Hilfe - IP wird angegriffen und Router sperrt TCP-Verbindungen

[Tobias]

Hallo,

ich habe momentan ein ziemliches Problem: Und zwar scheint es da jemand auf eine unserer IPs abgesehen zu haben, bereits seit Stunden bringt mir der Router (Cisco 1712) in seinem Log eine Zeile wie

Critical: Blocking new TCP connections to host 149.77.100.92 for 30 minutes (half open count 50 exceeded)

Nach einer halben Stunde macht er wieder auf, keine zehn Sekunden später wieder zu.

Meine Fragen an Euch, bevor ich das TCP-Limit raufsetze, was ja eigentlich genauso ist wie "Ich lasse das Fenster offen, damit mir der Einbrecher die Scheibe nicht zerschlägt", sind folgende:

1. Wie gehe ich in einem solchen Fall am geschicktesten vor ? Kunde braucht natürlich baldmöglichst seine Server-Dienste wieder (ftp, e-mail, website, etc. - da hängt alles dran).

2. Wie kann ich den Verursacher feststellen; abgesehen von dem Logeintrag ist der Router nicht sehr gesprächig - unter "show ip inspect all" ist jedenfalls nichts verdächtiges zu finden ?

[Zwerg#7]

Erweitere deine ACL die den Zugriff auf den Server zulässt, sodass ein Log geschrieben wird. Also in etwa so:

permit tcp any host dein_server eq http LOG

Dann siehst du wer auf den Server zugreift. Diese IP kannst du dann explizit ausnehmen (sofern es immer die selbe ist und keine DDos Attacke)
Und ich denke im Serverlog solltest du das doch aus sehen können, oder?

[Tobias]

Also, ich habe die ACL jetzt erweitert, daß alle "permit <irgendwas> 149.77.100.92" geloggt werden. Das sollte dann ja im Log erscheinen. Um kurz vor halb sollte der Router TCP-Verbindungen wieder öffnen.

Mich hat nur gewundert, daß der Router den Grund für das Blocking nirgends angibt, also auch nicht wenn ich mir via "show ip inspect all" das ansehe.

[Tobias]

Also, im Log erschienen einige Einträge, die auf die IP 74.54.182.250 (US-Provider) hingewiesen haben. Jedenfalls habe ich diese nun in der ACL (102) an erster Stelle geblockt mit

deny   ip host 74.54.182.250 any log

Im Log finden sich nun zig Zugriffe von dieser IP, zum Beispiel Zeilen wie

023824: Feb 19 16:37:21 Berlin: %SEC-6-IPACCESSLOGP: list 102 denied tcp 74.54.182.250(7214) -> 194.77.100.92(80), 1 packet

Die Einträge laufen im Sekundentakt runter, bin mir also sicher, den richtigen Verursacher gefunden zu haben (hoffentlich, Daumen drücken

Kann ich die Sperre des Routers auch manuell aufheben, das würde mir helfen vor Ablauf einer weiteren halben Stunde Gewissheit zu bekommen, daß alles wieder okay ist ?

Klar mit "no ip inspect tcp max-incomplete host 50 block-time 30" kann ich es ausschalten, aber kann ich die Sperre von der Shell aus irgendwie zurücksetzen und sehen, wie der Router danach reagiert ?

[Tobias]

Sorry für drei Postings kurz hintereinander, aber mir ist gerade noch eine Frage eingefallen: Wenn eine IP einen solchen DoS auf eine IP startet, sollte dann nicht der Router exakt die Source-IP für 30 Minuten sperren und nicht den Zugriff komplett untersagen ? Oder verstehe ich dieses System falsch.

[Zwerg#7]

Sorry für drei Postings kurz hintereinander, aber mir ist gerade noch eine Frage eingefallen: Wenn eine IP einen solchen DoS auf eine IP startet, sollte dann nicht der Router exakt die Source-IP für 30 Minuten sperren und nicht den Zugriff komplett untersagen ? Oder verstehe ich dieses System falsch.

Kommt drauf an wie intelligent der Router ist. Ich nehme an es handelt sich nach wie vor um deinen C1712? Weiß das nicht mit Sicherheit aber ich ich nehme an, dass dieser nicht mehr überprüft als die Anzahl gleichzeitiger TCP-Syn's pro Ziel.
Ein intelligenteres (und natürlich teureres) System wie ein IPS, würde das schon etwas granularer filtern. Manche Systeme können sogar ein DDoS-Attacke erkennen und abwehren. Natürlich alles eine Frage des Geldes und somit ob es das wert ist.

