mrflow
Goto Top

Firewall: VM vs. Physisch

Hallo Admins,

es geht, wie der Titel schon verrät, darum ob eine Firewall nur als "physisch" installiertes Betriebssystem oder auch als virtuelle Maschine in Betrieb genommen werden sollte.

Hintergrund zu dem ganzen Prozess ist, dass wir unsere Firewall demnächst austauschen müssen. Ein Kollege schmiss in den Raum, dass wir auf unserem VM Cluster die auch noch mit unterbringen könnten. Ein anderer ist der festen Überzeugung, dass sowas nur als rein physisches Betriebssystem auf Hardware laufen sollte.

Da ich zu dem Thema unschlüssig bin, frage ich lieber mal in die Runde: Wie denkt ihr über das Thema und vor allem warum?

Grüße

Content-ID: 316914

Url: https://administrator.de/forum/firewall-vm-vs-physisch-316914.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

michi1983
Lösung michi1983 05.10.2016 aktualisiert um 14:36:18 Uhr
Goto Top
Hallo,

das Thema wurde hier schon öfter behandelt (über die Suchfunktion hättest du das auch gefunden).

Die Gefahr, dass jemand Zugriff auf deine Firewall VM und in weiterer Folge auf den ganzen Cluster erlangt ist - selbst theoretisch - zu hoch für meine Befinden.

Eine Firewall sollte immer auf eigenem Blech betrieben werden - zumindest im Firmenumfeld.

Gruß
H41mSh1C0R
Lösung H41mSh1C0R 05.10.2016 aktualisiert um 14:35:59 Uhr
Goto Top
Denke da kann wieder ein Glaubenskrieg ausbrechen. =)

Vorteil der VM Umsetzung sind ganz klar die Ressourcen. Wenn schon ein Cluster vorhanden ist kann der die FW auch gleich mit abwatschen. Inwiefern das alles abgesichert wird ist denke ich eine reine Configsache. Wenns knallt ist das Geschrei allerdings groß. =)

In HW ist das sicher etwas Kostenintensiver und sicherer. Ich persönlich hab da gern Blech für sowas. (wieder ein paar blinkende gismos mehr im schrank)

*gg*
ashnod
Lösung ashnod 05.10.2016 um 14:37:58 Uhr
Goto Top
Zitat von @MrFlow:
Hintergrund zu dem ganzen Prozess ist, dass wir unsere Firewall demnächst austauschen müssen. Ein Kollege schmiss in den Raum, dass wir auf unserem VM Cluster die auch noch mit unterbringen könnten. Ein anderer ist der festen Überzeugung, dass sowas nur als rein physisches Betriebssystem auf Hardware laufen sollte.

Moin ....

Vielen Dank für diese wunderschöne Laberthema .... ich schätze du wirst auch nach 50 Antworten nicht schlauer werden, weil es genügend Argumente für beide Varianten gibt ;)

Die Firewall auf eigener Hardware ist zumindest die Schattenparker-Variante mit der man nichts falsch machen kann ;)

VG

Ashnod
brammer
Lösung brammer 05.10.2016 um 14:54:42 Uhr
Goto Top
Hallo,

ein ergiebiges Thema ... face-smile

bei einer Firewall als VM hast du 2 Software stücke die Angriffsfläche bieten....
Der VM ware Host und das Firewall OS ... beides kann kompromitiert werden....
Und wenn die VM kompromitiert ist, kann es sein das die Firewall es gar nicht mit bekommt und behauptet alles ist in Ordnung....

brammer
certifiedit.net
Lösung certifiedit.net 05.10.2016 um 14:58:20 Uhr
Goto Top
Oder, noch besser - die VM kann gecloned, gecracked und zurückgespielt werden, ohne, dass es jemand mit bekommt...

Was das HA angeht - eine ordentliche Firewall im größeren Umfeld ist sowieso so aufgebaut, dass es da 2+n Appliances gibt.

VG,

Christian
Matze9999
Lösung Matze9999 05.10.2016 um 15:11:36 Uhr
Goto Top
Hallo,

ein Thema über das man stundenlang reden kann. Wenn es um eine reine Meinungsabfrage geht:
separate Hardware, nicht virtualisieren.

