10
Firewall auf ESXi
Guten Morgen zusammen
Ich habe viel Recherchiert und mir scheinen die Antworten einleuchtend. Allerding wollte ich nochmal Fragen wegen einer Firewall auf einem ESXi betreiben.
Mir ginge es im Speziellen darum, das wenn die physische Maschine z.B. 2 Netzwerkkarten hat und somit eine dediziert für die FW verwendet wird, ob es dann nach wie vor ein Sicherheitsrisiko darstellt?
Klar, wenn das Hostsystem anderweitig gekapert wird, ist das immernoch ein Sicherheitsrisiko. Aber es muss ja nach wie vor erst die FW umgangen werden, oder liege ich falsch mit meinem Gedanken?
Danke für euer Input!
Ich habe viel Recherchiert und mir scheinen die Antworten einleuchtend. Allerding wollte ich nochmal Fragen wegen einer Firewall auf einem ESXi betreiben.
Mir ginge es im Speziellen darum, das wenn die physische Maschine z.B. 2 Netzwerkkarten hat und somit eine dediziert für die FW verwendet wird, ob es dann nach wie vor ein Sicherheitsrisiko darstellt?
Klar, wenn das Hostsystem anderweitig gekapert wird, ist das immernoch ein Sicherheitsrisiko. Aber es muss ja nach wie vor erst die FW umgangen werden, oder liege ich falsch mit meinem Gedanken?
Danke für euer Input!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269008
Url: https://administrator.de/contentid/269008
Printed on: April 26, 2024 at 17:04 o'clock
10 Comments
Latest comment
Moin,
auch wenn du einen dedizierten pNIC verwendest besteht immer noch die Gefahr, das der ESXi selbst angreifbar ist. Entweder direkt über Schwachstellen im Netzwerk-Code des Kernels/der Treiber oder indirekt über einen VM-Escape Angriff über die VM.
Evtl. kannst Du das Risiko noch weiter minimieren indem die den pNIC per DirectPath-IO direkt an die VM durchreihst. Ein Restrisiko bleibt aber immer.
Fakt ist: wird die FW erfolgreich angegriffen musst du den gesammten ESXi inkl. aller VM als kompromittiert betrachten.
Die Bewertung dieses Risiko obliegt aber allein Dir.
lg,
Slainte
auch wenn du einen dedizierten pNIC verwendest besteht immer noch die Gefahr, das der ESXi selbst angreifbar ist. Entweder direkt über Schwachstellen im Netzwerk-Code des Kernels/der Treiber oder indirekt über einen VM-Escape Angriff über die VM.
Evtl. kannst Du das Risiko noch weiter minimieren indem die den pNIC per DirectPath-IO direkt an die VM durchreihst. Ein Restrisiko bleibt aber immer.
Fakt ist: wird die FW erfolgreich angegriffen musst du den gesammten ESXi inkl. aller VM als kompromittiert betrachten.
Die Bewertung dieses Risiko obliegt aber allein Dir.
lg,
Slainte
Moin,
die "zusätzliche" Gefahr besteht durch die Lage der VM, gelingt es "auszubrechen", d.h. den Hypervisor aus der VM heraus zu erreichen, liegen die anderen VMs auf dem gleichen physischem Server im Zugriff.
Auch ein Beeinflussen kann da schon entsprechende Auswirkungen haben: DoS-Attacke, sodaß die anderen VMs langsam werden.
Das Ausbrechen hat VMware vor einigen Jahren (aus dem ESX) zumindest schon 'mal befürchtet (Quelle wird schwer - suche ich aber raus).
Ich vermute aber für die meisten realen Szenarien, daß man eine VM ohnehin schon hinter einem (DSL-)Router platziert und das Gesamtkonstrukt (VM dann in einer "DMZ") sicherer ist, als ohne VM.
Ich persönlich "traue" den Hypervisoren (ESXi, KVM, XEN) insofern, als daß ich ein Ausbrechen mit entsprechenden Netzwerkpaketen für unwahrscheinlich halte.
HG
Mark
die "zusätzliche" Gefahr besteht durch die Lage der VM, gelingt es "auszubrechen", d.h. den Hypervisor aus der VM heraus zu erreichen, liegen die anderen VMs auf dem gleichen physischem Server im Zugriff.
Auch ein Beeinflussen kann da schon entsprechende Auswirkungen haben: DoS-Attacke, sodaß die anderen VMs langsam werden.
Das Ausbrechen hat VMware vor einigen Jahren (aus dem ESX) zumindest schon 'mal befürchtet (Quelle wird schwer - suche ich aber raus).
Ich vermute aber für die meisten realen Szenarien, daß man eine VM ohnehin schon hinter einem (DSL-)Router platziert und das Gesamtkonstrukt (VM dann in einer "DMZ") sicherer ist, als ohne VM.
Ich persönlich "traue" den Hypervisoren (ESXi, KVM, XEN) insofern, als daß ich ein Ausbrechen mit entsprechenden Netzwerkpaketen für unwahrscheinlich halte.
HG
Mark
Moin,
Inzwischen gibt es eingie exploits, die es erlauben, aus eienr VM auszubrechen und den Host zu kapern. Damit ist die Firewall, die vielleicht auf einer parallelen VM läuft nutzlos, bzw kompromittiert. Bei eienr dedizierten Fw würde diese noch Ihren Dienst tun.
lks
Inzwischen gibt es eingie exploits, die es erlauben, aus eienr VM auszubrechen und den Host zu kapern. Damit ist die Firewall, die vielleicht auf einer parallelen VM läuft nutzlos, bzw kompromittiert. Bei eienr dedizierten Fw würde diese noch Ihren Dienst tun.
lks
Dazu müsste man allerdings zuerst die FW Kapern oder? Davor kann nicht ausgebrochen werden.
Zitat von @geocast:
Dazu müsste man allerdings zuerst die FW Kapern oder? Davor kann nicht ausgebrochen werden.
Dazu müsste man allerdings zuerst die FW Kapern oder? Davor kann nicht ausgebrochen werden.
Ist die Fw die einzige VM? Außerdem haben Firewall die Angewohnheit zwei Netzwerkbeinchen zu haben.
lks
Davor kann nicht ausgebrochen werden.
Wenn ich mich recht entsinne gab's auch schon exploitbare Bugs ins diversen NIC-Treibern.Hier kannst du mal selbst suchen
Ich für meinen teil würde den ESXi auf jedenfall nicht mit einem NIC direkt an den Router hängen. Eine kleine Fehlkonfiguration und ein freundlicher Kollege aus N.Korea übernimmt die Administration des ESXi für dich
FW-Appliances kosten nicht mehr die Welt und bieten einiges mehr an Sicherheit.
@Lochkartenstanzer
Grundsätzlich sollte noch ein Win Server drauf laufen.
Die zweite Netzwerkkarte ins interne Netz, wird Virtualisiert. Nur um zusätzliche gefahren bzw. zusätzliche Layer zum umgehen, wollte ich die direkte Netzwerkkarte vom Router durchreichen zur VM.
Hardware war ein HP ProLiant MicroServer Generation 8 gedacht. Der hat ja zwei Stück.
@SlainteMhath
Ich meine vom Sicherheitskonzept her. Es ist EINE mögliche gefahr die man sich Aussetzt, das es gekapert werden kann. Unsichere/nicht geupdatete Software glaube ich ist ein größeres Risiko.
Zusätzlich, wenn es bugs in NIC-Treibern gibt, kann man auch gut die FW selbst Kapern. Dann ist ja Hopfen und Malz verloren.
Grundsätzlich sollte noch ein Win Server drauf laufen.
Die zweite Netzwerkkarte ins interne Netz, wird Virtualisiert. Nur um zusätzliche gefahren bzw. zusätzliche Layer zum umgehen, wollte ich die direkte Netzwerkkarte vom Router durchreichen zur VM.
Hardware war ein HP ProLiant MicroServer Generation 8 gedacht. Der hat ja zwei Stück.
@SlainteMhath
Ich meine vom Sicherheitskonzept her. Es ist EINE mögliche gefahr die man sich Aussetzt, das es gekapert werden kann. Unsichere/nicht geupdatete Software glaube ich ist ein größeres Risiko.
Zusätzlich, wenn es bugs in NIC-Treibern gibt, kann man auch gut die FW selbst Kapern. Dann ist ja Hopfen und Malz verloren.
ur um zusätzliche gefahren bzw. zusätzliche Layer zum umgehen, wollte ich die direkte Netzwerkkarte vom Router durchreichen zur VM.
Ist ist schon einmal ein guter Anfang. Wir machen das ähnlich mit vSwitch und Trunks. Funktioniert bisher ohne Zwischenfälle. Der Host selber und damit die Verwaltung laufen über eine separate Netzwerkkarte und VLAN. Das Netz ist nur über die Firewall des Adminsnetzwerks möglich. Somit ist der Host aus dem Internet nicht sichtbar sein. Wenn ihr noch ein gutes IPS und WAF habt, sind die meisten Angriffe kein Problem.Kurz: wir betreiben einen VMWare-Cluster seit 4 Jahren als DMZ und bisher keine Probleme gehabt.
Gruß,
Dani
Dazu müsste man allerdings zuerst die FW Kapern oder? Davor kann nicht ausgebrochen werden.
Oder man schleust über DoS bzw. DDoS Attacken Code ein und nutzt eine Lücke auf denHypervisoren aus, das kann dann auch schnell voll in die Hose gehen! Mal ein paar Beispiele:
1. DDoS auf eine Firewall in der VM und der komplette Hypervisor bricht zusammen!
D.h. dann das mir die Firewall und alle VMs fehlen, bzw. diese sogar Datenverlust
oder korrupte Daten bescheren.
2. Firewall auf eigenem "Blech" (bare metal) dann ist nur die Firewall down oder
reagiert eben nicht mehr, aber der Hypervisor und die VMs laufen noch wenn man
einen Layer3 Switch im LAN hat.
3. Firewall auf eigenem Blech und alle Server in der DMZ sind auch auf einem
eigenen Blech, wird es schon schwieriger die Firewall und die VMs kalt zu stellen!
und die VMs im LAN laufen dann auch noch alle.
Man hat eben Vor- und Nachteile und beide sollte man gut überdenken bevor man
sich das gesamte Netzwerk lahm legt.
Im LAN ist das ja heute Gang und Gebe VMs zu nutzen, nur die DMZ Server mit
Internetkontakt und die Firewall bzw. den Router würde ich immer auf ein eigenes
Blech zu packen.
Gruß
Dobby
Dann kann man durch durch eine "rote Pille" aus diesem Server ausbrechen und mit Hilfe des Hypervisors die Firewall kompromittieren.
Ist Die Firewall nur dazu da, die (einzige andere) VM zu schützen, mag das hinnehmbar sein, sollte aber noch ein ganzes Netz dahinterhängen, egal ob virtuell oder real, hat man ein Problem. Von daher gilt wie immer:
Risiken und Ersparnisse gegeneinander abwägen und das wirtschaftlichere Verfahren wählen.
lks