nixverstehen
Goto Top

MDM-Lösung als VM auf HyperV-Host

Hallo zusammen,

ich bräuchte mal wieder fachlichen Rat. Aktuell teste ich diverse MDM-Lösungen für unsere ca. 30 unternehmenseigenen Smartphones (alle Samsung), da von Vodafone deren VSDM (Airwatch mit Vodafone-branding) abgekündigt wurde.

Ich hab schon verschiedene Anbieter durch und zwei sind in der engeren Wahl. Nun würde ich gerne noch Apptec360 testen. Der Anbieter stellt hierzu eine Vorlage für VMWare (ova-format) und für Microsoft HyperV eine vhdx-Datei zur Verfügung.

Mein Gedanke war, auf meinem HyperV-Host diese Testmaschine zu installieren. Der Host läuft in meiner Domäne und auf dem Host laufen zwei Server 2019 VMs als Member-Server (kein DC). Mein DC läuft auf Blech auf einer separaten Maschine.

Die MDM-Testmaschine soll ja eine öffentliche IP erhalten. Meine öffentlichen IPs, die ich vom Provider erhalten habe, liegen in einer DMZ und die FW-Regeln passen soweit, also aus dem LAN streng begrenzter Zugriff auf die DMZ, aber aus der DMZ keinerlei Zugriff ins LAN.

Der MDM-Testmaschine wollte ich einen separaten vSwitch erstellen und daran eine separate NIC des Hosts binden, die weder vom Host noch von anderen VMs benutzt wird. Ist das dann ausreichend sicher oder sollte man das nicht tun? Hier fehlt mir etwas die Erfahrung bzw. das KnowHow. Ich möchte mir auf keinen Fall sicherheitstechnische Löcher aufreißen.

Vorab vielen Dank
Gruß NV

Content-Key: 623890

Url: https://administrator.de/contentid/623890

Printed on: February 29, 2024 at 07:02 o'clock

Member: theoberlin
theoberlin Nov 19, 2020 at 16:14:47 (UTC)
Goto Top
Hallo,

das kannst du grundsätzlich so machen. Alternativ kannst du es über ein VLAN lösen was du in den HyperV Einstellungen in der MDM VM angibst.
Das würde ich der Lösung mit einem separaten NIC vorziehen.

LG
Theo
Member: farddwalling
farddwalling Nov 19, 2020 at 18:56:32 (UTC)
Goto Top
Öh warum willst du die VM denn direkt an eine öffentliche IP hängen? Wir haben da lieber noch die Firewall zwischen und geben nur die paar Ports frei, die das MDM benötigt. Apptec kam mir im Test damals etwas altbacken rüber.
Da wir für die Softwareverwaltung auch noch was gesucht haben, haben wir das mit DesktopCentral von ManageEngine kombiniert.
Ist auch für 25 Geräte kostenlos und geht natürlich auch nur das reine MDM. Basiert aber auf Windows und passt daher einfach besser bei uns rein.
Member: theoberlin
theoberlin Nov 19, 2020 at 19:00:56 (UTC)
Goto Top
Ähm ich hoffe jetzt einfach mal bzw. habe vorrausgesetzt, dass da ne NAT Firewall dazwischenhängt?

@to?

Sonst geht die VLAN Geschichte natürlich nicht aber das würde ich tunlichst vermeiden.
Member: NixVerstehen
NixVerstehen Nov 20, 2020 at 06:08:27 (UTC)
Goto Top
Guten Morgen,

vielen Dank für die Tipps.

@farddwalling: Ich dachte das macht man so? Ich habe vom Provider feste IP's erhalten, die ich in eine DMZ gepackt habe. Aus dem Internet in die DMZ hab ich an Ports auf der FW nur freigegeben, was die MDM Lösung braucht. Aus der DMZ ins LAN ist alles zu und aus dem LAN in die DMZ ist nur 443 offen, um die MDM-Lösung zu verwalten.

Das Netz mit den öffentlichen IPs greife ich direkt am Router auf einer separaten Schnittstelle ab, die nur von diesem Netz genutzt wird und daran hängt ein separater Switch. Von diesem Switch wollte ich auf den HyperV-Host und der MDM-Testmaschine eine eigene NIC geben, die weder vom Host noch den anderen VMs genutzt wird.

DesktopCentral von ManageEngine schaue ich mir mal an.

@theoberlin: Firewall ja, wie oben beschrieben.

Mir ging es darum, ob im Worstcase ein Angreifer aus der MDM-VM ausbrechen und ggf. auf dem HyperV-Host oder ins LAN eindringen kann.
Oder kann man sich darauf verlassen, das die MDM-VM völlig isoliert läuft, wenn diese keine vSwitches oder NICs des Hosts oder der anderen VMs nutzt?

Gruß Arno
Member: theoberlin
theoberlin Nov 20, 2020 at 06:44:53 (UTC)
Goto Top
Irgendwie steige ich bei deinem Firewallkonstrukt noch nicht durch.

Arbeitest du mit den öffentlichen IP‘s in der DMZ oder hast du ein NAT dazwischen und hast 10./172./192. als interne Adressen?

Wenn das Netzwerk Konstrukt in Ordnung ist, kann ein Angreifer grundsätzlich erstmal nicht aus einer VM ausbrechen außer mit sehr viel Aufwand. Bspw. Über den RAM bei CPU Fehlern aber das ist extrem theoretisch und betrifft dich nur wenn jemand viel Geld in die Hand nimmt und speziell dich ärgern will und nach Schwachstellen sucht.
Member: NixVerstehen
NixVerstehen Nov 20, 2020 at 07:27:59 (UTC)
Goto Top
Moin Theo,

hier mal ein Beispiel-Bild. Die IP-Adresse stimmen aber nicht. Bin kein gelernter ITler, deshalb meine laienhafte Erklärung.

dmz

Als Router setze ich einen Lancom 1781VA (Router mit FW) ein. Internet liegt an ETH1 (=LAN1) an, DMZ an ETH2(=LAN2), und das LAN an ETH3 (=LAN3). Jeglicher Verkehr zwischen Internet, DMZ und LAN muss am Router durch die FW mit den entsprechenden beschränkenden Regeln.
Das habe ich auch mit einer physischen Testmaschine in der DMZ geprüft und die FW-Rules passen.

Ich wollte das nun so machen, wie im nachfolgenden Bild skizziert. Da nun am HyperV auf getrennten NICs einmal die DMZ und einmal das LAN per Kabel anliegen, darf nichts die gelbe Linie "überschreiten", sprich es dürfen keine Daten zwischen MDM-VM und dem HyperV-Host bzw. den anderen VMs durchkommen.

dmz-hyperv

Ich hoffe, ich hab es jetzt besser erklärt.

Gruß NV
Member: theoberlin
Solution theoberlin Nov 20, 2020 at 07:51:32 (UTC)
Goto Top
hmmm also die öffentliche IP würde ich nicht in der DMZ benutzen.

Gibt es einen Grund, warum du hier nicht auch NAT benutzt um der DMZ bspw. 192.168.20.0/24 zu geben?

Um nochmal auf meinen VLAN Vorschlag zurückzukommen: Du könntest im LANCOM dann ein VLAN Interface auf dem DMZ Port anlegen. Dann hast du:

192.168.10.0/24 LAN
192.168.20.0/24 DMZ
192.168.30.0/24 MDM VLAN

Dann definierst du in den EInstellungen des Hypervisors in der MDM VM, dass das VLAN 30 durchgereicht werden soll. Damit hast du dann einen sauberen "Tunnel" zu deiner MDM.

Was deine "gelbe Linie" angeht. Wie gesagt, die VM wird nicht dein Risiko sein. Sonst hätten die ganzen Anbieter von Cloudservern nen ziemliches Problem. Das sind ja auch nur VMs auf großen hypervisoren.

Theo
Member: NixVerstehen
NixVerstehen Nov 20, 2020 at 09:09:05 (UTC)
Goto Top
Hi Theo,

vielen Dank für deine Mühe. Die Lösung klingt sehr interessant. Die öffentliche IP hatte ich genommen, weil beim Provider der
DNS-Eintrag "mdm.firma.de" auf die öffentliche IP zeigt. Machte für mich Sinn. Wie gesagt, bin kein gelernter ITler und manche Sachen muss ich mir einfach aneignen. Aber lieber frage ich nach, bevor ich sicherheitstechnisch aus Unwissenheit Fehler mache.

Also lege ich für die DMZ ein privates Netz an, packe dieses Netz in ein eigenes VLAN, mappe mit N:N-Mapping die öffentlichen IP's auf die erforderlichen privaten IPs in diesem Netz. Dann könnte ich auf dem HyperV-Host einen separaten vSwitch erstellen, der nur in diesem VLAN steht.
Somit könnte ich ggf. auch mehrere VMs betreiben, die über öffentliche IPs erreichbar sind.

Ich hoffe, ich hab es richtig verstanden?

nn-mapping
Member: theoberlin
Solution theoberlin Nov 20, 2020 updated at 09:28:53 (UTC)
Goto Top
Das mit dem DNS Eintrag ist auch völlig korrekt so. Private IP's sind ja aus gutem Grund extern gar nicht routbar.

Die externe "endet" quasi an deinem Router und wird intern auf eine andere übersetzt. Allerdings ist 1:1 NAT auch nicht unbedingt das richtige. Was du bräuchtest ist Port Forwarding. Wundert mich, dass ich das auf deinem Screenshot nicht sehe.

Dort legst du quasi für jeden benötigten Port fest "Kommt von öffentlicher IP X an Port X" und wird umgesetzt auf "Private IP Port X". Das kann der LANCOM garantiert. Jede Fritzbox kriegt das hin.

1:1 Nat kann man auch machen. Bildet aber wieder die gesamte IP ab und keine einzelnen Ports.

EDIT
das ist beim Lancom unter Maskierung - Port Forwarding Tabelle....

Wegen VLAN lies dir mal ein paar Tutorials durch. Paar Keywords: VLAN Tagged auf DMZ port. Ich weiß nicht wie LANCOM das löst.

Und keinen separaten vSwitch erstellen. Du nimmst den ganz normalen. Der "Empängt" ja quasi dein separates tagged VLAN zusammen mti dem normalen DMZ Traffic. In der VM weist du das VLAN dann zu. Dann erhält nur diese VM den Traffic des VLANs.
Member: NixVerstehen
NixVerstehen Nov 20, 2020 at 09:35:51 (UTC)
Goto Top
Ah...du hattest Portforwarding im Sinn. Klar, findest du in Lanconfig hier:

portforward

Aber bei einem 29er-Netz hab ich ja eh nur 8 Adressen. Netz, Gateway und Broadcast weg bleiben noch 5. Das kann ich doch auch mit
1:1 NAT abkaspern, oder? Je öffentliche Adresse eine private Adresse. Dann brauche ich vermutlich kein Portforwarding, weil alles einfach per NAT gemappt wird. Und was nicht durch darf, blockt die FW.
Member: theoberlin
Solution theoberlin Nov 20, 2020 updated at 09:46:25 (UTC)
Goto Top
Ja kannst du im Prinzip auch mit 1:1 NAT machen. Ich löse es immer über Port Forwarding, weil ich meistens verschiedene Ports bzw. Protokolle zu unterschiedlichen Servern leite. Und es werden nicht pauschal alle nur durch die Firewall aufgehalten.
Member: NixVerstehen
NixVerstehen Nov 20, 2020 at 10:04:33 (UTC)
Goto Top
@theoberlin: Vielen Dank für deine Unterstützung. ich hab ja nun 2 Möglichkeiten, wie man es lösen kann. Wichtig war mir nur,
das von der MDM-VM auf den HyperV-Host die Wahrscheinlichkeit eines "Ausbruchs" aus der MDM-VM sehr gering bis nicht gegeben ist.
Member: theoberlin
theoberlin Nov 20, 2020 updated at 10:14:01 (UTC)
Goto Top
Genau...Viel Erfolg.