Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

virtuelle Firewall härten

Alles zum Thema vSphere 7, ESXi 7 und vCenter-Server bzw VCSA7.

Moderatoren: irix, Dayworker

Benutzeravatar
Profi
Beiträge: 615
Registriert: 20.10.2011, 17:55

virtuelle Firewall härten

Beitragvon MarroniJohny » 27.10.2023, 14:41

Hi

Habe mir ein Supermicro Barebone mit E3-1281 v3, 32 GB RAM und 6x 10 Gbit RJ45 Kupfer geholt. Die CPU ist noch nicht da, im Moment steckt eine i3-4130T, welche VT-d nicht unterstützt.

Um dieses Board handelt es sich:

https://www.manualslib.com/manual/10457 ... Ln6tf.html

Habe da drauf den aktuellen ESXi 7, und da drunter eine Sophos installiert. Lüppt soweit ganz gut. vSphere 8 geht leider nicht auf der Plattform.

barebone.JPG


firstSophos.JPG


Fragt sich, ob das Sinn macht, das WAN direkt an einen vSwitch zu hängen. Das WAN an die Sophos durchreichen kann ich im Moment nicht testen, da die CPU kein VT-d bietet. Aber ist eh mehr als fraglich, ob ich da eine einzelne X-540 durchreichen könnte, weil die drei X-540 hängen alle hinter einem PLX Chip.

Wäre mir eh lieber, wenn ich das ohne durchreichen lösen könnte. Weil dann kann ich das WAN auch an anderen VMs noch brauchen. Der ESXi selbst hängt natürlich dabei nicht im WAN, aber gegebenenfalls am selben Controller.

Hole ich mir da ein potentielles Sicherheitsrisiko ins Haus, oder kann man das machen? Ist jetzt auch nicht eine AKW Steuerung dahinter, aber soll halt schon kein offenes Scheunentor sein. Sonst müsste ich auf vSphere als Unterbau verzichten, was ich nur ungern machen würde.

So wäre mir das am liebsten:

WANSwitch.JPG


Hat da wer Tipps dazu?
Bzw. kann ich das so laufen lassen?

Gruss und danke

Guru
Beiträge: 2738
Registriert: 23.02.2012, 12:26

Re: virtuelle Firewall härten

Beitragvon ~thc » 27.10.2023, 17:04

Also ich zumindest mache das so. Einmal mit einem Standleitungs-Uplink (/29) und einer virtuellen Firewall, die drei externe IPs auf einem Link verarbeitet. Und einmal vor längerer Zeit ein PPPoE-Uplink zur Telekom mit einem virtuellen PPPoE-Router.

Theoretisch kann jemand den virtuellen Switch direkt aus dem Internet angreifen - wenn es da Remote-Exploit-Lücken im vSwitch-Code gibt. Von daher den ESXi immer zeitnah aktuell halten und beim Support-Ende auch austauschen.

Benutzeravatar
Profi
Beiträge: 615
Registriert: 20.10.2011, 17:55

Re: virtuelle Firewall härten

Beitragvon MarroniJohny » 27.10.2023, 17:16

Hi

Ja danke. Also z.B. die letzte Lücke

https://www.security-insider.de/schwere ... 4af8a556a/

wäre davon nicht betroffen? Da waren nur Hosts betroffen, wo der vmkernel im Netz hing, richtig?

ESXi aktuell halten ist bei mir so eine Sache. Ich update da nur, wenn ich Lust dazu habe. Ausserdem muss ich bei vSphere 7 bleiben, das Teili sollte wieder 10 Jahre halten. Wenn das einigermassen passt so mit dem vSwitch wo WAN dran hängt, kaufe ich noch ein zweites Board als Backup.

Ist ein Angriff auf einen vSwitch mehr ein theoretisches Risiko, oder gab es da in der Vergangenheit schon solche Lücken?

Guru
Beiträge: 2738
Registriert: 23.02.2012, 12:26

Re: virtuelle Firewall härten

Beitragvon ~thc » 27.10.2023, 19:39

Ja, um so einen Dienst auf dem ESXi anzugreifen, muss ja ein vmkernel auf dem Interface laufen.

Jetzt gleitet es in Philosophische ab: Der vSwitch ist halt ein Stück Software. Software enthält Fehler. So etwas kann auch mit aktuellem Patch-Stand angegriffen werden, wenn's ein Zero-Day ist. Aber veraltete Software ins Internet zu hängen, ist keine gute Idee.