[#9370]

das Problem ist, dass bei DoS Attaqcken normalerweise unterschiedliche Source Adressen verwendet werden.

/#9370

[Tobias]

Ein intelligenteres (und natürlich teureres) System wie eine IPS, würde das schon etwas granularer Filtern. Manche Systeme können sogar ein DDoS-Attacke erkennen und abwehren. Natürlich alles eine Frage des Geldes und somit ob es das wert ist.

Ja, es ist der 1712.

Meinen Nerven wäre heute jeder Preis wert gewesen, den Fehler zu finden. Besonders weil ich zuerst in eine völlig andere Richtung (Serverfehler) gesucht habe. Glücklicherweise läuft jetzt wieder alles

Also nochmals vielen Dank für die Tips und die prompte Hilfe

Generell stehe ich solchen Anschaffungen ja positiv gegenüber - aber man muß die Relation der Leistung zum Preis sehen, und ein Blick auf das verfügbare Budget verbietet es sowieso.

das Problem ist, dass bei DoS Attaqcken normalerweise unterschiedliche Source Adressen verwendet werden.

Ich verstehe nur den Mechanismus nicht - der Angreifer braucht dann ja nur x Attacken durchführen in der Gewissheit, daß viele Router (wird ja nicht nur meinen, sondern alle in der gleichen Preis-/Leistungskategorie betreffen) dann einfach den Zugriff blockieren. Ziel erreicht, sogar mit wenig Aufwand (kann mir denken, um den Server selbst zu schaden ist eine wesentlich höhere Zahl von Attacken notwendig).

Na gut, meine Frage zum Abschluß: Sollte ich da irgendwelche Anpassungen vornehmen, sprich die Sperrzeit auf weniger als 30 Minuten setzen bzw. mehr halboffene Verbindungen erlauben - gibt es da Richtwerte, daß man sagen kann, "Bei x Traffic-Aufkommen/Bandbreite, sollten y halboffene Verbindungen erlaubt werden", etc. ?

Außerdem steht demnächst ganz weit oben auf der Liste, jedem Kunden eine eigene IP zu geben - die jetzige haben sich nämlich eine Handvoll geteilt, da war der Schaden natürlich umso größer.

[Zwerg#7]

Kann ich die Sperre des Routers auch manuell aufheben, das würde mir helfen vor Ablauf einer weiteren halben Stunde Gewissheit zu bekommen, daß alles wieder okay ist ?

Hab das noch nie gebraucht aber hast du schon mal etwas in diese Richtung versucht

Code:

ROUTER# clear ip inspect ?

oder vielleicht fällt das auch unter

Code:

ROUTER# clear ip ips ?

[Zwerg#7]

Meinen Nerven wäre heute jeder Preis wert gewesen, den Fehler zu finden. Besonders weil ich zuerst in eine völlig andere Richtung (Serverfehler) gesucht habe. Glücklicherweise läuft jetzt wieder alles
Also nochmals vielen Dank für die Tips und die prompte Hilfe

Naja, zumindest das Netzwerkmonitoring und die Syslog Analyse könnte man mit recht wenig Budget (weil viel OpenSource verfügbar) verbessern.
Und wenn ich recht überlege, es sind auch auch recht gute IDSen als OpenSource erhältlich (zB Snort)

Bleibt eigentlich nur noch die Frage, ob sich der Aufwand und der Betrieb weiter Infrastruktur lohnt?
Andererseits schreibst du von Kunden-Servern die betroffen waren. Wenn ihr euer Geld mit Hosting verdient, solltet ihr über so etwas natürlich auf jeden Fall nachdenken 
Welche SLA's habt ihr mit den Kunden, sind sie bereit für mehr Sicherheit auch mehr Geld auszugeben, usw...

das Problem ist, dass bei DoS Attaqcken normalerweise unterschiedliche Source Adressen verwendet werden.

Ich verstehe nur den Mechanismus nicht - der Angreifer braucht dann ja nur x Attacken durchführen in der Gewissheit, daß viele Router (wird ja nicht nur meinen, sondern alle in der gleichen Preis-/Leistungskategorie betreffen) dann einfach den Zugriff blockieren. Ziel erreicht, sogar mit wenig Aufwand (kann mir denken, um den Server selbst zu schaden ist eine wesentlich höhere Zahl von Attacken notwendig).

