magicteddy
Goto Top

PfSense als Addon auf QNAP

Moin,

für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird:
https://www.qnap.com/en/news/2018/qnap-and-netgate-showcase-nas-with-pfs ...

In Anbetracht auf Spectre und Meltdown und was da eventuell noch gefunden wird habe ich mindestens Bauchgrummeln bei einer virtualisierten Firewall ...

-teddy

Content-Key: 361964

Url: https://administrator.de/contentid/361964

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: maretz
maretz 23.01.2018 um 00:01:42 Uhr
Goto Top
Und warum glaubst du das die "virtuelle" Firewall sich von der physikalischen so sehr unterscheidet? Meinst du das der Host von VMs da irgendwie nen Kessel hat und dunkle Magie ausübt? Da ist nicht sooo der grosse Unterschied - denn deine physikalische Hardware kann genauso betroffen sein. Und nur mal unter uns Klosterbrüdern - guck doch mal nach wieviele Hardware-Firewalls die jetzt mal so 2-3 Jahre alt sind dann noch wirklich nen Patch bekommen und/oder dies sogar kostenlos schaffen (z.B. Cisco ASA....). Von den China-Geräten wollen wir nicht erst anfangen, oder? Und du bekommst "magengrummeln" bei VM-Hardware? Na, Prost...
Mitglied: magicteddy
magicteddy 23.01.2018 um 02:26:00 Uhr
Goto Top
Für die bisher bekannten Angriffe besteht die Notwendigkeit Code auf der Maschine auszuführen, auf dedizierter Hardware wo nur die Firewall selber läuft ist es ohne physische Zugriff eine Ecke schwerer als auf einer NAS mit Virtualisierungsfunktionen und ggf. weiteren Addons ...

-teddy
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.01.2018 um 09:47:34 Uhr
Goto Top
Zitat von @magicteddy:

Für die bisher bekannten Angriffe besteht die Notwendigkeit Code auf der Maschine auszuführen auf dedizierter Hardware wo nur die Firewall selber läuft ist es ohne physische Zugriff eine Ecke schwerer als auf einer NAS mit Virtualisierungsfunktionen und ggf. weiteren Addons ...

-teddy

Das ist der Hauptgrund und das ist auch der Grund, warum eine virtuelle Firewall Sicherheitstechnisch weit hinter einer phys. liegt.
Mitglied: maretz
maretz 23.01.2018 um 19:15:57 Uhr
Goto Top
Ich finde es lustig das ihr es an virtuell oder physikalisch festmacht... Wenn ich mir angucke das Hersteller wie Cisco selbst bei kritischen Dingen ohne gültigen Support-Vertrag in der Regel nix machen weiss ich ernsthaft nicht ob ich einer gut gepflegten virtuellen FW mehr vertrauen würde...

Alternativ würde ich einfach mal überlegen das der grösste Faktor eben immer noch vorm Monitor sitzt - auch da macht es keinen Unterschied ob virtuell oder physikalisch. Es bringt wenig wenn ich eine Firewall auf "Any2Any" setze weil ich keine Zeit / Kenntnisse habe mich damit auseinanderzusetzen bzw. die Logs zwar irgendwo auf dem tollen Log-Server laufen aber da auch nur die Platte füllen aber nie angesehen werden.

Von daher sehe ich halt nicht so generell das etwas "virtuelles" per Default unsicherer sein soll als was physikalisches. Klar - wenn ich auf der virtuellen Kiste daneben noch schnell den Gameserver, den IRC-Chat (gibts den noch?),... laufen lasse - dann ja. Und gehe ich auf die physikalische Firewall und haue da mit mehr oder weniger Gewalt irgendwelche Pakete rein dann hat sich das Thema genausoschnell wieder erledigt...
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.01.2018 um 19:39:03 Uhr
Goto Top
Irgendwie generell richtig. Die Sache ist aber die, auf einem HV-Host installierst du wahrscheinlicher mal ProgrammX (Muss schliesslich nichtmal von schlechten Eltern sein, der eine oder andere böse Programmierer reicht um den Code zu verwanzen.) und was, wenn dann dieses Programm über die Lücke die FW manipuliert?

Die Frage nach dem User/DAU-Admin vor dem PC stellt sich erstmals nicht, denn man installiert logischerweise auf einem Android/Ios Device eher mal eine App als auf einem Samsung D-schlagmichtot, welche das auch konnte, aber wesentlich aufwändiger. DAS ist u.a die Gefahr eines virtuellen Systems. Natürlich ist pfSense dafür nicht die optimalste Basis, ich vergleiche hier eine virtuelle FW mit einer FW auf Manufacturer-HW, die demnach auch eher schwieriger zu manipulieren ist.

VG

PS: Was machst du bei nicht zahlenden Kunden?
Mitglied: maretz
maretz 23.01.2018 um 20:01:49 Uhr
Goto Top
Moin,

Kunden habe ich zum Glück keine mehr - ich bin grad vom Dienstleister zum Kunden gewechselt. Aber: Auch bei Kunden habe ich für meine Fehler grade gestanden - und im Zweifel eben auch mal nach Feierabend die Sachen gradegebogen wenns wirklich dumme Fehler waren und/oder ich eindeutig selbst Schuld war. Ich rede bei Cisco ja auch nicht über Feature-Updates oder sowas - sondern über wirklich kritische Bugs. Und auch nicht über EoL-Hardware sondern über Hardware die noch im Support ist - aber eben nur gegen Endgeld.

Was das Thema Firewalls angeht - hier stellt sich für mich die Frage was eben drauf ist. Klar - auf (guter) Hardware ist das nen guter Anfang. Aber wenn ich sehe wie oft bereits die Tools für die Hacker mit auf der FW installiert sind (Compiler, Interpreter,....) stellt sich da leider die Frage auch nicht mehr so oft. Das ist es was ich meine mit "die Person davor". Wenn ich meine ich nehme eine Firewall - egal welcher Hersteller, Hard-/Software, Virtuell oder Physikalisch - und nur weil die im Regal steht bin ich jetzt sicher der irrt sich halt. Und - wieviele Personen/Firmen kennst du bei denen das genauso gehandhabt wird?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.01.2018 um 20:10:04 Uhr
Goto Top
Wir können das abkürzen, für "in Support" HW hab ich noch nicht mitbekommen, dass keine Patches zur Verfügung gestellt wurden. hast du mir da konkrete Beispiele? (Mit Support meine ich entsprechende Laufzeitverträge ovgl.)

Denn grundsätzlich muss ein Produkt schliesslich nicht EOL sein. Hier gelten auch andere Laufzeiten, als im B2C Segment: 1 Jahr Garantie, 2 Gewährleistung.

Logisch, aber die Person davor hab ich bewusst weggekürzt, denn sonst können wir Stundenlang über Leute, die nicht vor einen PC gehören, aber eine FW bedienen (wollen/müssen/sollen) reden. Das hilft dem Kern aber nicht weiter.

Logisch irrt er sich. Aber da muss ich sagen, da sind meine Kunden meiner Ansicht nach gut geschult. Nur, weil man einen Burggraben hat, heisst das nicht, dass irgendwer irgendwann ne Pontonbrücke baut. ;)

Aber ich weiss, worauf du hinaus willst. Das liegt aber am Punkt "Person davor" - man muss unbedingt eine Firewall verkaufen, weil das jeder so macht - aber dann nicht damit umgehen können, weil die Netzwerkbasics (+FW basics) fehlen....Well.