Como colocar uma máquina virtual na DMZ?

4

Eu tenho um servidor Ubuntu 12.04 rodando poucas máquinas virtuais com o KVM.

Eu gostaria de expor algumas dessas máquinas virtuais na internet, para possibilitar que os clientes testem os produtos que estamos desenvolvendo e disponibilizem outros produtos para fins de demonstração.

Uma das NICs do servidor é configurada com um IP público. No entanto, antes de expor algo na Web, gostaria de ter certeza de que, se uma das máquinas virtuais for comprometida, o invasor não alcançará o restante dos hosts.

O que eu gostaria de fazer é colocar essas máquinas virtuais em uma DMZ .

Estas são as etapas que planejo fazer:

  1. Crie uma interface toque no host de virtualização (digamos tap1 )
  2. Crie uma ponte usando tap1 e forneça um IP em uma sub-rede separada dos outros hosts. Digamos que 10.0.0.1
  3. Anexar as máquinas virtuais DMZ à ponte e configurar seu IP estaticamente (10.0.0.2, 10.0.0.3, etc ...)
  4. Usando o UFW, proíbe o tráfego de 10.0.0.0/24 para qualquer um dos hosts internos, permite o tráfego dos hosts internos em direção a 10.0.0.0/24 e expor as máquinas virtuais na Web usando o encaminhamento de portas .

Você acha que essa configuração é segura? Você pode sugerir alguma melhoria ou uma abordagem melhor / mais segura?

    
por Giordano 13.10.2012 / 22:28

1 resposta

5

I would like to be sure that if one of the virtual machines get compromised, the attacker doesn't reach the rest of the hosts.

Para isso, além do firewall adequado , você realmente precisa sVirt , que sai da caixa com um host KEL RHEL6 / CentOS 6. Está até habilitado e funcionando por padrão. Eu não tenho ideia se está disponível mesmo com uma configuração do Ubuntu.

    
por 13.10.2012 / 22:49