hannes.hutmacher
Goto Top

Verständnisproblem KVM Hardening nach Empfehlung des BSI

Hallo,

an sich meine ich nicht blöd zu sein, aber gerade klemmt es dann doch bei mir. face-sad Und außerdem ist Freitag face-smile

Ich möchte gerne einen KVM-Wirt nach den Empfehlungen des BSI absichern. Die Sicherheitsanalyse findet sich hier:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studie ...

Auf Seite 183 findet sich Punkt "11.3.1Die IP-Adresse des Gast-Netzwerks entfernen". Die Rede ist von einem Gast-Netzwerk. Ich verstehe einfach nicht richtig was damit gemeint ist. Ist damit das "Default-Network" gemeint, was bei Punkt "11.3.3Das libvirt-Standardnetzwerk entfernen" ohnehin entfernt wird?

Gruß und Danke

Content-Key: 530715

Url: https://administrator.de/contentid/530715

Printed on: March 2, 2024 at 17:03 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Jan 03, 2020 at 10:00:14 (UTC)
Goto Top
Hallo,

Wenn eine Linux-Bridge, macvtap oder Open vSwitch zur Anbindung der Gäste an ein Netzwerk verwendet
wird, ist es regelmäßig nicht notwendig, IP-Adressen an die Host-Netzwerkschnittstelle des Gast-Netzwerks
zu vergeben. Wird dies dennoch getan, so kann dies unter Umständen dazu führen, dass die Isolation des
Gast-Netzwerks von anderen Netzwerken aufgehoben wird. Auch besteht in diesem Fall die Gefahr, dass die
Gäste auf Netzwerkdienste des Hosts zugreifen (s. Abschnitt 8.2).

Erklärt es das? Wenn nein, solltest du dich fragen, ob du die Sicherheitsanforderungen überhaupt abbilden kannst. Normalerweise gehören die Netze zu dem auch logisch getrennt (VLANs).
Member: hannes.hutmacher
hannes.hutmacher Jan 03, 2020 updated at 10:13:35 (UTC)
Goto Top
Hab´s schon.