Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.
(Das "alte Design" kommt wieder, wird ne Weile brauchen!)

Sicherheit mit ESXi

Alles zum Thema vSphere 6.5, ESXi 6.5 und vCenter Server.

Moderatoren: irix, continuum, Dayworker, Tschoergez

Member
Beiträge: 3
Registriert: 25.04.2017, 18:18

Sicherheit mit ESXi

Beitragvon Fury » 25.04.2017, 18:54

Hallo meine Freunde,

ich habe eine Frage bezüglich Sicherheit mit ESXi.

Ich beschreibe mal meine Ist-Situation und mein Vorhaben:
Momentan befindet sich mein ESXi Server in meinem Heimnetz. (siehe Diagramm: http://imgur.com/a/OblLz)
Bis jetzt habe ich es so gemacht, dass ich bei gewissen VMs, die über das Internet erreichbar sein sollen,
die Ports an meiner Fritzbox geöffnet habe, damit ein Zugriff von außen möglich ist. Das Problem ist jetzt,
dass ein Angreifer, der über die offenen Ports einen Zugriff auf einer meiner VMs bekommen hat, mein komplettes
internes Netzwerk sieht und Geräte dort komprimieren kann.

Als mögliche Lösung habe ich mir gedacht, dass ich den ESXi-Server in eine DMZ Stelle, damit im Falle eines
erfolgreichen Angriffs auf einer meiner VMs, die restlichen Systeme in meinem internen Heimnetz nicht betroffen
sind. (siehe Diagramm: http://imgur.com/a/1k0JC)
Im Internet habe ich jedoch gelesen, dass es keine gute Idee ist, den ESXi Server in die DMZ zu stellen. Leider weiß
ich nicht, wie ich das Problem anders lösen kann. Kennt ihr eine sichere Weg um das Problem zu lösen?

Nebeninformationen:
Mein ESXi Server hat nur eine physische NIC. Lohnt es sich eine weitere NIC einzubauen und es wie folgt zu
verkabeln: (siehe Diagramm: http://imgur.com/a/klHBM)
- Eine NIC hat eine Verbindung ins DMZ (für die VMs)
- Die andere NIC hat eine Verbindung zum internern Heimnetz uns wird als Management Interface genutzt

Vielen Dank
Fury

Benutzeravatar
Member
Beiträge: 255
Registriert: 20.10.2011, 17:55

Re: Sicherheit mit ESXi

Beitragvon MarroniJohny » 25.04.2017, 23:22

Hi

Ja, das geht mit den zwei Routern. Kannst Du so machen. Oder allenfalls einen einzelnen Router/Firewall, der eine "echte" DMZ neben den LAN Ports zur Verfügung stellt.

Der Bericht ist schon ein wenig älter, aber ist immer noch gültig:

https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html

Member
Beiträge: 3
Registriert: 25.04.2017, 18:18

Re: Sicherheit mit ESXi

Beitragvon Fury » 26.04.2017, 06:59

MarroniJohny hat geschrieben:Ja, das geht mit den zwei Routern. Kannst Du so machen. Oder allenfalls einen einzelnen Router/Firewall, der eine "echte" DMZ neben den LAN Ports zur Verfügung stellt.[/url]


Danke für deine schnelle Antwort :)!
Jetzt hab ich nur noch die Frage ob es sicherheitstechnisch okay ist, den kompletten ESXi in der DMZ stehen zu lassen?

Experte
Beiträge: 1775
Registriert: 23.02.2012, 12:26

Re: Sicherheit mit ESXi

Beitragvon ~thc » 26.04.2017, 07:46

"Sicherheit" ist leider keine Lösung, die man einmal zurecht bastelt und danach ruhig schlafen kann, da ja alles "sicher" ist.

Bei dem in der Security-Szene weltbekannten DigiNotar-Hack stieg der (höchstwahrscheinlich iranische) Angreifer zunächst in die vom Internet aus erreichbaren Server in der DMZ ein um sich von dort aus zu den internen Netzen vorzuarbeiten. Alle Netze waren sauber per Firewall voneinander getrennt - nur leider kontrollierte niemand die Logs der Firewalls, in denen die ungewöhnlichen Aktivitäten des Angreifers durchaus sichtbar waren.

Du kannst also stattdessen die freigegebenen Dienste sauber & sicher konfigurieren, immer auf dem neuesten Stand halten und aufmerksam überwachen.

Benutzeravatar
Member
Beiträge: 255
Registriert: 20.10.2011, 17:55

Re: Sicherheit mit ESXi

Beitragvon MarroniJohny » 26.04.2017, 10:09

Naja. Immerhin hat er mit dem zweiten Router eine echte DMZ/LAN Trennung.

Dass sich ein Angreifer aus der VM in der DMZ über den Hypervisor ins LAN hackt, dürfte wohl eher selten sein. Der zweite Router und die zweite NIC ist daher sicher nicht verkehrt.

Ich habe es so gelöst, dass ich vom Management Interface des ESXi zum Desktop eine separate Strippe gezogen habe. Das läuft nicht über den Switch. Allerdings aus dem einfachen Grund, dass ich den Switch ausschalten kann, und die Verbindung zum Host erhalten bleibt.

Die Lösung mit den zwei Routern ist auf jeden Fall besser, als die Server im LAN zu haben. Oder eine virtuelle Firewall direkt am WAN zu betreiben, was ja einige so machen. Da hätte ich eher Bedenken.

Mir hat mal ein Firewall Experte gesagt, dass er für das Management Network und den Switch Admin ein eigenes vLAN betreibt, welches er dann in der DMZ zur Verfügung stellt (so wie ich das verstanden habe). Für den Remote Zugriff. Wir wollten das bei mir dann umsetzen, aber meinem Switch fehlt da offensichtlich irgend ein Feature dazu.

Ich weiss ja auch nicht, um was für brisante Dienste und Daten es da geht. Aber für den Heimgebrauch sicher eine gute Lösung. Allerdings bin ich kein IT-Experte.

Fury hat geschrieben:Jetzt hab ich nur noch die Frage ob es sicherheitstechnisch okay ist, den kompletten ESXi in der DMZ stehen zu lassen?


Was meinst Du mit komplett? Ich würd da zwei vSwitches machen, einer LAN, einer DMZ. In der DMZ sind dann nur die benötigten Systeme.

Vielleicht solltest Du uns verraten, um was für Dienste es sich dabei handelt, und wer darauf zugreift. Im Moment hast Du offene Ports in Dein LAN. Ich würde für gewisse Dienste auch an ein VPN denken. Falls Du selber z.B. von aussen auf ein Storage in der DMZ zugreifen möchtest.

Experte
Beiträge: 1775
Registriert: 23.02.2012, 12:26

Re: Sicherheit mit ESXi

Beitragvon ~thc » 26.04.2017, 10:37

MarroniJohny hat geschrieben:Naja. Immerhin hat er mit dem zweiten Router eine echte DMZ/LAN Trennung.

Dass sich ein Angreifer aus der VM in der DMZ über den Hypervisor ins LAN hackt, dürfte wohl eher selten sein.

Ich will das Konzept der Trennung der Netzwerke nicht in Abrede stellen - aber wenn man - wie bei DigiNotar - vom internen LAN aus Inhalte oder Änderungen an die DMZ-Server durchreichen muss - ist das eben eine mögliche Schwachstelle.

Wenn die Server-VMs in der DMZ vollständig isoliert sind (auch vom internen Netz nur über das INet erreichbar), dann sitzt der Angreifer dort fest.

Benutzeravatar
Member
Beiträge: 255
Registriert: 20.10.2011, 17:55

Re: Sicherheit mit ESXi

Beitragvon MarroniJohny » 26.04.2017, 10:53

Ok, den Aspekt kannte ich so noch nicht. Aber ich weiss, wie man es beregelt. Ich gehe z.Z. auch von überall per WAN auf die Server in der DMZ.

Was ich bei dem genannten Hack nicht ganz verstehe: Da war ja offensichtlich etwas von dem LAN in die DMZ beregelt. Wie kam dann der Angreifer von der DMZ ins LAN? Da war ja nichts beregelt.

Experte
Beiträge: 1775
Registriert: 23.02.2012, 12:26

Re: Sicherheit mit ESXi

Beitragvon ~thc » 26.04.2017, 15:09

Nach dem Abschlussbericht von "Black Tulip" zu urteilen, konnte der Angreifer über Port 1433 (MS SQL) von der DMZ aus ins Office-Netzwerk eindringen - ob diese Regel produktiv sinnvoll war, ist für mich nicht zu ermitteln.

Member
Beiträge: 3
Registriert: 25.04.2017, 18:18

Re: Sicherheit mit ESXi

Beitragvon Fury » 27.04.2017, 07:02

MarroniJohny hat geschrieben:Naja. Immerhin hat er mit dem zweiten Router eine echte DMZ/LAN Trennung.
Fury hat geschrieben:Jetzt hab ich nur noch die Frage ob es sicherheitstechnisch okay ist, den kompletten ESXi in der DMZ stehen zu lassen?


Was meinst Du mit komplett? Ich würd da zwei vSwitches machen, einer LAN, einer DMZ. In der DMZ sind dann nur die benötigten Systeme.

Vielleicht solltest Du uns verraten, um was für Dienste es sich dabei handelt, und wer darauf zugreift. Im Moment hast Du offene Ports in Dein LAN. Ich würde für gewisse Dienste auch an ein VPN denken. Falls Du selber z.B. von aussen auf ein Storage in der DMZ zugreifen möchtest.


Okay super, vielen Dank für deine Hilfe!

Naja, bis jetzt eigentlich nichts kritisches. Eine VM auf der TS läuft, wieder eine andere auf der Wordpress läuft. Es sind eher Spielereien.

Experte
Beiträge: 1775
Registriert: 23.02.2012, 12:26

Re: Sicherheit mit ESXi

Beitragvon ~thc » 27.04.2017, 07:53

Zu deiner Information: Wordpress wird nach wie vor bei Portscans aktiv gesucht - einige riskante Plugins und schlecht gepflegte Wordpress-Installationen machen es den Crackern zu leicht.


Zurück zu „vSphere 6.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast