3
Sicherheit von VMware Server, Linux Host ?
VMware Server unter Linux
Hi!
Folgende Idee:
Für ein SOHO soll ein Windows Netzwerk erstellt werden. Dies soll alle dienste wie DC, ISA, Exchange(,...) bereitstellen.
Um Platz und Hardware(anzahl) zu sparen wird eine stärkere Maschine angeschafft und VMware auf Linux-Host installiert.
Die verschiedenen Server werden virtualisiert.
Annahme:
Hardware reicht für anforderungen vollkommen aus.
2 Netzwerkkarten für intern und extern. (Sollte überhaupt pro VM-Gast eine NIC bereitgestellt werden?)
Bin nun auf folgendes Problem gestoßen:
Wenn die Firewall(ISA Server) auch auf dem Host virtualisiert wird, so ist doch der Linux-Host ungeschützt oder?
Auf dem Host eine extra Firewall zu installieren/aktivieren ist wieder doppelt gemoppelt.
Ist die einzige Möglichkeit den ISA auf eine extra Maschine auszulagern?
Bin in Linux ein Frischling, bräuchte also eure Hilfe!
Kritisches Feedback durchaus erwünscht
lg catmin
Folgende Idee:
Für ein SOHO soll ein Windows Netzwerk erstellt werden. Dies soll alle dienste wie DC, ISA, Exchange(,...) bereitstellen.
Um Platz und Hardware(anzahl) zu sparen wird eine stärkere Maschine angeschafft und VMware auf Linux-Host installiert.
Die verschiedenen Server werden virtualisiert.
Annahme:
Hardware reicht für anforderungen vollkommen aus.
2 Netzwerkkarten für intern und extern. (Sollte überhaupt pro VM-Gast eine NIC bereitgestellt werden?)
Bin nun auf folgendes Problem gestoßen:
Wenn die Firewall(ISA Server) auch auf dem Host virtualisiert wird, so ist doch der Linux-Host ungeschützt oder?
Auf dem Host eine extra Firewall zu installieren/aktivieren ist wieder doppelt gemoppelt.
Ist die einzige Möglichkeit den ISA auf eine extra Maschine auszulagern?
Bin in Linux ein Frischling, bräuchte also eure Hilfe!
Kritisches Feedback durchaus erwünscht
lg catmin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 45428
Url: https://administrator.de/contentid/45428
Printed on: April 16, 2024 at 13:04 o'clock
3 Comments
Latest comment
Ich würde zuerstmal eh ne Linux Firewall nehmen sag ich dir ganz erlich da bist du auf der 60% sicheren Seite. Die würde ich aber trods allem Föllig extern machen also auf ner Extra Maschine 
Soweit das mal
Soweit das mal
Ich würde persönlich auch lieber eine Linux-Firewall als den ISA Server nehmen, aber um auf Dein Problem zurückzukommen:
Einfachste Lösung: Die Netzwerkkarte, die nach außen geht und auf der die ISA Server VM draufgeht (geht nur beim Bridged Mode, also direkter Zugriff der VM auf die Netzwerkkarte) unter Linux das TCP/IP Protokoll wegnehmen.
Wenn kein Linux TCP/IP Stack an die Netzwerkkarte gebunden ist, kann auch kein Trojaner, Virus, Buffer Overflow oder sonstiger Angriff auf die Linux Kiste stattfinden. Nur noch an diese Karte gebundenen VMs haben dann noch Zugriff auf die ankommenden IP Pakete.
Unter Debian findet sich die Einstellung bei /etc/network/interfaces, dort gibt es dann einen Eintrag wie:
iface ethX inet static (oder dhcp) (X = Nummer der Netzwerkkarte)
samt Adresse etc dahinter bei static.
Das einfach rauslöschen, dann gibts kein IP Protokoll mehr an der entsprechenden Karte. Achtung: Wenn Du alles mit INET rausnimmst, kommst Du per Netzwerk nicht mehr an die Maschine, also nur die Karte die nach draußen geht rausnehmen!
Einfachste Lösung: Die Netzwerkkarte, die nach außen geht und auf der die ISA Server VM draufgeht (geht nur beim Bridged Mode, also direkter Zugriff der VM auf die Netzwerkkarte) unter Linux das TCP/IP Protokoll wegnehmen.
Wenn kein Linux TCP/IP Stack an die Netzwerkkarte gebunden ist, kann auch kein Trojaner, Virus, Buffer Overflow oder sonstiger Angriff auf die Linux Kiste stattfinden. Nur noch an diese Karte gebundenen VMs haben dann noch Zugriff auf die ankommenden IP Pakete.
Unter Debian findet sich die Einstellung bei /etc/network/interfaces, dort gibt es dann einen Eintrag wie:
iface ethX inet static (oder dhcp) (X = Nummer der Netzwerkkarte)
samt Adresse etc dahinter bei static.
Das einfach rauslöschen, dann gibts kein IP Protokoll mehr an der entsprechenden Karte. Achtung: Wenn Du alles mit INET rausnimmst, kommst Du per Netzwerk nicht mehr an die Maschine, also nur die Karte die nach draußen geht rausnehmen!
GENIAL!!
Danke für eure Beteiligung!
@herr Hoster
Genau das wollte ich erreichen! Vielen Dank!
Werde ich so bald wie möglich testen.
Linux Firewall kann ich leider nicht einsetzen. Das Personal ist leider nur auf ISA geschult (und will es auch bleiben :-S )
lg catmin
Danke für eure Beteiligung!
@herr Hoster
Genau das wollte ich erreichen! Vielen Dank!
Werde ich so bald wie möglich testen.
Linux Firewall kann ich leider nicht einsetzen. Das Personal ist leider nur auf ISA geschult (und will es auch bleiben :-S )
lg catmin