10
DMZ mit Hyper V oder ESX
Hallo zusammen,
ich möchte mir gerne eine DMZ einrichten, da wir unseren eigenen Webserver hosten möchten.
Firewalleinstellungen etc. ist schon vorhanden die DMZ steht momentan vom jetzigen Internen Netzwerk getrennt. So wie es ja eigentlich auch sein soll.
Momentan ist ein einziger Server nur dafür zuständig unsere Homepage zu hosten (Debian 6 Server) von der Leistung her lacht der Server sich darüber tot und hat den ganzen Tag nichts zu tun.
Nun mal meine Frage. Was währe, wenn man einen HYperV oder ESX Server nehmen würde dort eine extra Netzwerkkarte einbauen würde und darüber den Webserver als VM laufen lassen würde. Parallel könnte man die anderen Netzwerkkarten für das interne Netzwerk nehmen um dort andere VM´s laufen zu lassen um den Server optimal auslasten zu können.
Nun haben mir einige Leute geraten dieses nicht zu tun, da es gefahren durch Hacker bergen kann. Frage kann ein Hacker durch diese beschriebene Konfig durch und voll auf den Hyper V oder ESX Server zugreifen um dadurch mein internes Netzwerk angreifen oder besteht da keine Gefahr?
Hat da vielleicht jemand von Euch ein paar Tipps für mich wie man sowas am besten machen kann ob ich meinen Server wirklich so "alleine" stehen lassen muss oder ob ich die Vm Lösung machen könnte?
Vielen Dank schonmal im voraus für Eure Hilfe
ich möchte mir gerne eine DMZ einrichten, da wir unseren eigenen Webserver hosten möchten.
Firewalleinstellungen etc. ist schon vorhanden die DMZ steht momentan vom jetzigen Internen Netzwerk getrennt. So wie es ja eigentlich auch sein soll.
Momentan ist ein einziger Server nur dafür zuständig unsere Homepage zu hosten (Debian 6 Server) von der Leistung her lacht der Server sich darüber tot und hat den ganzen Tag nichts zu tun.
Nun mal meine Frage. Was währe, wenn man einen HYperV oder ESX Server nehmen würde dort eine extra Netzwerkkarte einbauen würde und darüber den Webserver als VM laufen lassen würde. Parallel könnte man die anderen Netzwerkkarten für das interne Netzwerk nehmen um dort andere VM´s laufen zu lassen um den Server optimal auslasten zu können.
Nun haben mir einige Leute geraten dieses nicht zu tun, da es gefahren durch Hacker bergen kann. Frage kann ein Hacker durch diese beschriebene Konfig durch und voll auf den Hyper V oder ESX Server zugreifen um dadurch mein internes Netzwerk angreifen oder besteht da keine Gefahr?
Hat da vielleicht jemand von Euch ein paar Tipps für mich wie man sowas am besten machen kann ob ich meinen Server wirklich so "alleine" stehen lassen muss oder ob ich die Vm Lösung machen könnte?
Vielen Dank schonmal im voraus für Eure Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179235
Url: https://administrator.de/contentid/179235
Printed on: April 26, 2024 at 18:04 o'clock
10 Comments
Latest comment
Hallo,
ich würd's auf keinen Fall machen.
Mir ist zwar nicht bekannt das man irgendwie auf den Hypervisor drauf kommt aber sein kann alles.
ich würd's auf keinen Fall machen.
Mir ist zwar nicht bekannt das man irgendwie auf den Hypervisor drauf kommt aber sein kann alles.
Hallo Wiesi200
ja genau das habe ich auch gehört und ich dachte ich mache hier mal einen Post auf und frage mal nach ob jemand mehr weiß.
Auf der einen Seite geht es auf der anderen wieder nicht. Woran soll man sich halten?
vg
roland
ja genau das habe ich auch gehört und ich dachte ich mache hier mal einen Post auf und frage mal nach ob jemand mehr weiß.
Auf der einen Seite geht es auf der anderen wieder nicht. Woran soll man sich halten?
vg
roland
Hallo,
ich meine es gab in früheren Versionen von Hyper-V die Möglichkeit, aus der Child Partition auszubrechen, bin mir aber nicht sicher.
Aktuell gibt es mit Sicherheit keine Sicherheitsprobleme mit Hyper-V.
An deiner Stelle würde ich dies trotzdem nicht tun, denn du weißt nie ob es vielleicht doch mal möglich ist und du schnell genug reagieren kannst.
Andererseits kenn ich Leute, die das so machen. Ich würde allerdings wie gesagt davon abraten.
ich meine es gab in früheren Versionen von Hyper-V die Möglichkeit, aus der Child Partition auszubrechen, bin mir aber nicht sicher.
Aktuell gibt es mit Sicherheit keine Sicherheitsprobleme mit Hyper-V.
An deiner Stelle würde ich dies trotzdem nicht tun, denn du weißt nie ob es vielleicht doch mal möglich ist und du schnell genug reagieren kannst.
