Apakah disarankan untuk menjalankan firewall / router di mesin virtual?

9

Googling menemukan saya orang yang mengatakan menjalankan firewall / router sebagai mesin virtual "berbahaya" tetapi tidak satupun dari mereka memberikan alasan mengapa itu terjadi. Saya juga menemukan posting dari orang-orang yang berhasil menjalankan firewall seperti pada mesin virtual.

Adakah yang punya pengalaman dengan ini?

Apa yang akan menjadi pro atau kontra dari menjalankan firewall / router pada mesin virtual dalam sesuatu seperti proxmox vs ob mesin fisik?

Nithin
sumber

Jawaban:

11

Benar-benar cara yang tepat untuk melakukan sesuatu adalah kebalikan dari bagaimana Anda mendekati, jika keamanan adalah perhatian utama. Anda ingin menjalankan router / firewall pada bare metal, dan host VM di dalamnya untuk penggunaan desktop atau server standar.

Maafkan ilustrasi MS Paint jelek saya.

masukkan deskripsi gambar di sini

Jika Anda menjembatani VM's NIC dan LAN NIC (dari bare metal OS), mereka dapat muncul sebagai antarmuka "LAN" yang sama untuk keperluan firewall atau perutean.

Sebagian besar masalah keamanan akan terjadi jika seseorang naik ke konsol saat ini sedang berjalan dan menonaktifkan router / firewall VM Anda atau menonaktifkan bridging / unbind NIC Anda dari VM - atau jika seseorang jauh ke dalam sistem dan melakukan itu . Ada kemungkinan, seperti biasa, bahwa perangkat lunak berbahaya dapat melakukan sesuatu yang aneh.


Anda dapat melakukan ini, dan menggunakan perangkat lunak VM apa pun jika Anda mau, tetapi kerugiannya adalah jika Anda menggunakan sesuatu seperti ESX, Anda harus memasukkan RDP ke VM desktop daripada langsung mengakses melalui konsol.

masukkan deskripsi gambar di sini

LawrenceC
sumber
memvotasikan Anda untuk ilustrasi cat yang tidak terlalu jelek ... terima kasih atas upaya Anda .... Pendekatan ini akan menghentikan saya dari menggunakan sebagian besar distro virtualisasi bukan? Terutama yang suka proxmox atau vmware esx ...
Nithin
IIRC Proxmox didasarkan pada Linux - dan Anda bisa mengkonfigurasi perutean dan firewall Anda di luar VM apa pun. Tidak ada cara untuk keluar dari VM pada ESX AFAIK kecuali mode diagnostik sehingga Anda mungkin tidak ingin menggunakannya. Namun, menjalankan dua VM "berdampingan" di ESX, di mana satu adalah "ujung depan" untuk yang lain ("VM desktop" Anda hanya akan memiliki NIC virtual yang terhubung ke VM "firewall"), akan baik-baik saja. "VM desktop" tidak dapat secara langsung melakukan apa pun pada hypervisor dalam kasus itu.
LawrenceC
Saya berencana untuk menggunakan proxmox ... Saya berencana menggunakan sesuatu seperti ipfire atau clearos ... tetapi jika saya harus menginstalnya di proxmox ... Saya rasa saya tidak akan dapat menggunakan salah satu dari itu: (Juga, apakah ada cara untuk melakukan sesuatu seperti diagram 2 dengan proxmox? Tidakkah skema 2 diagram memiliki masalah yang Anda sebutkan dalam paragraf 3?
Nithin
Pada dasarnya, jika router / firewall Anda berada di VM, dan desktop Anda berada di VM "di belakang" itu, tidak apa-apa. Jika Anda mencoba mengatur router / firewall VM "di dalam" desktop TIDAK dalam VM adalah di mana keamanan bisa menjadi masalah. Diagram 2 dimungkinkan dengan Proxmox jika Anda menyiapkan 2 VM - satu untuk VM firewall / router dan satu lagi untuk VM desktop Anda.
LawrenceC
Komentar itu membingungkan saya ... perbaiki saya jika saya salah ... Jika firewall / router ada di server virtualisasi seperti proxmox atau vmware ESX, tidak ada masalah keamanan. Tetapi jika firewall / router ada dalam sesuatu seperti virtualbox di desktop yang lengkap, masalah keamanan yang Anda sebutkan berlaku. Apa yang saya coba setup adalah diagram 2 dengan VM lain dan mesin fisik dalam jaringan yang terhubung ke LAN NIC virtual firewall untuk akses ke ... apakah skenario ini memiliki masalah keamanan?
Nithin
3

Ada produk komersial seperti Check Point, mantan "VSX" Sistem yang melayani "firewall virtual" pada basis perangkat keras yang diberikan. Jika kita berbicara tentang VMWare atau firewall berbasis cloud yang lebih baik. Anda mengatur firewall "di" cloud untuk mensegmentasi jaringan "internal" cloud "bukan komunikasi antara cloud dan jaringan lain.

Performanya sangat terbatas dan kinerja di cloud dibagikan. Firewall berbasis asic dapat melakukan> 500GBps. Firewall atau switch berbasis VMware tidak <20GBps. Untuk pernyataan LAN NIC bisa terkena flu dari kawat. Anda juga dapat menyatakan bahwa perangkat perantara seperti sakelar, router, ips juga dapat dieksploitasi oleh lalu lintas saat transit.

Kita melihat ini dalam paket "salah bentuk" (alias bingkai, fragmen, segmen, dll.) Jadi orang dapat menyatakan menggunakan perangkat "perantara" tidak aman. NIST Jerman yang disebut BSI menyatakan beberapa tahun yang lalu bahwa router virtual (seperti VDC (Virtual Device Context - Cisco Nexus)) dan VRF (Virtual Route Forwarding) tidak aman. Dari sudut pandang, berbagi sumber daya selalu berisiko. Pengguna dapat mengeksploitasi sumber daya dan mengurangi kualitas layanan untuk semua pengguna lain. Yang mana secara global akan menempatkan seluruh teknologi VLAN dan overlay (seperti VPN dan MPLS) dalam Pertanyaan.

Jika Anda memiliki tuntutan keamanan yang sangat tinggi, saya akan menggunakan perangkat keras khusus dan jaringan khusus (termasuk jalur khusus!) .

pengguna306846
sumber
Saya merasa agak sulit untuk memahami semua yang Anda katakan ... di sini adalah apa yang saya pahami benar jika saya salah. Jadi Anda mengatakan bahwa firewall virtual digunakan untuk melindungi mesin virtual dan jaringan virtual mereka dari jaringan host seperti halnya mesin virtual menggunakan switch / router virtual, dll. Firewall ASIC atau berdedikasi berperforma lebih baik daripada yang virtual. Saya tidak begitu mengerti paragraf terakhir. :(
Nithin
2

Biasanya, mesin virtual terhubung ke jaringan melalui koneksi yang dijembatani (yaitu jaringan berjalan melalui komputer fisik yang sedang berjalan). Untuk menggunakan VM sebagai firewall berarti bahwa semua lalu lintas dapat masuk ke komputer fisik, maka paket dikirim ke VM, disaring dan kemudian dikirim kembali ke komputer fisik. Karena komputer fisik dapat mengambil paket tanpa filter dan bertanggung jawab untuk mendistribusikan paket ke seluruh jaringan, ini dapat dieksploitasi untuk mengirim paket tanpa filter ke seluruh jaringan.

Hugo Buff
sumber
1
Wont masalah ini diselesaikan dengan mengikat NIC fisik langsung ke VM daripada menggunakan NIC virtual untuk VM setidaknya untuk antarmuka RED?
Nithin