Apakah ada bahaya untuk virtualisasi router?

12

Saya telah membaca di beberapa forum tentang pfSense yang mengatakan itu berbahaya untuk memvirtualkan pfSense. Alasan yang dinyatakan adalah penyerang dapat menggunakan pfsense sebagai papan pegas untuk serangan pada hypervisor dan kemudian menggunakannya untuk mendapatkan akses ke mesin virtual lainnya dan akhirnya membuat semuanya offline.

Kedengarannya gila bagi saya, tetapi adakah ada kenyataan dalam ide itu? Apakah menjalankan router di server virtual adalah ide yang buruk?

ianc1215
sumber

Jawaban:

17

Argumen yang umumnya orang miliki tentang keamanan hypervisor itu sendiri, yang telah dibuktikan oleh sejarah tidak banyak menjadi perhatian. Itu selalu bisa berubah, tetapi belum ada masalah keamanan hypervisor berulang yang sangat signifikan. Beberapa orang menolak untuk mempercayainya, tanpa alasan yang jelas. Ini bukan tentang menyerang host lain jika seseorang memiliki firewall, dalam hal itu tidak masalah di mana itu berjalan, dan dari semua hal yang mungkin akan dikompromikan, firewall adalah CARA daftar, kecuali jika Anda melakukan sesuatu yang bodoh seperti membuka manajemennya ke seluruh Internet dengan kata sandi standar yang ditetapkan. Orang-orang itu memiliki ketakutan yang tidak masuk akal bahwa akan ada paket "root ESX" ajaib yang dikirim dari Internet melalui salah satu antarmuka penghubungnya yang ' Entah bagaimana akan melakukan sesuatu ke hypervisor. Itu luar biasa tidak mungkin, ada jutaan cara yang lebih mungkin jaringan Anda akan dikompromikan.

Banyak pusat data produksi menjalankan pfSense di ESX, saya sudah menyiapkan mungkin lebih dari 100 sendiri. Firewall kami berjalan di ESX. Dari semua pengalaman itu, satu-satunya kekurangan untuk memvirtualisasikan firewall Anda adalah: 1) jika infrastruktur virtualisasi Anda turun, Anda tidak akan bisa menyelesaikannya jika Anda tidak berada di lokasi tersebut secara fisik (kebanyakan berlaku untuk pusat data colo). Ini harus sangat jarang, terutama jika Anda memiliki CARP digunakan dengan satu firewall per host fisik. Saya memang melihat skenario di mana hal ini terjadi, dan seseorang harus secara fisik pergi ke lokasi untuk melihat apa yang salah dengan hypervisor mereka sebagai firewall virtual mereka dan satu-satunya jalan masuk turun juga. 2) Lebih rentan terhadap kesalahan konfigurasi yang dapat menimbulkan masalah keamanan. Ketika Anda memiliki vswitch lalu lintas Internet tanpa filter, dan satu atau beberapa lalu lintas jaringan pribadi, ada beberapa kemungkinan untuk mendapatkan lalu lintas internet tanpa filter masuk ke jaringan pribadi Anda (dampak potensial yang akan bervariasi dari satu lingkungan ke lingkungan lainnya). Itu skenario yang sangat tidak mungkin, tetapi jauh lebih mungkin daripada membuat jenis yang sama mengacau di lingkungan di mana lalu lintas yang sepenuhnya tidak dipercaya tidak terhubung dengan cara apa pun ke host internal.

Tak satu pun dari mereka harus mencegah Anda melakukannya - hanya berhati-hati untuk menghindari pemadaman skenario 1 terutama jika ini duduk di pusat data di mana Anda tidak memiliki akses fisik siap jika Anda kehilangan firewall.

