Quais são os riscos de segurança do uso do pfsense em um ambiente virtualizado?

4

Estou pensando em usar o pfsense na minha caixa do servidor ubuntu. Eu virtualizaria o pfsense com o virtualbox, e teria roteado e firewall todo o tráfego ligado e destinado ao meu servidor, assim como ao resto da LAN.

No entanto, ouvi dizer que usar o pfsense em qualquer coisa, exceto em uma caixa dedicada, representa um risco de segurança. Por que isso é, e isso é realmente um problema?

    
por kce 05.10.2012 / 00:46

3 respostas

10
Theo e outros podem fazer afirmações nesse sentido, mas a história sugere que não é uma preocupação significativa. Os pesquisadores de segurança têm procurado por vulnerabilidades em hipervisores há anos e, em geral, escaparam ilesos de pelo menos grandes vulnerabilidades repetidas. Não totalmente, você terá que corrigir seu hipervisor conforme necessário, onde geralmente você nunca terá que corrigir hardware físico por razões de segurança, mas realmente não provou ser uma diferença significativa na prática.

Está além de uma questão de rede doméstica em geral. Existem várias instalações críticas de produção pfSense em execução em hipervisores, em grande parte ESX. Temos 4 datacenters de colo na infraestrutura de hospedagem * .pfsense.org que executam estritamente firewalls virtuais. Eu gosto disso porque podemos aumentar a capacidade da CPU, RAM, etc., conforme necessário, sem dedicar servidores caros a firewalls e, com base no histórico, não estou preocupado com a segurança do hipervisor (mas fique de olho nos novos desenvolvimentos) .

Você precisa tomar cuidado para garantir que o sistema operacional host de seu hipervisor não possa vincular os IPs à NIC que vai para sua conectividade com a Internet não filtrada. Esse é o risco significativo em executar seus firewalls de ponta como VMs, é mais fácil estragar a rede em um hipervisor do que ligar cabos físicos no lugar errado.

    
por 08.10.2012 / 03:05
3

However, I've heard that using pfsense on anything but a dedicated box poses a security risk. Why is this, and is this really an issue?


O sempre citado Theo de Raddt do projeto OpenBSD tem a resposta por trás dessa mentalidade:

You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes.


A recomendação de não executar servidores ou appliances que preencham funções de segurança em sua rede na plataforma de virtualização se resume a um princípio fundamental no projeto de redes e sistemas seguros: Separação Funcional. Idealmente, cada dispositivo ou elemento em seu sistema deve ter uma função funcional. Isso reduz a superfície de ataque e simplifica muito a configuração e a solução de problemas. Quando você executa um firewall em cima de uma plataforma de virtualização, não apenas precisa configurar com segurança o firewall, mas também o Monitor de Máquina Virtual e o sistema operacional do host subjacente.

No mundo real, não podemos alcançar uma separação funcional perfeita por qualquer número de razões (recursos limitados sendo óbvios), mas podemos aspirar. E embora eu não ache que executar firewalls em máquinas virtuais seja a coisa pior, tenho um strong desgosto por isso. Pense cuidadosamente sobre seu ambiente de risco e recursos disponíveis e tome uma decisão instruída e documentada.

    
por 05.10.2012 / 03:15
2

Temos usado instâncias pfSense virtualizadas no Linux com o KVM por anos. É menos seguro apenas porque você precisa se preocupar com a segurança do seu host, além do guest do pfSense, já que um comprometimento do host da VM permitiria que um invasor, no mínimo, desligasse / matasse qualquer VM guest e, na pior das hipóteses, controle sobre eles também.

    
por 05.10.2012 / 01:21