virtuelle Netze = Sicherheitslücke?

[Login]

Hallo zusammen,

gibt es Dokumente oder Informationen zu der Situation, dass virtuelle Netze innerhalb der VMware zu 100% isoliert sind?

Situationsumschreibung:

ESX mit 2 NICs.
Erste NIC im Management Netz für die Verbindung zum vCenter.
Zweite NIC an einem Switch, der eine DMZ verteilt und mit dem Upload an der Firewall hängt.

Im ESX landen die beiden NEtze jeweils an einem eigenen vSwitch, der als Upload jeweils die pNIC zugewiesen hat, also komplett voneinander getrennt.

Irrsinnige Situation, aber wenn sich jetzt jemand auf einen virtuellen Webserver hackt, der in der DMZ hängt, kann er dann irgendwie Zugriff auf das andere Netz bekommen, um da sein Unheil anrichten zu können???

Ich brauche Beweise, um dieses Schauermärchen aus dem Weg räumen zu können...

Hat da jemand Infos?

Lieber Gruß,
Conne

[PeterDA]

Hi,
Laut VMware sind die Netze isoliert. Schlussendlich weiß man aber nie ob es nicht doch eine Lücke gibt. Aber dafür gibt's ja Tools um das zu überwachen und z. B. Auch auszuschließen, dass aus Versehen eine Maschine in die DMZ konfiguriert wird.

Gruss Peter

[Dayworker]

Zur Isolation kann ich ausser dem bereits genannten nichts weiter sagen, aber ich würde mir überlegen, ob man einen Webserver unbedingt in eine DMZ hängen muß.
In den meisten Fällen reicht es völlig aus, wenn man nur die benötigten Ports durchleitet.

[PeterDA]

Ohhhhhhjj, wenn ich diesen Vorschlag unseren Sicherheitsleuten mache, muss ganz schnell in Deckung gehen, da kommt sich was geflogen......

Aber klar du hast schon Recht!. Ist halt eine Frage der Securityphilosophie.

Gruß Peter

[Dayworker]

Na gut, wenn man den Webserver in eine DMZ hängt und davor noch eine Sicherheitsappliance laufen läßt, wäre es noch sicherer.

[Login]

wie gesagt, die Security Appliance ist ja vorhanden, da die DMZ aus der Firewall rauskommt. Innerhalb der Firewall sind keine PortForwardings, Policies, o.Ä in oder von anderen Netzen erstellt.

Aber darum geht es mir nicht. Da sind wir ja schon aus dem ESX draußen.

Meine Frage bezieht sich auf das Innere des ESX, bzw. um die Möglichkeit, die Isolierung der Netze manuell zu umgehen, in dem man sich z.B. auf eine VM in DMZ hackt und von dort aus irgendwie weiter Verbindung ins Management-Netz aufbaut. Technisch ist das von VMware sicherlich NICHT möglich. Aber hat jemand schon mal gehört, das das irgendwo geknackt wurde?

Mein Kunde hat ganz einfach Angst, dass der ESX, der mit zwei Netzen verbunden ist eine Sicherheitslücke für die VMs darstellt, die nur in einem Netz hängen und keine Verbindung ins Management Netz bekommen dürfen.

Das HardwareFirewallCluster, zwei dicke Fortigates, wird außerhalb des ESX dafür sorgen, dass die Netze voneinander getrennt sind.

Gruß,
Conne

[PeterDA]

Hi,
Gehört habe ich davon bis jetzt noch nicht. Ob sich das vielleicht Morgen schon ändert vermag ich nicht zu beurteilen.

Das Problem ist doch immer, dass wenn in meiner Umgebung eine Maschine gehackt ist, viele Sicherheitshindernisse viel einfacher zu überwinden sind.

Gruss Peter

[MarcelMertens]

Ich glaube auch dass die Angriffsoberfläche bei anderen Betriebssystem deutlich größer ist.
Mir ist ein Sicherheitsloch in den letzten 5 Jahren bekannt, wo durch einen Fehlerhaften Grafikkartentreiber der VMware Tools der Hypervisior kompromitiert werden konnte (war zu 3.x Zeiten)

[irix]

I
Mir ist ein Sicherheitsloch in den letzten 5 Jahren bekannt, wo durch einen Fehlerhaften Grafikkartentreiber der VMware Tools der Hypervisior kompromitiert werden konnte (war zu 3.x Zeiten)

Aeh... erst vor 2 Wochen war der "Floppy" Bug.

