22
Sicherheitsbetrachtung virtualisierte Umgebung
Hallo liebe Community,
ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen.
Beispiel:
Ich habe einen Hypervisor auf Basis von Hyper-V. Dieser Hyper-V-Server hat 2 physikalisch getrennte Netzwerkkarten. Netzwerkkarte 1 ist mit dem internen Netzwerk verbunden und wird nur zum Management des Hyper-V-Servers verwendet. Netzwerkkarte 2 dient rein als virtuelles Switch für die VM's (IP-Protokoll etc. ist abgeschaltet).
Das Netzwerk wird grundsätzlich durch eine Firewall geschützt. Allerdings: Sagen wir man möchte auf diesem Hyper-V-Host eine VM betrieben, die einen direkten und ungefilterten Internetzugang benötigt - also kein NAT etc. dazwischen. Wäre es aus Sicht der IT-Sicherheit vertretbar die Netzwerkkarte 2 direkt an das Internet zu korken? (siehe Beispielbild). Theoretisch umgeht ja rein physikalisch ein interner Server die Firewall, wobei es sich aber eigentlich ja "nur" um das virtuelle Switch handelt (darüber läuft ja keine Kommunikation vom/zum Host-System).
Danke!
ich habe eine kleine Frage bzgl. der Netzwerksicherheit in virtualisierten Umgebungen.
Beispiel:
Ich habe einen Hypervisor auf Basis von Hyper-V. Dieser Hyper-V-Server hat 2 physikalisch getrennte Netzwerkkarten. Netzwerkkarte 1 ist mit dem internen Netzwerk verbunden und wird nur zum Management des Hyper-V-Servers verwendet. Netzwerkkarte 2 dient rein als virtuelles Switch für die VM's (IP-Protokoll etc. ist abgeschaltet).
Das Netzwerk wird grundsätzlich durch eine Firewall geschützt. Allerdings: Sagen wir man möchte auf diesem Hyper-V-Host eine VM betrieben, die einen direkten und ungefilterten Internetzugang benötigt - also kein NAT etc. dazwischen. Wäre es aus Sicht der IT-Sicherheit vertretbar die Netzwerkkarte 2 direkt an das Internet zu korken? (siehe Beispielbild). Theoretisch umgeht ja rein physikalisch ein interner Server die Firewall, wobei es sich aber eigentlich ja "nur" um das virtuelle Switch handelt (darüber läuft ja keine Kommunikation vom/zum Host-System).
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 627089
Url: https://administrator.de/contentid/627089
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
22 Kommentare
Neuester Kommentar
Diese Frage kann dir doch logischerweise kein Mensch oder Administrator zielführend beantworten. Wie auch, wenn man deine/eure Sicherherheits Policy nicht kennt !
Die Antwort kannst du dir aber auch denken... In solch einer Infrastruktur hättest du dann das offene, ungeschützte Internet innerhalb deines Hypervisors.
Du hast als Administrator hoffentlich selber schon einmal live gesehen wieviel Angriffe weltweit auf eine offene Internet IP pro Sekunde auflaufen ??? Das passiert auf jeder FritzBox und jeder öffentlichen IP.
Wie sollen wir hier also beurteilen ob solch ein Risiko für dich und deine/eure Policy tolerabel ist oder gedeckt ist ??
Du kannst dir sicher vorstellen das kein verantwortungsvoller Netzwerker oder Admin so ein Risiko eingehen würde wenn auf dem Hypervisor noch weitere VMs oder DSGVO relevante Daten vorgehalten werden. Ein NoGo und ein Grund warum sowas immer auf eigenes Blech in ein physisch separates IP Segment an der Firewall gehört.
Die Antwort kannst du dir aber auch denken... In solch einer Infrastruktur hättest du dann das offene, ungeschützte Internet innerhalb deines Hypervisors.
Du hast als Administrator hoffentlich selber schon einmal live gesehen wieviel Angriffe weltweit auf eine offene Internet IP pro Sekunde auflaufen ??? Das passiert auf jeder FritzBox und jeder öffentlichen IP.
Wie sollen wir hier also beurteilen ob solch ein Risiko für dich und deine/eure Policy tolerabel ist oder gedeckt ist ??
