Virtualisierte Firewall in ESX
Internet
|
VMFirewall (öffentlichen IP-Adressen)
|
FileServer etc. (Private Adressen)
Hi,
Ich möchte gerne einen Server von uns in ein Datacenter umziehen.
Eine dedizierte Firewall kostet natürlich extra etc.
Hier inhouse habe ich vier Linux Firewalls und das hat sich eigentlich sehr bewehrt.
Was würdet ihr also davon halten, wenn ich im ESX Server eine virtualisierte Firewall/Router installiere? Diese hätte ein Interface zum Bridged-Interface und zum Host-Only.
Alle anderen Maschinen hätten ihr Interface im Host-Only und kommunizieren nur über die Firewall/Router
Die ESX Console würde ich von Zugriffen von außen sperren.
Bitte feedback. Habe gegoogled aber nichts gefunden.
Gruß
Markus
Ich möchte gerne einen Server von uns in ein Datacenter umziehen.
Eine dedizierte Firewall kostet natürlich extra etc.
Hier inhouse habe ich vier Linux Firewalls und das hat sich eigentlich sehr bewehrt.
Was würdet ihr also davon halten, wenn ich im ESX Server eine virtualisierte Firewall/Router installiere? Diese hätte ein Interface zum Bridged-Interface und zum Host-Only.
Alle anderen Maschinen hätten ihr Interface im Host-Only und kommunizieren nur über die Firewall/Router
Die ESX Console würde ich von Zugriffen von außen sperren.
Bitte feedback. Habe gegoogled aber nichts gefunden.
Gruß
Markus
11 Antworten
- LÖSUNG brammer schreibt am 14.07.2011 um 13:28:49 Uhr
- LÖSUNG NoHopeNoFear schreibt am 14.07.2011 um 13:55:04 Uhr
- LÖSUNG Hitman4021 schreibt am 14.07.2011 um 16:56:24 Uhr
- LÖSUNG MarkusKK schreibt am 15.07.2011 um 10:59:18 Uhr
- LÖSUNG Hitman4021 schreibt am 15.07.2011 um 11:11:47 Uhr
- LÖSUNG brammer schreibt am 15.07.2011 um 11:15:33 Uhr
- LÖSUNG NoHopeNoFear schreibt am 15.07.2011 um 11:15:14 Uhr
- LÖSUNG Hitman4021 schreibt am 15.07.2011 um 11:20:34 Uhr
- LÖSUNG Hitman4021 schreibt am 15.07.2011 um 11:11:47 Uhr
- LÖSUNG NoHopeNoFear schreibt am 14.07.2011 um 13:55:04 Uhr
- LÖSUNG 60730 schreibt am 14.07.2011 um 13:55:17 Uhr
- LÖSUNG kopie0123 schreibt am 14.07.2011 um 14:19:57 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 14.07.2011 um 21:14:48 Uhr
- LÖSUNG kopie0123 schreibt am 14.07.2011 um 14:19:57 Uhr
LÖSUNG 14.07.2011 um 13:28 Uhr
LÖSUNG 14.07.2011 um 13:55 Uhr
LÖSUNG 14.07.2011 um 13:55 Uhr
moin,
Was passiert dann, wenn die Firewall nicht startet oder einen anderen Bock hat?
Ganz ehrlich, sowas ist nur was für die ganz harten, ich hab zwar mal Eishockey gespielt, aber das ist eine Liga in der ich persönlich nicht mitspielen mag.
Gruß
Die ESX Console würde ich von Zugriffen von außen sperren.
- angenommen die Firewall baut den VPN Tunnel auf und du kommst so "intern" auf die ESX Console...
Was passiert dann, wenn die Firewall nicht startet oder einen anderen Bock hat?
Ganz ehrlich, sowas ist nur was für die ganz harten, ich hab zwar mal Eishockey gespielt, aber das ist eine Liga in der ich persönlich nicht mitspielen mag.
Gruß
LÖSUNG 14.07.2011 um 14:19 Uhr
LÖSUNG 14.07.2011 um 16:56 Uhr
LÖSUNG 14.07.2011 um 21:14 Uhr
Zitat von @kopie0123:
Firewalls virtualisiert man nicht, genau so wenig wie man auf einem Hypervisor mehrere Firewallzonen betreibt.
Firewalls virtualisiert man nicht, genau so wenig wie man auf einem Hypervisor mehrere Firewallzonen betreibt.
Es gibt Situationen, in denen man das macht. Nämlich dann, wenn man Erfahrungen sammeln und Sachen ausprobieren will, oihne gleich neue Hardware dafür abstellen zu müssen.
