10
Endian Firewall (EFW) als Virtuelle Maschine im ESXi
Hallo liebe Administratoren,
ich habe eine Frage zum Thema Sicherheit was meine Firewall angeht.
Erstmal zum Überblick:
Ich richte für meine Firma eine neue Firewall ein. Es ist eine Endian.
Wir nutzen schon seit einiger Zeit die Community Version. Diese ist auf meinem ehemaligen Heim-PC eingerichtet. Dieser hat 4 Netzwerkanschlüsse (Endian arbeitet mit 4 Netzwerkzonen: Rot (WAN), Grün (LAN), Blau (WiFi), Rot (DMZ) ) und war deswegen (ursprünglich als Übergangslösung) als Hardware geeignet.
Nach einigen Hardwarebedingten ausfällen (==> Heim-PC) durfte ich uns nun endlich eine neue, ordentliche Maschine kaufen, die auch für den 24/7 Betrieb geeignet ist.
Um spätere Versions-Upgrades und Softwarebedingte Ausfälle besser abfangen zu können, habe ich auf der neuen Maschine ein ESXi installiert. Darauf soll nur eine VM laufen. Nämlich die besagte EFW. Im ESXi habe ich 5 virtuelle LAN-Switche erstellt: Einen für die Verwaltung des ESXi selbst und 4 für die Netzwerkzonen der virtuellen Endian. Jedem virtuellem LAN-Switch steht ein "realer" Netzwerkanschluss zu Verfügung.
Nun zu meiner Frage:
Der WAN-Anschluss (Rote Zone), welcher der EFW zugeordnet ist, wird ja bevor er von der Firewall verwaltet wird, erst vom ESXi "abgefangen" und in den virtuellen Switch "umgewandelt". Aber von "außen" (Internet) kommt man doch somit erst Einmal aufs ESXi. Ich empfinde das als Sicherheitsrisiko. Sehe ich das überhaupt Richtig - ist das gefährlich? Kann man dem ESXi "sagen", dass Zugriffe über diesen NIC komplett auf die EFW weitergereicht werden sollen?
Ich hoffe, ich konnte mich verständlich ausdrücken.
Mit freunlichen Grüßen
Jan
ich habe eine Frage zum Thema Sicherheit was meine Firewall angeht.
Erstmal zum Überblick:
Ich richte für meine Firma eine neue Firewall ein. Es ist eine Endian.
Wir nutzen schon seit einiger Zeit die Community Version. Diese ist auf meinem ehemaligen Heim-PC eingerichtet. Dieser hat 4 Netzwerkanschlüsse (Endian arbeitet mit 4 Netzwerkzonen: Rot (WAN), Grün (LAN), Blau (WiFi), Rot (DMZ) ) und war deswegen (ursprünglich als Übergangslösung) als Hardware geeignet.
Nach einigen Hardwarebedingten ausfällen (==> Heim-PC) durfte ich uns nun endlich eine neue, ordentliche Maschine kaufen, die auch für den 24/7 Betrieb geeignet ist.
Um spätere Versions-Upgrades und Softwarebedingte Ausfälle besser abfangen zu können, habe ich auf der neuen Maschine ein ESXi installiert. Darauf soll nur eine VM laufen. Nämlich die besagte EFW. Im ESXi habe ich 5 virtuelle LAN-Switche erstellt: Einen für die Verwaltung des ESXi selbst und 4 für die Netzwerkzonen der virtuellen Endian. Jedem virtuellem LAN-Switch steht ein "realer" Netzwerkanschluss zu Verfügung.
Nun zu meiner Frage:
Der WAN-Anschluss (Rote Zone), welcher der EFW zugeordnet ist, wird ja bevor er von der Firewall verwaltet wird, erst vom ESXi "abgefangen" und in den virtuellen Switch "umgewandelt". Aber von "außen" (Internet) kommt man doch somit erst Einmal aufs ESXi. Ich empfinde das als Sicherheitsrisiko. Sehe ich das überhaupt Richtig - ist das gefährlich? Kann man dem ESXi "sagen", dass Zugriffe über diesen NIC komplett auf die EFW weitergereicht werden sollen?
Ich hoffe, ich konnte mich verständlich ausdrücken.