Du kannst dir sicher vorstellen das kein verantwortungsvoller Netzwerker oder Admin so ein Risiko eingehen würde wenn auf dem Hypervisor noch weitere VMs oder DSGVO relevante Daten vorgehalten werden. Ein NoGo und ein Grund warum sowas immer auf eigenes Blech in ein physisch separates IP Segment an der Firewall gehört.
Natürlich wäre das zu vertreten. Übrigens ist NAT kein Sicherheitsmerkmale.
Wie der Kollege schon erwähnt kann man das nicht pauschal beantworten.
Die erste Frage die sich stellt ist, welche Dienste wären am Internet erreichbar.
Die zweite Frage ist, wie ist die Erreichbarkeit der Dienste umgesetzt.
Die dritte Frage ist meistens, in welcher Umgebung die Dienste am Internet erreichbar sind.
Wie der Kollege schon erwähnt kann man das nicht pauschal beantworten.
Die erste Frage die sich stellt ist, welche Dienste wären am Internet erreichbar.
Die zweite Frage ist, wie ist die Erreichbarkeit der Dienste umgesetzt.
Die dritte Frage ist meistens, in welcher Umgebung die Dienste am Internet erreichbar sind.
Schonmal vielen Dank!
Das Beispiel in etwas konkreterer Version:
Der genannte Hypervisor "steht" mit seinem Management-Interface in einer DMZ - er ist also vom sonstigen Netzwerk getrennt. In Bezug auf das Schaubild ist das interne Netz also die DMZ (die Firewall trennt noch ein, im Schaubild nicht sichtbares, Netz ab). Der Hypervisor soll eine Jitsi-Instanz und eine BigBlueButton-Instanz hosten - sonst nichts.
Im Prinzip geht es mir nur darum, ob von dem virtuellen Switch eine "Gefahr" für den Hypervisor ausgeht, wenn man dieses direkt an das Internet anschließt.
P.S.: Sorry habe die Frage aus Versehen als gelöst markiert - kann ich das Rückgängig machen?
Das Beispiel in etwas konkreterer Version:
Der genannte Hypervisor "steht" mit seinem Management-Interface in einer DMZ - er ist also vom sonstigen Netzwerk getrennt. In Bezug auf das Schaubild ist das interne Netz also die DMZ (die Firewall trennt noch ein, im Schaubild nicht sichtbares, Netz ab). Der Hypervisor soll eine Jitsi-Instanz und eine BigBlueButton-Instanz hosten - sonst nichts.
Im Prinzip geht es mir nur darum, ob von dem virtuellen Switch eine "Gefahr" für den Hypervisor ausgeht, wenn man dieses direkt an das Internet anschließt.
P.S.: Sorry habe die Frage aus Versehen als gelöst markiert - kann ich das Rückgängig machen?
Was heißt denn direkt ans Internet anschließen?
Du steckst ein Patchkabel in den Port des Servers und das andere Ende in den Backbone-Router bei der Telekom?
Oder hast du ein Netzabschlussgerät von einem ISP? Wenn du ein solches Gerät hast, hat das einen softwarestand und eine Konfiguration?
Du steckst ein Patchkabel in den Port des Servers und das andere Ende in den Backbone-Router bei der Telekom?
Oder hast du ein Netzabschlussgerät von einem ISP? Wenn du ein solches Gerät hast, hat das einen softwarestand und eine Konfiguration?
Zitat von @142583:
Was heißt denn direkt ans Internet anschließen?
Du steckst ein Patchkabel in den Port des Servers und das andere Ende in den Backbone-Router bei der Telekom?
Oder hast du ein Netzabschlussgerät von einem ISP? Wenn du ein solches Gerät hast, hat das einen softwarestand und eine Konfiguration?
Was heißt denn direkt ans Internet anschließen?
Du steckst ein Patchkabel in den Port des Servers und das andere Ende in den Backbone-Router bei der Telekom?
Oder hast du ein Netzabschlussgerät von einem ISP? Wenn du ein solches Gerät hast, hat das einen softwarestand und eine Konfiguration?
Wir haben eine Deutschland-LAN-Connect-IP (ehemals Company Connect) mit einem von der Telekom bereitgestellten "Albis-Elcon BIG 2862"...im Prinzip stecke ich das Patchkabel des V-Switch-Netzwerkadapters genau an diesen Router dran und verpasse den Beispiel-VMs eine öffentliche IP aus unserem /29-er Netz.
