Glaubensfrage Internet Firewall als Virtual Appliance in vSphere Umgebung betreiben
Guten Abend,
eine Frage an die Sicherheits Experten in diesem Forum.
Ich spiele gerade folgendes Szenario gedanklich durch.
Der ISP liefert mir am Übergabepunkt normales Ethernet. Das Signal würde ich auf ich 2 dedizierte NICs, eine in jedem ESXi Host, in eine Portgruppe legen. Dann eine UTM Appliance virtuell betreiben. Mit 2 Nics Nic 1 ist mit der Externen Portgruppe, dem unsicherem Internet und Nic 2 dem VM Network dem sicheren Intranet.
Zu der Umgebung
2 DL 380 32GB Ram FC 4GB HBA
FC Storage Raid 5 7x 15k HDDs
10 VMs a 2GB Ram
60 Clients
Sinnvoll Idee oder gleich wieder begraben? Wie ist es mit dem Durchsatz?
Danke für eure Meinungen
eine Frage an die Sicherheits Experten in diesem Forum.
Ich spiele gerade folgendes Szenario gedanklich durch.
Der ISP liefert mir am Übergabepunkt normales Ethernet. Das Signal würde ich auf ich 2 dedizierte NICs, eine in jedem ESXi Host, in eine Portgruppe legen. Dann eine UTM Appliance virtuell betreiben. Mit 2 Nics Nic 1 ist mit der Externen Portgruppe, dem unsicherem Internet und Nic 2 dem VM Network dem sicheren Intranet.
Zu der Umgebung
2 DL 380 32GB Ram FC 4GB HBA
FC Storage Raid 5 7x 15k HDDs
10 VMs a 2GB Ram
60 Clients
Sinnvoll Idee oder gleich wieder begraben? Wie ist es mit dem Durchsatz?
Danke für eure Meinungen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181643
Url: https://administrator.de/contentid/181643
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Wie du sagst - Glaubensfrage.
Klar geht das und die Funktionalität ist dieselbe.
Es gibt auch Meinungen dass man zum Internet hin nicht den Switch physikalisch anklemmen soll, sondern das Internet physikalisch an eine fette Firewall kommt.
YO. Kann bei manchen Dingen helfen- ich hab diese Dinge jedoch in den letzten 15 Jahren in der Praxis nicht erlebt so grausam wie es Security-Dienstleister gerne beschreiben um ihre IPS sYsteme loszuwerden.
Erfahrungsgemäß sind die "echten" Gefahren ganz anderer Natur.
Keine durchgängigen Prozesse, "vergessene" Testsysteme die vor sich hindümpeln, "local" gespeicherte wichtige Firmendaten die nach Plattencrash nicht geklaut, aber "weg" sind,
oder vergessene testweise eingerichtete administrataive Accounts, vergessen Firewallfreischaltungen die zu viel erlauben, browsen ohne contentfilter, gelangweilte mitarbeiter die spasshalber einen privat Access Point ins Büro hängen...
Meiner Meinung nach fährst du also mit einer virtuellen FW (die genauso funktioniert wie eine HW-Firewall) gut - bei überschaubaren Userzahlen.
Habe ich selber produktiv im Einsatz und das läuft.
Bei grösseren Geschichten ist Hardware schon vom Durchsatz meist im Vorteil und was den Support angeht.
Klar geht das und die Funktionalität ist dieselbe.
Es gibt auch Meinungen dass man zum Internet hin nicht den Switch physikalisch anklemmen soll, sondern das Internet physikalisch an eine fette Firewall kommt.
YO. Kann bei manchen Dingen helfen- ich hab diese Dinge jedoch in den letzten 15 Jahren in der Praxis nicht erlebt so grausam wie es Security-Dienstleister gerne beschreiben um ihre IPS sYsteme loszuwerden.
Erfahrungsgemäß sind die "echten" Gefahren ganz anderer Natur.
Keine durchgängigen Prozesse, "vergessene" Testsysteme die vor sich hindümpeln, "local" gespeicherte wichtige Firmendaten die nach Plattencrash nicht geklaut, aber "weg" sind,
oder vergessene testweise eingerichtete administrataive Accounts, vergessen Firewallfreischaltungen die zu viel erlauben, browsen ohne contentfilter, gelangweilte mitarbeiter die spasshalber einen privat Access Point ins Büro hängen...
