hannes.hutmacher
03.01.2020
view4223
view2
0
Goto Top

Verständnisproblem KVM Hardening nach Empfehlung des BSI

gelöstFrageKVMVirtualisierung
Hallo,

an sich meine ich nicht blöd zu sein, aber gerade klemmt es dann doch bei mir. face-sad Und außerdem ist Freitag face-smile

Ich möchte gerne einen KVM-Wirt nach den Empfehlungen des BSI absichern. Die Sicherheitsanalyse findet sich hier:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studie ...

Auf Seite 183 findet sich Punkt "11.3.1Die IP-Adresse des Gast-Netzwerks entfernen". Die Rede ist von einem Gast-Netzwerk. Ich verstehe einfach nicht richtig was damit gemeint ist. Ist damit das "Default-Network" gemeint, was bei Punkt "11.3.3Das libvirt-Standardnetzwerk entfernen" ohnehin entfernt wird?

Gruß und Danke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 530715

Url: https://administrator.de/contentid/530715

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
certifiedit.net
certifiedit.net 03.01.2020 um 11:00:14 Uhr
Goto Top
Hallo,

Wenn eine Linux-Bridge, macvtap oder Open vSwitch zur Anbindung der Gäste an ein Netzwerk verwendet
wird, ist es regelmäßig nicht notwendig, IP-Adressen an die Host-Netzwerkschnittstelle des Gast-Netzwerks
zu vergeben. Wird dies dennoch getan, so kann dies unter Umständen dazu führen, dass die Isolation des
Gast-Netzwerks von anderen Netzwerken aufgehoben wird. Auch besteht in diesem Fall die Gefahr, dass die
Gäste auf Netzwerkdienste des Hosts zugreifen (s. Abschnitt 8.2).

Erklärt es das? Wenn nein, solltest du dich fragen, ob du die Sicherheitsanforderungen überhaupt abbilden kannst. Normalerweise gehören die Netze zu dem auch logisch getrennt (VLANs).
hannes.hutmacher
hannes.hutmacher 03.01.2020 aktualisiert um 11:13:35 Uhr
Goto Top
Hab´s schon.
gelöstFrageKVMVirtualisierung
Mehr von hannes.hutmacherhannes.hutmacherOutlook 2016 sendet leere E-Mails raushannes.hutmacher - 5 Kommentarehannes.hutmacherGutes günstiges MDM gesucht. Gerne self hostedhannes.hutmacher - 11 Kommentarehannes.hutmacherUCS über 2 Netzwerkzonen hinweg betreibenhannes.hutmacher - 1 Kommentarhannes.hutmacherKommunikation zwischen Ports vermeidenhannes.hutmacher - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare