Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Glaubensfrage Internet Firewall als Virtual Appliance in vSphere Umgebung betreiben

Frage Sicherheit Firewall

Mitglied: flabs

flabs (Level 1) - Jetzt verbinden

07.03.2012, aktualisiert 09.03.2012, 5988 Aufrufe, 7 Kommentare

Guten Abend,

eine Frage an die Sicherheits Experten in diesem Forum.

Ich spiele gerade folgendes Szenario gedanklich durch.


Der ISP liefert mir am Übergabepunkt normales Ethernet. Das Signal würde ich auf ich 2 dedizierte NICs, eine in jedem ESXi Host, in eine Portgruppe legen. Dann eine UTM Appliance virtuell betreiben. Mit 2 Nics Nic 1 ist mit der Externen Portgruppe, dem unsicherem Internet und Nic 2 dem VM Network dem sicheren Intranet.


Zu der Umgebung

2 DL 380 32GB Ram FC 4GB HBA
FC Storage Raid 5 7x 15k HDDs

10 VMs a 2GB Ram

60 Clients

Sinnvoll Idee oder gleich wieder begraben? Wie ist es mit dem Durchsatz?


Danke für eure Meinungen
Mitglied: spacyfreak
08.03.2012 um 01:10 Uhr
Wie du sagst - Glaubensfrage.

Klar geht das und die Funktionalität ist dieselbe.

Es gibt auch Meinungen dass man zum Internet hin nicht den Switch physikalisch anklemmen soll, sondern das Internet physikalisch an eine fette Firewall kommt.
YO. Kann bei manchen Dingen helfen- ich hab diese Dinge jedoch in den letzten 15 Jahren in der Praxis nicht erlebt so grausam wie es Security-Dienstleister gerne beschreiben um ihre IPS sYsteme loszuwerden.

Erfahrungsgemäß sind die "echten" Gefahren ganz anderer Natur.
Keine durchgängigen Prozesse, "vergessene" Testsysteme die vor sich hindümpeln, "local" gespeicherte wichtige Firmendaten die nach Plattencrash nicht geklaut, aber "weg" sind,
oder vergessene testweise eingerichtete administrataive Accounts, vergessen Firewallfreischaltungen die zu viel erlauben, browsen ohne contentfilter, gelangweilte mitarbeiter die spasshalber einen privat Access Point ins Büro hängen...

Meiner Meinung nach fährst du also mit einer virtuellen FW (die genauso funktioniert wie eine HW-Firewall) gut - bei überschaubaren Userzahlen.
Habe ich selber produktiv im Einsatz und das läuft.
Bei grösseren Geschichten ist Hardware schon vom Durchsatz meist im Vorteil und was den Support angeht.
Bitte warten ..
Mitglied: brammer
08.03.2012 um 08:13 Uhr
Hallo,

ich bevorzuge dann doch die physikalische Firewall, sinnvoller weise 2 oder mehr hintereinander.
Bei deiner VM Firewall sind 2 System angreifbar (deine Firewall und dein Vsphere...) und damti verwundbar.
Wenn du eine Physikalische Firewall hast muss der Angreifer erst durch deine Firewall durch, dann erst ist er in deinem Netz, daher würde ich imer eine zweite eines anderen Herstellers dahinterhängen.
Bei uns kümmern sich z.Zt. 4 Firewalls darum, allerdings hängen auch mehrere Tausend Clients dahinter...

brammer
Bitte warten ..
Mitglied: Dani
08.03.2012 um 10:24 Uhr
Moin,
machen wir genauso wie brammer. Alles andere ist ein Risikofaktor aus unserer Sicht.


Grüße,
Dani
Bitte warten ..
Mitglied: aqui
08.03.2012 um 21:24 Uhr
Eine FW hat nichts in einer VM zu suchen ! Das ist immer dedizierte HW, alles andere ist Heimbastelei. Da geht sowas in einer Firma steht das außer jeglicher Diskussion.
Sollte auch jeder verantwortungsvolle Admin wissen und ist zu keiner Zeit eine "Glaubensfrage".
Bitte warten ..
Mitglied: spacyfreak
09.03.2012 um 01:28 Uhr
Na dann philosophieren wir das doch mal durch..... nach Möglichkeit im Gesamtkontext..
Hab grad nix besseres zu tun..

Von paar Tausend Clients red ich auch nicht, da muss schon aufgrund Durchsatz / Stabilität ne fette spezialisierte Geschichte her.
Wenn das Budget da ist dann wird man auch stets zu einer "richtigen" Firewall greifen.

Nichts desto trotz kann man es nicht "unverantworlich" nennen, für kleinere Geschichten eine virtuelle zu nehmen.
Millionen Leute haben daheim 20€ Router mit LInuxen die 6 Jahre ohne update vor sich hin tuckern -komischerweise kommt auf dem Weg kaum ein Hacker rein, sondern
weil der Anwender von innen das Zeugz fast freiwillig auf den Rechner zaubert.

So manche Paranoia löst sich trotz gegenteiligem Bauchgefühl in Luft auf wenn man es mal sachlich betrachtet und versucht das angeblich unverantwortliche Sicherheitsrisiko in der Praxis auszunutzen.
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.

"Linux ist sicherer als Windows."
"Windows onboard Firewall ist unsicher."
und und und
das ist doch meist Gelaber das man irgendwo aufgeschnappt hat.

Wenn ein echter Vollprofi-Hacker wo rein will dann findet er meines Erachtens immer wieder Wege, und er sucht sich den einfachsten, erfolgsversprechendsten Weg.
Und diese Wege führen eher selten durch die Firewall, ob nun virtuell oder "echt".
VRFs sind auch "virtuelle Router". Muss ich die jetzt alle abschalten??

Wenn ein Port "offen" ist, dann ist er offen und das dahinterliegende System wie Webserver ist angreifbar. Punkt.
Ist den Paketen völlig wurst durch welche Firewall sie flutschen - ist das Ziel angreifbar lässt sich das nutzen.

Allzuoft wird die Eingangstür mit 235 Schlössern abgesichert - und das Kellerfenster hat man vergessen zuzumachen.
Gelangweilte chinesische Studenten haben bei MD5 Kolissionen nachgewiesen - ergo kann man MD5 in die Tonne treten? Hmm..


V.E.R.H.Ä.L.T.N.I.S.M.Ä.S.S.I.G.K.E.I.T.

Wobei sowohl die echte wie die virtuelle Firewall aus Hardware und aus Software bestehen - oder läuft Vsphere in der Luft?
Hat eine fette Profi-FW Sicherheitsschwächen z. B. aufgrund von Bugs muss man das ebenso updaten wie bei Vsphere und virtueller Firewall.
Wieviele fette Profi Checkpoints auf Nokia Hardware noch auf 5.X laufen hab ich jedoch nicht gezählt... doch die Admins die sie betreuen schlafen trotzdem gut.


In 10 Jahren ist ALLES virtuell meiner Meinung nach.
Eine große schwarze Box in der Switches, Router, Firewalls, Server, Desktops brav nebeneinander tuckern und sich die CPUs, RAM und Storage teilen.
Schöne neue Welt.



Und jetzt?
Bitte warten ..
Mitglied: brammer
09.03.2012 um 06:24 Uhr
Hallo,

natürlich ist die Risikoabwägung immer ein Argument.
Was ausreicht ist immer eine Abwägung was man schützen will/muss und was man dafür ausgeben kann.
Veraltete Versionen der SOftware sind in jedem Gerät ein Risiko, ob nun Desktop Rechner, Router Switch oder Firewall.

Aber, sobald ich in den etwas umfangreicheren Netzwekrbereich komme, ist eine die Positionierung einer einer Software nach außen immer ein Risiko.
Dann nehme ich nach außen doch lieber eine Software die speiziell dafür ausgelegt ist, als das ich eine Software nehme die dafür nicht gedacht ist und lasse dadrin eine Software laufen die dafür gedacht ist, damit schaffe ich mir 2 Einfallstore.

Deswegen setze ich inzwischenselbst im Privat Bereich lieber eine Hardwarefirewall ein.
Mein eigener DSL Anschluss ist nach Außen eine Fritzbox, älteres Modell, aber dahinter sitzt eine ASA, und ein Honeypot.
Im Honeypot haben sich schon ein paar Leute ausgetobt...
In meinem Netz, nach meinem wissen, noch Nicht!

brammer
Bitte warten ..
Mitglied: C.R.S.
09.03.2012 um 20:18 Uhr
Zitat von spacyfreak:
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.

"Linux ist sicherer als Windows."


Schaun wir mal, wie lange sich die zeitgemäße Sichtweise hält:
"Ein Hypervisor ist genauso sicher wie die virtualisierten Umgebungen, auch wenn wir nichts über ihn wissen, geschweige denn Maßnahmen zu seiner Absicherung ergriffen hätten."

Spaß beiseite, der entscheidende Satz im Eingangsbeitrag, warum sich gerade hier die Virtualisierung verhältnismäßig verbietet, ist "Der ISP liefert mir am Übergabepunkt normales Ethernet". Das verstehe ich so, dass der TO ein Ethernet-Kabel hat, dessen anderes Ende er nicht kontrolliert. In dem Moment, in dem er das in einen ESXi-Host steckt, exponiert er potenziell alles von der NIC-Firmware, über das ESX-Networking bis hin zur eigentlichen Firewall. Das kann man einem zentralen Server nicht zumuten.

Grüße
Richard
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(1)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...