Firewall: VM vs. Physisch

Denke da kann wieder ein Glaubenskrieg ausbrechen. =)

Vorteil der VM Umsetzung sind ganz klar die Ressourcen. Wenn schon ein Cluster vorhanden ist kann der die FW auch gleich mit abwatschen. Inwiefern das alles abgesichert wird ist denke ich eine reine Configsache. Wenns knallt ist das Geschrei allerdings groß. =)

In HW ist das sicher etwas Kostenintensiver und sicherer. Ich persönlich hab da gern Blech für sowas. (wieder ein paar blinkende gismos mehr im schrank)

*gg*

Moin ....

Vielen Dank für diese wunderschöne Laberthema .... ich schätze du wirst auch nach 50 Antworten nicht schlauer werden, weil es genügend Argumente für beide Varianten gibt ;)

Die Firewall auf eigener Hardware ist zumindest die Schattenparker-Variante mit der man nichts falsch machen kann ;)

VG

Ashnod

Hallo,

ein ergiebiges Thema ...

bei einer Firewall als VM hast du 2 Software stücke die Angriffsfläche bieten....
Der VM ware Host und das Firewall OS ... beides kann kompromitiert werden....
Und wenn die VM kompromitiert ist, kann es sein das die Firewall es gar nicht mit bekommt und behauptet alles ist in Ordnung....

brammer

Oder, noch besser - die VM kann gecloned, gecracked und zurückgespielt werden, ohne, dass es jemand mit bekommt...

Was das HA angeht - eine ordentliche Firewall im größeren Umfeld ist sowieso so aufgebaut, dass es da 2+n Appliances gibt.

VG,

Christian

Hallo,

ein Thema über das man stundenlang reden kann. Wenn es um eine reine Meinungsabfrage geht:
separate Hardware, nicht virtualisieren.

Denk an ausreichend Netzwerkschnittstellen und achte auf VLAN.

Beste Grüße

Eine Firewall gehört nie in eine VM. Der Grund ist einleuchtend, denn kann jemand sei es durch Bugs auf der VM oder im Hypervisor ausbrechen, dann ist nicht nur die Firewall kompromitiert sondern der gesamte Hypervisor gleich mit.
Das Risiko ist unvergleichlich hoch und in einem Firmenumfeld ein NoGo.
Privat muss das jeder selber entscheiden ob er solch ein Risiko tragen will.
Im Grunde alles banale Binsenweisheiten auf die man mit etwas Nachdenken auch selber kommt...
Oben ist ja schon alles zu dem Thema gesagt worden.

Ich würde sagen es ist sch...egal wo die sitzt. Klar - wenn ich den Hypervisor bei ner VM habe dann kann ich die FW auch manipulieren. Andersrum habe ich dann vermutlich nen Angriff von "innen" eh durchgeführt - und mich interessiert dann die FW nicht mehr, ich bin ja am Ziel... Ausserdem kann ich auch bei Blech noch genug Lücken haben (siehe das was Cisco in letzter Zeit so gemacht hat). Da bin ich dann auch aufgeschmissen...

Ich glaube relevant ist nicht WO deine Firewall läuft, pack die dahin wo es dir grad passt oder werf ne Münze. Relevant ist wer die einrichtet und überwacht. Wenn du deine Firewall falsch konfigurierst (z.B. sagst du einfach Dest-Port 80 darf alles raus) dann kannst du die gleich abschalten. Denn wenn ich nen SSH auf Port 80 konfiguriere kann ich wieder alles mögliche machen und tunneln. Genauso gehört eine Firewall eh immer überwacht - und wenn du z.B. ne Downtime nur an der Firewall an deinem VM-Cluster siehst wäre es ne gute Idee mal nachzusehen warum die denn unten war.

Partiell hast du Recht. Nur ist es so - wenn ich auf dem HV wäre und böses vor hätte, ich würde tunlichst alles umstellen, damit mich nichts mehr rauswirft. und vom HV Code in die FW zu schmuggeln dürfte einfacher sein, als von extern. 100% Sicherheit gibt es nicht, aber 0,9999*0,9999 ist eben weniger als nur einmal 0,9999 - du weisst, worauf ich hinaus will. Die restliche Argumentation unterschreibe ich natürlich.

