roland123
Goto Top

DMZ mit Hyper V oder ESX

Hallo zusammen,

ich möchte mir gerne eine DMZ einrichten, da wir unseren eigenen Webserver hosten möchten.

Firewalleinstellungen etc. ist schon vorhanden die DMZ steht momentan vom jetzigen Internen Netzwerk getrennt. So wie es ja eigentlich auch sein soll.

Momentan ist ein einziger Server nur dafür zuständig unsere Homepage zu hosten (Debian 6 Server) von der Leistung her lacht der Server sich darüber tot und hat den ganzen Tag nichts zu tun.

Nun mal meine Frage. Was währe, wenn man einen HYperV oder ESX Server nehmen würde dort eine extra Netzwerkkarte einbauen würde und darüber den Webserver als VM laufen lassen würde. Parallel könnte man die anderen Netzwerkkarten für das interne Netzwerk nehmen um dort andere VM´s laufen zu lassen um den Server optimal auslasten zu können.

Nun haben mir einige Leute geraten dieses nicht zu tun, da es gefahren durch Hacker bergen kann. Frage kann ein Hacker durch diese beschriebene Konfig durch und voll auf den Hyper V oder ESX Server zugreifen um dadurch mein internes Netzwerk angreifen oder besteht da keine Gefahr?

Hat da vielleicht jemand von Euch ein paar Tipps für mich wie man sowas am besten machen kann ob ich meinen Server wirklich so "alleine" stehen lassen muss oder ob ich die Vm Lösung machen könnte?

Vielen Dank schonmal im voraus für Eure Hilfe face-smile

Content-ID: 179235

Url: https://administrator.de/contentid/179235

Ausgedruckt am: 05.11.2024 um 15:11 Uhr

wiesi200
wiesi200 20.01.2012 um 10:51:54 Uhr
Goto Top
Hallo,

ich würd's auf keinen Fall machen.
Mir ist zwar nicht bekannt das man irgendwie auf den Hypervisor drauf kommt aber sein kann alles.
roland123
roland123 20.01.2012 um 11:09:15 Uhr
Goto Top
Hallo Wiesi200

ja genau das habe ich auch gehört und ich dachte ich mache hier mal einen Post auf und frage mal nach ob jemand mehr weiß.

Auf der einen Seite geht es auf der anderen wieder nicht. Woran soll man sich halten?

vg
roland
OliverHu
OliverHu 20.01.2012 um 11:10:00 Uhr
Goto Top
Hallo,

ich meine es gab in früheren Versionen von Hyper-V die Möglichkeit, aus der Child Partition auszubrechen, bin mir aber nicht sicher.
Aktuell gibt es mit Sicherheit keine Sicherheitsprobleme mit Hyper-V.

An deiner Stelle würde ich dies trotzdem nicht tun, denn du weißt nie ob es vielleicht doch mal möglich ist und du schnell genug reagieren kannst.
Andererseits kenn ich Leute, die das so machen. Ich würde allerdings wie gesagt davon abraten.
oldmav
oldmav 20.01.2012 um 11:43:25 Uhr
Goto Top
Benutzt du, wenn ESX, HA?
Das Problem ist nicht so sehr die Netzwerke sauber zu trennen, so dass man eine schöne DMZ hat. Das Problem ist die Kommunikation der VMs im VM-Kernel Netzwerk. Das wir genutzt um die Maschinen zu überwachen und bei HA schnell eine neue online zu bringen.
Du musst auf jeden Fall bei ESX die VMCI zwischen VMs deaktivieren. Das kann zum Einfallstor werden.

Aber ansonsten sind mir bei ESX keine Probleme bekannt. Es ist zwar immer schöner die Hardware für die DMZ klar zu trennen, aber es geht auch auf virtueller Ebene.
Dani
Dani 20.01.2012 um 12:59:25 Uhr
Goto Top
Moin,
also die DMZ auf eure Intranet ESX-Umgebung zu mirgieren würde ich ebenfalls nicht machen. Da wäre mir das Risiko zu groß und der Schaden der entstehen könnte. Denn du musst schließlich den Kopf am Ende vllt. hinhalten.
DMZ virtualisieren ist kein Problem, aber dann bitte eine extra phy. getrennte ESX-Umgebung die keine Abhänigkheiten zu deren im LAN hat.


Grüße,
Dani
Luie86
Luie86 20.01.2012 um 13:37:18 Uhr
Goto Top
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE
OliverHu
OliverHu 20.01.2012 um 13:42:27 Uhr
Goto Top
Zitat von @Luie86:
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE

Hallo,

und was ist, wenn mal jemand aus der VM ausbricht und Zugriff auf deine Hosts bekommt?
Ob das zum jetzigen Zeitpunkt möglich ist oder nicht, spielt erstmal keine Rolle.
Luie86
Luie86 20.01.2012 um 14:35:43 Uhr
Goto Top
Hallo,

interessante Frage. Ich gebe zu, ja dann hätte ich ein Problem.
Habe jetzt gerade mal Google bemüht, weil ich mich gefragt habe wie wahrscheinlich sowas ist
und siehe da: http://www.pcsympathy.com/2009/06/04/hacking-tool-lets-a-vm-break-out-a ...
bzw: http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kor ...

Es scheint also schonmal geklappt zu haben.

Trotzdem ist meine Meinung, sobald das System in der DMZ kompromittiert wurde, ist die Sache eh gelaufen.
Klingt jetzt vielleicht doof aber: Genau wie Hacker muss man halt einfach versuchen seine System immerwieder
zu verbessern, zu patchen und weiter abzusichern sonst hat man einfach verloren.

Egal ob physische Maschinen oder Virtuelle Systeme.


Gruß Daniel
Dani
Dani 05.02.2012 um 10:50:59 Uhr
Goto Top
Moin,
besteht hier noch Interesse?
roland123
roland123 05.02.2012 um 11:23:55 Uhr
Goto Top
Hallo Dani,

natürlich besteht noch interesse. Ich habe mich allerdings gestern entschieden den Webserver direkt in eine DMZ zu erstellen ohne ESX oder Hyper V das scheint einfach sicherer zu sein.

vg
roland