Vraag Is er gevaar voor virtualisatie van een router?


Ik had op een paar forums over pfSense gelezen dat zei dat het gevaarlijk was om pfSense te virtualiseren. De reden die werd genoemd, was dat een aanvaller pfsense kon gebruiken als springplank voor een aanval op de hypervisor en dat vervolgens kon gebruiken om toegang te krijgen tot de andere virtuele machines en uiteindelijk alles offline kon nemen.

Het klinkt gek voor me, maar is er een stukje realiteit in dat idee? Is een router in een virtuele server een slecht idee?


10
2017-12-07 18:52


oorsprong




antwoorden:


De argumenten die mensen daar over het algemeen tegen inbrengen, zijn de veiligheid van de hypervisor zelf, waarvan de geschiedenis vrijwel heeft bewezen dat ze niet zo belangrijk is. Dat kan altijd veranderen, maar er zijn nog geen echt terugkerende beveiligingsproblemen met hypervisor. Sommige mensen weigeren gewoon om het te vertrouwen, zonder goede reden. Het gaat niet om aanvallen op andere hosts als iemand de firewall bezit, in dat geval maakt het niet uit waar het draait, en van alle dingen die waarschijnlijk in gevaar komen, is de firewall WAY down op de lijst tenzij je iets stoms doet zoals open het beheer ervan naar het hele internet met het standaard ingestelde wachtwoord. Die mensen hebben enige irrationele angst dat er een magisch "root ESX" -pakket zal worden verzonden vanaf het internet via een van de gekoppelde interfaces die op de een of andere manier iets gaan doen met de hypervisor. Dat is buitengewoon onwaarschijnlijk, er zijn miljoenen waarschijnlijker manieren waarop uw netwerk in gevaar wordt gebracht.

Talloze datacenters draaien pfSense in ESX, ik heb waarschijnlijk alleen al meer dan 100 setups opgezet. Onze firewalls draaien in ESX. Uit al deze ervaringen, het enige paar kleine nadelen aan het virtualiseren van uw firewalls zijn: 1) als uw virtualisatie-infrastructuur uitvalt, kunt u er niet toe komen om problemen op te lossen als u zich fysiek niet op die locatie bevindt (voornamelijk van toepassing op datacenters in colo). Dit zou zeer zeldzaam moeten zijn, vooral als je CARP hebt geïmplementeerd met één firewall per fysieke host. Soms zie ik scenario's waarbij dit wel gebeurt, en iemand moet fysiek naar de locatie gaan om te zien wat er mis is met hun hypervisor als hun virtuele firewall en alleen het pad naar beneden is ook. 2) Meer kans op configuratiefouten die beveiligingsproblemen kunnen opleveren. Wanneer u een vswitch hebt van ongefilterd internetverkeer en een of meer privé-netwerkverkeer, zijn er enkele mogelijkheden om ongefilterd internetverkeer naar uw privé-netwerken te laten vallen (de potentiële impact hiervan zou van de ene omgeving naar de andere kunnen variëren). Het zijn zeer onwaarschijnlijke scenario's, maar veel waarschijnlijker dan hetzelfde soort fouten te maken in een omgeving waar het volledig niet-vertrouwde verkeer op geen enkele manier is verbonden met interne hosts.

Geen van beide moet u ervan weerhouden om het te doen - wees voorzichtig om scenario 1 uitval te voorkomen, vooral als dit in een datacenter zit waar u geen fysieke toegang hebt als u de firewall verliest.


12
2017-12-10 11:47



zeer inzichtelijk, ik heb tot nu toe het voordeel om mijn hypervisor binnen fysiek bereik te hebben. Maar ik zal zeker uw advies in gedachten houden. - ianc1215
Uit curiositeit zijn dezelfde Chris Buechler die mede-oprichter van pfSense? - ianc1215
Ja dat ben ik. :) - Chris Buechler
Stoer! Ik ben een grote fan, bedankt voor het inzicht in het virtualiseren van pfSense. VMXnet3 gebruiken met pfSense is veilig toch? - ianc1215


Er is een gevaar in alles dat is aangesloten op de internetperiode.

Om de onsterfelijke Weird Al te citeren:

Zet uw computer uit en zorg ervoor dat hij uitschakelt
  Laat het vallen in een gat van drieënveertig voet in de grond
  Begraaf het volledig; rotsen en keien moeten in orde zijn
    Verbrand dan alle kleding die je hebt gedragen wanneer je online was!

Alles wat je blootstelt aan de buitenwereld heeft een oppervlak om aan te vallen. Als je pfSense uitvoert op speciale hardware en het wordt gehackt, heeft je aanvaller nu een springplank om alles intern aan te vallen. Als je virtuele pfSense-machine in gevaar komt, heeft de aanvaller een extra aanvalsvector - de hypervisorhulpprogramma's (ervan uitgaande dat je ze hebt geïnstalleerd) - waarmee je kunt werken, maar op dat moment is je netwerk al aangetast en zit je in een wereld van pijn toch.

Dus is het minder veilig om een ​​gevirtualiseerde pfSense-instantie te gebruiken? Ja, marginaal. Is het iets waar ik me zorgen over maak? Nee.

BEWERK:  Na verdere overweging - als er een specifieke fout in pfSense is waarvan ik niet weet dat deze problemen heeft met gevirtualiseerde netwerkkaarten die op de een of andere manier een beveiligingsfout creëren, dan is het bovenstaande ongeldig. Ik ben me echter niet bewust van zo'n kwetsbaarheid.


10
2017-12-07 19:12



Ik ben me niet bewust van problemen met het virtualiseren van FreeBSD en pf, wat 99% is van wat pfSense is (het belangrijkste onderdeel toch - de kernel / firewall-module). Persoonlijk zou ik het echter niet in productie doen. - voretaq7
Nou ja - het is geen ideale situatie en kan hoofdpijn veroorzaken met virtuele schakelaars, NIC's, etc. uit de wazoo. Maar als een bezorgdheid over de veiligheid denk ik dat het overdreven is. - Driftpeasant
Welnu, voor mij is de pfSense-box sowieso al een soort van wegwerpbaar, dit is voor mijn "test" -netwerk. Ik gebruik dit meer voor leren dan voor productie, dus het risico is nogal laag. Bedankt voor de info. - ianc1215
+1 voor de leuke (maar irrelevante) verwijzing naar Weird Al's Viruswaarschuwing. Normaal houd ik niet op voor frivole redenen, maar om de een of andere reden kietelde deze me vooral. - Steven Monday
Het is niet VOLLEDIG irrelevant - het verwijst naar het online hebben van uw machine. :) - Driftpeasant


Er is ook een inherent gevaar voor alles in een virtuele omgeving, ongeacht de server waar je het over hebt. Ik heb onlangs gereageerd op een soortgelijke vraag. Omdat uw router / firewall al toegang heeft tot uw interne netwerk, is er geen echte reden om het hypervisor-niveau aan te vallen - er zijn al veel betere aanvalsvectoren beschikbaar.

De enige reden dat ik echt kan zien dat ik naar de hypervisor ga, is of je virtuele machine in een DMZ staat. Van daaruit kunt u achter de hypervisor gaan en een machine binnen op het interne netwerk. Dat is niet de use case die u beschrijft.

Persoonlijk bewaar ik een gevirtualiseerde kopie van mijn firewall voor DR-doeleinden. Het gebruiken ervan is niet ideaal, maar het is een optie.


4
2017-12-07 21:29