Gruss
Joerg

[Santa]

Schlussendlich weiß man aber nie ob es nicht doch eine Lücke gibt.

Auch für Hardware-Switches gab und gibt es diverse Exploits, um aus VLANs auszubrechen (VLAN hopping). Cisco hat dazu ein paar nette Techpapers.
Deswegen müssen ab bestimmten Sicherheitsleveln (z.B. im Bankenumfeld oder Millitär) zu trennende Netze auch auf unterschiedlicher Hardware geführt werden - VLANs sind hier nicht zulässig.
Zu vSwitches kenne ich jetzt keine konkreten Dokumente, aber es fällt in dieselbe Kategorie.

[continuum]

Aeh... erst vor 2 Wochen war der "Floppy" Bug.

hast du vielleicht einen link dazu ?

[~thc]

Irrsinnige Situation, aber wenn sich jetzt jemand auf einen virtuellen Webserver hackt, der in der DMZ hängt, kann er dann irgendwie Zugriff auf das andere Netz bekommen, um da sein Unheil anrichten zu können???

Ich brauche Beweise, um dieses Schauermärchen aus dem Weg räumen zu können...

Wenn es jemand auf deinen virtuellen Server schafft und dort root-Rechte erlangt, kannst du nicht mit Sicherheit ausschließen, dass der Angreifer Zugriff auf die anderen Ressourcen des ESX-Hosts bekommt.

In Software nachgebildete Hardware ist auch nur Software und daher per Definition nicht fehlerfrei. Es ist also kein "Schauermärchen", sondern ein reales Risiko, egal wie winzig es auch sein mag.

Wenn das Sicherheitsbedürfnis extrem hoch ist, würde ich den Webserver physisch isolieren.

Sicherheit ist ja leider keine einmalige Einstellung, sondern ein fortwährender Prozess. Wenn der Webserver gut überwacht wird und Einbrüche kurzfristig registriert werden, ist das Risiko für einen "Ausbruch" aus dem ESX um so geringer, je kürzer die VM kompromittiert ist.

[irix]

Aeh... erst vor 2 Wochen war der "Floppy" Bug.

hast du vielleicht einen link dazu ?

Yupp, http://www.vmware.com/security/advisori ... -0009.html

VMware floppy device out-of-bounds memory write

Due to a flaw in the virtual floppy configuration it is possible to perform an out-of-bounds memory write. This vulnerability may allow a guest user to crash the VMX process or potentially execute code on the host.

Gruss
Joerg

[mangold]

gab letztens einen andere Bug, der es über den Befehlssatz der CPU ermöglichte aus einer VM auszubrechen und dem HOST Code unterzujubeln.

Der Hypervisor ist auch nur ein Stück Software mit Bugs wie alles andere auch. Auch wenn viele Risiken akademischer Natur sind, so sind sie vorhanden. In Zeiten wo man schnell man nach Exploits Googeln kann, ist es eben nicht so weit hergeholt, dass man gezielt VMs angreift um andere Mitglieder des Netzwerkes oder gar den Host zu kompromittieren.

Wie haben uns jetzt aus diesem Grunde - und weil niemand das genaue Risiko beziffern kann - entschlossen, VMS die sich in einer DMZ befinden müssen auch auf getrennter Physik laufen zu lassen. Im Banken und Versicherungsumfeld müssen Systeme mit unterschiedlichem Schutzbedürfnis eh auf getrennter HW laufen, das muss dann eben auch bei Virtualisierung konsequent weiter geführt werden.

[irix]

gab letztens einen andere Bug, der es über den Befehlssatz der CPU ermöglichte aus einer VM auszubrechen und dem HOST Code unterzujubeln.

Da war aber VMware expliziet nicht betroffen sondern "nur" die anderen.

Gruss
Joerg

[mangold]

gab letztens einen andere Bug, der es über den Befehlssatz der CPU ermöglichte aus einer VM auszubrechen und dem HOST Code unterzujubeln.

Da war aber VMware expliziet nicht betroffen sondern "nur" die anderen.

Gruss
Joerg

ja betraf auch nur AMD CPUs und kein Intel oder anders herum. Sollte auch nur zur Veranschaulichung dienen, dass so was immer wieder vorkommt, so wie der alte Bug in dem Grafikkartentreiber der VMware Tools anno 2004 oder so.