Ich hatte in einigen Foren über pfSense gelesen, dass es gefährlich sei, pfSense zu virtualisieren. Als Grund wurde angegeben, dass ein Angreifer pfsense als Sprungbrett für einen Angriff auf den Hypervisor verwenden und dann damit auf die anderen virtuellen Maschinen zugreifen und schließlich alles offline schalten kann.
Es klingt verrückt für mich, aber ist da ein Stück Realität in dieser Idee? Ist es eine schlechte Idee, einen Router auf einem virtuellen Server zu betreiben?
Antworten:
Die Argumente, die die Leute im Allgemeinen dagegen haben, sind die Sicherheit des Hypervisors selbst, die in der Vergangenheit nachweislich keine große Rolle spielt. Das könnte sich jederzeit ändern, aber es gab noch keine wirklich signifikanten Sicherheitsprobleme mit wiederkehrenden Hypervisoren. Manche Menschen weigern sich einfach, ihm zu vertrauen, ohne guten Grund. Es geht nicht darum, andere Hosts anzugreifen, wenn jemand die Firewall besitzt. In diesem Fall spielt es keine Rolle, wo sie ausgeführt wird. Von all den Dingen, die möglicherweise kompromittiert werden, ist die Firewall WEGWEISER auf der Liste, es sei denn, Sie tun etwas Dummes wie open seine Verwaltung auf das gesamte Internet mit dem Standard-Passwort festgelegt. Diese Leute haben irrationale Befürchtungen, dass ein magisches "Root-ESX" -Paket aus dem Internet über eine der überbrückten Schnittstellen gesendet wird, die Ich werde dem Hypervisor irgendwie etwas antun. Das ist außerordentlich unwahrscheinlich. Es gibt Millionen von Möglichkeiten, wie Ihr Netzwerk gefährdet werden kann.
Zahlreiche Produktions-Rechenzentren laufen mit pfSense in ESX, ich selbst habe wahrscheinlich mehr als 100 eingerichtet. Unsere Firewalls laufen in ESX. Nach all diesen Erfahrungen sind die einzigen kleinen Nachteile bei der Virtualisierung Ihrer Firewalls: 1) Wenn Ihre Virtualisierungsinfrastruktur ausfällt, sind Sie nicht in der Lage, Fehler zu beheben, wenn Sie sich nicht physisch an diesem Ort befinden (meistens) für colo datenzentren). Dies sollte sehr selten vorkommen, insbesondere wenn Sie CARP mit einer Firewall pro physischem Host bereitgestellt haben. Ich sehe gelegentlich Szenarien, in denen dies passiert, und jemand muss physisch zum Standort gehen, um zu sehen, was mit seinem Hypervisor als virtueller Firewall nicht stimmt, und nur der Pfad zum Hypervisor ist ausgefallen. 2) Anfälliger für Konfigurationsfehler, die Sicherheitsprobleme verursachen können. Wenn Sie über einen virtuellen Switch für ungefilterten Internetverkehr und einen oder mehrere private Netzwerke verfügen, gibt es einige Möglichkeiten, ungefilterten Internetverkehr in Ihre privaten Netzwerke zu leiten (die möglichen Auswirkungen können von einer Umgebung zur anderen variieren). Es sind sehr unwahrscheinliche Szenarien, aber weitaus wahrscheinlicher, als in einer Umgebung, in der der völlig nicht vertrauenswürdige Datenverkehr in keiner Weise mit internen Hosts verbunden ist, die gleichen Probleme zu lösen.
Keiner von beiden sollte Sie davon abhalten - vermeiden Sie Ausfälle in Szenario 1, insbesondere, wenn sich dieses in einem Rechenzentrum befindet, in dem Sie keinen physischen Zugriff haben, wenn Sie die Firewall verlieren.
Es besteht die Gefahr, dass etwas mit dem Internet verbunden wird.
Um den unsterblichen Weird Al zu zitieren:
Schalten Sie Ihren Computer aus und stellen Sie sicher , dass es Kräfte nach unten
Tropfen es in einer dreiundvierzig Meter Loch im Boden
es vollständig begraben; Felsen und Felsbrocken sollten in Ordnung sein.
Dann verbrenne alle Kleider, die du getragen hast, als du online warst!
Alles, was Sie der Außenwelt aussetzen, hat eine Angriffsfläche. Wenn Sie pfSense auf dedizierter Hardware ausführen und diese gefährdet wird, verfügt Ihr Angreifer nun über ein Sprungbrett, um alle internen Angriffe auszuführen. Wenn Ihre virtuelle pfSense-Maschine kompromittiert wird, verfügt der Angreifer über einen zusätzlichen Angriffsvektor - die Hypervisor-Tools (vorausgesetzt, Sie haben sie installiert) -, mit denen Sie arbeiten können. Zu diesem Zeitpunkt ist Ihr Netzwerk jedoch bereits kompromittiert und Sie befinden sich in einer Welt sowieso verletzt.
Ist die Verwendung einer virtualisierten pfSense-Instanz weniger sicher? Ja, am Rande. Ist es etwas, worüber ich mir Sorgen machen würde? Nein.
BEARBEITEN: Nach weiterer Überlegung - wenn es einen bestimmten Fehler in pfSense gibt, von dem ich nicht weiß, dass er Probleme mit virtualisierten NICs hat, die irgendwie eine Sicherheitslücke schaffen, dann ist das oben Gesagte ungültig. Eine solche Sicherheitslücke ist mir jedoch nicht bekannt.
Unabhängig von der Art des Servers, von dem Sie sprechen, besteht die Gefahr, dass auch in einer virtuellen Umgebung etwas ausgeführt wird. Ich habe kürzlich auf eine ähnliche Frage geantwortet . Da Ihr Router / Ihre Firewall bereits Zugriff auf Ihr internes Netzwerk hat, gibt es keinen wirklichen Grund, die Hypervisor-Ebene anzugreifen. Es sind bereits viel bessere Angriffsmethoden verfügbar.
Der einzige Grund, warum ich wirklich sehen kann, wie der Hypervisor angesteuert wird, besteht darin, dass sich Ihre virtuelle Maschine in einer DMZ befindet. Von dort aus könnten Sie dem Hypervisor nachgehen und in eine Maschine im internen Netzwerk. Das ist nicht der Anwendungsfall, den Sie beschreiben.
Persönlich behalte ich eine virtualisierte Kopie meiner Firewall für DR-Zwecke. Es zu benutzen ist nicht ideal, aber es ist eine Option.