albatros Berlin mit

 

Rechtsanwalt Dr. Marc Steffek, Fachanwalt für Arbeitsrecht

www.steffek-arbeitsrecht.de