Naja, das ist halt eine eventuelle Schwachstelle von IPS Mechanismen. Je nachdem wie diese designt und ausgelegt sind, können sie (wie in deinem Fall) auch dem Angreifer helfen, sofern sein Ziel war, den Server unerreichbar zu machen.
Andererseits, was würde passieren wenn man alle SYN's auf den Server losgelassen hätte? Vielleicht wäre er dann ausgefallen, vielleicht hätte sich eine Sicherheitslücke aufgetan???

Aber um mehr Geld gibt es natürlich auch Systeme die vielleicht etwas toleranter (und trotzdem sicher) sind. "Echte" Firewalls können teilweise in den Proxy-Mode umschalten d.h. sie terminieren die TCP-Anfragen und erst wenn ein echter 3Way-Handshake durchgeführt wurde, schalten sie den Verkehr zum Server durch (somit wäre ein SYN-Flooding des Servers ausgeschlossen) Das nur als Beispiel... ist eine Wissenschaft für sich, #9370 beschäftigt sich da wesentlich intensiver damit 

Na gut, meine Frage zum Abschluß: Sollte ich da irgendwelche Anpassungen vornehmen, sprich die Sperrzeit auf weniger als 30 Minuten setzen bzw. mehr halboffene Verbindungen erlauben - gibt es da Richtwerte, daß man sagen kann, "Bei x Traffic-Aufkommen/Bandbreite, sollten y halboffene Verbindungen erlaubt werden", etc. ?

Vermutlich hätte dein Server weit mehr als 50 solcher Sessions vertragen aber andererseits ist das trotzdem so ein hoher Wert, dass er IMHO unter "normalen" Umständen nicht erreicht werden dürfte und somit ein klares Indiz für einen Angriff ist. Würdest du den Wert auf 200 erhöhen, hätte der Router halt ein paar Sekunden später erst zu gemacht.

Über die 30 Minuten könnte man vielleicht nachdenken. Wichtiger wäre es aber, schnell zu erkennen warum der Router zugemacht hat, womit wir wieder beim Thema Monitoring und Überwachung wären 

[Tobias]

Naja, zumindest das Netzwerkmonitoring und die Syslog Analyse könnte man mit recht wenig Budget (weil viel OpenSource verfügbar) verbessern. Und wenn ich recht überlege, es sind auch auch recht gute IDSen als OpenSource erhältlich (zB Snort)

Ja, in die Richtung werde ich mal nachdenken, mittelfristig zumindest. Im Grunde würde es ein einfacher PC mit irgendeiner Unix-Variante und der entsprechenden Software tun. Das ganze dann vor den Router geschaltet, könnte den Datenverkehr prüfen.

Kurzfristig werde ich mich mal genauer informieren, inwieweit es einfach (oder schwierig) ist, die Log-Daten des Routers auf einen Server übertragen zu lassen und dann entsprechend auszuwerten. Haben ja vor langer Zeit das Thema schon einmal angerissen und ist jetzt schmerzlich wieder aktuell - hätten wir gewusst, worum es geht, hätten wir gute zwei Stunden Zeit sparen können, die wir mit Fehlersuche anderweitig vertan haben.

Andererseits, da wir nicht draufkamen, daß die Schutzfunktion des Routers dafür verantwortlich ist, hätten wir wohl auch mit besserem Logging nicht so schnell das Problem eingekreist.

Bleibt eigentlich nur noch die Frage, ob sich der Aufwand und der Betrieb weiter Infrastruktur lohnt?
Andererseits schreibst du von Kunden-Servern die betroffen waren. Wenn ihr euer Geld mit Hosting verdient, solltet ihr über so etwas natürlich auf

Nein, ist nur ein Server (also wir haben eine eigene Box und eine für unsere Kunden), wobei wir an die zwanzig Kunden im Augenblick betreuen, alles kleinere Firmen, denen der persönliche Service von uns gefällt (sind eben eine kleine Firma, da ist man dann schon mal Sonntags da, ohne den dreifachen Tarif - oder überhaupt etwas - zu berechnen).