Moin,

die Hauptfrage die man sich stellen sollte: Was ist mein Ziel mit der Firewall?

Meine persönliche Ansicht in Sachen Firewall ist: Sie ist zur Unterstützung und zum Schutz des Gesamtnetwerks da. Sprich, das Ding soll mir primär die Bude sauber halten. Sicher müssen meine Kisten aber von sich aus sein.

Ich baue jeden meiner Hosts und VMs also so auf, dass ich diese Kiste guten Gewissens auch Plain ins Netz stellen könnte (was seit IPv6 auch jeder mit den eigenen Servern tun sollte). Die Firewall im Vordergrund filtert also hauptsächlich dreckigen Traffic, Portscanns usw. Dinge die ich nicht unbedingt in meinem Netzwerk haben will. Aber ich sollte nicht darauf angewiesen sein. Die Firewall dient also zur Entlastung der Kisten innerhalb des Netzes.

Die Frage, ob ich die Firewall virtualisieren möchte, stellt sich folglich nicht. Denn gerade von meinen VM hosts will ich ja den Dreck fernhalten.

Außerdem möchte man über die Firewall oft Netze komplett trennen. Das heißt also dass hier ggf. viel Traffic anfällt. Gerade auch wenn ich noch verschiedene VM-Netze habe. Firewalls sind Netzwerktraffic magneten. Ganz zu schweigen davon, dass ich den ganzen Traffic bis zur VM durchpipen muss. Heißt meine Interfaces müssen auch entsprechend konfiguriert sein. Was in der Virtualisierten Variante auch nur Probleme mit sich bringt, wie ich jüngst mal wieder in einer oVirt Umgebung feststellen durfte.

und was das Rauskommen angeht:

*hust* ähh ja... Rauskommen war noch nie das Problem... mir reicht es, wenn ich einen Server um Web pingen kann um eine SSH Session nach draußen aufzubauen. Also von daher ist diese Blockerei eher Kindergeburtstag. Wird mir auch das verwehrt kann ich immer noch Traffic über DNS raus schieben. Ist jetzt nichts neues, funktioniert auch nicht unbedingt performant, aber man hat ja meist Zeit...

Übrigens auch ein Grund warum ich Proxies für eine ziemlich sinnfreie Anwendung halte. Zumindest forward proxies. Caching machen heute die Browser weit besser als irgendein Proxy, noch dazu kommen zum Glück immer mehr HTTPS Verbindungen, die sich nicht so gern Cachen lassen. Aber lassen wir das mal. Zurück zur Firewall.

Fassen wir es doch in einem einzigen Satz zusammen: Firewall in VM geht schon, ist dann aber halt Mist.

Gruß
Chris

Guten Morgen Namensvetter,

du kommst per DNS raus - wenn die Firewall als DNS Gateway dient? Ist doch eher unwahrscheinlich.

Viele Grüße,

Christian

Das muss man als Netzwerk Administrator sicher nicht weiter kommentieren....
Wie immer liegt die Wahrheit in der Mitte. Natürlich ist es relevant WO die FW sitzt und auch WER sie administriert.
Gut, gegen humanoide Fehler ist man nie gefeit. An solch einem noralgischen Punkt sollte man schon wissen was man tut und richtig überlegen und auch ein paar Angriffsszearien vorher durchspielen bevor man produktiv geht.
Aber zu dem Thema ist ja schon alles gesagt...

Moin,


Warum nicht? Tunnel über reguläre DNS requests lautet die Devise... Siehe:
https://zeltser.com/c2-dns-tunneling/

Im Grunde ist das legitimer Traffic. Wenn auch etwas ausgefallener.

Am besten einfach mal ausprobieren ;)

Edit: Noch 2 nützliche Links
https://www.neustar.biz/blog/dns-tunneling-security-threat
https://www.neustar.biz/blog/how-to-identify-prevent-dns-tunneling

Gruß
Chris