Andererseits kenn ich Leute, die das so machen. Ich würde allerdings wie gesagt davon abraten.
Benutzt du, wenn ESX, HA?
Das Problem ist nicht so sehr die Netzwerke sauber zu trennen, so dass man eine schöne DMZ hat. Das Problem ist die Kommunikation der VMs im VM-Kernel Netzwerk. Das wir genutzt um die Maschinen zu überwachen und bei HA schnell eine neue online zu bringen.
Du musst auf jeden Fall bei ESX die VMCI zwischen VMs deaktivieren. Das kann zum Einfallstor werden.
Aber ansonsten sind mir bei ESX keine Probleme bekannt. Es ist zwar immer schöner die Hardware für die DMZ klar zu trennen, aber es geht auch auf virtueller Ebene.
Das Problem ist nicht so sehr die Netzwerke sauber zu trennen, so dass man eine schöne DMZ hat. Das Problem ist die Kommunikation der VMs im VM-Kernel Netzwerk. Das wir genutzt um die Maschinen zu überwachen und bei HA schnell eine neue online zu bringen.
Du musst auf jeden Fall bei ESX die VMCI zwischen VMs deaktivieren. Das kann zum Einfallstor werden.
Aber ansonsten sind mir bei ESX keine Probleme bekannt. Es ist zwar immer schöner die Hardware für die DMZ klar zu trennen, aber es geht auch auf virtueller Ebene.
Moin,
also die DMZ auf eure Intranet ESX-Umgebung zu mirgieren würde ich ebenfalls nicht machen. Da wäre mir das Risiko zu groß und der Schaden der entstehen könnte. Denn du musst schließlich den Kopf am Ende vllt. hinhalten.
DMZ virtualisieren ist kein Problem, aber dann bitte eine extra phy. getrennte ESX-Umgebung die keine Abhänigkheiten zu deren im LAN hat.
Grüße,
Dani
also die DMZ auf eure Intranet ESX-Umgebung zu mirgieren würde ich ebenfalls nicht machen. Da wäre mir das Risiko zu groß und der Schaden der entstehen könnte. Denn du musst schließlich den Kopf am Ende vllt. hinhalten.
DMZ virtualisieren ist kein Problem, aber dann bitte eine extra phy. getrennte ESX-Umgebung die keine Abhänigkheiten zu deren im LAN hat.
Grüße,
Dani
Hallo,
also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.
Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.
Gruß & Schönes WE
also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.
Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.
Gruß & Schönes WE
Zitat von @Luie86:
Hallo,
also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.
Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.
Gruß & Schönes WE
Hallo,
also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.
Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.
Gruß & Schönes WE
Hallo,
und was ist, wenn mal jemand aus der VM ausbricht und Zugriff auf deine Hosts bekommt?
Ob das zum jetzigen Zeitpunkt möglich ist oder nicht, spielt erstmal keine Rolle.
Hallo,
interessante Frage. Ich gebe zu, ja dann hätte ich ein Problem.
Habe jetzt gerade mal Google bemüht, weil ich mich gefragt habe wie wahrscheinlich sowas ist
und siehe da: http://www.pcsympathy.com/2009/06/04/hacking-tool-lets-a-vm-break-out-a ...
bzw: http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kor ...
Es scheint also schonmal geklappt zu haben.
Trotzdem ist meine Meinung, sobald das System in der DMZ kompromittiert wurde, ist die Sache eh gelaufen.
Klingt jetzt vielleicht doof aber: Genau wie Hacker muss man halt einfach versuchen seine System immerwieder
zu verbessern, zu patchen und weiter abzusichern sonst hat man einfach verloren.
Egal ob physische Maschinen oder Virtuelle Systeme.
Gruß Daniel
interessante Frage. Ich gebe zu, ja dann hätte ich ein Problem.
Habe jetzt gerade mal Google bemüht, weil ich mich gefragt habe wie wahrscheinlich sowas ist
und siehe da: http://www.pcsympathy.com/2009/06/04/hacking-tool-lets-a-vm-break-out-a ...
bzw: http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kor ...
Es scheint also schonmal geklappt zu haben.
Trotzdem ist meine Meinung, sobald das System in der DMZ kompromittiert wurde, ist die Sache eh gelaufen.
Klingt jetzt vielleicht doof aber: Genau wie Hacker muss man halt einfach versuchen seine System immerwieder
zu verbessern, zu patchen und weiter abzusichern sonst hat man einfach verloren.
Egal ob physische Maschinen oder Virtuelle Systeme.
Gruß Daniel
Moin,
besteht hier noch Interesse?
besteht hier noch Interesse?
Hallo Dani,
natürlich besteht noch interesse. Ich habe mich allerdings gestern entschieden den Webserver direkt in eine DMZ zu erstellen ohne ESX oder Hyper V das scheint einfach sicherer zu sein.
vg
roland
natürlich besteht noch interesse. Ich habe mich allerdings gestern entschieden den Webserver direkt in eine DMZ zu erstellen ohne ESX oder Hyper V das scheint einfach sicherer zu sein.
vg
roland