Super.
Das ist doch mal eine Aussage.
Die öffentliche IP macht dann die VM erreichbar im Internet?
Das ist doch mal eine Aussage.
Die öffentliche IP macht dann die VM erreichbar im Internet?
Zitat von @142583:
Super.
Das ist doch mal eine Aussage.
Die öffentliche IP macht dann die VM erreichbar im Internet?
Super.
Das ist doch mal eine Aussage.
Die öffentliche IP macht dann die VM erreichbar im Internet?
Rischtisch
Ich persönlich oder das nicht machen.
Wie viel Zugriff hast du auf den ISP Router?
Wie viel Zugriff hast du auf den ISP Router?
Zitat von @142583:
Ich persönlich oder das nicht machen.
Wie viel Zugriff hast du auf den ISP Router?
Ich persönlich oder das nicht machen.
Wie viel Zugriff hast du auf den ISP Router?
An dem Router ist leider nichts zu machen...
Darf ich fragen warum du das nicht machen würdest?
Die beiden genannten Programme benötigen für ihren Funktionsumfang mehrere tausend offene Ports.
Ich für meinen Teil möchte eine Monitoring des Traffics und auch ein wenig Reglementierung.
Ich für meinen Teil möchte eine Monitoring des Traffics und auch ein wenig Reglementierung.
Da hast du vollkommen recht. Wenn ich die genannten Beispiel-Dienste aber breitstellen will, habe ich doch keine andere Wahl? Hänge ich den Server hinter eine Hardware-Firewall müsste ich per NAT alle nötigen Ports weiterleiten - ein großartiger Sicherheitsgewinn ist das erst einmal nicht.
Wenn ich den Server direkt per öffentliche IP ins Internet packe, würde ich die nötigen Ports natürlich durch eine auf dem Server installierte Firewall (z.B. UFW) freigeben und sonst alles blocken. Ein durchgängiges Monitoring wäre so nicht möglich, das stimmt.
Deshalb nochmal zum Kern meiner Frage: Das V-Switch in der genannten Konstellation direkt an den Router anzuschließen, würde den Hypervisor nicht direkt in Gefahr bringen, richtig?
Wenn ich den Server direkt per öffentliche IP ins Internet packe, würde ich die nötigen Ports natürlich durch eine auf dem Server installierte Firewall (z.B. UFW) freigeben und sonst alles blocken. Ein durchgängiges Monitoring wäre so nicht möglich, das stimmt.
Deshalb nochmal zum Kern meiner Frage: Das V-Switch in der genannten Konstellation direkt an den Router anzuschließen, würde den Hypervisor nicht direkt in Gefahr bringen, richtig?
Es geht um eine Bildungseinrichtung? Die Dienste müssen am öffentlichen Internet erreichbar sein?
Der Hypervisor hängt der nur indirekt am Netz. Es sind die VM's die im Internet erreichbar sind.
Wie viel Bandbreite hat denn die Leitung? Wie viele Clients erwartest du? Eine VPN Lösung ist nicht denkbar?
Der Hypervisor hängt der nur indirekt am Netz. Es sind die VM's die im Internet erreichbar sind.
Wie viel Bandbreite hat denn die Leitung? Wie viele Clients erwartest du? Eine VPN Lösung ist nicht denkbar?
Zitat von @142583:
Es geht um eine Bildungseinrichtung? Die Dienste müssen am öffentlichen Internet erreichbar sein?
Es geht um eine Bildungseinrichtung? Die Dienste müssen am öffentlichen Internet erreichbar sein?
Nein, keine Bildungseinrichtung, aber eine Behörde. Es soll eine unabhängige Videokonferenzlösung aufgebaut werden, an der auch externe Personen teilnehmen können. Daher wäre es schon nötig, dass die Dienste direkt erreichbar sind.
Der Hypervisor hängt der nur indirekt am Netz. Es sind die VM's die im Internet erreichbar sind.
Richtig, der Hypervisor hängt nicht direkt im Internet. Eine Netzwerkkarte ist für das Management des Hypervisors reserviert - diese Netzwerkkarte hängt nicht direkt in der internen Infrastruktur, sondern geht in ein abgeschottetes Netzwerk/DMZ über, welches über eine HW-Firewall vom internen Netzwerk getrennt ist. Die zweite Netzwerkkarte des Hypervisors bedient einzig und allein die virtuellen Gäste und ist auch nicht zur Verwendung durch den Hypervisor konfiguriert.