Du hast natürlich ganz Recht, sollte die Anzahl der physikalisch vorhandenen Server mal wachsen, dann ist auf jeden Fall eine andere Lösung notwendig. Ob das jetzt der Wechsel auf ein anderes IOS für unseren 1712 ist (gibt es für diesen Router ein IOS mit einer Funktionalität, die uns geholfen hätte ?), eine separate selbstkonfigurierte Opensource-Box (habe ich wirklich mal auf Opensource geschimpft oder eine Lösung von Cisco, das zeigt dann das verfügbare Budget.

Welche SLA's habt ihr mit den Kunden, sind sie bereit für mehr Sicherheit auch mehr Geld auszugeben, usw...

Naja, da wir nur ein lokaler Anbieter sind, geben unsere Kunden für das Hosting sowieso mehr Geld aus, als bei den "1 Euro für 10 GB Webspace und 100 Domains pro Monat"-Discountern mit 01805- oder 0900-Hotlines (vermutlich sogar viel mehr, geht man einmal von harten Größen wie Webspace und dergleichen aus).

Dafür sind wir (respektive meistens ich) auch Tag und Nacht zur Stelle, helfen mal bei kleineren Problemen mit der eigenen LAN-Infrastruktur (sofern überhaupt vorhanden), meist kostenlos. Eben alles etwas persönlicher. Das zahlt sich dann in den ein oder anderen Aufträgen für Softwareentwicklung oder Webdesign aus

Zur eigentlichen Frage, nein. Service Level Agreements in dem Sinne von fest definierten Antwortzeiten gibt es nicht - dafür sind unsere Kunden zu klein, bzw. diejenigen mit eigenem größeren LAN und angebundener Warenwirtschaft, etc., haben sowas dann bei den jeweiligen größeren Softwarehäusern, nicht bei uns.

[Tobias]

So, der besseren Lesbarkeit halber ein Schnitt - sonst wird noch eine Kurzgeschichte draus

Andererseits, was würde passieren wenn man alle SYN's auf den Server losgelassen hätte? Vielleicht wäre er dann ausgefallen, vielleicht hätte sich eine Sicherheitslücke aufgetan???

Ja, das ist mir beim Nachdenken über den Sinn eines solchen Verfahrens auch eingefallen. Und so gesehen, "Danke, Cisco", ein Serverproblem wäre das letzte gewesen (gut, Backups sind ausreichend vorhanden und auch aktuell, aber immer besser man braucht sowas gar nicht erst).

Aus diesem Grund werde ich wohl auch nichts an der Router-Konfiguration ändern. Lieber hin und wieder mal einen Kundenanruf (so bleibt man in Erinnerung und dann erklären, warum und weshab das passiert ist. Wird ja dann auch verstanden.

Letzteres habe ich allerdings morgen erst noch vor mir. Ich werde außerdem an den Abuse-Kontakt des zuständigen ISP eine Mail schicken. Auch auf die Gefahr hin, daß es sich dabei um die fünf verschwendesten Minuten meines Lebens handeln wird

Aber um mehr Geld gibt es natürlich auch Systeme die vielleicht etwas toleranter (und trotzdem sicher) sind. "Echte" Firewalls können teilweise in den Proxy-Mode umschalten d.h. sie terminieren die TCP-Anfragen und erst wenn ein echter 3Way-Handshake durchgeführt wurde, schalten sie den Verkehr zum Server durch (somit wäre ein SYN-Flooding des Servers ausgeschlossen) Das nur als Beispiel... ist eine Wissenschaft für sich, #9370 beschäftigt sich da wesentlich intensiver damit

Ja ich verstehe. Wäre schon toll, wenn sich so ein System umsetzen ließe.

Leider alles eine Kategorie zu teuer - okay, gerade gesehen eine ASA 5510 (hat sich zumindest so gelesen, als ob das eines dieser "Wundergeräte" wäre) liegt bei 3.300 Euro brutto. Naja, wie gesagt mittelfristig vielleicht eine lohnenswerte Investition. Aber mit dem Kauf ist es ja auch nicht getan, muß man sich dann ja wieder einarbeiten um auch effektiven Nutzen daraus zu ziehen (und das könnte wiederrum meinem letzten Rekord "längster Konfigurations-Thread aller Zeiten" gefährlich werden

Vermutlich hätte dein Server weit mehr als 50 solcher Sessions vertragen aber andererseits ist das trotzdem so ein hoher Wert, dass er IMHO unter "normalen" Umständen nicht erreicht werden dürfte und somit ein klares Indiz für einen Angriff ist. Würdest du den Wert auf 200 erhöhen, hätte der Router halt ein paar Sekunden später erst zu gemacht.

