Re: [NRW-Maerkischer-Kreis] Datenspeicherung MK-Website

[jjx <jjx AT speluncula.de>]

Hi,
erstmal finde ich die rege Beteiligung auf der ML echt gut.
Ich denke bevor wir weiter Diskutieren sollten wir ein paar Dinge
klären, damit wir nicht versehentlich aneinander vorbei reden ;)

 Woher stammt die Info dass M2Soft die Server bei Equinix hat?
    Für mich sieht es eher so aus, das M2Soft selber hostet oder die in
Colocation bei Cogent unter gestellt hat.
    Equininx tritt für mich nur als Knoten/Backbone in Erscheinung und
zwar am Netzübergang von der Telecom zu cogent.
   
Da Fail2Ban ja nur diverse Logins wie z.B. SSH überwacht und bei
mehrfacher Falscheingabe sperrt sind wie schon von Jürgen angedeutet
normale Seitenzugriffe dafür uninteressant.

Wenn jetzt viele RIS Systeme bei Einer Stelle in diesem Fall dann M2Soft
gehostet sind, dann hat das zwar den Nachteil, dass man vielleicht die
Daten vieler Systeme auf einmal abgreifen könnte, aber auch den Vorteil,
das dort hoffentlich Fachleute sitzen, die den ganzen Tag nichts anderes
machen als solche Systeme zu betreuen, und zeitnah zu aktualisieren.

Die Citcomm sehe ich in dem Gebilde jetzt nicht direkt, da ja scheinbar
alles outgesoucred wurde.

Wir sollten uns da am Freitag Zeit nehmen und das ganze in Ruhe bei
einer kühlen Apfelschorle besprechen.

