É recomendado executar um firewall / roteador em uma máquina virtual?

Navegue suas respostas
9

O Google encontrou-me dizendo que a execução de um firewall / roteador como uma máquina virtual é "perigosa", mas nenhuma delas fornece nenhum motivo para que isso aconteça. Também encontrei mensagens de pessoas que estão executando com êxito firewalls como em uma máquina virtual.

Alguém tem alguma experiência com isso?

Quais seriam os prós ou contras de executar um firewall / roteador em uma máquina virtual em algo como proxmox vs uma máquina física?

    
por Nithin 11.03.2014 / 11:25

3 respostas

11

Realmente o jeito certo de fazer as coisas é o oposto de como você está se aproximando, se a segurança é uma preocupação primordial. Você deseja executar o roteador / firewall no hardware básico e hospedar uma VM dentro desse padrão para uso de desktop ou servidor.

Perdoe minha péssima ilustração do MS Paint.

SevocêfizeraponteentreaNICdaVMeaLANNIC(dosistemaoperacionalbásicoemmetal),elaspoderãoaparecercomoamesmainterface"LAN" para fins de firewall ou roteamento.

A maioria dos problemas de segurança seria se alguém acessasse o console durante a execução e desativasse a VM do roteador / firewall ou desativasse a vinculação / desvinculação da NIC da VM - ou se alguém fosse remoto no sistema e faça isso. Existe a possibilidade, como sempre, de que softwares maliciosos possam fazer algo maluco.

Você poderia fazer isso e usar qualquer software de VM se quisesse, mas a desvantagem é que, se usar algo como ESX, precisará RDP na VM da área de trabalho, em vez de acessá-lo diretamente via console.

    
por 11.03.2014 / 13:33
3

Existem produtos comerciais como os antigos sistemas "VSX" da Check Point que servem "firewalls virtuais" em uma determinada base de hardware. Se falamos de VMWare ou melhor firewall baseado em nuvem. Você configura um firewall "na" nuvem para segmentar a "rede" interna "nuvem" e não a comunicação entre uma nuvem e outra rede.

O desempenho é muito limitado e o desempenho em uma nuvem é compartilhado. Um firewall baseado em asic pode fazer > 500GBps. Um firewall ou switch baseado em VMware faz o < 20GBps. Para a declaração LAN NIC poderia pegar uma gripe do fio. Você também pode afirmar que qualquer dispositivo intermediário, como switch, roteador e ips, também pode ser explorado pelo tráfego em trânsito.

Vemos isso em pacotes "malformados" (também conhecidos como quadros, fragmentos, segmentos etc.). Portanto, pode-se afirmar que usar dispositivos "intermediários" é inseguro. Também o NIST alemão chamado BSI afirmou há alguns anos que os roteadores virtuais (como os VDCs (Virtual Device Context - Cisco Nexus)) e o VRF (Virtual Route Forwarding) são inseguros. Do ponto de vista, compartilhar recursos é sempre um risco. O usuário pode explorar recursos e reduzir a qualidade do serviço para todos os outros usuários. Que globalmente colocaria toda a VLAN e tecnologias de sobreposição (como VPN e MPLS) em questão.

Se você tem demandas muito altas em segurança, eu usaria hardware dedicado e rede dedicada (incluindo linhas dedicadas!) Se você perguntar se o hypervisor (especialmente em bare metal) é um problema de segurança especial em um cenário comum ... diria que não.

    
por 11.03.2014 / 15:30
2

Normalmente, uma máquina virtual é conectada à rede por meio de uma conexão em ponte (ou seja, a rede passa pelo computador físico em que está sendo executada). Para usar a VM como um firewall significa que todo o tráfego pode chegar ao computador físico, os pacotes são enviados para a VM, filtrados e enviados de volta para o computador físico. Como o computador físico pode receber pacotes não filtrados e é responsável por distribuir os pacotes para o resto da rede, isso é explorável para enviar pacotes não filtrados pela rede.

    
por 11.03.2014 / 11:35

Tags

O monitor secundário é desligado quando a tampa do laptop fecha Synergy: Existe uma maneira de empurrar o Win + L para todas as telas, não apenas para o servidor?