Remote -Steuerung von hartem Veeam Server

unbelanglos
Goto Top
Hallo Gemeinde,

VEEAM VMs sollen sicher fern gesteuert werden.
Sie laufen auf Basis von ESXi 7.x und sollen weder, per ESXI- und/oder vCenter Konsole, RDP, VNC... USW oder ähnlichen erreichbar sein. Selbst IDRAC soll nicht gemacht werden um die Veeam-VMs zu erreichen.

Eine KVM-IP-Lösung muss her.
Welche aktuellen KVM-Erfahrungen habe ihr gesammelt und könnt ihr empfehlen?
Serverseite, wenn überzeugendes Konzept, dann ist eine Software möglich sonst ausschließlich 19" mit internen Netzteil(en). Clientseite wenn Hardware, dann wenn möglich mit POE oder Power über USB. Kann auch am Monitor einen Port belegen.

Große Inputlags mag ich nicht unbedingt und es wäre nicht schlecht, wenn es in gecleante und auf Ästhetik getrimmte Büros unsichtbar werden kann. Unsere Momitore haben meisten KVM im Bauch(Dell).

Content-Key: 3533703814

Url: https://administrator.de/contentid/3533703814

Ausgedruckt am: 19.08.2022 um 01:08 Uhr

Mitglied: SeaStorm
SeaStorm 03.08.2022 um 16:37:45 Uhr
Goto Top
Ha? Das sind VMs? Dann hilft dir ja kein KVM was. Und idrac oÄ gibt's da auch nicht.
Was genau wollt ihr denn erreichen?
Das die Server Netzwerktechnisch nicht zu erreichen sind um ein entsprechendes Airgapping zu erreichen?

Da hilft nur eines, und zwar das ganze Ding in ein eigenes physisches Netzwerk hängen. Eigener switch eigene Kabel. Und das dann bis ins Büro legen wo es einen Client gibt der auch nur in diesem Netz hängt. Und der ist nur für veeam da.
Darüber greift ihr remote zu.

Bleibt die Frage wie ihr dann sichert, aber das kann man ja auch mit eigener Hardware erschlagen, so das ein Zugriff von aussen nicht möglich wird.
Mitglied: IntelOutside
IntelOutside 03.08.2022 um 16:52:04 Uhr
Goto Top
Hallo

Wenn ich das richtig verstehe, sind deine VEEAM Server virtualisiert.
Dann bringt dir auch ein KVM Switch nicht's, da du nur den den Host ( ESX) damit steuern kannst.

Mein Ansatz wäre, dass man den Zugriff über eine Remote Veeam Console auf eine Maschine beschränkt.
Auf diese kannst du dich dann per KVM aufschalten. Idealerweise sind dann der Veeam Server-Management und die separate Maschine in einem separaten VLAN.

Wir sind mit unserem Raritan Dominion LXII KVM zufrieden
Mitglied: unbelanglos
unbelanglos 03.08.2022 um 17:54:00 Uhr
Goto Top
Es ist mir ein Dokument mit Empfehlungen zum härten der Veeam Server ausgehändigt wurden. So wie ich die Heinis kenne, werden die das beim Audit abfragen.
Ja, ich könnte vor Ort klassische Eingabe- und Anzeigegeräte anschließen und jedes mal hinlaufen, aber erfahrungsgemäß muss ich ran, wenn ich nicht in der Nähe bin.

Es gibt KVM-Gedöns für VMs.
Es geht eben darum, dass der Server nicht von Malware bedient werden kann. Die Blackbuster Gruppe hat eine Malware, die monatelang auf isolierte Veeam Systeme lauert und dann dort zuschlägt. Sowas ist wohl der Hintergrund und ich weiß von meinen Sonicwall Ansprechpartnern, dass sowas regelmäßig auch passiert. Erst wenn das Backup weg ist, bekommt man den Expresserbrief zu Augen.
Direkt durchpatchen würde gehen, aber großer Aufwand.

Raritan gucke ich mir mal an.
Mitglied: IntelOutside
IntelOutside 03.08.2022 um 18:34:15 Uhr
Goto Top
Zitat von @unbelanglos:

Ja, ich könnte vor Ort klassische Eingabe- und Anzeigegeräte anschließen und jedes mal hinlaufen, aber erfahrungsgemäß muss ich ran, wenn ich nicht in der Nähe bin.

Dann siehst du eben die ESX Management Console, wenn die Systeme auf einem ESX laufen

Es gibt KVM-Gedöns für VMs.

Kannst du mal bitte dieses Gedöns verlinken ? Würde mich brennend interessieren...
Mitglied: unbelanglos
unbelanglos 03.08.2022 um 19:26:01 Uhr
Goto Top
Ein Beispiel: https://www.black-box.de/de-de/fi/1709/14122/Emerald-SE-DVI-IP-basierter ...