Benutzeravatar
Profi
Beiträge: 615
Registriert: 20.10.2011, 17:55

Re: virtuelle Firewall härten

Beitragvon MarroniJohny » 27.10.2023, 22:05

Na, wenn Du das auch machst, bin ich schon mal beruhigt. Weil wenn es sich hier mehr um ein theoretisches Risiko handelt, habe ich da noch ganz andere Baustellen. Klicke in meinem Einmannhaushalt grundsätzlich auf jeden Link und Anhang. Und wenn Du wüsstest, was ich für Software einsetze.

Darum bin ich ja so auf die UTM Features der Sophos scharf. Glaube die kann wenigstens ein Teil davon abfedern. Musste mir grad mal einen Adult Content Filter setzen. Frühestens Morgen ist der dann wieder weg. Aber ist echt sexy, kein Vergleich zu der ollen Zywall. Und die spielte nur Router. Macht mit der i3-T schon zehnfachen Durchsatz. Mit der Xeon liegen dann sicher 10/10 mit dem ganzen UTM Gedöhns drin.

Aber danke mal für Deine Einschätzung soweit.

Guru
Beiträge: 2738
Registriert: 23.02.2012, 12:26

Re: virtuelle Firewall härten

Beitragvon ~thc » 28.10.2023, 08:27


Guru
Beiträge: 3096
Registriert: 27.12.2004, 22:17

Re: virtuelle Firewall härten

Beitragvon rprengel » 30.10.2023, 06:17

MarroniJohny hat geschrieben:Na, wenn Du das auch machst, bin ich schon mal beruhigt. Weil wenn es sich hier mehr um ein theoretisches Risiko handelt, habe ich da noch ganz andere Baustellen. Klicke in meinem Einmannhaushalt grundsätzlich auf jeden Link und Anhang. Und wenn Du wüsstest, was ich für Software einsetze.

Darum bin ich ja so auf die UTM Features der Sophos scharf. Glaube die kann wenigstens ein Teil davon abfedern. Musste mir grad mal einen Adult Content Filter setzen. Frühestens Morgen ist der dann wieder weg. Aber ist echt sexy, kein Vergleich zu der ollen Zywall. Und die spielte nur Router. Macht mit der i3-T schon zehnfachen Durchsatz. Mit der Xeon liegen dann sicher 10/10 mit dem ganzen UTM Gedöhns drin.

Aber danke mal für Deine Einschätzung soweit.


Hallo,
die alter Astaro Sophos UTM ist abgekündigt.
Mit dem neuen Nextgen Kram etc. werde ich nicht richtig warm.
Persönlich habe ich lange Jahre die Kombination
Fritzbox --- DMZ Netzt --- virtuelle Astaro mit 2 Interfaces gebungen an 2 Netzerkkarten --- internes Netz betrieben.
Hat super funktioniert aber dank der Energiepreise läuft privat nur noch eine Schmalspur-IT.
Gruß

Benutzeravatar
Profi
Beiträge: 615
Registriert: 20.10.2011, 17:55

Re: virtuelle Firewall härten

Beitragvon MarroniJohny » 30.10.2023, 10:16

Hi

Ich nehme dann die Sophos XG home, bzw. bin die am testen. Die UTM ist ein komplett anderes Produkt. Mir gefällt sie sehr gut, kein Vergleich zu der Zywall.

Ja, wollte eigentlich mit Netzwerk und Server unter 200W bleiben. Server zieht im Idle so um die 160W. Modem, Zywall und uralt Switch habe ich nie gemessen. Schalte meinen Desktop wenn ich weg bin aus, oder zumindest lege ich die Displays schlafen. Bisschen LED habe ich auch montiert. Konnte von daher alles zusammen von ca 7000 auf 5500 kWh runter drücken. Aber die neue FW zieht im idle schon 60-80W, dann bin ich wieder deutlich über 200W für alles.

Aber ist Hobby, und einen gewissen Mehrwert bietet mir das Rig schon.

Gruss

Benutzeravatar
Profi
Beiträge: 615
Registriert: 20.10.2011, 17:55

Re: virtuelle Firewall härten

Beitragvon MarroniJohny » 31.10.2023, 17:19

Heute ist die Xeon gekommen. Mit dem ganzen UTM Gedöhns geht da durch, was die Leitung her gibt, so wie ich das einschätze.

Ich kann sogar die einzelnen Netzwerk Ports durchreichen, obwohl die hinter einem PLX Chip hängen. Mir hat mal einer geschrieben, dass das nicht geht.


Zurück zu „vSphere 7“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste