Wird empfohlen, eine Firewall / einen Router auf einer virtuellen Maschine auszuführen?

9

Beim Googeln habe ich festgestellt, dass das Ausführen einer Firewall / eines Routers als virtuelle Maschine "gefährlich" ist, aber keiner von ihnen gibt einen Grund an, warum dies so ist. Ich habe auch Beiträge von Personen gefunden, die Firewalls wie auf einer virtuellen Maschine erfolgreich ausführen.

Hat jemand irgendwelche Erfahrungen damit?

Was wären die Vor- oder Nachteile einer Firewall / eines Routers auf einer virtuellen Maschine in einer Art Proxmox gegenüber einer physischen Maschine?

Nithin
quelle

Antworten:

11

Wirklich der richtige Weg, Dinge zu tun, ist das Gegenteil von Ihrer Herangehensweise, wenn Sicherheit ein vorrangiges Anliegen ist. Sie möchten den Router / die Firewall auf dem Bare-Metal-System ausführen und eine VM darin für die Standardbenutzung auf dem Desktop oder Server hosten.

Vergib mir meine beschissene MS Paint Illustration.

Geben Sie hier die Bildbeschreibung ein

Wenn Sie die Netzwerkkarte der VM und die LAN-Netzwerkkarte (vom Bare-Metal-Betriebssystem) überbrücken, können sie zum Zwecke der Firewall oder des Routings als dieselbe "LAN" -Schnittstelle angezeigt werden.

Die meisten Sicherheitsprobleme bestehen darin, dass jemand während der Ausführung auf die Konsole zugreift und Ihre Router- / Firewall-VM deaktiviert oder das Bridging / Trennen Ihrer Netzwerkkarte von der VM deaktiviert - oder dass jemand eine Remote-Verbindung zum System herstellt und dies tut . Wie immer besteht die Möglichkeit, dass schädliche Software etwas Verrücktes tut.


Sie können dies tun und jede VM-Software verwenden, wenn Sie möchten. Der Nachteil ist jedoch, dass Sie bei Verwendung von ESX RDP in die Desktop-VM einbinden müssen, anstatt direkt über die Konsole darauf zuzugreifen.

Geben Sie hier die Bildbeschreibung ein

LawrenceC
quelle
Ich stimme Ihnen für die nicht so beschissene Farbillustration zu ... Vielen Dank für Ihre Mühe ... Dieser Ansatz würde mich davon abhalten, die meisten Virtualisierungsdistributionen zu verwenden, oder? Besonders solche wie Proxmox oder VMware Esx ...
Nithin
IIRC Proxmox basiert auf Linux - und Sie können Ihr Routing und Ihre Firewall einfach außerhalb einer beliebigen VM darauf konfigurieren. Es gibt keine Möglichkeit, unter ESX AFAIK außerhalb einer VM zu gelangen, außer in einem Diagnosemodus. Daher möchten Sie diesen wahrscheinlich nicht verwenden. Es wäre jedoch in Ordnung, zwei VMs "nebeneinander" in ESX auszuführen, wobei eine ein "Front-End" für eine andere ist (Ihre "Desktop-VM" hätte nur eine virtuelle Netzwerkkarte, die mit der "Firewall" -VM verbunden ist). Die "Desktop-VM" konnte in diesem Fall nichts direkt mit dem Hypervisor tun.
LawrenceC
Ich habe vor, mit Proxmox zu arbeiten ... Ich hatte vor, etwas wie ipfire oder Clearos zu verwenden ... aber wenn ich es auf Proxmox installieren muss ... Ich glaube nicht, dass ich eines davon verwenden kann: (Gibt es auch eine Möglichkeit, etwas wie Diagramm 2 mit Proxmox zu tun? Hätte Schema 2 nicht die in Absatz 3 genannten Probleme?
Nithin
Grundsätzlich ist es in Ordnung, wenn sich Ihr Router / Ihre Firewall in einer VM befindet und sich Ihr Desktop in einer VM "dahinter" befindet. Wenn Sie versuchen, eine Router- / Firewall-VM "innerhalb" eines Desktops einzurichten, NICHT in einer VM, kann die Sicherheit ein Problem darstellen. Abbildung 2 ist mit Proxmox möglich, wenn Sie zwei VMs einrichten - eine für Ihre Firewall- / Router-VM und eine für Ihre Desktop-VM.
LawrenceC
Dieser Kommentar verwirrt mich ... korrigiere mich, wenn ich falsch liege ... Wenn sich die Firewall / der Router auf einem Virtualisierungsserver wie proxmox oder vmware ESX befindet, gibt es keine Sicherheitsprobleme. Befindet sich die Firewall / der Router jedoch in einer Art Virtualbox auf einem vollwertigen Desktop, gelten die oben genannten Sicherheitsprobleme. Ich versuche, Abbildung 2 mit anderen VMs und physischen Maschinen im Netzwerk einzurichten, die eine Verbindung zur virtuellen LAN-Netzwerkkarte der Firewall herstellen, um auf WAN zuzugreifen. Gibt es in diesem Szenario Sicherheitsprobleme?
Nithin
3