Wie viel Bandbreite hat denn die Leitung? Wie viele Clients erwartest du? Eine VPN Lösung ist nicht denkbar?
Ist ein DCIP600. Könnten schonmal 50 Clients (oder mehr) werden.
Zweite DMZ ist nicht möglich?
Die Internen nehmen wie Teil an der Technik?
Die Internen nehmen wie Teil an der Technik?
Zitat von @142583:
Zweite DMZ ist nicht möglich?
Zweite DMZ ist nicht möglich?
Wie meinst du das? Da ich ja leider keinen Zugriff auf den Telekom-Router bekomme und das Routing somit nicht beeinflussen kann, habe ich ja nur die Möglichkeit zwischen "direkt per öffentlicher IP ans Internet" oder "über NAT hinter meine vorhandene Firewall" zu entscheiden. Bei den WebRTC-Anwendungen macht ja genau das mit dem NAT nicht immer viel Spaß...deshalb ja die Frage ob man genau diese Anwendungen wie beschrieben veröffentlichen kann ohne gerade ein riesen Scheunentor mit Leuchtreklame für den Hacker zu öffnen.
Die Internen nehmen wie Teil an der Technik?
Naja die würden dann ja den "normalen" weg auf die öffentliche IP nehmen. Der Weg ist halt nur relativ kurz, da es ja quasi gar nicht unsere Haus verlässt. Die normale Infrastruktur hängt ja hinter eine FW die dann die Verbindung zur Außenwelt herstellt (sagen wir mit der öffentl. IP 87.0.0.1/29) und die Anfragen würden ja dann direkt im gleichen Layer2 Netz auf die fiktive IP 87.0.0.2/29 gehen.
Eine weitere DMZ, die das /29er Netz nach öffentlich präsentiert und zum WAN/LAN das Firewalling macht. Das muss auch nicht genatet sein.
Okay, ja das bekommen wir leider nicht hin. Der Telekom-Router gibt uns unser /29-Netz durch und das war es dann - da gibts einen gewissen "Routerzwang". Ich müsste ja quasi den Telekom-Router ersetzen, um "vor" dem /29-Netz schon eine Firewall zu betreiben...das geht leider nicht...
Nein, das ginge auch dahinter.
Hast du mal geguckt ob WAF mit den Anwendungen klarkommen?
Hast du mal geguckt ob WAF mit den Anwendungen klarkommen?
Zitat von @142583:
Nein, das ginge auch dahinter.
Nein, das ginge auch dahinter.
Ähm, wie stelle ich sowas an?
Hast du mal geguckt ob WAF mit den Anwendungen klarkommen?
Ja, aber der WebRTC-Stream läuft ja über ne P2P-UDP-Verbindung...spätestens da schaltete die WAF ja ab.
Vereinfacht gesagt, von der/dem öffentlichen IPs eine statische Route auf die internen IPs.
Es gibt auch noch das was man 1:1 NAT nennt und könnte bei einen /29er Netz ggf Sinn machen, weil es mehrere interne VMs sind.
Pfsense, Mikrotik oder Watchguard, Sonicwall können das. Viele andere auch.
Es gibt auch noch das was man 1:1 NAT nennt und könnte bei einen /29er Netz ggf Sinn machen, weil es mehrere interne VMs sind.
Pfsense, Mikrotik oder Watchguard, Sonicwall können das. Viele andere auch.
Zitat von @142583:
Vereinfacht gesagt, von der/dem öffentlichen IPs eine statische Route auf die internen IPs.
Vereinfacht gesagt, von der/dem öffentlichen IPs eine statische Route auf die internen IPs.
Du meinst wahrscheinlich das /29er-Netz über ne Bridge nach intern weiterzuleiten und dann über das Bridge-Interface zu filtern, richtig?
Pfsense, Mikrotik oder Watchguard, Sonicwall können das. Viele andere auch.
Wir haben Sophos im Einsatz.
Ja.
Sophos besetzt das Thema natürlich auch, die Begrifflichkeiten kenne ich jetzt nicht, herstellerspezifisch.
Sophos besetzt das Thema natürlich auch, die Begrifflichkeiten kenne ich jetzt nicht, herstellerspezifisch.