Chris Buechler
sumber
sangat berwawasan, saya memiliki keuntungan sejauh ini memiliki hypervisor saya dalam jangkauan fisik. Tapi saya akan selalu mengingat saran Anda.
ianc1215
Karena penasaran, apakah Chris Buechler yang sama yang ikut mendirikan pfSense?
ianc1215
2
Ya itu aku. :)
Chris Buechler
Keren! Saya penggemar berat, Terima kasih atas wawasan tentang virtualisasi pfSense. Menggunakan VMXnet3 dengan pfSense aman bukan?
ianc1215
12

Ada bahaya dalam hal apa pun yang terhubung ke periode internet.

Mengutip Al Aneh yang abadi:

Matikan komputer Anda dan pastikan komputer mati.
Jatuhkan di lubang empat puluh tiga kaki di tanah.
Kuburkan sepenuhnya; batu dan batu besar harus baik-baik saja
Kemudian bakar semua pakaian yang mungkin Anda kenakan setiap kali Anda online!

Apa pun yang Anda paparkan ke dunia luar memiliki permukaan untuk diserang. Jika Anda menjalankan pfSense pada perangkat keras khusus, dan itu akan dikompromikan, penyerang Anda sekarang memiliki batu loncatan untuk menyerang semuanya secara internal. Jika mesin virtual pfSense Anda dikompromikan, penyerang memang memiliki vektor serangan ekstra - alat hypervisor (anggap Anda telah menginstalnya) - yang dapat digunakan, tetapi pada saat itu, jaringan Anda sudah dikompromikan dan Anda berada di dunia. terluka pula.

Jadi apakah kurang aman menggunakan instance pfSense tervirtualisasi? Ya, sedikit. Apakah itu sesuatu yang saya khawatirkan? Tidak.

EDIT: Setelah pertimbangan lebih lanjut - jika ada kesalahan spesifik dalam pfSense yang saya tidak tahu di mana ia memiliki masalah dengan NIC tervirtualisasi yang entah bagaimana menciptakan cacat keamanan, maka hal di atas tidak valid. Saya tidak menyadari kerentanan seperti itu.

Driftpeasant
sumber
Saya tidak mengetahui adanya masalah dalam virtualisasi FreeBSD dan pf, yang merupakan 99% dari apa itu pfSense (bagian penting - modul kernel / firewall). Secara pribadi saya tidak akan melakukannya dalam produksi.
voretaq7
Yah ya - ini bukan situasi yang ideal dan dapat menyebabkan sakit kepala dengan sakelar virtual, NIC, dll. Keluar wazoo. Tetapi sebagai masalah keamanan saya pikir itu berlebihan.
Driftpeasant
Yah bagi saya kotak pfSense adalah semacam desposable toh, ini untuk jaringan "pengujian" saya. Saya menggunakan ini lebih banyak untuk belajar daripada produksi sehingga risikonya agak rendah. Terimakasih atas infonya.
ianc1215
+1 untuk referensi kesenangan (tapi tidak relevan) untuk Peringatan Virus Weird Al . Saya biasanya tidak suka dengan alasan yang sembrono, tetapi untuk beberapa alasan yang satu ini menggelitik saya.
Steven Monday
Ini sama sekali tidak relevan - ini mengacu pada menghubungkan mesin Anda secara online. :)
Driftpeasant
5

Ada beberapa bahaya yang melekat menjalankan sesuatu dalam lingkungan virtual juga, terlepas dari apa jenis server yang Anda bicarakan. Saya baru-baru ini menanggapi pertanyaan serupa . Karena router / firewall Anda sudah memiliki akses ke jaringan internal Anda, tidak ada alasan nyata untuk menyerang level hypervisor - sudah ada vektor serangan yang jauh lebih baik.

Satu-satunya alasan saya benar-benar dapat melihat setelah hypervisor adalah jika mesin virtual Anda berada di DMZ. Dari sana Anda bisa mencari hypervisor dan masuk ke mesin di jaringan internal. Itu bukan kasus penggunaan yang Anda gambarkan.

Secara pribadi saya menyimpan salinan virtualisasi firewall saya untuk keperluan DR. Menggunakannya tidak ideal tetapi itu adalah pilihan.

Tim Brigham
sumber