3
KVM Sicherheit - Firewall
VM als Firewall und restliche VMs dahinter absichern
Hallo zusammen,
ich habe eine theoretische Frage bezüglich Sicherheit, KVM QEMU und VMs. Vielleicht weiß jemand eine gute Lösung.
Ich möchte mehrere VMs laufen lassen und dabei eine als Firewall agieren lassen, um eine oder mehrere VMs im Internet abgeschottet von den anderen laufen zu lassen. Zudem möchte ich mit der Firewall den Traffic der VMs überwachen. Ist das so möglich wie ich mir in dem Entwurf vorgestellt habe? Ist es sicherheitstechnisch vertretbar eine VM als Firewall zu benutzen? Wie kann ich ein sicheres Schema realisieren? (kein Tutorial, nur theoretischer Ansatz)
Viele Grüße! Um eine Antwort wäre ich sehr dankbar!
Hier ein Entwurf meiner Vorstellung
ich habe eine theoretische Frage bezüglich Sicherheit, KVM QEMU und VMs. Vielleicht weiß jemand eine gute Lösung.
Ich möchte mehrere VMs laufen lassen und dabei eine als Firewall agieren lassen, um eine oder mehrere VMs im Internet abgeschottet von den anderen laufen zu lassen. Zudem möchte ich mit der Firewall den Traffic der VMs überwachen. Ist das so möglich wie ich mir in dem Entwurf vorgestellt habe? Ist es sicherheitstechnisch vertretbar eine VM als Firewall zu benutzen? Wie kann ich ein sicheres Schema realisieren? (kein Tutorial, nur theoretischer Ansatz)
Viele Grüße! Um eine Antwort wäre ich sehr dankbar!
Hier ein Entwurf meiner Vorstellung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193904
Url: https://administrator.de/contentid/193904
Printed on: April 19, 2024 at 00:04 o'clock
3 Comments
Latest comment
Hallo,
generell halte ich nichts davon eine Firewall virtuell laufenzu lassen.
Wenn das Host Betriebssystem kompromitiert wird, hilft dir die Firewall nichts, da das System dann komplett umgangen wird.
brammer
generell halte ich nichts davon eine Firewall virtuell laufenzu lassen.
Wenn das Host Betriebssystem kompromitiert wird, hilft dir die Firewall nichts, da das System dann komplett umgangen wird.
brammer
Hallo brammer,
danke für deine Antwort! Das Hostsystem ist in diesem Fall ja komplett unsichtbar und da es sich um Hypervisor Typ 2 Systeme handelt müsste man erst aus dem kompritierten VM-System ausbrechen. Was würdest du denn sonst empfehlen bzw. ist es möglich/sinnvoll die Firewall evtl. auf dem Hostsystem laufen zu lassen?
Bzw. viel wichtiger ist die Frage, wie kann ich einzelne VMs fürs Internet verfügbar machen, ohne das lokale Netz zu gefährden?
Viele Grüße!
danke für deine Antwort! Das Hostsystem ist in diesem Fall ja komplett unsichtbar und da es sich um Hypervisor Typ 2 Systeme handelt müsste man erst aus dem kompritierten VM-System ausbrechen. Was würdest du denn sonst empfehlen bzw. ist es möglich/sinnvoll die Firewall evtl. auf dem Hostsystem laufen zu lassen?
Bzw. viel wichtiger ist die Frage, wie kann ich einzelne VMs fürs Internet verfügbar machen, ohne das lokale Netz zu gefährden?
Viele Grüße!
Hallo
Das Hostsystem ist nicht wirklich unsichtbar, da es ja zumindest die Hardware bereitstellt und spätestens über die MAC Adressen zu ermitteln ist.
Prinzipiell solltest du folgendes beachten:
- Der Software Stack wird komplizierter und jeder Fehler auf egal welcher Ebene kann zu einem Sicherheits/Stabilitätsproblem werden
- Beim virtuellen verdrahten sieht man nicht was falsch "gesteckt" ist
- Mindestens das Verwaltungsnetz des Hypervisors physisch vom Datennetz der VMs trennen (Basismaschine Multi-Homed)
Ansonsten lässt sich das machen indem mehrere virtuelle Netze/Switches definiert werden und das interne Routing entsprechend eingestellt wird.
Gruß
Andi
Das Hostsystem ist nicht wirklich unsichtbar, da es ja zumindest die Hardware bereitstellt und spätestens über die MAC Adressen zu ermitteln ist.
Prinzipiell solltest du folgendes beachten:
- Der Software Stack wird komplizierter und jeder Fehler auf egal welcher Ebene kann zu einem Sicherheits/Stabilitätsproblem werden
- Beim virtuellen verdrahten sieht man nicht was falsch "gesteckt" ist
- Mindestens das Verwaltungsnetz des Hypervisors physisch vom Datennetz der VMs trennen (Basismaschine Multi-Homed)
Ansonsten lässt sich das machen indem mehrere virtuelle Netze/Switches definiert werden und das interne Routing entsprechend eingestellt wird.
Gruß
Andi