Denk an ausreichend Netzwerkschnittstellen und achte auf VLAN.

Beste Grüße
aqui
Lösung aqui 05.10.2016 um 16:17:44 Uhr
Goto Top
Eine Firewall gehört nie in eine VM. Der Grund ist einleuchtend, denn kann jemand sei es durch Bugs auf der VM oder im Hypervisor ausbrechen, dann ist nicht nur die Firewall kompromitiert sondern der gesamte Hypervisor gleich mit.
Das Risiko ist unvergleichlich hoch und in einem Firmenumfeld ein NoGo.
Privat muss das jeder selber entscheiden ob er solch ein Risiko tragen will.
Im Grunde alles banale Binsenweisheiten auf die man mit etwas Nachdenken auch selber kommt...
Oben ist ja schon alles zu dem Thema gesagt worden.
MrFlow
MrFlow 06.10.2016 um 09:30:08 Uhr
Goto Top
Hallo,

danke für eure Antworten. Das Ergebnis ist doch relativ eindeutig mit lieber eigenes Blech.

Grüße
maretz
maretz 07.10.2016 um 22:21:44 Uhr
Goto Top
Ich würde sagen es ist sch...egal wo die sitzt. Klar - wenn ich den Hypervisor bei ner VM habe dann kann ich die FW auch manipulieren. Andersrum habe ich dann vermutlich nen Angriff von "innen" eh durchgeführt - und mich interessiert dann die FW nicht mehr, ich bin ja am Ziel... Ausserdem kann ich auch bei Blech noch genug Lücken haben (siehe das was Cisco in letzter Zeit so gemacht hat). Da bin ich dann auch aufgeschmissen...

Ich glaube relevant ist nicht WO deine Firewall läuft, pack die dahin wo es dir grad passt oder werf ne Münze. Relevant ist wer die einrichtet und überwacht. Wenn du deine Firewall falsch konfigurierst (z.B. sagst du einfach Dest-Port 80 darf alles raus) dann kannst du die gleich abschalten. Denn wenn ich nen SSH auf Port 80 konfiguriere kann ich wieder alles mögliche machen und tunneln. Genauso gehört eine Firewall eh immer überwacht - und wenn du z.B. ne Downtime nur an der Firewall an deinem VM-Cluster siehst wäre es ne gute Idee mal nachzusehen warum die denn unten war.
certifiedit.net
certifiedit.net 08.10.2016 um 00:50:57 Uhr
Goto Top
Partiell hast du Recht. Nur ist es so - wenn ich auf dem HV wäre und böses vor hätte, ich würde tunlichst alles umstellen, damit mich nichts mehr rauswirft. und vom HV Code in die FW zu schmuggeln dürfte einfacher sein, als von extern. 100% Sicherheit gibt es nicht, aber 0,9999*0,9999 ist eben weniger als nur einmal 0,9999 - du weisst, worauf ich hinaus will. Die restliche Argumentation unterschreibe ich natürlich.
Sheogorath
Sheogorath 08.10.2016 um 03:43:59 Uhr
Goto Top
Moin,

die Hauptfrage die man sich stellen sollte: Was ist mein Ziel mit der Firewall?

Meine persönliche Ansicht in Sachen Firewall ist: Sie ist zur Unterstützung und zum Schutz des Gesamtnetwerks da. Sprich, das Ding soll mir primär die Bude sauber halten. Sicher müssen meine Kisten aber von sich aus sein.

Ich baue jeden meiner Hosts und VMs also so auf, dass ich diese Kiste guten Gewissens auch Plain ins Netz stellen könnte (was seit IPv6 auch jeder mit den eigenen Servern tun sollte). Die Firewall im Vordergrund filtert also hauptsächlich dreckigen Traffic, Portscanns usw. Dinge die ich nicht unbedingt in meinem Netzwerk haben will. Aber ich sollte nicht darauf angewiesen sein. Die Firewall dient also zur Entlastung der Kisten innerhalb des Netzes.