Meiner Meinung nach fährst du also mit einer virtuellen FW (die genauso funktioniert wie eine HW-Firewall) gut - bei überschaubaren Userzahlen.
Habe ich selber produktiv im Einsatz und das läuft.
Bei grösseren Geschichten ist Hardware schon vom Durchsatz meist im Vorteil und was den Support angeht.
Hallo,
ich bevorzuge dann doch die physikalische Firewall, sinnvoller weise 2 oder mehr hintereinander.
Bei deiner VM Firewall sind 2 System angreifbar (deine Firewall und dein Vsphere...) und damti verwundbar.
Wenn du eine Physikalische Firewall hast muss der Angreifer erst durch deine Firewall durch, dann erst ist er in deinem Netz, daher würde ich imer eine zweite eines anderen Herstellers dahinterhängen.
Bei uns kümmern sich z.Zt. 4 Firewalls darum, allerdings hängen auch mehrere Tausend Clients dahinter...
brammer
ich bevorzuge dann doch die physikalische Firewall, sinnvoller weise 2 oder mehr hintereinander.
Bei deiner VM Firewall sind 2 System angreifbar (deine Firewall und dein Vsphere...) und damti verwundbar.
Wenn du eine Physikalische Firewall hast muss der Angreifer erst durch deine Firewall durch, dann erst ist er in deinem Netz, daher würde ich imer eine zweite eines anderen Herstellers dahinterhängen.
Bei uns kümmern sich z.Zt. 4 Firewalls darum, allerdings hängen auch mehrere Tausend Clients dahinter...
brammer
Na dann philosophieren wir das doch mal durch..... nach Möglichkeit im Gesamtkontext..
Hab grad nix besseres zu tun..
Von paar Tausend Clients red ich auch nicht, da muss schon aufgrund Durchsatz / Stabilität ne fette spezialisierte Geschichte her.
Wenn das Budget da ist dann wird man auch stets zu einer "richtigen" Firewall greifen.
Nichts desto trotz kann man es nicht "unverantworlich" nennen, für kleinere Geschichten eine virtuelle zu nehmen.
Millionen Leute haben daheim 20€ Router mit LInuxen die 6 Jahre ohne update vor sich hin tuckern -komischerweise kommt auf dem Weg kaum ein Hacker rein, sondern
weil der Anwender von innen das Zeugz fast freiwillig auf den Rechner zaubert.
So manche Paranoia löst sich trotz gegenteiligem Bauchgefühl in Luft auf wenn man es mal sachlich betrachtet und versucht das angeblich unverantwortliche Sicherheitsrisiko in der Praxis auszunutzen.
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.
"Linux ist sicherer als Windows."
"Windows onboard Firewall ist unsicher."
und und und
das ist doch meist Gelaber das man irgendwo aufgeschnappt hat.
Wenn ein echter Vollprofi-Hacker wo rein will dann findet er meines Erachtens immer wieder Wege, und er sucht sich den einfachsten, erfolgsversprechendsten Weg.
Und diese Wege führen eher selten durch die Firewall, ob nun virtuell oder "echt".
VRFs sind auch "virtuelle Router". Muss ich die jetzt alle abschalten??
Wenn ein Port "offen" ist, dann ist er offen und das dahinterliegende System wie Webserver ist angreifbar. Punkt.
Ist den Paketen völlig wurst durch welche Firewall sie flutschen - ist das Ziel angreifbar lässt sich das nutzen.
Allzuoft wird die Eingangstür mit 235 Schlössern abgesichert - und das Kellerfenster hat man vergessen zuzumachen.
Gelangweilte chinesische Studenten haben bei MD5 Kolissionen nachgewiesen - ergo kann man MD5 in die Tonne treten? Hmm..
V.E.R.H.Ä.L.T.N.I.S.M.Ä.S.S.I.G.K.E.I.T.
Wobei sowohl die echte wie die virtuelle Firewall aus Hardware und aus Software bestehen - oder läuft Vsphere in der Luft?
Hat eine fette Profi-FW Sicherheitsschwächen z. B. aufgrund von Bugs muss man das ebenso updaten wie bei Vsphere und virtueller Firewall.
Wieviele fette Profi Checkpoints auf Nokia Hardware noch auf 5.X laufen hab ich jedoch nicht gezählt... doch die Admins die sie betreuen schlafen trotzdem gut.
