2179733164
Mar 15, 2022
2294
8
0
Absicherung mit VM OPNsense
Guten Abend zusammen 
,
ich hänge aktuell bei dem Aufbau meines Privaten Servers, und schaue wie ich ihn am besten Absicher.
Der Server ist bei einem bekannten großen Anbieter im Rechenzentrum angemietet, betrieben wird auf Basis eines Server 2022 Hosts eine Nextcloud, Mailcow und Gameserver.
Aktuell sieht mein Aufbaue so aus:
Ich habe Zwei OPNsense installiert, eine ist dafür nur für den Host zuständig und die andere für die VMs.
Der Nic des Hosts wird dabei in die beiden Firewall VMs gereicht.
Der Hosts hängt also selber hinter einer Firewall VM auf der NUR ein VPN für die Verwaltung eingerichtet ist, alles andere ist komplett dicht.
Die zweite OPNsense für die VMs lasse ich hier erstmal außen vor, da es mir eher um die Absicherung des Hosts geht.
Mir ist bewusst das eine vorgelagerte "Blech" Firewall immer lieber gesehen wird, allerdings habe ich keine Chance eine im RZ bei meinem Hoster zu installieren.
Anderseits, wenn ich vor dem Host eine Hardware Firewall stehen habe und diese geknackt wird, ist der Hosts direkt Angreifbar.
Ebenso bei der VM Firewall, der einzige Nachteil ist hier natürlich das man sich auf die virtuelle Trennung der vSwitch verlassen muss.
Was habt ihr bei der "Lösung" für bedenken, bzw. was haltet ihr davon?
Habt ihr eventuelle Verbesserungsvorschläge?
Was natürlich auch gehen würde, man Könnte das ganze so anordnen
Internet --> OPNsense (1) --> Alle VMs --> OPNsense (2) --> Host
Hört sich vielleicht doof an, aber so hätte man ja eine "virtuelle" DMZ und der Host würde hinter 2 OPNsense hängen.
Ich hoffe man versteht die Skizze.
Schonmal vielen Dank für eure Antworten!
,ich hänge aktuell bei dem Aufbau meines Privaten Servers, und schaue wie ich ihn am besten Absicher.
Der Server ist bei einem bekannten großen Anbieter im Rechenzentrum angemietet, betrieben wird auf Basis eines Server 2022 Hosts eine Nextcloud, Mailcow und Gameserver.
Aktuell sieht mein Aufbaue so aus:
Ich habe Zwei OPNsense installiert, eine ist dafür nur für den Host zuständig und die andere für die VMs.
Der Nic des Hosts wird dabei in die beiden Firewall VMs gereicht.
Der Hosts hängt also selber hinter einer Firewall VM auf der NUR ein VPN für die Verwaltung eingerichtet ist, alles andere ist komplett dicht.
Die zweite OPNsense für die VMs lasse ich hier erstmal außen vor, da es mir eher um die Absicherung des Hosts geht.
Mir ist bewusst das eine vorgelagerte "Blech" Firewall immer lieber gesehen wird, allerdings habe ich keine Chance eine im RZ bei meinem Hoster zu installieren.
Anderseits, wenn ich vor dem Host eine Hardware Firewall stehen habe und diese geknackt wird, ist der Hosts direkt Angreifbar.
Ebenso bei der VM Firewall, der einzige Nachteil ist hier natürlich das man sich auf die virtuelle Trennung der vSwitch verlassen muss.
Was habt ihr bei der "Lösung" für bedenken, bzw. was haltet ihr davon?
Habt ihr eventuelle Verbesserungsvorschläge?
Was natürlich auch gehen würde, man Könnte das ganze so anordnen
Internet --> OPNsense (1) --> Alle VMs --> OPNsense (2) --> Host
Hört sich vielleicht doof an, aber so hätte man ja eine "virtuelle" DMZ und der Host würde hinter 2 OPNsense hängen.
Ich hoffe man versteht die Skizze.
Schonmal vielen Dank für eure Antworten!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2179764278
Url: https://administrator.de/contentid/2179764278
Printed on: April 23, 2024 at 15:04 o'clock
8 Comments
Latest comment
Hi,
die Aufteilung auf zwei Appliances ist hier eher Spielerei, ich würde entweder nur eine nehmen oder zwei clustern (was das Hoffen und Bangen beim Firewall-Update erspart). Du kannst Host und VMs ja an beliebig vielen Interfaces segmentieren.
Auf so einem Windows-Server am Internet die Firewall zu konfigurieren, insbesondere ohne Domain, habe ich immer als Drahtseilakt empfunden. Ich meine mich zu erinnern, dass ein Update dann doch mal wieder irgendwas aufmacht, was Microsoft zur Anbindung von XBoxen o.ä. als lebensnotwendig erachtet. Aber es geht natürlich.
Besser ist es aus meiner Sicht, einen Hoster zu nehmen, der zumindest rudimentäre ACL anbietet (was heute die meisten sein dürften). Als das noch nicht so üblich war, habe ich auch schon Host-Interfaces exklusiv an die gehostete Firewall zugewiesen. Das lässt sich im Ernstfall durch Offline-Bearbeitung rückgänig machen, in der Registry oder ein Skript/einen Schalter, den man nur ins Dateisystem legt bzw. bearbeitet.
Grüße
Richard
die Aufteilung auf zwei Appliances ist hier eher Spielerei, ich würde entweder nur eine nehmen oder zwei clustern (was das Hoffen und Bangen beim Firewall-Update erspart). Du kannst Host und VMs ja an beliebig vielen Interfaces segmentieren.
