Est-il recommandé d'exécuter un pare-feu / routeur sur une machine virtuelle?


9

Google m'a trouvé des gens qui disaient que l'exécution d'un pare-feu / routeur en tant que machine virtuelle était "dangereuse" mais aucun d'eux ne donne de raison pour laquelle il en est ainsi. J'ai également trouvé des publications de personnes qui exécutent avec succès des pare-feu comme sur une machine virtuelle.

Quelqu'un at-il une expérience avec cela?

Quels seraient les avantages ou les inconvénients de l'exécution d'un pare-feu / routeur sur une machine virtuelle dans quelque chose comme proxmox vs ob une machine physique?

Réponses:


11

Vraiment, la bonne façon de faire les choses est à l'opposé de la façon dont vous vous approchez, si la sécurité est une préoccupation primordiale. Vous souhaitez exécuter le routeur / pare-feu sur le métal nu et héberger une machine virtuelle au sein de celle-ci pour une utilisation standard sur le bureau ou le serveur.

Pardonnez mon merdique MS Paint illustration.

entrez la description de l'image ici

Si vous reliez le NIC de la VM et le NIC LAN (à partir du système d'exploitation nu), ils peuvent apparaître comme la même interface "LAN" à des fins de pare-feu ou de routage.

La plupart des problèmes de sécurité seraient si quelqu'un montait sur la console pendant qu'elle était en cours d'exécution et désactivait votre routeur / pare-feu VM ou désactivait le pontage / dissociation de votre carte réseau de la VM - ou si quelqu'un devait se connecter à distance au système et le faire . Il est possible, comme toujours, que des logiciels malveillants puissent faire quelque chose de farfelu.


Vous pouvez le faire et utiliser n'importe quel logiciel de machine virtuelle si vous le souhaitez, mais l'inconvénient est que si vous utilisez quelque chose comme ESX, vous devrez RDP dans la machine virtuelle de bureau au lieu d'accéder directement via la console.

entrez la description de l'image ici


vous voter pour l'illustration de peinture pas si merdique ... merci pour vos efforts .... Cette approche m'empêcherait d'utiliser la plupart des distributions de virtualisation, n'est-ce pas? Particulièrement les goûts de proxmox ou vmware esx ...
Nithin

IIRC Proxmox est basé sur Linux - et vous pouvez simplement configurer votre routage et votre pare-feu en dehors de toute machine virtuelle à ce sujet. Il n'y a aucun moyen de sortir de n'importe quelle VM sur ESX AFAIK à l'exception d'un mode de diagnostic, vous ne voudrez probablement pas l'utiliser. Cependant, exécuter deux machines virtuelles «côte à côte» dans ESX, où l'une est un «frontal» pour une autre (votre «machine virtuelle de bureau» n'aurait qu'une carte réseau virtuelle connectée à la machine virtuelle «pare-feu»), serait OK. Dans ce cas, la "machine virtuelle de bureau" ne pouvait rien faire directement à l'hyperviseur.
LawrenceC

Je prévois d'utiliser proxmox ... Je prévoyais d'utiliser quelque chose comme ipfire ou clearos ... mais si je dois l'installer sur proxmox ... Je ne pense pas que je pourrai en utiliser non plus: (De plus, y a-t-il un moyen de faire quelque chose comme le diagramme 2 avec proxmox? Le schéma du diagramme 2 n'aurait-il pas les problèmes mentionnés au paragraphe 3?
Nithin

Fondamentalement, si votre routeur / pare-feu est dans une machine virtuelle et que votre bureau est dans une machine virtuelle "derrière", ça va. Si vous essayez de configurer une machine virtuelle de routeur / pare-feu "dans" un bureau NON dans une machine virtuelle, c'est là que la sécurité pourrait être un problème. Le diagramme 2 est possible avec Proxmox si vous configurez 2 VM - une pour votre VM pare-feu / routeur et une autre pour votre VM de bureau.
LawrenceC