Über die 30 Minuten könnte man vielleicht nachdenken. Wichtiger wäre es aber, schnell zu erkennen warum der Router zugemacht hat, womit wir wieder beim Thema Monitoring und Überwachung wären  wink

Ich verstehe. Okay, dann wird diese Konfiguration so beibehalten, wie oben schon mal angeschnitten. Dafür werde ich mich mit dem Monitoring demnächst wirklich näher auseinandersetzen.

Wir hatten die Frage ja schon einmal, ob der Router nicht einfach eine E-Mail senden könnte, wenn ein Log-Eintrag der Kategorie "warning" oder höher erstellt wird - oder eben eine solche Sicherheitsfunktion greift. Das wäre für mich schon genug (kann dann der Sache auf der CLI oder dem SDM nachgehen). Aber gibt es ja leider nicht.

Was ich mir aber bis jetzt vorstellen kann, ist die Logs über einen Syslog-Dienst auf unserem Server auslesen und diesen dann entsprechen reagieren zu lassen. Aber da muß ich mich erst mal schlau machen (bräuchte ja dann etwas, was sich auf einem OS X Server zu Hause fühlt).

Kann ich die Sperre des Routers auch manuell aufheben, das würde mir helfen vor Ablauf einer weiteren halben Stunde Gewissheit zu bekommen, daß alles wieder okay ist ?

Hab das noch nie gebraucht aber hast du schon mal etwas in diese Richtung versucht

Werde ich später mal ausprobieren und schauen, ob der Befehl vorhanden ist bzw. in der Cisco-Dokumentation nachschlagen Danke für den Tip.

[Zwerg#7]

Schreck lass nach... das wird wieder in einem Roman enden 
Werde mal wieder versuchen nach und nach zu antworten, alles auf einmal schaffe ich diese Woche nicht mehr 

Kurzfristig werde ich mich mal genauer informieren, inwieweit es einfach (oder schwierig) ist, die Log-Daten des Routers auf einen Server übertragen zu lassen und dann entsprechend auszuwerten. Haben ja vor langer Zeit das Thema schon einmal angerissen und ist jetzt schmerzlich wieder aktuell - hätten wir gewusst, worum es geht, hätten wir gute zwei Stunden Zeit sparen können, die wir mit Fehlersuche anderweitig vertan haben.

Ist total einfach -> Syslog Server installieren und alles dorthin schreiben lassen

Code:

Router(config)#logging 10.1.1.1

Und dann hängt es vom Syslogserver ab was dieser mit den Meldungen machen kann. zB farblich markieren, nach Priorität sortieren, Mails/SMS verschicken...

Andererseits, da wir nicht draufkamen, daß die Schutzfunktion des Routers dafür verantwortlich ist, hätten wir wohl auch mit besserem Logging nicht so schnell das Problem eingekreist.

Doch, davon bin ich überzeugt 

Ob das jetzt der Wechsel auf ein anderes IOS für unseren 1712 ist (gibt es für diesen Router ein IOS mit einer Funktionalität, die uns geholfen hätte ?)

Bezweifle ich.
Erstens hat dieser Router begrenzte Power d.h. er ist als Router konzipiert und nicht als HighEnd IPS.
Zweitens will Cisco ja auch die IPSen verkaufen und portiert somit nicht sämtliche Features und Patterns auf ihre Mittelklasse-Router 

...oder eine Lösung von Cisco, das zeigt dann das verfügbare Budget.

Falscher Ansatz. Eine Kosten-Nutzen-Schaden Rechnung sollte das nötige/vertretbare Budget bestimmen und nicht das vorhandene Budget die Lösung.
Aber mit diesem Umstand haben wir wohl alle zu kämpfen 

[Zwerg#7]

So, der besseren Lesbarkeit halber ein Schnitt - sonst wird noch eine Kurzgeschichte draus

Ist es bereits 

Aus diesem Grund werde ich wohl auch nichts an der Router-Konfiguration ändern. Lieber hin und wieder mal einen Kundenanruf (so bleibt man in Erinnerung und dann erklären, warum und weshab das passiert ist. Wird ja dann auch verstanden.
Letzteres habe ich allerdings morgen erst noch vor mir.

Das kann man so oder so angehen. Ein guter Manager (also Zwerg#1-6) würde so einen Vorfall sofort als Erfolg verkaufen:

Auszug aus dem Kundennewsletter:
Angriff aus USA abgewehrt - Dank unserer hervorragenden Hardware und der strategischen Absicherung unseres Internet-Zugangs, konnten wir den Angriff auf Ihre Server abwehren und Datendiebstahl verhindern

Wäre schon toll, wenn sich so ein System umsetzen ließe.

Leider alles eine Kategorie zu teuer - okay, gerade gesehen eine ASA 5510 (hat sich zumindest so gelesen, als ob das eines dieser "Wundergeräte" wäre) liegt bei 3.300 Euro brutto. Naja, wie gesagt mittelfristig vielleicht eine lohnenswerte Investition. Aber mit dem Kauf ist es ja auch nicht getan, muß man sich dann ja wieder einarbeiten um auch effektiven Nutzen daraus zu ziehen (und das könnte wiederrum meinem letzten Rekord "längster Konfigurations-Thread aller Zeiten" gefährlich werden

Das kannst du auch wesentlich billiger haben! Namhafte Firewallhersteller wie Cisco, phion oder Checkpoint (um mal die zu nennen die ich kenne *g*) bieten für Umgebungen in eurer Größenordnung, fullfeatured Firewalls um weit unter €1000,- an!
Und einarbeiten musst du dich so und so, wenn du es ordentlich haben willst...

An einen Firmen-Internetlink gehört IMHO einfach eine Firewall und nicht ein Router. Router sind doch mehr was für den Homeoffice Bereich 

Wir hatten die Frage ja schon einmal, ob der Router nicht einfach eine E-Mail senden könnte, wenn ein Log-Eintrag der Kategorie "warning" oder höher erstellt wird - oder eben eine solche Sicherheitsfunktion greift. Das wäre für mich schon genug (kann dann der Sache auf der CLI oder dem SDM nachgehen). Aber gibt es ja leider nicht.

Der Router selbst kann keine Mails versenden, zumindest ist mir so etwas nicht bekannt. Aber wie vorher schon gesagt -> das lässt sich alles mit einem guten Syslogserver bzw. eigenen Skripts realisieren

[Tobias]

Kleiner Zwischenstand: ThePlanet läßt mich nicht in Ruhe. Vor einer Stunde hat der Router wieder Alarm geschlagen... nochmal der gleiche ISP.

Ich habe jetzt dessen gesamte Range gesperrt (74.52.0.0 - 74.54.255.255), hoffe meine ACL-Rules sind mit den Masken so korrekt:

access-list 102 deny   ip 74.54.0.0 0.0.255.255 any log
access-list 102 deny   ip 74.53.0.0 0.0.255.255 any log
access-list 102 deny   ip 74.52.0.0 0.0.255.255 any log

Angriff aus USA abgewehrt - Dank unserer hervorragenden Hardware und der strategischen Absicherung unseres Internet-Zugangs, konnten wir den Angriff auf Ihre Server abwehren und Datendiebstahl verhindern

Na, ganz so überschwenglich war ich nicht Einfach nur den technischen Hintergrund erklärt. Wobei, ich merke mir mal Dein Statement, klingt gut (schreibst Du sowas öfters

Das kannst du auch wesentlich billiger haben! Namhafte Firewallhersteller wie Cisco, phion oder Checkpoint (um mal die zu nennen die ich kenne *g*) bieten für Umgebungen in eurer Größenordnung, fullfeatured Firewalls um weit unter €1000,- an!

Das sind Preisregionen, die mir wieder mehr zusagen. Kannst Du mir da ein bestimmtes Produkt von Cisco empfehlen ?

Falscher Ansatz. Eine Kosten-Nutzen-Schaden Rechnung sollte das nötige/vertretbare Budget bestimmen und nicht das vorhandene Budget die Lösung. Aber mit diesem Umstand haben wir wohl alle zu kämpfen 

Ja das ist wohl so. Gib mir ein paar Millionen und ich baue ein Rechenzentrum, wie es unser 2000-Einwohner-Ort noch nie zuvor gesehen hat