Avevo letto su alcuni forum su pfSense che diceva che era pericoloso virtualizzare pfSense. Il motivo dichiarato era che un utente malintenzionato poteva usare pfsense come trampolino di lancio per un attacco all'hypervisor e quindi utilizzarlo per ottenere l'accesso alle altre macchine virtuali e infine portare tutto offline.
Mi sembra folle ma c'è un'idea di realtà in quell'idea? Eseguire un router in un server virtuale è una cattiva idea?
Risposte:
Le argomentazioni che le persone hanno in genere contro la sicurezza dell'hypervisor stesso, che la storia ha praticamente dimostrato non destano grande preoccupazione. Ciò potrebbe sempre cambiare, ma non ci sono ancora stati problemi di sicurezza dell'hypervisor ricorrenti davvero significativi. Alcune persone si rifiutano di fidarsene, senza una buona ragione. Non si tratta di attaccare altri host se qualcuno possiede il firewall, in quel caso non importa dove stia funzionando, e di tutte le cose che potrebbero essere compromesse, il firewall è MODO in basso a meno che tu non faccia qualcosa di stupido come aprire la sua gestione su tutto Internet con la password predefinita impostata. Quelle persone hanno una paura irrazionale che ci sarà un pacchetto magico "root ESX" inviato da Internet attraverso una delle sue interfacce a ponte che " s in qualche modo farà qualcosa all'hypervisor. È straordinariamente improbabile, ci sono milioni di modi più probabili di compromettere la tua rete.
Numerosi datacenter di produzione eseguono pfSense in ESX, probabilmente ho installato oltre 100 me stesso. I nostri firewall funzionano in ESX. Da tutte queste esperienze, gli unici lievi svantaggi della virtualizzazione dei firewall sono: 1) se l'infrastruttura di virtualizzazione non funziona, non sarai in grado di risolverlo se non ti trovi fisicamente in quella posizione (principalmente applicabile ai datacenter colo). Questo dovrebbe essere molto raro, specialmente se CARP è distribuito con un firewall per host fisico. Vedo scenari in occasioni in cui ciò accade, e qualcuno deve andare fisicamente nella posizione per vedere cosa c'è di sbagliato nel loro hypervisor come firewall virtuale e solo il percorso è inattivo. 2) Più soggetto a errori di configurazione che potrebbero comportare problemi di sicurezza. Quando si ha un interruttore virtuale di traffico Internet non filtrato e uno o più del traffico della rete privata, ci sono alcune possibilità per far cadere il traffico Internet non filtrato nelle proprie reti private (il cui impatto potenziale potrebbe variare da un ambiente all'altro). Sono scenari molto improbabili, ma molto più probabili che creare lo stesso tipo di problemi in un ambiente in cui il traffico completamente non attendibile non è collegato in alcun modo agli host interni.
Nessuno di questi dovrebbe impedirti di farlo - fai solo attenzione a evitare interruzioni dello scenario 1, soprattutto se questo si trova in un datacenter in cui non hai un accesso fisico pronto se perdi il firewall.
Esiste il pericolo che qualcosa venga agganciato al periodo di Internet.
Per citare l'immortale Weird Al:
Spegni il computer e assicurati che si spenga Lascialo
cadere in un buco di quarantatre piedi nel terreno
Seppelliscilo completamente; rocce e massi dovrebbero andare bene
Quindi brucia tutti i vestiti che potresti aver indossato ogni volta che eri online!
Tutto ciò che esponi al mondo esterno ha una superficie per l'attacco. Se stai eseguendo pfSense su hardware dedicato e viene compromesso, il tuo attaccante ora ha un trampolino di lancio per attaccare tutto internamente. Se la tua macchina virtuale pfSense viene compromessa, l'attaccante ha un vettore di attacco extra - gli strumenti dell'hypervisor (presumendo che tu li abbia installati) - con cui lavorare, ma a quel punto la tua rete è già compromessa e sei in un mondo di male comunque.
Quindi è meno sicuro usare un'istanza pfSense virtualizzata? Sì, marginalmente. È qualcosa di cui mi preoccuperei? No.
EDIT: dopo ulteriori considerazioni - se c'è un errore specifico in pfSense di cui non sono a conoscenza in cui ha problemi con le NIC virtualizzate che in qualche modo crea un difetto di sicurezza, allora quanto sopra non è valido. Non sono a conoscenza di tale vulnerabilità, tuttavia.
Esiste un pericolo intrinseco che esegue qualcosa anche all'interno di un ambiente virtuale, indipendentemente dal tipo di server di cui stai parlando. Di recente ho risposto a una domanda simile . Dato che il tuo router / firewall avrà già accesso alla tua rete interna, non c'è alcun motivo reale per attaccare il livello dell'hypervisor: sono già disponibili vettori di attacco molto migliori.
L'unica ragione per cui riesco davvero a vedere l'hypervisor è se la tua macchina virtuale risiede in una DMZ. Da lì puoi andare dopo l'hypervisor e entrare in una macchina sulla rete interna. Questo non è il caso d'uso che stai descrivendo.
Personalmente tengo una copia virtualizzata del mio firewall per scopi di DR. Usarlo non è l'ideale ma è un'opzione.