Firewall als Gast

BaSe · Beitragvon **BaSe** » 29.06.2010, 12:35

Hallo Leute,

ich habe eine kurze Frage und suche Dokus zu diesem Thema. Ich möchte an unserem ESX einen virtuellen Switch für MZ und DMZ erstellen.

Unser Leasingvertrag der phy. Maschine läuft aus und ich möchte unseren beiden SLES Server virtualisieren. An den ESX hängt der virt. Switch für Vmotion, interne prod. LAN und iSCSI.

Gibt es da für die vmnics etwas zu beachten die an den MZ und DMZ vSwitches hängen?

McStarfighter · Beitragvon **McStarfighter** » 29.06.2010, 13:18

Ähm, irgendwie hat dein Text nix mit dem Titel zu tun ... grübel ...

BaSe · Beitragvon **BaSe** » 29.06.2010, 13:29

Was gibt es da nicht zu verstehen? Zwei SLES Server als virt. Gäste

Auf denen laufen MTAs und Proxys und SuSEFirewall2. Ein Adapter in die MZ, der andere in die DMZ.

Das ganze bezieht sich letztendlich auf den vSwitch und deren vmnics.

minimike · Beitragvon **minimike** » 29.06.2010, 15:16

Also ich würde das mit Solaris, xVM Server und Crossbow machen. Linuxlösungen mit dummen Switch wie XEN und ESX sie bereitstellen wären mir nicht sicher genug. Allerdings du benutzt SuSEFirewall. Bei solch einer niedrigen Sicherheitsstufe wäre eine virtualisierte Firewall relativ egal

McStarfighter · Beitragvon **McStarfighter** » 29.06.2010, 20:22

Tja, der Titel impliziert zumindest bei mir, daß du ne Firewall Appliance nutzen willst (also sowas wie m0nowall oder pfsense oder IPfire, etc.) ...

BaSe · Beitragvon **BaSe** » 30.06.2010, 08:31

minimike hat geschrieben:Also ich würde das mit Solaris, xVM Server und Crossbow machen. Linuxlösungen mit dummen Switch wie XEN und ESX sie bereitstellen wären mir nicht sicher genug. Allerdings du benutzt SuSEFirewall. Bei solch einer niedrigen Sicherheitsstufe wäre eine virtualisierte Firewall relativ egal

Dann würde ich dann doch lieber zu einer Hardwarebüchse tendieren. Mit Solaris, xVM Server und Crossbow hab ich null Erfahrung.

Aber warum ist eine Linuxkiste mit IPTables(SUSEFW2) eine niedrige Sicherheitsstufe? Und meinst du das in Verbindung mit einem ESX Server wenn man das ganze virtualsiert?

Beitragvon **Dayworker** » 30.06.2010, 17:30

Suse ist nicht gerade für seine hohe Sicherheit bekannt.

minimike · Beitragvon **minimike** » 01.07.2010, 11:11

Zudem eine Firewall virtualisiert ein mittleres Target darstellt. Darum würde ich auch niemals einen KDC Server virtualisieren. Und wenn die Hardware noch so Idled. Es gibt genug Tools um aus XEN oder ESX auszubüchsen. Ich erwähne immer gerne die legendäre Blue Pill von Joanna Rutkowska. Die Frau hat so ziemlich die gemeinsten Hacks drauf. Und mit einem dummen Switch gibt man dem geneigten Angreifer schon mal was nettes in die Hand.

Tschoergez · Beitragvon **Tschoergez** » 01.07.2010, 11:57

minimike hat geschrieben:Zudem eine Firewall virtualisiert ein mittleres Target darstellt. Darum würde ich niemals einen KDC Server virtualisieren. Und wen die Hardware noch so Idled. Es gibt genug Tools um aus XEN oder ESX auszubüchsen. Ich erwähne immer gerne die legendäre Blue Pill von Joanna Rutkowska. Die Frau hat so ziemlich die gemeinsten Hacks drauf. Und mit einem dummen Switch gibt man dem geneigten Angreifer schon mal was nettes in die Hand.

eigentlich OT, aber: Da muss ich doch mal einhaken: Was hat die Bluepill mit security vom ESX zu tun?
Ausbrechen aus einer VM geht mit der bluepill nicht (da gibts andere Methoden, meist bugs in den shard folders (beim ESX nicht) oder durch fehler in der SVGA-Emulation)...
Andersrum: Wenn Du nen ESX-server hast, bringt der bluepill-angriff nix, denn virtualisierungen lassen sich nicht ineinander stapeln.

Zur Referenz der link zum original-vortrag:
http://blackhat.com/presentations/bh-us ... kowska.pdf

bei virtuellen Firewalls zwischen versch. vSwitches hat man prinzipiell die gleiche sicherheit wie bei physikalischen Systemen (von evtl. ESX-Bugs mal abgesehen). ABER: es ist fehleranfälliger für menschliches Versagen: Es ist einfacher, bei der auswahl der netzwerkkarte für ne VM den falschen port auszuwählen aus Versehen, als aus versehen ein physk. netzwerkkabel in den falschen switch zu stecken.

ähnliche diskussionen ergeben sich auch, wenn man im netzwerk überlegt, die DMZ "nur" durch VLANs und nicht durch phys. getrennte geräte abzutrennen.

viele grüße,
jörg

BaSe · Beitragvon **BaSe** » 01.07.2010, 15:13

Das sind jetzt doch ganz unterschiedliche Aussagen bezüglich der Sicherheit einer virtualisierten Firewall.

Wer hat denn schon mit virtualisierten FW`s Erfahrungen gemacht?

Beitragvon **irix** » 01.07.2010, 15:23

Wie haben hier fuer unsere Kunden und uns virtuelle Firewalls welche die internen Netze weiter unterteilen. Einen Grossteil der verwendeten Funktionalitaet koennte sich wahrscheinlich mit VMware Zones (WALL) abbilden lassen.

Davon unberuehrt ist die Eingangsfirewall welche physikalisch ist. Was im kommen ist sind Applikationfirewall welche als virtuelle Appliance daher kommen.

Gruss
Joerg

VMware-Forum

Firewall als Gast

Firewall als Gast

Wer ist online?