Mit freunlichen Grüßen
Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287315
Url: https://administrator.de/contentid/287315
Printed on: April 16, 2024 at 22:04 o'clock
10 Comments
Latest comment
Hallo,
warum macht man sowas?
Warum eine teure Serverhardware (welche ist es denn genau mit welchen Komponenten?) mit hohem Stromverbrauch für eine Firewall HW Appliance verwenden?
Zu deiner eigentlichen Frage:
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Wenn da sonst noch etwas produktives drauf läuft in einer anderen VM, dann wäre ich da sehr vorsichtig, denn wenn er aus der Endian VM ausbrechen kann, hat er Zugriff über den Host und die anderen Produktivsysteme.
Gruß
warum macht man sowas?
Warum eine teure Serverhardware (welche ist es denn genau mit welchen Komponenten?) mit hohem Stromverbrauch für eine Firewall HW Appliance verwenden?
Zu deiner eigentlichen Frage:
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Wenn da sonst noch etwas produktives drauf läuft in einer anderen VM, dann wäre ich da sehr vorsichtig, denn wenn er aus der Endian VM ausbrechen kann, hat er Zugriff über den Host und die anderen Produktivsysteme.
Gruß
Zitat von @michi1983:
Hallo,
warum macht man sowas?
Warum eine teure Serverhardware (welche ist es denn genau mit welchen Komponenten?) mit hohem Stromverbrauch für eine Firewall HW Appliance verwenden?
Ich konkretisiere: Als Hardware nutze ich einen vorhandenen Server, da ich für dessen vorherige Funktion neue Hardware bekommen habe. Somit war dieser "alte" Server frei. Es ist ein Dell PowerEdge R320. Stromverbrauch ist mit Sicherheit höher als bei einer Hardwarelösung.Hallo,
warum macht man sowas?
Warum eine teure Serverhardware (welche ist es denn genau mit welchen Komponenten?) mit hohem Stromverbrauch für eine Firewall HW Appliance verwenden?
Zitat von @michi1983:
Zu deiner eigentlichen Frage:
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Wenn da sonst noch etwas produktives drauf läuft in einer anderen VM, dann wäre ich da sehr vorsichtig, denn wenn er aus der Endian VM ausbrechen kann, hat er Zugriff über den Host und die anderen Produktivsysteme.
Sonst läuft da nix drauf.Zu deiner eigentlichen Frage:
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Wenn da sonst noch etwas produktives drauf läuft in einer anderen VM, dann wäre ich da sehr vorsichtig, denn wenn er aus der Endian VM ausbrechen kann, hat er Zugriff über den Host und die anderen Produktivsysteme.
Hi,
du hast aber gelesen:
•Free to use for home (unsupported)
Als Firma verletzt du damit direkt die Lizenz und darfst die nicht installieren!
Mal angesehen das dir etliche Funktionen, sowie Support fehlt, halte ich es für eine falsche Idee das Teil zu virtualisieren.
Deinen Einbruch über den EXSi halte ich allerdings für sehr gering.
VG,
Deepsys
du hast aber gelesen:
•Free to use for home (unsupported)
Als Firma verletzt du damit direkt die Lizenz und darfst die nicht installieren!
Mal angesehen das dir etliche Funktionen, sowie Support fehlt, halte ich es für eine falsche Idee das Teil zu virtualisieren.
Deinen Einbruch über den EXSi halte ich allerdings für sehr gering.
VG,
Deepsys
Zitat von @Deepsys:
Hi,
du hast aber gelesen:
•Free to use for home (unsupported)
Als Firma verletzt du damit direkt die Lizenz und darfst die nicht installieren!
Die Community Version ist eine GPL. Somit auch von Unternehmen nutzbar.Hi,
du hast aber gelesen:
•Free to use for home (unsupported)
Als Firma verletzt du damit direkt die Lizenz und darfst die nicht installieren!
Mal angesehen das dir etliche Funktionen, sowie Support fehlt, ...
Ja, ich wusste das Funktion fehlen. Wurde mir von einem bekannten Administrator empfohlen. Die Community Version hat sich so gut gemacht, dass ich beim Umzug auf die neue Hardware auch die kommerzielle Version erworben habe. 
..., halte ich es für eine falsche Idee das Teil zu virtualisieren.
Warum hälst du es für eine falsche Idee?Zitat von @mitternachtssurfer:
Schon mal gut!Mal angesehen das dir etliche Funktionen, sowie Support fehlt, ...
