6
NAS und Firewall auf einem System virtualisieren, welchen Ansatz wählen?
TL;DR:
Ich suche eine Möglichkeit ein NAS und eine Firewall zu virtualisieren. Das NAS soll mit Paritäten arbeiten, damit ich flexibler in der Erweiterung durch neue Festplatten bin. Optionen wären z.B. ESXi, unRAID, pures Linux (Debian oder CentOS) mit KVM oder auch fertige "Distributionen" wie Proxmox. Da mir vor allem der Punkt "Sicherheit" relevant ist, weiß ich nicht, ob unRAID z.B. ausreichend stabil und sicher ist. Hier suche ich erfahrene Benutzer, welche mir bei der Wahl des Weges behilflich sein können.
Moin moin,
ich habe leider ein Entscheidungsproblem und ersuche mir daher fachkundige Empfehlungen. Folgende Situation:
Folgende Hardware steht für das neue System bereit:
Mein ursprünglicher Gedanke war folgender:
Soweit, so gut. Wäre eine brauchbare Lösung. Was stört mich nun an diesem Setup? Es ist eigentlich der RAID 5 Verbund:
Ich gehe nicht davon aus, dass die HDD wirklich diese Geschwindigkeit erreicht, jedoch selbst bei 75 MB/s realen Werten müsste die GbE-Anbindung optimal sein um nicht zum Flaschenhals zu werden. Daher kann ich bei meinem Heimbetrieb den Geschwindigkeitsvorteil durch einen RAID-Verbund nicht wirklich nutzen und empfinde die Einschränkung in der Konfiguration bzw. Plattenwahl als größeren Nachteil.
Daher habe ich mich einmal im Bereich des parity bit informiert und sehe dort für mich eigentlich mehr Vorteile als Nachteile:
Bei meiner Recherche bin ich dann auf unRAID gestoßen, welches neben der Parität inzwischen auch eine Virtualisierung per KVM ermöglicht. Per passthrough lassen sich einzelne GbE-Ports auch Problemlos an die pfSense-VM durchreichen.
Eine andere Möglichkeit wäre bei ESXi zu bleiben und durch Erweiterungen in OpenMediaVault eine Lösung mit Paritäten anzustreben. Ansonsten könnte ich auch ein pures Linux (Debian oder CentOS) nehmen und mir selbst einen KVM-Host aufsetzen, müsste dann nur auf bequeme Administrationsmasken im Browser verzichten. Hätte jedoch den Vorteil, dass ich weniger potenzielle Sicherheitsprobleme im Haus habe.
Und da kommt nämlich der Punkt ins Spiel, weswegen ich derzeit so lange mit einer finalen Entscheidung warte: Ich weiß nicht, ob unRAID ausreichend sicher ist um eine Firewall als VM zu stellen. Funktionell hätte ich damit keine Probleme, jedoch habe ich einfach Bedenken bzgl. der Sicherheit.
Von ESXi erwarte ich hier einfach mehr Professionalität, welche ich jedoch mit persönlichen Erfahrungen nicht belegen kann. Bei ESXi sind teilweise jedoch die starken Beschränkungen bei der Hardware-Auswahl negativ. Möchte ich mal eine Änderung an der Hardware vornehmen (z.B. SATA-Controller) muss ich peinlich auf die Kompatibilität achten. Das empfinde ich als störend.
Bei Debian/CentOS oder z.B. Proxmox, welches auf Debian aufbaut, bin ich flexibler. Habe eine breitere Basis an Hardware-Support. Jedoch bringt z.B. Proxmox auch wieder einen Webserver, etc. mit was für mich auf einem System, welches direkt am Internet steht, etwas Bauchschmerzen bereitet.
Leider habe ich in diesem Thema nur privat Erfahrungen sammeln können und fühle mich nun etwas zu unerfahren um die Frage nach der Sicherheit und der entsprechenden Software qualifiziert zu beantworten.
Ich suche eine Möglichkeit ein NAS und eine Firewall zu virtualisieren. Das NAS soll mit Paritäten arbeiten, damit ich flexibler in der Erweiterung durch neue Festplatten bin. Optionen wären z.B. ESXi, unRAID, pures Linux (Debian oder CentOS) mit KVM oder auch fertige "Distributionen" wie Proxmox. Da mir vor allem der Punkt "Sicherheit" relevant ist, weiß ich nicht, ob unRAID z.B. ausreichend stabil und sicher ist. Hier suche ich erfahrene Benutzer, welche mir bei der Wahl des Weges behilflich sein können.
