Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall virtualisieren

Mitglied: MegaGiga

MegaGiga (Level 1) - Jetzt verbinden

10.09.2019 um 08:24 Uhr, 1985 Aufrufe, 15 Kommentare

Hallo Zusammen

Folgende Situation:
Ich habe Zuhause einen alten Tower rumstehen mit folgenden Specs:
- 32GB DDR3 RAM
- Intel Core i7-7700
- 500GB SSD
- 2TB HDD
- 3 NICS

Nun hatte ich folgende Idee:
Ich schmeisse auf die Kiste Hyper-V Core drauf und eine VM ist OPNsense, welche für mein Heimnetz die Firewall macht. Daneben wird es jeweils noch 1-2 VMs geben die laufen ändern und nur zum Testen bestehen.
Eine NIC ist dabei WAN für OPNsense, eine NIC ist LAN zum Switch, und eine NIC hat der Hypervisor für vSwitching.

Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit? Würdet ihr das machen oder nicht?

LG MbGb
Mitglied: StefanKittel
LÖSUNG 10.09.2019 um 08:28 Uhr
Moin,

ja, das würde funktionieren.
Ich würde aber eher VMware verwenden.
Das funktioniert mit Linux besser. ->Meine Meinung<-

Aus Sicherheitsgründen sollte man Firewalls nicht virtualisieren, aber man sollte immer die Möglichkeiten und Anforderungen im Auge behalten.

Stefan
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 10.09.2019 um 08:35 Uhr
Moin,

Ich würde aber eher VMware verwenden.
Das funktioniert mit Linux besser.
So entspricht das auch meiner Erfahrung .)

lg,
Slainte
Bitte warten ..
Mitglied: Kraemer
10.09.2019 um 08:41 Uhr
Zitat von SlainteMhath:
Ich würde aber eher VMware verwenden.
Das funktioniert mit Linux besser.
So entspricht das auch meiner Erfahrung .)
aber nur bei zertifizierter Hardware :-p
Bitte warten ..
Mitglied: MegaGiga
10.09.2019 um 08:45 Uhr
Zitat von StefanKittel:
Ich würde aber eher VMware verwenden.
Habe ich auch schon überlegt, aber kenne einfach Hyper-V besser als den ESXi.

Aus Sicherheitsgründen sollte man Firewalls nicht virtualisieren, aber man sollte immer die Möglichkeiten und Anforderungen im Auge behalten.
Hmm, du hast meine Neugier gerade geweckt. Wieso denn nicht? Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?
Bitte warten ..
Mitglied: UnbekannterNR1
LÖSUNG 10.09.2019, aktualisiert um 08:51 Uhr
Oder andersherum und Wahrscheinlicher eine deiner anderen VM's wird kompromittiert und öffnet dann die Firewall. Aber alles möglich wenn auch wohl eher selten. Und für zu hause kann man das meiner Meinung nach machen.
Bitte warten ..
Mitglied: Looser27
LÖSUNG 10.09.2019 um 08:54 Uhr
Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?

Genau das ist der Grund. Und bist du erstmal auf dem Hypervisor, bist Du in jeder VM.

Soviel zur Theorie. Ich habe aber auch schon Admins kennengelernt, die sagen: totaler Blödsinn. Begründung war: Der Aufwand aus einer Firewall auszubrechen ist auf einer VM der selbe wie auf einer dedizierten Maschine. Egal welche kompromittiert wird, im Netz ist der Hacker dann sowieso.

Ich für meinen Teil habe mich für eine dedizierte Maschine entschieden. Alix-Board und pfSense oder OPNSense sind hier eine kostengünstige Variante.
Den alten Tower kannst Du dann immer noch als Server laufen lassen, ggf. mit Virtualisierung.

Just my 2 Cents.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2019 um 08:54 Uhr
Zitat von MegaGiga:

Denkt ihr das könnte so laufen? Virtualisierung klappt auf der Maschine, mir geht es mehr drum wie so eine virtualisierte Firewall für ein physisches Netz rennt...
Hat da wer Erfahrungen mit?

Ja.

Würdet ihr das machen oder nicht?

Nein.

Sicherheitstechnisch nur eine Notlösung, da der Hypervisor angreifbar ist und es genug Malware gab, die VMs eine rote Pille verpaßt haben. Damit können die dann die Firewall "hintenrum" aushebeln.

Firewalls gehören auf bare-metal udn wenn sie virtualisiert werden sind sie die einzigen VMs auf der Kiste.

lks
Bitte warten ..
Mitglied: Ganzjahresgriller
10.09.2019 um 08:56 Uhr
Mir wäre auch der Stromverbrauch zu hoch
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2019 um 08:59 Uhr
Zitat von MegaGiga:

Hmm, du hast meine Neugier gerade geweckt. Wieso denn nicht? Falls die FW kompromitiert wird und man dann auf den Hypervisor ausbrechen könnte?

Andersrum. Die anderen VMs können kompromittiert werden und die Malware dann ausbrechen und die Firewall manipulieren.

Oder die Malware greift direkt den Hypervisor an und manipuliert dann die Firewall.

lks
Bitte warten ..
Mitglied: SlainteMhath
10.09.2019 um 09:10 Uhr
Wieso denn nicht?
Stichworte: VM Escape, VLAN Hopping, erhöhter Patchaufwand (Gast und Host)
Bitte warten ..
Mitglied: monstermania
10.09.2019 um 09:12 Uhr
Zitat von StefanKittel:
Aus Sicherheitsgründen sollte man Firewalls nicht virtualisieren, aber man sollte immer die Möglichkeiten und Anforderungen im Auge behalten.
So pauschal kann man das heute einfach nicht mehr sagen.
Inzwischen gibt es eine ganze Menge Firewall-Systeme, die explizit für den virtuellen Betrieb zertifiziert sind. Und da beißt sich die Katze manchmal dann in den ###.
Du willst/mußt Firewall-Produkt XYZ nutzen, mußt dieses aber auf eigener HW laufen lassen. Der Hersteller sagt, ja Sie können unser Produkt zwar auf Ihrer eigenen HW nutzen, wir supporten unser Produkt XYZ aber nur auf von uns freigegebenen Systemen. Freigegeben sind unsere HW-Appliances oder Hyper-V/VMWare!
Und spätestens da muss man sich dann entscheiden: Produktsupport oder Dogma "Firewalls virtualisiert man nicht".
Wir haben uns schlussendlich für virtuelle FW-Systeme entschieden. Die UTM-Lösung läuft allerdings als einzige VM auf dem Hostsystem! Niemals würde ich eine FW-VM auf einem System nutzen, auf dem produktive VM laufen.
Unser VMWare-Partner hat uns bestätigt, dass virtuelle VM inzwischen durchaus üblich sind.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2019, aktualisiert um 09:15 Uhr
Zitat von monstermania:

Und spätestens da muss man sich dann entscheiden: Produktsupport oder Dogma "Firewalls virtualisiert man nicht".

Man kann Firewalls virtualisieren. Das ist kein Dogma. Nur sollte man sich hüten, da parallel noch andere Systeme auf den Hypervisor zu packen.

lks
Bitte warten ..
Mitglied: brammer
10.09.2019 um 09:21 Uhr
Hallo,

Auch die Frage wo die Firewall ihren Dienst tut ist nicht ganz unwichtig.
Wenn die Firewall direkt am Internet Zugang arbeitet würde ich von einer virtualisierten Lösung immer Abstand nehmen. arbeitet Sie nur zur Abschottung von einzelnen Netzen im Lokalen Netz hinter eine physikalischen Firewall kann eine VM (egal was für eine Lösung) durchaus eine gute Lösung sein.

brammer
Bitte warten ..
Mitglied: MegaGiga
10.09.2019 um 09:54 Uhr
Vielen Dank für die vielen Rückmeldungen

Ich denke aber viele vergessen, dass es sich um ein Heimnetz handelt... (Wo auch nicht noch ein privater Web-/Mailserver/etc. betrieben wird.)
Für im Business-Umfeld würde ich diese Frage gar nicht stellen. Und virtualisieren schon gar nicht auf so einer Hardware.

VM-Breakout/VLAN Hopping:
Da es eine private Umgebung ist würde ich dies riskieren. Andere VMs als die Firewall existieren auch nur temporär zu Testzwecken. Sprich 80% der Zeit ist sowieso keine andere VM am laufen.

Stromverbrauch:
Daran habe ich auch gedacht. Wird auch deshalb nicht für immer so laufen.
Bitte warten ..
Mitglied: decehakan
10.09.2019 um 16:32 Uhr
Für dein heimgebrauch kann ich dir uneingeschränkt vm firewall empfehlen ;).

Wenn eine Malware im eigenen Netz ausgebrochen ist, dann spielst es eh keine Rolle mehr ob du alles in einer VM packst oder dedizierte führst. Hängt nur noch vom Schadensfaktor der Malware ab.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Firewall Austausch
gelöst Frage von UnbekannterNR1Netzwerke7 Kommentare

Hallo zusammen, ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan ...

Firewall
Iptables Firewall
Frage von 134311Firewall6 Kommentare

Hallo zusammen, habe mich die letzten Tage mit Iptables befasst um eine kleine Firewall für einen Ubuntu 16.04.3 Server ...

Netzwerkgrundlagen
Firewall Testlab
gelöst Frage von wissbegierig19Netzwerkgrundlagen6 Kommentare

Hallo an Alle, ich würde gerne ein Testlab für Firewall/Networking aufbauen. Einfach um mit Hilfe try and error etwas ...

Firewall
Firewall Firmeneimsatz
gelöst Frage von wiesi200Firewall24 Kommentare

Hallo, aktuell bin ich am prüfen ob wir in der Firma die Firewall tauschen sollen. Momentan setzen wir eine ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 4 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 4 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 6 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen32 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools19 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...

Server-Hardware
Neuer Server - Meinung
gelöst Frage von hukimanServer-Hardware18 Kommentare

Hallo Zusammen, für einen Kunden stelle ich aktuell den ersten Server zusammen, den ich selbst verkaufe. Es soll ein ...