Caso uma LAN virtual privada seja filtrada

Question

Caso uma LAN virtual privada seja filtrada

#1 resposta do (1 votos)

1

Sou um desenvolvedor tentando aprender coisas de outros e meu objetivo atual é criar um lan "virtual" em um host ESXi.

Eu criei uma VM que funciona como o gateway de LAN para a WAN e algumas VMs que estão exclusivamente na LAN.

Eu configurei meu iptables e posso acessar a WAN de cada LAN VM, eu também posso acessar o servidor apache em uma LAN VM da WAN.

Minha configuração parece correta e, por padrão, minha política está em DROP e aceito somente pacotes WAN.

Minha pergunta é sobre a LAN,

Vou ilustrar com um exemplo:

Do meu computador na WAN eu posso SSH a VM1 (que é a ponte entre a WAN e a LAN) e da VM1 eu consigo as VMs da LAN do SSH.

Devo aceitar isso de uma LAN VM (exceto VM1) Eu posso SSH para outra LAN VM?

Eu peguei o SSH como um exemplo, mas a questão é mais sobre se eu deveria Política DROP toda VM e manualmente conseguir aceitar o que eu preciso em cada um, mesmo na LAN.

A filtragem de entrada WAN pode ajudar a lidar com problemas de intrusão, mas a filtragem por LAN "é necessária" para evitar a propagação de uma invasão de uma VM para outra?

iptables firewall virtual-network

por Grégory L 21.11.2018 / 13:42

1 resposta

Tags iptables firewall virtual-network

conexão vpn a uma rede virtual azure Reconfiguração de URL do IIS: corresponde ao subdomínio e redireciona para HTTPS

score 1 · Answer 1

is a LAN filtering "needed" to avoid propagation of an intrusion from a VM to another ?

Permitir o movimento lateral é uma decisão política que você toma. Em geral, negar qualquer tráfego que não seja necessário é uma melhor segurança. Os termos da moda para isso são microssegmentação e redes de confiança zero.

Para obter uma visão geral da segurança de rede da VM, consulte NIST SP 800-125B Secure Configuração de rede virtual para proteção de máquina virtual (VM) . Menciona firewalls, VLANs e sobreposições. Observe que a imagem completa da segurança da rede vai além de uma VM.

A VMWare ficará feliz em lhe contar como o NSX o produto faz microssegmentação. Por causa da política central, você pode afirmar que a VM1 pode falar com a WAN e com outro host, mas com mais ninguém. Existem alternativas, apenas afirmando que as configurações de firewall não precisam ser construídas manualmente.