Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virtualisierte Firewall in ESX

Mitglied: MarkusKK

MarkusKK (Level 1) - Jetzt verbinden

14.07.2011, aktualisiert 13:25 Uhr, 5671 Aufrufe, 11 Kommentare

Internet
|
VMFirewall (öffentlichen IP-Adressen)
|
FileServer etc. (Private Adressen)

Hi,
Ich möchte gerne einen Server von uns in ein Datacenter umziehen.
Eine dedizierte Firewall kostet natürlich extra etc.

Hier inhouse habe ich vier Linux Firewalls und das hat sich eigentlich sehr bewehrt.


Was würdet ihr also davon halten, wenn ich im ESX Server eine virtualisierte Firewall/Router installiere? Diese hätte ein Interface zum Bridged-Interface und zum Host-Only.
Alle anderen Maschinen hätten ihr Interface im Host-Only und kommunizieren nur über die Firewall/Router

Die ESX Console würde ich von Zugriffen von außen sperren.



Bitte feedback. Habe gegoogled aber nichts gefunden.


Gruß
Markus
Mitglied: brammer
14.07.2011 um 13:28 Uhr
Hallo,

Hier inhouse habe ich vier Linux Firewalls und das hat sich eigentlich sehr bewehrt.

Hoffentlich auch verschiedene software Distributionen!
Ansonsten bringen dir 4 Firewalls genauso viel wie eine!

brammer
Bitte warten ..
Mitglied: NoHopeNoFear
14.07.2011 um 13:55 Uhr
Im IPCop Forum würde man dich für diese Frage lynchen...

Ich habs selbst so laufen, in wie weit das wirklich ein größeres Sicherheitsrisiko als auf separater Hardware ist vermag ich aber nicht wirklich zu sagen.
Bitte warten ..
Mitglied: 60730
14.07.2011 um 13:55 Uhr
moin,

Die ESX Console würde ich von Zugriffen von außen sperren.

  • angenommen die Firewall baut den VPN Tunnel auf und du kommst so "intern" auf die ESX Console...

Was passiert dann, wenn die Firewall nicht startet oder einen anderen Bock hat?

Ganz ehrlich, sowas ist nur was für die ganz harten, ich hab zwar mal Eishockey gespielt, aber das ist eine Liga in der ich persönlich nicht mitspielen mag.

Gruß
Bitte warten ..
Mitglied: kopie0123
14.07.2011 um 14:19 Uhr
Hey,

ich kann mich dem IPCop Forum anschliessen

Firewalls virtualisiert man nicht, genau so wenig wie man auf einem Hypervisor mehrere Firewallzonen betreibt.

Gruß
Bitte warten ..
Mitglied: Hitman4021
14.07.2011 um 16:56 Uhr
Zitat von NoHopeNoFear:
Im IPCop Forum würde man dich für diese Frage lynchen...
Und es wird auch gut erklärt warum mann das nicht macht
http://www.ipcop-forum.de/unipcop.php

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
14.07.2011 um 21:14 Uhr
Zitat von kopie0123:
Firewalls virtualisiert man nicht, genau so wenig wie man auf einem Hypervisor mehrere Firewallzonen betreibt.

Es gibt Situationen, in denen man das macht. Nämlich dann, wenn man Erfahrungen sammeln und Sachen ausprobieren will, oihne gleich neue Hardware dafür abstellen zu müssen.

Aber ich gebe Dir recht, daß man so etwas nicht für Produktivsysteme macht.
Bitte warten ..
Mitglied: MarkusKK
15.07.2011 um 10:59 Uhr
Herr NoHopeNoFear, wieso lynchen?
Fährst du das Setup in einer Professionelle Umgebung (d.h. zur Absicherung von einem Mailserver o.ä.)?


Ich habe mir euren Link durchgelesen.