Ce commentaire m'embrouille ... corrigez-moi si je me trompe ... Si le pare-feu / routeur est dans un serveur de virtualisation comme proxmox ou vmware ESX, il n'y a aucun problème de sécurité. Mais si le pare-feu / routeur se trouve dans quelque chose comme virtualbox dans un bureau à part entière, les problèmes de sécurité que vous avez mentionnés s'appliquent. Ce que j'essaie de configurer est le diagramme 2 avec d'autres machines virtuelles et machines physiques du réseau se connectant à la carte réseau LAN virtuelle du pare-feu pour accéder au réseau étendu ... ce scénario présente-t-il des problèmes de sécurité?
Nithin

3

Il existe des produits commerciaux comme les anciens systèmes Check Point «VSX» qui servent de «pare-feu virtuels» sur une base matérielle donnée. Si nous parlons de VMWare ou d'un meilleur pare-feu basé sur le cloud. Vous configurez un pare-feu "dans" le cloud pour segmenter le réseau "cloud" interne "et non la communication entre un cloud et un autre réseau.

Les performances sont très limitées et les performances dans un cloud sont partagées. Un pare-feu basé sur asic peut faire> 500 Go / s. Un pare-feu ou un commutateur basé sur VMware fait <20 Go / s. À la déclaration LAN NIC pourrait attraper une grippe de fil. Vous pouvez également indiquer que tout périphérique intermédiaire comme un commutateur, un routeur, un IPS peut également être exploité par le trafic en transit.

Nous voyons cela dans des paquets "malformés" (alias cadres, fragments, segments, etc.). On pourrait donc affirmer que l'utilisation de dispositifs "intermédiaires" n'est pas sécurisée. Le NIST allemand appelé BSI a également déclaré il y a quelques années que les routeurs virtuels (comme les VDC (Virtual Device Context - Cisco Nexus)) et VRF (Virtual Route Forwarding) n'étaient pas sécurisés. D'un point de vue, le partage des ressources est toujours un risque. L'utilisateur peut exploiter les ressources et réduire la qualité de service pour tous les autres utilisateurs. Ce qui, à l'échelle mondiale, mettrait en question l'ensemble des technologies VLAN et de superposition (comme VPN et MPLS).

Si vous avez des exigences de sécurité très élevées, j'utiliserais du matériel dédié et un réseau dédié (y compris des lignes dédiées!) Si vous demandez si l'hyperviseur (en particulier en métal nu) est un problème de sécurité spécial dans un scénario courant ... je dirais que non .


Je trouve un peu difficile de comprendre tout ce que tu as dit ... voici ce que j'ai compris corrige-moi si je me trompe. Vous dites donc que les pare-feu virtuels sont utilisés pour protéger les machines virtuelles et leurs réseaux virtuels du réseau hôte, tout comme les machines virtuelles utilisent des commutateurs / routeurs virtuels, etc. L'ASIC ou les pare-feu dédiés fonctionnent mieux que les virtuels. Je n'ai pas bien compris le dernier paragraphe. :(
Nithin

2

En règle générale, une machine virtuelle est connectée au réseau via une connexion pontée (c'est-à-dire que la mise en réseau passe par l'ordinateur physique sur lequel elle s'exécute). L'utilisation de la machine virtuelle comme pare-feu signifie que tout le trafic peut entrer dans l'ordinateur physique, puis les paquets sont envoyés à la machine virtuelle, filtrés puis renvoyés vers l'ordinateur physique. Étant donné que l'ordinateur physique peut accepter des paquets non filtrés et est responsable de la distribution des paquets au reste du réseau, cela est exploitable pour envoyer des paquets non filtrés sur le réseau.


1
Ce problème ne sera-t-il pas résolu en liant une carte réseau physique directement à la machine virtuelle au lieu d'utiliser une carte réseau virtuelle pour la machine virtuelle au moins pour l'interface RED?
Nithin
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.