In 10 Jahren ist ALLES virtuell meiner Meinung nach.
Eine große schwarze Box in der Switches, Router, Firewalls, Server, Desktops brav nebeneinander tuckern und sich die CPUs, RAM und Storage teilen.
Schöne neue Welt.
Und jetzt?
Hab grad nix besseres zu tun..
Von paar Tausend Clients red ich auch nicht, da muss schon aufgrund Durchsatz / Stabilität ne fette spezialisierte Geschichte her.
Wenn das Budget da ist dann wird man auch stets zu einer "richtigen" Firewall greifen.
Nichts desto trotz kann man es nicht "unverantworlich" nennen, für kleinere Geschichten eine virtuelle zu nehmen.
Millionen Leute haben daheim 20€ Router mit LInuxen die 6 Jahre ohne update vor sich hin tuckern -komischerweise kommt auf dem Weg kaum ein Hacker rein, sondern
weil der Anwender von innen das Zeugz fast freiwillig auf den Rechner zaubert.
So manche Paranoia löst sich trotz gegenteiligem Bauchgefühl in Luft auf wenn man es mal sachlich betrachtet und versucht das angeblich unverantwortliche Sicherheitsrisiko in der Praxis auszunutzen.
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.
"Linux ist sicherer als Windows."
"Windows onboard Firewall ist unsicher."
und und und
das ist doch meist Gelaber das man irgendwo aufgeschnappt hat.
Wenn ein echter Vollprofi-Hacker wo rein will dann findet er meines Erachtens immer wieder Wege, und er sucht sich den einfachsten, erfolgsversprechendsten Weg.
Und diese Wege führen eher selten durch die Firewall, ob nun virtuell oder "echt".
VRFs sind auch "virtuelle Router". Muss ich die jetzt alle abschalten??
Wenn ein Port "offen" ist, dann ist er offen und das dahinterliegende System wie Webserver ist angreifbar. Punkt.
Ist den Paketen völlig wurst durch welche Firewall sie flutschen - ist das Ziel angreifbar lässt sich das nutzen.
Allzuoft wird die Eingangstür mit 235 Schlössern abgesichert - und das Kellerfenster hat man vergessen zuzumachen.
Gelangweilte chinesische Studenten haben bei MD5 Kolissionen nachgewiesen - ergo kann man MD5 in die Tonne treten? Hmm..
V.E.R.H.Ä.L.T.N.I.S.M.Ä.S.S.I.G.K.E.I.T.
Wobei sowohl die echte wie die virtuelle Firewall aus Hardware und aus Software bestehen - oder läuft Vsphere in der Luft?
Hat eine fette Profi-FW Sicherheitsschwächen z. B. aufgrund von Bugs muss man das ebenso updaten wie bei Vsphere und virtueller Firewall.
Wieviele fette Profi Checkpoints auf Nokia Hardware noch auf 5.X laufen hab ich jedoch nicht gezählt... doch die Admins die sie betreuen schlafen trotzdem gut.
In 10 Jahren ist ALLES virtuell meiner Meinung nach.
Eine große schwarze Box in der Switches, Router, Firewalls, Server, Desktops brav nebeneinander tuckern und sich die CPUs, RAM und Storage teilen.
Schöne neue Welt.
Und jetzt?
Hallo,
natürlich ist die Risikoabwägung immer ein Argument.
Was ausreicht ist immer eine Abwägung was man schützen will/muss und was man dafür ausgeben kann.
Veraltete Versionen der SOftware sind in jedem Gerät ein Risiko, ob nun Desktop Rechner, Router Switch oder Firewall.
Aber, sobald ich in den etwas umfangreicheren Netzwekrbereich komme, ist eine die Positionierung einer einer Software nach außen immer ein Risiko.
Dann nehme ich nach außen doch lieber eine Software die speiziell dafür ausgelegt ist, als das ich eine Software nehme die dafür nicht gedacht ist und lasse dadrin eine Software laufen die dafür gedacht ist, damit schaffe ich mir 2 Einfallstore.
Deswegen setze ich inzwischenselbst im Privat Bereich lieber eine Hardwarefirewall ein.
Mein eigener DSL Anschluss ist nach Außen eine Fritzbox, älteres Modell, aber dahinter sitzt eine ASA, und ein Honeypot.
Im Honeypot haben sich schon ein paar Leute ausgetobt...
In meinem Netz, nach meinem wissen, noch Nicht!
brammer
natürlich ist die Risikoabwägung immer ein Argument.
Was ausreicht ist immer eine Abwägung was man schützen will/muss und was man dafür ausgeben kann.
Veraltete Versionen der SOftware sind in jedem Gerät ein Risiko, ob nun Desktop Rechner, Router Switch oder Firewall.
Aber, sobald ich in den etwas umfangreicheren Netzwekrbereich komme, ist eine die Positionierung einer einer Software nach außen immer ein Risiko.
Dann nehme ich nach außen doch lieber eine Software die speiziell dafür ausgelegt ist, als das ich eine Software nehme die dafür nicht gedacht ist und lasse dadrin eine Software laufen die dafür gedacht ist, damit schaffe ich mir 2 Einfallstore.
Deswegen setze ich inzwischenselbst im Privat Bereich lieber eine Hardwarefirewall ein.
Mein eigener DSL Anschluss ist nach Außen eine Fritzbox, älteres Modell, aber dahinter sitzt eine ASA, und ein Honeypot.
Im Honeypot haben sich schon ein paar Leute ausgetobt...
In meinem Netz, nach meinem wissen, noch Nicht!
brammer
Zitat von @spacyfreak:
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.
"Linux ist sicherer als Windows."
Ich halte so manche Meinung die man in gängigen Schulungen hört für veraltete Sichtweisen.
"Linux ist sicherer als Windows."
Schaun wir mal, wie lange sich die zeitgemäße Sichtweise hält:
"Ein Hypervisor ist genauso sicher wie die virtualisierten Umgebungen, auch wenn wir nichts über ihn wissen, geschweige denn Maßnahmen zu seiner Absicherung ergriffen hätten."
Spaß beiseite, der entscheidende Satz im Eingangsbeitrag, warum sich gerade hier die Virtualisierung verhältnismäßig verbietet, ist "Der ISP liefert mir am Übergabepunkt normales Ethernet". Das verstehe ich so, dass der TO ein Ethernet-Kabel hat, dessen anderes Ende er nicht kontrolliert. In dem Moment, in dem er das in einen ESXi-Host steckt, exponiert er potenziell alles von der NIC-Firmware, über das ESX-Networking bis hin zur eigentlichen Firewall. Das kann man einem zentralen Server nicht zumuten.
Grüße
Richard
Guten Tag zusammen,
ich krame diesen alten Thread wieder mal hoch.
Wie würdet Ihr die Situation im Jahr 2022, d.h. zehn Jahre später beurteilen?
Wir suchen für unser < 10 köpfiges Team gerade nach einem neuen Router und einer (integrierten) Firewall.
Erfahrung besteht mit Mikrotik und deren rOS aus dem Heimbereich.
Daneben habe ich mir einen Überblick verschafft über opnSense.
Da noch ein leistungsfähiges aber sehr energiesparendes Mini-Blech da ist, kam die Überlegung, zu virtualisieren.
Derzeit kommen noch Lancom-Produkte bei uns zum Einsatz.
Hierfür haben wir keinen Support, so dass Änderungen gleich welcher Art immer Stunden/Tage der Recherche durch Dokumentationen und Foren mit sich gebracht haben.
Ich freue mich auch Eure Meinungen.
ich krame diesen alten Thread wieder mal hoch.
Wie würdet Ihr die Situation im Jahr 2022, d.h. zehn Jahre später beurteilen?
Wir suchen für unser < 10 köpfiges Team gerade nach einem neuen Router und einer (integrierten) Firewall.
Erfahrung besteht mit Mikrotik und deren rOS aus dem Heimbereich.
Daneben habe ich mir einen Überblick verschafft über opnSense.
Da noch ein leistungsfähiges aber sehr energiesparendes Mini-Blech da ist, kam die Überlegung, zu virtualisieren.
Derzeit kommen noch Lancom-Produkte bei uns zum Einsatz.
Hierfür haben wir keinen Support, so dass Änderungen gleich welcher Art immer Stunden/Tage der Recherche durch Dokumentationen und Foren mit sich gebracht haben.
Ich freue mich auch Eure Meinungen.