Aber ich gebe Dir recht, daß man so etwas nicht für Produktivsysteme macht.
LÖSUNG 15.07.2011 um 10:59 Uhr
Herr NoHopeNoFear, wieso lynchen?
Fährst du das Setup in einer Professionelle Umgebung (d.h. zur Absicherung von einem Mailserver o.ä.)?
Ich habe mir euren Link durchgelesen.
Also der Nachteil an sich ist, dass der ESX Server selber nicht geschützt wird. Der liegt komplett offen/frei (allerdings bietet ESX auch eine eingebaute FW an).
Der nächste Nachteil ist, dass wir bei einer virtualisierten Umgebung keine echten Netzwerk-Interfaces haben. Da sehen die halt auch bedenken, dass es theoretisch ein Sicherheitsrisiko sein könnte irgendwo in der Software.
Das wars? Mehr bedenken gibt es nicht?
Für den Anfang muss das reichen.
Eher wird unser Webserver gehackt, als dass jemand die FW mit unbekannten VMWARE Sicherheitslücken umgeht.
Langfristig gesehen werde ich natürlich eine Hardware FW einbauen:
Mehrere Server will ich so nicht absichern.
Aber bis dahin dauert es ja noch ein Weilchen.
Die Bedenken, dass ich mich nicht mehr per VPN einwählen kann, und dann nicht mehr auf die ESX Konsole aufschalten kann ist ziemlich gering und wenn das passiert kann ich in das RZ fahren.
Fährst du das Setup in einer Professionelle Umgebung (d.h. zur Absicherung von einem Mailserver o.ä.)?
Ich habe mir euren Link durchgelesen.
Also der Nachteil an sich ist, dass der ESX Server selber nicht geschützt wird. Der liegt komplett offen/frei (allerdings bietet ESX auch eine eingebaute FW an).
Der nächste Nachteil ist, dass wir bei einer virtualisierten Umgebung keine echten Netzwerk-Interfaces haben. Da sehen die halt auch bedenken, dass es theoretisch ein Sicherheitsrisiko sein könnte irgendwo in der Software.
Das wars? Mehr bedenken gibt es nicht?
Für den Anfang muss das reichen.
Eher wird unser Webserver gehackt, als dass jemand die FW mit unbekannten VMWARE Sicherheitslücken umgeht.
Langfristig gesehen werde ich natürlich eine Hardware FW einbauen:
Mehrere Server will ich so nicht absichern.
Aber bis dahin dauert es ja noch ein Weilchen.
Die Bedenken, dass ich mich nicht mehr per VPN einwählen kann, und dann nicht mehr auf die ESX Konsole aufschalten kann ist ziemlich gering und wenn das passiert kann ich in das RZ fahren.
LÖSUNG 15.07.2011 um 11:11 Uhr
LÖSUNG 15.07.2011 um 11:15 Uhr
ja, das bezieht sich auf die theoretischen Lücken in der VMware.
Ich hatte das ganze zuerst als Testsystem laufen, mittlerweile ist es aus diversen Gründen in den "Provisorium-Porduktiv-Betrieb" übergegangen.... laufen tut's aber wie gesagt ob das wirklich so kritisch ist kann ich nicht beurteilen.
Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.
Ich stimme dir allerdings auch soweit zu dass es deutlich wahrscheinlicher ist dass ein Webserver oder anderes Gerät angegriffen wird als der Hypervisor selbst.
Ich hatte das ganze zuerst als Testsystem laufen, mittlerweile ist es aus diversen Gründen in den "Provisorium-Porduktiv-Betrieb" übergegangen.... laufen tut's aber wie gesagt ob das wirklich so kritisch ist kann ich nicht beurteilen.
Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.
Ich stimme dir allerdings auch soweit zu dass es deutlich wahrscheinlicher ist dass ein Webserver oder anderes Gerät angegriffen wird als der Hypervisor selbst.
LÖSUNG 15.07.2011 um 11:15 Uhr
LÖSUNG 15.07.2011 um 11:20 Uhr
Zitat von @NoHopeNoFear:
Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange
weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.
Nimm irgendeine billig Hardware P4 etc. mit 128MB RAM reicht für ne IPCOP immer.Die Systeme die damit gesichert werden sind allerdings auch nicht wirklich sicherheitskritisch. Das wird bei uns wohl solange
weiterlaufen bis das Geld für eine Juniper Firewall Lösung bereitgestellt wird, liegt nicht in meiner Macht.
@NoHopeNoFear
Ja wie gesagt etwas bessere Hardware ;)
Gruß