Firewall virtualisieren
Hallo Zusammen
Folgende Situation:
Ich habe Zuhause einen alten Tower rumstehen mit folgenden Specs:
- 32GB DDR3 RAM
- Intel Core i7-7700
- 500GB SSD
- 2TB HDD
- 3 NICS
Nun hatte ich folgende Idee:
Ich schmeisse auf die Kiste Hyper-V Core drauf und eine VM ist OPNsense, welche für mein Heimnetz die Firewall macht. Daneben wird es jeweils noch 1-2 VMs geben die laufen ändern und nur zum Testen bestehen.
Eine NIC ist dabei WAN für OPNsense, eine NIC ist LAN zum Switch, und eine NIC hat der Hypervisor für vSwitching.
Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit? Würdet ihr das machen oder nicht?
LG MbGb
Folgende Situation:
Ich habe Zuhause einen alten Tower rumstehen mit folgenden Specs:
- 32GB DDR3 RAM
- Intel Core i7-7700
- 500GB SSD
- 2TB HDD
- 3 NICS
Nun hatte ich folgende Idee:
Ich schmeisse auf die Kiste Hyper-V Core drauf und eine VM ist OPNsense, welche für mein Heimnetz die Firewall macht. Daneben wird es jeweils noch 1-2 VMs geben die laufen ändern und nur zum Testen bestehen.
Eine NIC ist dabei WAN für OPNsense, eine NIC ist LAN zum Switch, und eine NIC hat der Hypervisor für vSwitching.
Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit? Würdet ihr das machen oder nicht?
LG MbGb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 493308
Url: https://administrator.de/contentid/493308
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @SlainteMhath:
aber nur bei zertifizierter Hardware :-p Ich würde aber eher VMware verwenden.
Das funktioniertmit Linux besser.
So entspricht das auch meiner Erfahrung .)Das funktioniert
Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?
Genau das ist der Grund. Und bist du erstmal auf dem Hypervisor, bist Du in jeder VM.
Soviel zur Theorie. Ich habe aber auch schon Admins kennengelernt, die sagen: totaler Blödsinn. Begründung war: Der Aufwand aus einer Firewall auszubrechen ist auf einer VM der selbe wie auf einer dedizierten Maschine. Egal welche kompromittiert wird, im Netz ist der Hacker dann sowieso.
Ich für meinen Teil habe mich für eine dedizierte Maschine entschieden. Alix-Board und pfSense oder OPNSense sind hier eine kostengünstige Variante.
Den alten Tower kannst Du dann immer noch als Server laufen lassen, ggf. mit Virtualisierung.
Just my 2 Cents.
Zitat von @ludaku:
Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit?
Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit?
Ja.
Würdet ihr das machen oder nicht?
Nein.
Sicherheitstechnisch nur eine Notlösung, da der Hypervisor angreifbar ist und es genug Malware gab, die VMs eine rote Pille verpaßt haben. Damit können die dann die Firewall "hintenrum" aushebeln.
Firewalls gehören auf bare-metal udn wenn sie virtualisiert werden sind sie die einzigen VMs auf der Kiste.
lks
Zitat von @ludaku:
Hmm, du hast meine Neugier gerade geweckt. Wieso denn nicht? Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?
Hmm, du hast meine Neugier gerade geweckt. Wieso denn nicht? Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?
Andersrum. Die anderen VMs können kompromittiert werden und die Malware dann ausbrechen und die Firewall manipulieren.
Oder die Malware greift direkt den Hypervisor an und manipuliert dann die Firewall.
lks
Zitat von @StefanKittel:
Aus Sicherheitsgründen sollte man Firewalls nicht virtualisieren, aber man sollte immer die Möglichkeiten und Anforderungen im Auge behalten.
So pauschal kann man das heute einfach nicht mehr sagen.Aus Sicherheitsgründen sollte man Firewalls nicht virtualisieren, aber man sollte immer die Möglichkeiten und Anforderungen im Auge behalten.
Inzwischen gibt es eine ganze Menge Firewall-Systeme, die explizit für den virtuellen Betrieb zertifiziert sind. Und da beißt sich die Katze manchmal dann in den Schwanz.
Du willst/mußt Firewall-Produkt XYZ nutzen, mußt dieses aber auf eigener HW laufen lassen. Der Hersteller sagt, ja Sie können unser Produkt zwar auf Ihrer eigenen HW nutzen, wir supporten unser Produkt XYZ aber nur auf von uns freigegebenen Systemen. Freigegeben sind unsere HW-Appliances oder Hyper-V/VMWare!
Und spätestens da muss man sich dann entscheiden: Produktsupport oder Dogma "Firewalls virtualisiert man nicht".
Wir haben uns schlussendlich für virtuelle FW-Systeme entschieden. Die UTM-Lösung läuft allerdings als einzige VM auf dem Hostsystem! Niemals würde ich eine FW-VM auf einem System nutzen, auf dem produktive VM laufen.
Unser VMWare-Partner hat uns bestätigt, dass virtuelle VM inzwischen durchaus üblich sind.
Zitat von @monstermania:
Und spätestens da muss man sich dann entscheiden: Produktsupport oder Dogma "Firewalls virtualisiert man nicht".
Und spätestens da muss man sich dann entscheiden: Produktsupport oder Dogma "Firewalls virtualisiert man nicht".
Man kann Firewalls virtualisieren. Das ist kein Dogma. Nur sollte man sich hüten, da parallel noch andere Systeme auf den Hypervisor zu packen.
lks
Hallo,
Auch die Frage wo die Firewall ihren Dienst tut ist nicht ganz unwichtig.
Wenn die Firewall direkt am Internet Zugang arbeitet würde ich von einer virtualisierten Lösung immer Abstand nehmen. arbeitet Sie nur zur Abschottung von einzelnen Netzen im Lokalen Netz hinter eine physikalischen Firewall kann eine VM (egal was für eine Lösung) durchaus eine gute Lösung sein.
brammer
Auch die Frage wo die Firewall ihren Dienst tut ist nicht ganz unwichtig.
Wenn die Firewall direkt am Internet Zugang arbeitet würde ich von einer virtualisierten Lösung immer Abstand nehmen. arbeitet Sie nur zur Abschottung von einzelnen Netzen im Lokalen Netz hinter eine physikalischen Firewall kann eine VM (egal was für eine Lösung) durchaus eine gute Lösung sein.
brammer