J'avais lu sur quelques forums sur pfSense qui disaient qu'il était dangereux de virtualiser pfSense. La raison invoquée était qu'un attaquant pouvait utiliser pfsense comme tremplin pour attaquer l'hyperviseur, puis l'utiliser pour accéder aux autres machines virtuelles et éventuellement mettre tout hors ligne.
Cela me semble fou, mais y a-t-il une once de réalité dans cette idée? Exécuter un routeur sur un serveur virtuel est-il une mauvaise idée?
Réponses:
Les arguments généralement avancés contre la sécurité de l'hyperviseur lui-même, dont l'histoire a prouvé à peu près, ne sont pas très préoccupants. Cela pourrait toujours changer, mais il n'y a pas encore eu de problèmes de sécurité récurrents vraiment importants. Certaines personnes refusent simplement de lui faire confiance, sans raison valable. Il ne s'agit pas d'attaquer d'autres hôtes si quelqu'un possède le pare-feu, dans ce cas, peu importe où il fonctionne, et de toutes les choses susceptibles d'être compromises, le pare-feu est bien en bas de la liste, sauf si vous faites quelque chose de stupide comme open sa gestion à l'ensemble de l'Internet avec le mot de passe par défaut défini. Ces gens ont une crainte irrationnelle qu'il va y avoir un paquet magique "root ESX" envoyé depuis Internet via l'une de ses interfaces pontées qui " va en quelque sorte faire quelque chose à l'hyperviseur. C'est extrêmement improbable, il existe des millions de façons plus susceptibles de compromettre votre réseau.
De nombreux centres de données de production exécutent pfSense dans ESX, j'ai probablement installé plus de 100 moi-même. Nos pare-feu fonctionnent sous ESX. De toutes ces expériences, les seuls inconvénients de la virtualisation de vos pare-feu sont les suivants: 1) si votre infrastructure de virtualisation tombe en panne, vous ne pourrez pas y accéder pour dépanner si vous n'êtes pas physiquement à cet endroit (principalement applicable aux centres de données colo). Cela devrait être très rare, surtout si CARP est déployé avec un pare-feu par hôte physique. Je vois des scénarios à l'occasion où cela se produit cependant, et quelqu'un doit physiquement se rendre à l'emplacement pour voir ce qui ne va pas avec son hyperviseur car son pare-feu virtuel et seul le chemin d'accès est en panne. 2) Plus sujettes aux erreurs de configuration qui pourraient poser des problèmes de sécurité. Lorsque vous avez un vswitch de trafic Internet non filtré et un ou plusieurs du trafic de réseau privé, il existe quelques possibilités pour que le trafic Internet non filtré tombe dans vos réseaux privés (dont l'impact potentiel pourrait varier d'un environnement à l'autre). Ce sont des scénarios très improbables, mais beaucoup plus susceptibles que de faire le même genre de bousculade dans un environnement où le trafic totalement non fiable n'est en aucune façon connecté à des hôtes internes.
Aucun de ces éléments ne devrait vous empêcher de le faire - faites juste attention à éviter les pannes du scénario 1, surtout si cela se trouve dans un centre de données où vous n'avez pas d'accès physique prêt si vous perdez le pare-feu.
Il y a un danger à ce que tout soit connecté à la période Internet.
Pour citer l'immortel Weird Al:
Éteignez votre ordinateur et assurez-vous qu'il s'éteigne.
Déposez-le dans un trou de quarante-trois pieds dans le sol.
Enterrez-le complètement; les rochers et les rochers devraient être parfaits
Ensuite, brûlez tous les vêtements que vous avez pu porter à chaque fois que vous étiez en ligne!
Tout ce que vous exposez au monde extérieur a une surface d'attaque. Si vous exécutez pfSense sur du matériel dédié et qu'il est compromis, votre attaquant dispose désormais d'un tremplin pour tout attaquer en interne. Si votre machine virtuelle pfSense est compromise, l'attaquant dispose d'un vecteur d'attaque supplémentaire - les outils d'hyperviseur (en supposant que vous les avez installés) - avec lesquels travailler, mais à ce stade, votre réseau est déjà compromis et vous êtes dans un monde de mal de toute façon.
Est-il donc moins sûr d'utiliser une instance pfSense virtualisée? Oui, marginalement. Est-ce quelque chose dont je m'inquiète? Non.
EDIT: Après un examen plus approfondi - s'il y a une erreur spécifique dans pfSense dont je ne sais pas où il a des problèmes avec les NIC virtualisés qui créent en quelque sorte une faille de sécurité, alors ce qui précède n'est pas valide. Je ne connais cependant pas une telle vulnérabilité.
Il y a également un danger inhérent à exécuter quoi que ce soit dans un environnement virtuel, quel que soit le type de serveur dont vous parlez. J'ai récemment répondu à une question similaire . Étant donné que votre routeur / pare-feu aura déjà accès à votre réseau interne, il n'y a aucune raison réelle d'attaquer le niveau de l'hyperviseur - il existe déjà de bien meilleurs vecteurs d'attaque.
La seule raison pour laquelle je peux vraiment voir aller après l'hyperviseur est si votre machine virtuelle réside dans une zone démilitarisée. De là, vous pouvez aller après l'hyperviseur et dans une machine sur le réseau interne. Ce n'est pas le cas d'utilisation que vous décrivez.
Personnellement, je garde une copie virtualisée de mon pare-feu à des fins de reprise après sinistre. L'utiliser n'est pas idéal mais c'est une option.