Auf so einem Windows-Server am Internet die Firewall zu konfigurieren, insbesondere ohne Domain, habe ich immer als Drahtseilakt empfunden. Ich meine mich zu erinnern, dass ein Update dann doch mal wieder irgendwas aufmacht, was Microsoft zur Anbindung von XBoxen o.ä. als lebensnotwendig erachtet. Aber es geht natürlich.
Besser ist es aus meiner Sicht, einen Hoster zu nehmen, der zumindest rudimentäre ACL anbietet (was heute die meisten sein dürften). Als das noch nicht so üblich war, habe ich auch schon Host-Interfaces exklusiv an die gehostete Firewall zugewiesen. Das lässt sich im Ernstfall durch Offline-Bearbeitung rückgänig machen, in der Registry oder ein Skript/einen Schalter, den man nur ins Dateisystem legt bzw. bearbeitet.
Grüße
Richard
1
Hi,
der Sinn meines Aufbaus ist ja grade das der Windows Server nicht offen am Netz hängt,
die Windows eigene Firewall kann man in die Tonne kloppen...
Der Windows Server hängt selber mit einer internen IP Adresse hinter einer der beiden OPNsense,
und ist auch nur darüber erreichbar. Hat den Nachteil, wenn die OPNsense mal offline sein sollte ist es der Host auch.
Der gesamte Traffic wird erst durch die OPNsense gerouted, der Host kann die vSwitch mit der Öffentlichen IP nicht verwenden.
der Sinn meines Aufbaus ist ja grade das der Windows Server nicht offen am Netz hängt,
die Windows eigene Firewall kann man in die Tonne kloppen...
Der Windows Server hängt selber mit einer internen IP Adresse hinter einer der beiden OPNsense,
und ist auch nur darüber erreichbar. Hat den Nachteil, wenn die OPNsense mal offline sein sollte ist es der Host auch.
Der gesamte Traffic wird erst durch die OPNsense gerouted, der Host kann die vSwitch mit der Öffentlichen IP nicht verwenden.
"alles andere ist komplett dicht" hatte ich eher als Beschreibung der Host-Firewall als der Interface-Zuweisung gedeutet. Die Kaskadierung ergibt hier trotzdem nicht viel Sinn. Wenn man unbedingt zwei Firewalls für die beiden Zwecke separat einsetzen wollte, dann doch parallel anstatt hintereinander, damit die erste nicht noch den VPN-Traffic der zweiten routen muss.
2
Kollege @c.r.s. hat hier absolut Recht.
Eine Kaskadierung 2er Firewalls ist Unsinn und erhöht nicht die Sicherheit und wäre überflüssige Spielerei die nur Resourcen auf dem Hypervisor verbrennt ohne Nutzen.
Es ist in jedem Falle zielführender mit nur einer FW zu arbeiten und für den Host dann ein weiteres separates Interface an der FW bzw. vSwitch einzurichten.
Eine Kaskadierung 2er Firewalls ist Unsinn und erhöht nicht die Sicherheit und wäre überflüssige Spielerei die nur Resourcen auf dem Hypervisor verbrennt ohne Nutzen.
Es ist in jedem Falle zielführender mit nur einer FW zu arbeiten und für den Host dann ein weiteres separates Interface an der FW bzw. vSwitch einzurichten.
Klingt für mich auf den ersten Blick nach einer unnötigen Redundanz.
War ja nur ein Gedanke
Was haltet ihr denn generell von der Lösung die Firewall virtuell vor dem Host zu betreiben?
Unter den Voraussetzungen das eine Hardware getrennt Firewall nicht möglich ist.
Deutlich sicherer als die Windows Box „direkt“ am Interneg hängen zu haben ist es ja aufjedenfall.
Wie würdet ihr euren Server unter meinen Gegebenheiten aufsetzen?
Was haltet ihr denn generell von der Lösung die Firewall virtuell vor dem Host zu betreiben?
Unter den Voraussetzungen das eine Hardware getrennt Firewall nicht möglich ist.
Deutlich sicherer als die Windows Box „direkt“ am Interneg hängen zu haben ist es ja aufjedenfall.
Wie würdet ihr euren Server unter meinen Gegebenheiten aufsetzen?
Ich denke nicht, dass es sicherer wäre, denn das ankommende Paket, schädlich oder nicht, muss ja trotzdem durch den Kernel/Netzwerk-Stack des Hosts gehen und berührt somit vor der VM-Firewall den Host, bevor es dann von der VM-Firewall gefiltert wird. Wenn eine Sicherheitslücke im Kernel/Netzwerk-Stack des Hosts ausgenutzt wird, dann hast du verloren. Alle VMs sind dann kompromittiert. Du wirst schlimmstenfalls die Vertraulichkeit, Integrität und Verfügbarkeit der Daten verlieren, ähnlich wie bei einem Ransomware-Vorfall.
Falls du dich trotzdem dafür entscheiden solltest, solltest du den Kernel absichern und regelmäßig Updates einspielen.
Falls du dich trotzdem dafür entscheiden solltest, solltest du den Kernel absichern und regelmäßig Updates einspielen.
Ich habe mich dafür so weit ja bereits entschieden, bzw. das System läuft schon.
Schaue momentan nur noch nach "Optimierungen"
Schaue momentan nur noch nach "Optimierungen"