Die Frage, ob ich die Firewall virtualisieren möchte, stellt sich folglich nicht. Denn gerade von meinen VM hosts will ich ja den Dreck fernhalten.

Außerdem möchte man über die Firewall oft Netze komplett trennen. Das heißt also dass hier ggf. viel Traffic anfällt. Gerade auch wenn ich noch verschiedene VM-Netze habe. Firewalls sind Netzwerktraffic magneten. Ganz zu schweigen davon, dass ich den ganzen Traffic bis zur VM durchpipen muss. Heißt meine Interfaces müssen auch entsprechend konfiguriert sein. Was in der Virtualisierten Variante auch nur Probleme mit sich bringt, wie ich jüngst mal wieder in einer oVirt Umgebung feststellen durfte.

und was das Rauskommen angeht:
Wenn du deine Firewall falsch konfigurierst (z.B. sagst du einfach Dest-Port 80 darf alles raus) dann kannst du die gleich abschalten. Denn wenn ich nen SSH auf Port 80 konfiguriere kann ich wieder alles mögliche machen und tunneln.

*hust* ähh ja... Rauskommen war noch nie das Problem... mir reicht es, wenn ich einen Server um Web pingen kann um eine SSH Session nach draußen aufzubauen. Also von daher ist diese Blockerei eher Kindergeburtstag. Wird mir auch das verwehrt kann ich immer noch Traffic über DNS raus schieben. Ist jetzt nichts neues, funktioniert auch nicht unbedingt performant, aber man hat ja meist Zeit...

Übrigens auch ein Grund warum ich Proxies für eine ziemlich sinnfreie Anwendung halte. Zumindest forward proxies. Caching machen heute die Browser weit besser als irgendein Proxy, noch dazu kommen zum Glück immer mehr HTTPS Verbindungen, die sich nicht so gern Cachen lassen. Aber lassen wir das mal. Zurück zur Firewall.

Fassen wir es doch in einem einzigen Satz zusammen: Firewall in VM geht schon, ist dann aber halt Mist.

Gruß
Chris
certifiedit.net
certifiedit.net 08.10.2016 um 10:25:01 Uhr
Goto Top
Guten Morgen Namensvetter,

du kommst per DNS raus - wenn die Firewall als DNS Gateway dient? Ist doch eher unwahrscheinlich.

Viele Grüße,

Christian
aqui
aqui 08.10.2016 um 10:46:42 Uhr
Goto Top
pack die dahin wo es dir grad passt oder werf ne Münze.
Das muss man als Netzwerk Administrator sicher nicht weiter kommentieren.... face-sad
Wie immer liegt die Wahrheit in der Mitte. Natürlich ist es relevant WO die FW sitzt und auch WER sie administriert.
Gut, gegen humanoide Fehler ist man nie gefeit. An solch einem noralgischen Punkt sollte man schon wissen was man tut und richtig überlegen und auch ein paar Angriffsszearien vorher durchspielen bevor man produktiv geht.
Aber zu dem Thema ist ja schon alles gesagt...
Sheogorath
Sheogorath 08.10.2016 aktualisiert um 13:21:54 Uhr
Goto Top
Moin,

du kommst per DNS raus - wenn die Firewall als DNS Gateway dient? Ist doch eher unwahrscheinlich.

Warum nicht? Tunnel über reguläre DNS requests lautet die Devise... Siehe:
https://zeltser.com/c2-dns-tunneling/

Im Grunde ist das legitimer Traffic. Wenn auch etwas ausgefallener.

Am besten einfach mal ausprobieren ;)

Edit: Noch 2 nützliche Links
https://www.neustar.biz/blog/dns-tunneling-security-threat
https://www.neustar.biz/blog/how-to-identify-prevent-dns-tunneling

Gruß
Chris
certifiedit.net
certifiedit.net 08.10.2016 um 17:13:37 Uhr
Goto Top
Entschuldige, DNS Proxy. face-wink

Macht natürlich nur begrenzten Sinn nur HTTP Proxy vor das Netz zu schalten.

VG