xaero1982
Goto Top

Hyper-V Host vom Netzwerk trennen

Moin Zusammen,

es ist Sonntag und mir kam ein Beitrag von vor einiger Zeit in den Sinn.
Hyper-V trennen vom Rest und vom Web. Man muss ja auch bissel weiter arbeiten an solchen Strukturen und ggf. mal anpassen.

Aktuell hat der Host zwei Schnittstellen mit IP Adressen. Ein externer Switch für die VMs und da hat der HyperV auch eine IP und dann eine Schnittstelle, die im VLAN hängt in dem auch ein Backup-Rechner hängt und das Backup-NAS.

Das heißt aber auch der Hyper-V hat Internetzugang. Wohl nicht so schlau face-smile und auch der Zugriff von den VMs auf den Host soll unterbunden werden hab ich hier vernommen, right?

Hat da jemand ein best practice Vorgehen um den Hyper-V so sicher wie möglich zu machen?

Irgendwie finde ich da vieles verschiedenes.

Wie handhabt ihr das?

Grüße und schönen Sonntag noch face-smile

Content-ID: 7148678247

Url: https://administrator.de/contentid/7148678247

Printed on: December 12, 2024 at 18:12 o'clock

Lochkartenstanzer
Lochkartenstanzer May 14, 2023 updated at 11:05:08 (UTC)
Goto Top
Moin,

Einene ordentliche Firewall, die nur Hosts ins internet läßt, denen man das erlaubt.

Und eine Segmentierung des Netzes in verschiedene Zonen für verschiedene Sicherheitsanforderungen durch vlans, deren routing durch die firewall geregelt wird.

lks
Xaero1982
Xaero1982 May 14, 2023 at 11:49:32 (UTC)
Goto Top
Moin LKS,

Firewall ist aktuell eine Sophos SG.
Getrennt ist alles mit VLANs, allerdings ist natürlich von allen Clients der Zugriff auf die Server möglich, aber auch auf den Hyper-V. Das könnte ich natürlich noch unterbinden über die Firewall.

Aber mein Gedanke war, den Hyper-V eine separate Schnittstelle auf der Sophos zu geben und dem Hyper-V nur dann Internetzugriff zu geben, wenn ich diesen benötige. Z.b. für Updates oder eine Fernwartung.
So zumindest hab ich es auch mit dem Backup-PC geregelt.

Bin mir nur nicht sicher, wie ich das mit den virtuellen Switchen dann einrichte, damit die VMs ins Web kommen, der Hyper-V aber nicht. Auch nur über die Firewall?

Grüße
wasabi
wasabi May 15, 2023 updated at 12:24:14 (UTC)
Goto Top
Den Hyper-V-Host in ein eigenes VLAN schieben?

Klar kannst du dafür einen weiteren virtuellen Switch verwenden und dort den Haken für "Gemeinsames Verwenden.......". Macht bloß keinen Sinn wenn du den virtuellen Switch für sonst nicht anderes benötigst.

Besser verwendest du NIC-Teaming mit VLANs für dein Vorgehen.

Oder noch einfacher und schneller an der Sophos eine Regel erstellen die den Internet-Traffic von/zum Hyper-V-Host blockiert. Und eben eine weitere Regel für deine Anwendungsfälle, die kannst du dann im Bedarfsfall aktivieren.

Prinzipiell sollte immer alles geblockt sein was man nicht benötigt wird, egal ob Server oder Client und zwar in beide Richtungen, Intern wie extern.
HansDampf06
HansDampf06 May 16, 2023 at 09:35:35 (UTC)
Goto Top
Und eine weitere hier bei Hyper-V gefahrene Vorgehensweise:

Das Blech des Hyper-V-Servers hat eine zusätzliche Intel-LAN-Steckkarte, deren Ports über NIC-Teaming und Bündelung zum Switch (ausschließlich) den VM's vorbehalten sind. Die beiden LAN-Buchsen des Motherboards nutzt nur der Hyper-V-Host. Über die Konfiguration des/der virtuellen Switches im Hyper-V-Manager kann sichergestellt werden, dass der Hyper-V selbst nicht daran beteiligt ist. Mithin können der Hyper-V-Host und die VM's bereits physisch getrennt angebunden werden, mit allen sich daraus ergebenden Optionen / Vorteilen / Nachteilen.

Viele Grüße
HansDampf06
clSchak
clSchak May 16, 2023 at 09:55:47 (UTC)
Goto Top
Hi @Xaero1982

wir haben das bei uns (allerdings VMWare) wie folgt gelöst, jeweils mind. 2 x 10G Links:

  • dediziertes VLAN für das VM Management
  • dediziertes VLAN für den Traffic aus vMotion
  • dediziertes VLAN für den Traffic der FaultTolerance Protokolle
  • VMs laufen über einen zweiten vSwitch (jeweils mind. 4 x 10G od. 2 x 40G)
  • IPMI / iDRAC / ILO usw. laufen über dedizierte NIC auf extra dafür bereitgestellte Switche

Das vMotion und FT VLAN wird nicht geroutet, hat auch kein Gateway, DNS oder was auch immer, jeder Host hat immer 2 Interfaces und 2 IP Adressen in dem VLAN.

Das VMManagement Netz ist vom restlichen Netz über eine interene pfSense (2 St via CARP HA) getrennt, der Zugriff auf die VMs und das vCenter ist nur für freigeschaltete Server möglich (u.a. Veeam, Admin-Jumphosts usw.), ausgehend ist lediglich DNS und NTP freigeschaltet, die Geräte kommen von sich auch nicht nach draußen, auch ist die Authentifizierung "lokal" am vCenter und nicht gegen eine Domäne um hier bei einer Kompromittierung des ADs nicht in die Gefahr laufen, dass dann auch das gesamte Backend übernommen wird. (nach extern setzen wir auch Sophos XG im HA ein)

Kleine Anmerkung: unsere VMWare Host haben entweder 2 x QuadPort 10G oder 2 x DualPort 40G Uplinks, aus dem Grund haben wir auch relativ viele Ports zur Verfügung

Und bzgl. Updates: du kannst auch "nicht Domänen" Geräte auf einen internen WSUS verweisen lassen, dann muss die Kiste auch nicht mehr ins Internet, das machen wir mit einigen Servern so, somit benötigen die dann kein Internetzugriff mehr.

Die Registriepfade dafür sind:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
siehe auch: https://thomasknoefel.de/windows-update-server-wsus-manuell-in-registry- ...
Xaero1982
Xaero1982 May 17, 2023 at 08:37:56 (UTC)
Goto Top
Moin Zusammen,

danke für eure Umsetzungen.

Ich werde nochmal in mich gehen und überlegen wie der beste Weg für mich ist.

Grüße