Man kann vermutlich auch eine GPU verbauen. Müsste ich ggf Mal probiere, wir haben dicke GPU-Schweine, da sind allerdings mehrere VMS drauf.
Mitglied: SeaStorm
SeaStorm 03.08.2022 um 19:39:08 Uhr
Goto Top
Ist mir jetzt noch nie unter gekommen. Würde mich interessieren. Wie man mit dem Ding auf eine VM zugreifen können soll. Kann ja nur sein daß dieses Ding dann selbst einen Browser hat mit dem es per Netzwerk auf die Console zugreift oder man ein Plugin installieren muss das dann da hin streamed.
Beides hört sich jetzt Mal nicht so an als ob es ne gute Idee wäre
Mitglied: Vision2015
Vision2015 03.08.2022 um 21:28:37 Uhr
Goto Top
Moin....
Direkt durchpatchen würde gehen, aber großer Aufwand.
öh... ja und, wozu hast du den Job und deiner Helfers Helfer?
am durchpatchen kammst du eh nicht vorbei!
Frank
Mitglied: unbelanglos
unbelanglos 04.08.2022 um 07:23:55 Uhr
Goto Top
Dann, je nach Technik ist es in meinem Büro oder beim Kollegen. Ich bin aber nicht Mal 50% der Regelarbeitszeit im Büro.
Mitglied: Fabezz
Fabezz 04.08.2022 um 20:44:58 Uhr
Goto Top
Hallo,
ich würde mir tatsächlich keine großen Gedanken machen um den Veeam Server (natürlich Berechtigungen etc schon) sondern um das Ziel.
Das Ziel unveränderbar halten und Wechselmedien offline in den Tresor.
Auch gehärtete System haben irgendwann eine Schwachstelle aber eine / mehrere Platten im Tresor sind schonmal eine ganz andere Hürde.


Gruß
Mitglied: unbelanglos
unbelanglos 05.08.2022 um 06:24:41 Uhr
Goto Top
Es geht nicht um eine Sorge. Unsere Storages kopieren Live Blöcke in einen Berg bei Mitteldeutschland. Das ist aber nach deren Lesart kein Backup.
Mitglied: Fabezz
Fabezz 05.08.2022 um 07:01:15 Uhr
Goto Top
OK es ist kein Backup wenn ein Backup Produkt verschlüsselt auf ein gehärtetes Speichersystem schreibt.
OK dann wird Amazon und weitere mit ihren S3 Speicher in Deutschland Probleme bekommen
Mitglied: unbelanglos
unbelanglos 05.08.2022 um 08:42:43 Uhr
Goto Top
Hast du schon mal in einer sehr großen Firma gearbeitet und Verantwortung getragen?
Sekretärinnen der GF, Betriebsräte und Revisoren bzw Auditoren werden nicht auf Sinnhaftigkeit überprüft in ihrer Arbeit. Das geht nicht gut aus.
Was Amazon treibt spielt keine Rolle, weil das weder ein deutscher noch interner Maßstab ist.

Meine Kollegen und Ich sind international der Meinung, dass das Theater um Veeam auch nicht ganz zeitgemäß ist. Für viele unserer europäischen Daten gilt das WORM Prinzip, wenn sie das Haus verlassen haben. Heiß sind sie untertage sind sie nur noch lesend im SAN.

Wir haben eben beim ersten Kaffee diskutiert, wenn die Frage kommt vorzuschlagen, dass wir einen Dual-Homed-Client anschließen, der sein zweites Bein besonders behandelt kommt und Zugriff auf ihn mit unserer RSA SecurID Admin-Geißelung abgesichert wird. Oder wenn wir hier mal schneller in die Strümpfe kommen würden mit dem Fido OTP.

Man muss vielleicht auch erwähnen, dass die VEAM Kisten nichts über unseren Laden effektiv ausplappern könnten, weil die ausschließlich über das SAN an die Daten kommen.

Eine Frage die wir auch noch nicht in der Konsequenz beurteilen können ist, was wird mit dem vCenter...
Mitglied: Fabezz
Fabezz 05.08.2022 aktualisiert um 08:59:19 Uhr
Goto Top
Also generell JA ich habe schon in einem großen Laden gearbeitet/arbeite noch und ja auch mit Verantwortung.
Und das mit Amazon war nur ein Hinweis auf die Technik.

Wenn du dich ein wenig mehr mit der Materie beschäftigst wirst du vielleicht auf unabhängige Softwareanbieter stoßen welches "Worm" heute zeitgemäß abbilden. Z.B. Cloudian.
Und was für eine Software da oben rein schreit ist vollkommen wurscht solange diese S3 spricht!
Und wo das Teil dann steht ist euch überlassen. Ob im Berg oder von mir bevorzugt Atomschutzbunker Hauptsache es ist eine direkte Leitung!

Und P.S. wenn man in einer großen Firma arbeitet und das Thema so wichtig, dann holt man sich nicht noch mehr Einfallslöcher mit einer schrabbligen KVM Lösung welche von Hersteller vermutlich nicht zeitgemäß gewartet wird uns haus.
Mitglied: unbelanglos
unbelanglos 05.08.2022 um 09:10:55 Uhr
Goto Top
Wir haben unsere SC9000er günstig verlängern können und dann dort hinbringen lassen. Das läuft sehr gut und so lange es Support bis Ende 26 gibt, gibt es nichts anderes was zeitgemäßer ist.

Das man sein Veeam per KVM bedient ist keine völlig unbekannte Ideologie, habe ich gelernt. Nur haben wir die Server virtuell, weil bequem und wir immer fauler werden.

Das mit dieser Herr das Dokument so hat zukommen lassen, ist aber als Ankündigung auf die Beratungsraummarathone im Winter zu verstehen.
Und ich wollte nur wissen, welche aktuellen Praxiserfahrungen dazu vorherrschen, weil bei uns KVM ein totes Pferd war, außer für die CAM-Jungs. Tellerrand uns so. Ich kann mich ja auch auf den Standpunkt zurück zeihen, dass nur Amulet Hotkey gut ist und unser Standard und wenn die nichts haben, dann muss auch der Auditor entsprechend handeln, weil er und seine Kollegen regelmäßig die Anzahl und Pflege der Lieferanten prüfen.
Mitglied: ukulele-7
ukulele-7 05.08.2022 um 09:28:41 Uhr
Goto Top
Mir wird irgendwie nicht klar warum eine KVM Lösung mehr Sicherheit bieten soll als z.B. eine ESXi-Konsole (die man ja technisch eh hätte). Vorausgesetzt alles ist über eine gesonderte Leitung erreichbar und abgesichert bedeutet das ja nur, das ich annehme, das die KVM Lösung sicherer ist als die von VMware.
Mitglied: unbelanglos
unbelanglos 05.08.2022 aktualisiert um 14:35:27 Uhr
Goto Top
Weil die Geräte nicht am Netz hängen und nur direkt bedient werden können?

Ja, es wird angenommen, dass KVM sicher(er) ist. Das muss auch nicht auf Sinnhaftigkeit überprüft werden. Entsprechend umgesetzt ist das auch objektiv so.

Ich für meinen Teil hätte aber gerne die Büros als Zentrale dafür und noch besser auch von zu Hause. Erfahrungsgemäß kommt der Anruf, wegen der Excel Tabelle von gestern ja nach der Dienstzeit.
Mitglied: SeaStorm
SeaStorm 05.08.2022 um 23:13:29 Uhr
Goto Top
So ein Audit Empfehlung ist ja nur eine von vielen Möglichkeiten.
Ich hab schon viele Security Audits mitgemacht und dieser Unfug ist mir nicht untergekommen.
Die Art wie auf den Veaam zugegriffen wird ist ja unerheblich. Relevant ist ja nur das der Zugriff sicher ist und Fremdzugriff nicht möglich.

Ich gehe Mal davon aus das du das falsch verstehst und der Auditor nicht den Zugriff auf die Server console meint, sondern auf einen Rechner der die Veaam Console drauf hat
Den Rechner packst du dann in das Backup Netz zu dem Veaam Server, welches hoffentlich isoliert ist aber Zugreifen auf diesen Rechner tust du per KVM, der dann in einem für dich erreichbaren Netz hängt.

Wenn der KVM dann kein Belkin ist sondern was das aktiv mit Updates versorgt wird kann der Auditor nichts meckern.
Lies dir Mal durch was das BSI im kritis zu der Thematik sagt. Da wirst du sowas nicht finden
Mitglied: unbelanglos
Lösung unbelanglos 07.08.2022 um 10:35:35 Uhr
Goto Top
Es ist keine Auditempfehlung sondern eine Freundschaftliche Geste diese Unterlagen erhalten haben. Meine Audits sind Oktober bis Dezember. Das Papier geht von IST-Empfehlungen aus.

Auch ist der Zugriff auf VEEAM per KVM nciht ungewöhnlich, ganz im Gegenteil. Wir machen es eben virtuell und der Aufwand zum direkten Patchen ist sehr groß und auf Grund der Längen und Medien müsste es eine IP-Lösung sein.

Der Einkauf hat Blackbox einbestellt.