Ja, ich wusste das Funktion fehlen. Wurde mir von einem bekannten Administrator empfohlen. Die Community Version hat sich so gut gemacht, dass ich beim Umzug auf die neue Hardware auch die kommerzielle Version erworben habe. ..., halte ich es für eine falsche Idee das Teil zu virtualisieren.
Warum hälst du es für eine falsche Idee?Ich bin dann eher ein Freund von 2 Appliance im HA-Verbund.
Gut ist eine Kostenfrage.
Eine Firewall hat eigentlich in einer VM nichts verloren. Wenn dort etwas ausbricht ist das gesamte Netz kompromittiert. Das Problem ist nun das deine Firewall Sicherheit zum großen Teil von der Sicherheit des Hypervisors abhängt. Du hast es mit der Problematik des vSwitches ja selber schon erkannt...und das ist nur ein Punkt von vielen.
Eigentlich ein klares No Go für einen Netzwerker, deshalb macht das auch kaim jemand
.
Die generelle Frage ist warum du dir nicht anständige verschleissfreie Hardware für deine FW beschaffst wie z.B. diese hier:
Axiomtek Hardware (Rackmount) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
oder
Axiomtek Hardware (Desktop) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
Soekris oder ALIX wären eine andere Alternative.
Das hätte den Thread (fast) überflüssig gemacht !
Grundlagen zu dem Thema findest du auch auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Eigentlich ein klares No Go für einen Netzwerker, deshalb macht das auch kaim jemand
.
Die generelle Frage ist warum du dir nicht anständige verschleissfreie Hardware für deine FW beschaffst wie z.B. diese hier:
Axiomtek Hardware (Rackmount) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
oder
Axiomtek Hardware (Desktop) für pfSense, OPNSense, IPFire, ZeroShell, OpenWRT, IPCop und weitere
Soekris oder ALIX wären eine andere Alternative.
Das hätte den Thread (fast) überflüssig gemacht !
Grundlagen zu dem Thema findest du auch auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zitat von @mitternachtssurfer:
Der WAN-Anschluss (Rote Zone), welcher der EFW zugeordnet ist, wird ja bevor er von der Firewall verwaltet wird, erst vom ESXi "abgefangen" und in den virtuellen Switch "umgewandelt". Aber von "außen" (Internet) kommt man doch somit erst Einmal aufs ESXi. Ich empfinde das als Sicherheitsrisiko. Sehe ich das überhaupt Richtig - ist das gefährlich? Kann man dem ESXi "sagen", dass Zugriffe über diesen NIC komplett auf die EFW weitergereicht werden sollen?
Der WAN-Anschluss (Rote Zone), welcher der EFW zugeordnet ist, wird ja bevor er von der Firewall verwaltet wird, erst vom ESXi "abgefangen" und in den virtuellen Switch "umgewandelt". Aber von "außen" (Internet) kommt man doch somit erst Einmal aufs ESXi. Ich empfinde das als Sicherheitsrisiko. Sehe ich das überhaupt Richtig - ist das gefährlich? Kann man dem ESXi "sagen", dass Zugriffe über diesen NIC komplett auf die EFW weitergereicht werden sollen?
Eine Firewall als vm laufen zu lassen statt direkt auf der hardware ist leichtsinnig udn manchmal sogar grob fahrlässig. Setz sie lieber dierkt auf der Hardware selbst auf,
lks
Zitat von @michi1983:
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Wenn auf dem Host nix anderes läuft als die Endian VM dann ist das völlig egal würde ich mal behaupten.
Nein, die Virtualisierungsschicht biete ein einfallstor mehr, um die firewall auszuhebeln.
lks
Zitat von @Lochkartenstanzer:
Nein, die Virtualisierungsschicht biete ein einfallstor mehr, um die firewall auszuhebeln.
Okay, dann nehm ich das zurück.Nein, die Virtualisierungsschicht biete ein einfallstor mehr, um die firewall auszuhebeln.
Okay, vielen Dank für eure Antworten und für die Diskussion. Dann werde ich von der VM absehen und die EFW direkt auf die Hardware aufsetzen. Beim nächsten Einkauf werden ich dann auch versuchen mein Geschäftsführung vom Kauf einer Hardwareappliance zu überzeugen.
MfG Jan
MfG Jan