LG JJX//Julian


Am 30.07.2014 um 20:09 schrieb Juergen Berg:
> Hallo,
>
> schön wenn hier gleich von "Hysterie" und "auf den Tisch hauen" die Rede
> ist. Kommt wenigstens mal Leben in die Bude :-)
>
>> Moin
>> vorsicht wenn ihr jetzt einfach losgeht und sagt: "Speichert die IP
>> nicht" macht ihr euch vor allem eines und zwar ziemlich lächerlich.
>> IP Adressen werden IMMER gespeichert das lässt sich im Endeffekt gar
>> nicht anders handhaben. Selbst der CCC und auch wir speichern die IP
>> Adresse. Das interessante hierbei ist die Dauer.
> Gut dass das geklärt ist. Sagst du dem CCC bitte, dass sie ja wohl,
> anders als vom CCC behauptet, doch die IP speichern (müssen)
>
> Zitat: "Von allen Besuchern werden gespeichert und auf unbestimmte Zeit
> aufbewahrt:
>
>     Datum/Uhrzeit,
>     die abgerufene Seite,
>     Statuscode des Webservers,
>     Browser/Betriebssystem,
>     der Referer.
>
> Die IP-Adresse, von der aus die Seite abgerufen wurde, speichern wir
> nicht. Somit läßt sich anhand unserer Logdaten kaum ein Zusammenhang zu
> einzelnen Besuchern herstellen..."
>
> Muss ja ein lächerlicher Haufen sein, der CCC :-)
>
>> Wenn ihr auf die Website zugreift loggt der Apache das in sein Logfile
>> als Access. Sieht dann ungefähr so aus:
>> xxx.xxx.xxx.xxx - - [30/Jul/2014:01:19:18 +0200] "GET
>> /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 521 "-" "-"
>> Denkt euch statt der x einfach ne Ip Adresse. So was haben wir hier:
>> 1. Die Ip Adresse
>> 2. Den Zeitpunkt des Zugriffs
>> 3. Den Request/Fingerprint
>> Warum ist das jetzt wichtig? Weil ich als Admin sehen kann um 1:19 hat
>> jemand aus Brasilien (Geoip) den Server mit nem Vulnerability Scanner
>> gescannt (Fingerprint).
>> Diese Daten sind elementar wichtig für die Sicherheit des Servers und
>> technisch notwendig wenn Programme wie fail2ban benutzt werden um
>> Angriffe abzuwehren.
>> Das BDSG erlaubt auch ausdrücklich die Speicherung zu solchen Zwecken
>> sie unterliegen dann nur der Zweckbindung §31 BDSG und müssen nach
>> gängier Praxis nach maximal 7 Tagen gelöscht werden. Bei uns z.b. fallen
>> die durch Logrotate nach ca. 2-3 Tagen raus.
>> Man kommt um die Speicherung jedoch nicht herum.
> Spätestens mit GeoIP dürfte die Zweckbindung nach §31 BDSG nicht mehr
> greifen. Aber darum geht es hier ja auch nicht.
>
> Fail2ban ist ein schönes Tool, ohne Zweifel.
> Fail2ban nutzt aber gewöhnlich die Error-Logs nicht die Access-Logs.
>
> Ich rede hier nur vom Access-Log, denn ich nehme an, dass genau das mit
> Protokolldatei gemeint ist. Da ist die IP unnötig oder die IP sollte
> zumindest teilweise anonymisiert werden.
> Und ja, das ist technisch möglich.
>
> Anders sieht es mit dem Error-Log aus: Ja, die IP ist u.U. wichtig und
> ich würde da auch nicht auf die IP verzichten, z.B. wg. Fail2ban.
> Aber da sind eben Serverfehler drin, ich sehe nicht in warum man da dann
> auch z.B. den Browser speichern muß
>
> Tipp zu Vulnerability Scanner und so'n Zeugs: Nutze fail2ban-regex und
> eine brauchbare Bad-Bot-Config.
> Spart viel Zeit, wenn man die Logs nicht von Hand prüfen muß.
>
>
> On 30.07.2014 17:11, jjx wrote:
>> Was die Gefahrenabwehr angeht ist es halt schon nötig irgendwo eine
>> Liste der letzten Zugriffe mit IP vorzuhalten. Dies ist aber nicht das
>> Langzeitlog auf dass hinterher ein Webseitenbetreiber schaut um
>> Zugriffszahlen anzusehen.
> Siehe oben.
>
>> Ich denke Jürgen wollte mit "ein Fall für das Rechenzentrum" auch darauf
>> hinaus. Fakt ist dass diese Kurzzeitliste auf jedem Fall auf dem Server
>> abgelegt wird, ansonsten könnte man den Server nicht entsprechend 
>> absichern.
> Ja, das gilt für solche Dinge wie DDos usw.
> Jedes grössere Rechenzentrum sichert sich gegen so etwas ab.
>
> Was sie Listen angeht, siehe oben
>
>> Aktuell wissen wir halt nicht was wo und wie lange gespeichert wird, das
>> sollte man halt dann erstmal vorsichtig erfragen bevor man da zu laut
>> auf den Tisch haut.
> Hm, genau um das Erfragen geht es doch.
> Es ist ersichtlich was gespeichert, aber nicht wozu und wie lange.
> Es geht nicht darum mit der Tür ins Haus zu fallen. Das kann man dann
> abhängig von den Antworten dann immer noch machen.
>
>> Es wäre halt peinlich, wenn wir als DIE TECHNIKPARTEI uns da zu weit aus
>> dem Fenster lehnen ;)
>>
>> LG JJX//Julian
>>
> Es wäre halt auch peinlich, als Datenschutzpartei diese Dinge nicht zu
> erfragen und einfach zu ignorieren.
>
>> Hallo,
>>
>> ich habe nicht gefragt wem gehört die Domain, sondern wem gehört der
>> Server.
>> So sieht die Kette aus:
>>
>> MK nutzt "Allris" --> Wird entwickelt / bereitgestellt von "CC e-gov
>> GmbH" Hamburg. Diese beauftragt die " M2Soft GmbH" Bonn mit dem Hosting.
>> Die Kauft / Mietet / Stellt unter die Server bei "Equinix Europe"
>> Frankfurt.
>>
>> Alle Daten Skandale der Vergangenheit haben zwei Parallelen.
>> a) es ist Technisch möglich Größere Datenmengen schnell bei Seite zu
>> schaffen.
>> b) ein "Versuppung" der Struktur. Das heißt, wichtige Aufgaben werden
>> von Unternehmen erledigt auf die der Auftraggeber keinen oder nur
>> mittelbar marginal Einfluss hat. Ist das hier der Fall?????
>>
> Ich denke mal, die "M2Soft GmbH" hat sich auf Allris spezialisiert
> (Das Iserlohner RIS hosten die auch)
> Das kann durchaus Vorteilhaft sein, wenn es so ist.
>
> Das ist aber nur eine Vermutung, von daher wäre es schon interessant zu
> wissen warum der Kreis das macht und welchen Einfluss er hat.
>
>> Was macht die KDVZ-Citkomm wenn hier schon relevante Teile an
>> Drittanbieter vergeben werden. Sollten wir am Freitag noch einam
>> ausführlich Diskutieren.
>>
>> Beste Grüße
>> Stefan Handzik
> Jürgen
>


-- 
| mailto: jjx AT speluncula.de | ICQ: 245569880 | Jabber / XMPP: 
jjx AT jabber.ccc.de | mobile: 015237945865 | landline: 0271/38690822 |