Es gibt kommerzielle Produkte wie die früheren "VSX" -Systeme von Check Point, die "virtuelle Firewalls" auf einer bestimmten Hardwarebasis bedienen. Wenn wir über VMWare oder eine bessere Cloud-basierte Firewall sprechen. Sie richten eine Firewall "in" der Cloud ein, um das "interne" Cloud "-Netzwerk" zu segmentieren, nicht die Kommunikation zwischen einer Cloud und einem anderen Netzwerk.

Die Leistung ist sehr begrenzt und die Leistung in einer Cloud wird gemeinsam genutzt. Eine asic-basierte Firewall kann> 500 GBit / s ausführen. Eine VMware-basierte Firewall oder ein Switch unterstützt <20 GBit / s. Zur Aussage LAN NIC könnte eine Grippe vom Draht bekommen. Sie können auch angeben, dass jedes Zwischengerät wie Switch, Router oder IP auch vom Transitverkehr ausgenutzt werden kann.

Wir sehen dies in "fehlerhaften" Paketen (auch bekannt als Frames, Fragmente, Segmente usw.). Man könnte also sagen, dass die Verwendung von "Zwischengeräten" unsicher ist. Auch das deutsche NIST namens BSI hat vor einigen Jahren festgestellt, dass die virtuellen Router (wie VDCs (Virtual Device Context - Cisco Nexus)) und VRF (Virtual Route Forwarding) unsicher sind. Aus Sicht ist das Teilen von Ressourcen immer ein Risiko. Der Benutzer kann Ressourcen ausnutzen und die Servicequalität für alle anderen Benutzer verringern. Was global die gesamten VLAN- und Overlay-Technologien (wie VPN und MPLS) in Frage stellen würde.

Wenn Sie wirklich hohe Sicherheitsanforderungen haben, würde ich dedizierte Hardware und dediziertes Netzwerk (einschließlich dedizierter Leitungen!) Verwenden. Wenn Sie fragen, ob der Hypervisor (insbesondere in Bare Metal) in einem häufigen Szenario ein spezielles Sicherheitsproblem darstellt ... würde ich nein sagen .

user306846
quelle
Ich finde es ein wenig schwierig, alles zu verstehen, was du gesagt hast ... hier ist, was ich verstanden habe, um mich zu korrigieren, wenn ich falsch liege. Sie sagen also, dass virtuelle Firewalls verwendet werden, um die virtuellen Maschinen und ihre virtuellen Netzwerke vor dem Host-Netzwerk zu schützen, genau wie virtuelle Maschinen virtuelle Switches / Router usw. verwenden. ASIC- oder dedizierte Firewalls bieten eine bessere Leistung als virtuelle. Ich habe den letzten Absatz nicht ganz verstanden. :(
Nithin
2

In der Regel ist eine virtuelle Maschine über eine überbrückte Verbindung mit dem Netzwerk verbunden (dh das Netzwerk wird über den physischen Computer geleitet, auf dem es ausgeführt wird). Wenn Sie die VM als Firewall verwenden, kann der gesamte Datenverkehr auf den physischen Computer eingehen. Anschließend werden die Pakete an die VM gesendet, gefiltert und anschließend wieder an den physischen Computer gesendet. Da der physische Computer ungefilterte Pakete aufnehmen kann und für die Verteilung der Pakete an den Rest des Netzwerks verantwortlich ist, kann dies genutzt werden, um ungefilterte Pakete im Netzwerk zu senden.

Hugo Buff
quelle
1
Wird dieses Problem nicht gelöst, indem eine physische Netzwerkkarte direkt an die VM gebunden wird, anstatt zumindest für die ROTE Schnittstelle eine virtuelle Netzwerkkarte für die VM zu verwenden?
Nithin