Also der Nachteil an sich ist, dass der ESX Server selber nicht geschützt wird. Der liegt komplett offen/frei (allerdings bietet ESX auch eine eingebaute FW an).
Der nächste Nachteil ist, dass wir bei einer virtualisierten Umgebung keine echten Netzwerk-Interfaces haben. Da sehen die halt auch bedenken, dass es theoretisch ein Sicherheitsrisiko sein könnte irgendwo in der Software.
Das wars? Mehr bedenken gibt es nicht?
Für den Anfang muss das reichen.

Eher wird unser Webserver gehackt, als dass jemand die FW mit unbekannten VMWARE Sicherheitslücken umgeht.

Langfristig gesehen werde ich natürlich eine Hardware FW einbauen:
Mehrere Server will ich so nicht absichern.

Aber bis dahin dauert es ja noch ein Weilchen.
Die Bedenken, dass ich mich nicht mehr per VPN einwählen kann, und dann nicht mehr auf die ESX Konsole aufschalten kann ist ziemlich gering und wenn das passiert kann ich in das RZ fahren.
Bitte warten ..
Mitglied: Hitman4021
15.07.2011 um 11:11 Uhr
Ich sags einfach mal direkt:
Sowas macht man einfach nicht.
Und eine Firewallhardware bekommst du ab €600 und dann hast schon was besseres.

Gruß
Bitte warten ..
Mitglied: NoHopeNoFear
15.07.2011 um 11:15 Uhr
ja, das bezieht sich auf die theoretischen Lücken in der VMware.

Ich hatte das ganze zuerst als Testsystem laufen, mittlerweile ist es aus diversen Gründen in den "Provisorium-Porduktiv-Betrieb" übergegangen.... laufen tut's aber wie gesagt ob das wirklich so kritisch ist kann ich nicht beurteilen.
Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.

Ich stimme dir allerdings auch soweit zu dass es deutlich wahrscheinlicher ist dass ein Webserver oder anderes Gerät angegriffen wird als der Hypervisor selbst.
Bitte warten ..
Mitglied: brammer
15.07.2011 um 11:15 Uhr
Hallo,

eine Cisco ASA bekommst du aber locker unter 600,-
und andere Hersteller erst Recht.

brammer
Bitte warten ..
Mitglied: Hitman4021
15.07.2011 um 11:20 Uhr
Zitat von NoHopeNoFear:
Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange
weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.
Nimm irgendeine billig Hardware P4 etc. mit 128MB RAM reicht für ne IPCOP immer.

@NoHopeNoFear
Ja wie gesagt etwas bessere Hardware ;)

Gruß
Bitte warten ..
Ähnliche Inhalte
Vmware

Bluescreen virtualisierte Maschinen (VMWare)

gelöst Frage von Julian94Vmware18 Kommentare

Guten Morgen zusammen, seit dem wir unsere Hardware Server auf unsere neue VMWare Umgebung migriert haben gibt es öfters ...

Viren und Trojaner

Antivirenschutz für virtualisierte Umgebungen - Erfahrungen?

gelöst Frage von GrinskeksViren und Trojaner4 Kommentare

Hallo zusammen, für einen gemeinnützigen Zweck befasse ich mich gerade mit der Konzeption eines kleinen Netzwerks. Hier kommt ein ...

Backup

Backup-Strategie in virtualisierter Serverumgebung

gelöst Frage von fox14chBackup7 Kommentare

Hallo zusammen Unsere Infrastruktur ist in den letzten Jahren stetig gewachsen. Leider ist die Backupstrategie nie wirklich angepasst worden ...

Hyper-V

Virtualisierter Domänencontroller auf Hyper 2012R2

gelöst Frage von Koothrappali85Hyper-V4 Kommentare

Hallo, verwendet ihr für die virtualisierten Domänencontroller fixe oder dynamische vhdx Platten? Bzw. wieviel Speicher ist empfohlen für einen ...

Neue Wissensbeiträge
Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 10 StundenWindows Server1 Kommentar

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 16 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 19 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 1 TagWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...