Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PPOe Routing im VMware ESXi sicher?

Frage Virtualisierung Vmware

Mitglied: rk2000

rk2000 (Level 1) - Jetzt verbinden

05.04.2011, aktualisiert 18.10.2012, 5857 Aufrufe, 6 Kommentare

Hallo an alle,
ich möchte meinen Homeserver umrüsten.

Im moment verwende ich als Server Opensuse 10.3 darauf ist Vmware Server (enthält: W2k3; OpenVPN) installiert.
Opensuse kümmert sich um die DSL einwahl mit PPOe und das ganze ist mit der Susefirewall2 geschützt, und läuft als Mailserver nebenbei.

Der neue Server soll VMware ESXi 4.1 bekommen, und drei Netzwerkkarten.
Der Server kann IOMMU und ich hatte vorgehabt, eine der Netzwerkkarten direkt mit passthrough
In eine VM zu leiten, welche sich um das Routing und NAT kümmert. (Entweder Opensuse 11.4, oder
eine der bekannten Router-Linux-Distros (Untangle, IPcop, etc.).

Jedoch hab ich etwas bedenken bezüglich der Sicherheit, da das ganze ja bis zum ESXi mehr oder weniger ungefiltert aufläuft, und erst in der VM PPOe geroutet wird.
Oder wäre ein standalone Router doch die bessere Variante, denke da an einen RV042, oder ITX-Board mit Untangle; IPCop ?

Beim RV042 hab ich das Problem mit meinem Dyndns, ich verwende drei IPs, kann aber nur eine
eintragen. Bis jetzt unter Linux mit dem ddclient ist das kein Problem.

Bin für Anregungen dankbar!
Mitglied: brammer
05.04.2011 um 06:23 Uhr
Hallo,

einen Router dazwischen zu setzen ist vom Sicherhetisstandpunkt auf jeden Fall besser als ein Server Bertriebssystem direkt im Internet zu platzieren.

Allerdings kann ich dir nicht sagen ob dein RV042 oder andere Router mit mehreren dyndns accounts umgehen können.
Ein Cisco 871/881 kann das zumindest schon.

brammer
Bitte warten ..
Mitglied: bnutzinger
05.04.2011 um 10:30 Uhr
Hi,

ich denke in der von dir vorgeschlagenen Konfiguration sollte das problemlos machbar sein.
Da der Hypervisor beim Passtrough die direkte Kontrolle über das Gerät, in diesem Fall den NIC, verliert sollte im Umkehrschluss ein Zugriff über die NIC auf den Hypervisor auch unmöglich sein.
Aber Vorsicht bei der eingesetzten NIC. Es gibt Hardware die vom Hypervisor trotz Passtrough noch selbst verwendet werden kann (ein sehr nützliches Feature, nur nicht in deinem Fall ;))

Grüße
Bastian
Bitte warten ..
Mitglied: aqui
05.04.2011, aktualisiert 18.10.2012
Ob es besser ist, ist letztlich Ansichtssache. Sicherer ist in jedem Falle immer eine externe Lösung. Auch im Hinblick auf die Ausfallsicherheit.
Mit einem Mini ITX und z.B. PfSense oder Monowall hast du auch keinerlei Probleme mit deinen 3 IP Adressen:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Bitte warten ..
Mitglied: rk2000
05.04.2011 um 16:41 Uhr
Hallo,

schonmal danke für die Antworten. Ich denke dann auch, dass eine externe Lösung mehr Sinn macht, ich habe auf der Wiki-Seite zu IPCop das hier gefunden

http://www.ipcopwiki.de/index.php/%C3%9Cber_IPCop

Zitat daraus:

Die Zeitschrift c't aus dem Heise-Verlag hat im Rahmen eines Server-Projekts den „c't-Debian-Server“ vorgestellt, in dem IPCop in User Mode Linux, einer virtuellen Maschine unter Linux, läuft. Dies spart einen zweiten Rechner für die Firewall ein, wird von vielen Fachleuten jedoch als unsicher eingestuft, da ein Angreifer die Kontrolle über den kompletten Rechner übernehmen könnte, (siehe Artikel bei IPCop-Forum.de). Das Risiko ist nicht auszuschließen, aber die Angriffswege sind recht unwahrscheinlich:
Der Angreifer findet und nutzt einen Fehler im Bridging-Code zur virtuellen Maschine und hat damit direkte Kontrolle über den Rechner erlangt. Der Bridge-Code soll die Daten nur zwischen den Netzwerken weiterreichen, ohne in irgendeiner Art die Daten zu interpretieren. Damit sollte der Bridge-Code über das Netzwerk nicht angreifbar sein.
Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und greift dann mit „bewährten Mitteln“ über das Netzwerk den Rechner an. Dieses Szenario ist der GAU für eine Firewall, bei dem die Firewall selbst vom Angreifer für einen Angriff benutzt wird. Hier besteht auch kein Unterschied mehr zwischen einer Firewall auf eigener Hardware und einer Firewall in einer virtuellen Maschine.
Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und findet und nutzt dann einen Fehler im User Mode Linux, um aus der virtuellen Maschine auszubrechen, und schließlich findet und nutzt einen Fehler im Host-Betriebssystem (das direkt auf der Hardware läuft), um die Kontrolle über den Rechner zu erlangen. Drei kaskadierte Fehler sind sehr unwahrscheinlich. Auch hier tritt wieder der Firewall-GAU auf, der Angreifer nutzt die Firewall als Plattform für einen weiteren Angriff.

Ein deutlich höheres Risiko besteht jedoch, wenn neben der Firewall weitere Server-Anwendungen (insbesondere Webserver) auf der gleichen Hardware laufen, wie es auch im c't-Debian-Server der Fall sein kann. Ein Angreifer, der durch einen Fehler in diesen Server-Anwendungen innerhalb der virtuellen Maschine Administrator-Rechte erlangt, könnte durch einen weiteren Fehler in der Virtualisierungssoftware auch Administrator-Rechte im Hostsystem bekommen. Dann ist auch der Weg zur Modifikation der virtuellen Maschine der Firewall frei. Da gerade in Webservern ständig Fehler gefunden werden, müsste man auf die Fehlerfreiheit der im Allgemeinen recht komplexen Virtualisierungssoftware bauen (dies gilt für UML, aber genauso für z.B. VMware, Xen, QEMU). Dies ist durchaus kein unrealistisches Szenario, Firewalls in virtuellen Maschinen sollten deshalb nur dann eingesetzt werden, wenn man wirklich weiß, was man tut.

Grüße Michi
Bitte warten ..
Mitglied: aqui
05.04.2011 um 17:20 Uhr
Besser als die ct' kann man es nicht beschreiben.... !
Bitte warten ..
Mitglied: Dani
29.04.2011 um 23:36 Uhr
Moin,
wie siehts bei dir aus? Ist dein Problem gelöst oder hakt es noch wo? Feedback bitte!


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Vmware
VMWare ESXi 5.5 2xhosts 1xMSA, Wie sichern?
Frage von rudeboyVmware

Mahlzeit zusammen! Umgebung wie oben beschrieben, haben ein SAS LTO4 Laufwerk in einem alten Server (MS 2008R2, Backup Exec ...

Windows Netzwerk
PPoE Server für DSL in Routing und RAS möglich
Frage von Herbrich19Windows Netzwerk2 Kommentare

Hallo, Ich würde gerne in Routing und RAS ein PPPoE Server einrichten um den Server als BRAS zu nutzen. ...

Vmware
Eure Empfehlung um einen ESXi 6 zu sichern?
gelöst Frage von Stefan007Vmware12 Kommentare

Hallo, Ich hab einen ESXi 6 im Einsatz auf dem insgesamt 4 VM's laufen. Der ESXi ist auf einem ...

Vmware
VMWare ESXI auf Gigabye Brix
Frage von NoobOneVmware9 Kommentare

Hallo Zusammen, ich habe mir einen Gigabyte BRIX GB-BXBT-1900 zugelegt und soll in mein Heim-Netzwerk integriert werden. Nachdem dieser ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 8 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 12 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 12 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 15 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...