Moin moin,
ich habe leider ein Entscheidungsproblem und ersuche mir daher fachkundige Empfehlungen. Folgende Situation:
- Ich habe derzeit eine dedizierte pfSense-Firewall auf Hardware, welche dafür zu stark dimensioniert ist
- Ich benötige ein NAS, da im Haushalt inzwischen auf allen Geräten irgendwas anfällt, was nicht mehr auf dem Rechner gespeichert werden kann, ohne dort selbst neue Festplatten bereitzustellen
- Unter anderem sollen Musik und Videos auf dem NAS zentral gelagert werden und z.B. per Plex bereitgestellt werden
- Die Hardware der Firewall ist jedoch für Transcoding zu schwach und wird daher an einen Freund verkauft, welcher schon sein Interesse gezeigt hat
Folgende Hardware steht für das neue System bereit:
- Vier 2 TB Western Digital Red Festplatten
- Eine alte 120 GB Intel-SSD, wurde geprüft, SMART sieht gut aus
- Eine alte 60 GB ADATA-SSD, wurde geprüft, SMART sieht gut aus
- Ein Intel i3-6100
- Ein Supermicro Mainboard X11SSH-LN4F mit 4 GbE
Mein ursprünglicher Gedanke war folgender:
- Ich installiere auf dem System die kostenfreie Version von ESXi
- Nutze die 120 GB SSD als Speicherplatz für die VMs
- Virtualisiere die pfSense-Firewall und richtige exklusiv dafür zwei GbE-Ports ein, damit die Netze sauber getrennt bleiben
- Zusätzlich virtualisiere ich z.B. OpenMediaVault und reiche die 4 Festplatten per pRDM an OpenMediaVault durch, RAID 5 wird dort installiert
Soweit, so gut. Wäre eine brauchbare Lösung. Was stört mich nun an diesem Setup? Es ist eigentlich der RAID 5 Verbund:
- Man benötigt immer gleich große Platten damit der Platz komplett genutzt werden kann
- Vorteil in Geschwindigkeit kann per GbE nicht ausgespielt werden (Theoretisch 125 MB/s, eine HDD schafft theoretisch 145 MB/s)
Ich gehe nicht davon aus, dass die HDD wirklich diese Geschwindigkeit erreicht, jedoch selbst bei 75 MB/s realen Werten müsste die GbE-Anbindung optimal sein um nicht zum Flaschenhals zu werden. Daher kann ich bei meinem Heimbetrieb den Geschwindigkeitsvorteil durch einen RAID-Verbund nicht wirklich nutzen und empfinde die Einschränkung in der Konfiguration bzw. Plattenwahl als größeren Nachteil.
Daher habe ich mich einmal im Bereich des parity bit informiert und sehe dort für mich eigentlich mehr Vorteile als Nachteile:
- Festplatten können variable Größen besitzen und man ist flexbiler in der Aufstockung des Speichers
- Schützt, anders als RAID, auch vor schleichendem Datenverlust, wenn die Parität von Zeit zu Zeit geprüft wird
- Je nach Umsetzung hält sich der Aufwand für die Parität in Grenzen
Bei meiner Recherche bin ich dann auf unRAID gestoßen, welches neben der Parität inzwischen auch eine Virtualisierung per KVM ermöglicht. Per passthrough lassen sich einzelne GbE-Ports auch Problemlos an die pfSense-VM durchreichen.
Eine andere Möglichkeit wäre bei ESXi zu bleiben und durch Erweiterungen in OpenMediaVault eine Lösung mit Paritäten anzustreben. Ansonsten könnte ich auch ein pures Linux (Debian oder CentOS) nehmen und mir selbst einen KVM-Host aufsetzen, müsste dann nur auf bequeme Administrationsmasken im Browser verzichten. Hätte jedoch den Vorteil, dass ich weniger potenzielle Sicherheitsprobleme im Haus habe.
Und da kommt nämlich der Punkt ins Spiel, weswegen ich derzeit so lange mit einer finalen Entscheidung warte: Ich weiß nicht, ob unRAID ausreichend sicher ist um eine Firewall als VM zu stellen. Funktionell hätte ich damit keine Probleme, jedoch habe ich einfach Bedenken bzgl. der Sicherheit.
Von ESXi erwarte ich hier einfach mehr Professionalität, welche ich jedoch mit persönlichen Erfahrungen nicht belegen kann. Bei ESXi sind teilweise jedoch die starken Beschränkungen bei der Hardware-Auswahl negativ. Möchte ich mal eine Änderung an der Hardware vornehmen (z.B. SATA-Controller) muss ich peinlich auf die Kompatibilität achten. Das empfinde ich als störend.
Bei Debian/CentOS oder z.B. Proxmox, welches auf Debian aufbaut, bin ich flexibler. Habe eine breitere Basis an Hardware-Support. Jedoch bringt z.B. Proxmox auch wieder einen Webserver, etc. mit was für mich auf einem System, welches direkt am Internet steht, etwas Bauchschmerzen bereitet.
Leider habe ich in diesem Thema nur privat Erfahrungen sammeln können und fühle mich nun etwas zu unerfahren um die Frage nach der Sicherheit und der entsprechenden Software qualifiziert zu beantworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304621
Url: https://administrator.de/contentid/304621
Printed on: April 19, 2024 at 21:04 o'clock
6 Comments
Latest comment
Hallo,
als Ansatz, ne Firewall Virtualisiert man nicht.
Bis auf wenige Sonderfälle.
als Ansatz, ne Firewall Virtualisiert man nicht.
Bis auf wenige Sonderfälle.
Grundsätzlich würde ich sagen: Jein.
Würde ich den Auftrag haben ein Unternehmensnetz zu schützen, dann würde ich vermutlich zustimmen. Für den Heimgebrauch spielt jedoch auch ein weiterer Punkt mitein: Die Effizienz.
Natürlich kann ein Angriff auf die Firewall und einen weiteren Einbruch über den Hypervisor das komplette System kompromittiert werden. Aus diesem Grund versuche ich ja auch den optimalen Hypervisor für meinen Anwendungsfall zu finden.
Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.
Würde ich den Auftrag haben ein Unternehmensnetz zu schützen, dann würde ich vermutlich zustimmen. Für den Heimgebrauch spielt jedoch auch ein weiterer Punkt mitein: Die Effizienz.
Natürlich kann ein Angriff auf die Firewall und einen weiteren Einbruch über den Hypervisor das komplette System kompromittiert werden. Aus diesem Grund versuche ich ja auch den optimalen Hypervisor für meinen Anwendungsfall zu finden.
Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.
Grundsätzlich würde ich sagen: Auf keinen Fall! 
Und wieso?
Ich verstehe das Problem, bzw. die Sorge. Dringt jmd. in die Firewall ein, dann kann sich der Angreifer über einen Fehler im Hypervisor über alle anderen VMs ausbreiten.
Ist die Firewall kompromittiert habe ich doch ein ähnliches Problem. Das LAN dahinter steht dann vollkommen ungeschützt da. Traffic raus und rein kann beliebig manipuliert werden.
Letztendlich bin ich genau so "nackig" als wenn die Firewall virtualisiert wäre.
Ich verstehe das Problem, bzw. die Sorge. Dringt jmd. in die Firewall ein, dann kann sich der Angreifer über einen Fehler im Hypervisor über alle anderen VMs ausbreiten.
Ist die Firewall kompromittiert habe ich doch ein ähnliches Problem. Das LAN dahinter steht dann vollkommen ungeschützt da. Traffic raus und rein kann beliebig manipuliert werden.
Letztendlich bin ich genau so "nackig" als wenn die Firewall virtualisiert wäre.
Zitat von @Shutterfly:
Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.
Ein kleines Synology-NAS und ein APU-Board für die Firewall verbrauchen aber weniger wie ein großer Server!Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.
Es ist ja kein großer Server. Es ist ein i3-6100.
Ein APU-Board scheidet aus, da (bis zu) 50 Mbit per OpenVPN verarbeitet werden müssen und hier ein APU einfach zu schwach ist.
Hier musste eine stärkere Atom-CPU her, damit der Durchsatz erreicht werden konnte. Entsprechend ist der Stromverbrauch höher.
Ein APU-Board scheidet aus, da (bis zu) 50 Mbit per OpenVPN verarbeitet werden müssen und hier ein APU einfach zu schwach ist.
Hier musste eine stärkere Atom-CPU her, damit der Durchsatz erreicht werden konnte. Entsprechend ist der Stromverbrauch höher.
