Googling mi ha scoperto che la gente dice che eseguire un firewall / router come una macchina virtuale è "pericoloso", ma nessuno di loro fornisce alcuna ragione sul perché sia così. Ho anche trovato post di persone che eseguono correttamente i firewall come su una macchina virtuale.
Qualcuno ha qualche esperienza con questo?
Quali sarebbero i pro o i contro dell'esecuzione di un firewall / router su una macchina virtuale in qualcosa come proxmox vs ob una macchina fisica?
Risposte:
Davvero il modo giusto di fare le cose è l'opposto di come ti stai avvicinando, se la sicurezza è di primaria importanza. Vorresti eseguire il router / firewall sul bare metal e ospitare una VM all'interno di esso per l'utilizzo standard di desktop o server.
Perdona la mia schifosa illustrazione di MS Paint.
Se si collega la NIC della VM e la NIC LAN (dal sistema operativo bare metal), possono apparire come la stessa interfaccia "LAN" ai fini del firewalling o del routing.
La maggior parte dei problemi di sicurezza sarebbe se qualcuno dovesse salire sulla console mentre questo è in esecuzione e disabilitare la VM del router / firewall o disabilitare il bridging / separare la scheda di rete dalla VM - o se qualcuno dovesse accedere in remoto al sistema e farlo . C'è la possibilità, come sempre, che software dannoso possa fare qualcosa di strano.
Potresti farlo e utilizzare qualsiasi software VM se lo desideri, ma lo svantaggio è che se usi qualcosa come ESX, dovrai RDP nella VM desktop invece di accedere direttamente tramite console.
Esistono prodotti commerciali come i precedenti sistemi "VSX" di Check Point che servono "firewall virtuali" su una data base hardware. Se parliamo di VMWare o di un migliore firewall basato sul cloud. Si imposta un firewall "nel" cloud per segmentare la rete "cloud" interna "non la comunicazione tra un cloud e un'altra rete.
Le prestazioni sono molto limitate e le prestazioni in un cloud sono condivise. Un firewall basato su asic può fare> 500 GBps. Un firewall o switch basato su VMware fa <20 GBps. Per la dichiarazione LAN NIC potrebbe catturare un'influenza dal filo. Si potrebbe anche affermare che qualsiasi dispositivo intermedio come switch, router, ips potrebbe anche essere sfruttato dal traffico in transito.
Lo vediamo in pacchetti "malformati" (ovvero frame, frammenti, segmenti ecc.) Quindi si potrebbe affermare che l'utilizzo di dispositivi "intermedi" non è sicuro. Anche il NIST tedesco chiamato BSI ha affermato alcuni anni fa che i router virtuali (come VDC (Virtual Device Context - Cisco Nexus)) e VRF (Virtual Route Forwarding) non sono sicuri. Da un punto di vista, la condivisione delle risorse è sempre un rischio. L'utente può sfruttare le risorse e ridurre la qualità del servizio per tutti gli altri utenti. Che a livello globale metterebbe in discussione l'intera VLAN e le tecnologie di overlay (come VPN e MPLS).
Se hai esigenze molto elevate in termini di sicurezza, utilizzerei hardware dedicato e rete dedicata (comprese le linee dedicate!) Se chiedi se l'hypervisor (specialmente in bare metal) è un problema di sicurezza speciale in uno scenario comune ... direi di no .
In genere, una macchina virtuale è connessa alla rete tramite una connessione a ponte (ovvero la rete passa attraverso il computer fisico su cui è in esecuzione). Utilizzare la VM come firewall significa che tutto il traffico può arrivare al computer fisico, quindi i pacchetti vengono inviati alla VM, filtrati e quindi rimandati al computer fisico. Poiché il computer fisico può accettare pacchetti non filtrati ed è responsabile della distribuzione dei pacchetti al resto della rete, ciò è sfruttabile per inviare pacchetti non filtrati nella rete.