7
Virtuelle Server als Gateway-Firewall - Pro und Contra
Hallo an alle!
Ich möchte Euch mal Fragen, was Ihr von der Problematik Firewall/Gateway-Rechner als virtuelle Maschinen haltet.
Wir nutzen schon seit langer Zeit VMWare für die Virtualisierung von Standardservern. Gegen das Einrichten von GatewayRechnern als VM-Clients habe ich mich bis jetzt gewehrt. Diese geschah allerdings nur rein Gefühlsmäßig.
Technisch ist es ja kein Problem mittels VM-Ware mehrere VLAN´s über die Netzwerkschittstellen einzurichten und einem virtuellen Server zuzuweisen. Unsere Firewalls/Gateway-Rechner haben meist 4-5 Netzwerkkarten und laufen unter Debian.
Was haltet Ihr von der Virtualisierung von Firewalls? Theoretisch sollten sie ja nicht unsicherer sein als "physikalische" Maschinen.
Ich freue mich auf Eure Antworten.
Ich möchte Euch mal Fragen, was Ihr von der Problematik Firewall/Gateway-Rechner als virtuelle Maschinen haltet.
Wir nutzen schon seit langer Zeit VMWare für die Virtualisierung von Standardservern. Gegen das Einrichten von GatewayRechnern als VM-Clients habe ich mich bis jetzt gewehrt. Diese geschah allerdings nur rein Gefühlsmäßig.
Technisch ist es ja kein Problem mittels VM-Ware mehrere VLAN´s über die Netzwerkschittstellen einzurichten und einem virtuellen Server zuzuweisen. Unsere Firewalls/Gateway-Rechner haben meist 4-5 Netzwerkkarten und laufen unter Debian.
Was haltet Ihr von der Virtualisierung von Firewalls? Theoretisch sollten sie ja nicht unsicherer sein als "physikalische" Maschinen.
Ich freue mich auf Eure Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 90559
Url: https://administrator.de/forum/virtuelle-server-als-gateway-firewall-pro-und-contra-90559.html
Ausgedruckt am: 26.12.2024 um 15:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Im Prinzip hast du recht, eine virtuelle Maschine ist nicht unsicherer als eine physikalische.
Aber wenn es der Angreifer schafft in die deine Firewall einzubrechen, hat er im Prinzip gleich Zugriff auf deine gesamte VM Struktur.
Insofern würde ich es so realisieren das ich eine Firewall als VM Cluster laufen lassen würde (3 oder mehr Firewalls die sich gegenseitig überwachen), aber in einer physikalisch eigenständigen Einheit, also einen eigenen Server.
brammer
Im Prinzip hast du recht, eine virtuelle Maschine ist nicht unsicherer als eine physikalische.
Aber wenn es der Angreifer schafft in die deine Firewall einzubrechen, hat er im Prinzip gleich Zugriff auf deine gesamte VM Struktur.
Insofern würde ich es so realisieren das ich eine Firewall als VM Cluster laufen lassen würde (3 oder mehr Firewalls die sich gegenseitig überwachen), aber in einer physikalisch eigenständigen Einheit, also einen eigenen Server.
brammer
Ist eher ne Frage der Performance, als ne Frage der Sicherheit, würd ich mal spontan sagen.
Wichtig sind halt (zumindest für grosse Firmen) Redundanz, Administrierbarkeit, Support usw.
Da bietet sich halt oft eine Standardlösung an die einfach gekauft wird und funktioniert, anstatt mit Basteleien herumzumachen, was langfristig teuer und unsicherer kommt. Grade im Gateway Bereich kann man sich über zu wenig Angebote nicht beklagen - es gibt fertige Lösungen für jede Lebenslage u. jeden Geldbeutel, da muss man das Rad nicht neu erfinden.
Wichtig sind halt (zumindest für grosse Firmen) Redundanz, Administrierbarkeit, Support usw.
Da bietet sich halt oft eine Standardlösung an die einfach gekauft wird und funktioniert, anstatt mit Basteleien herumzumachen, was langfristig teuer und unsicherer kommt. Grade im Gateway Bereich kann man sich über zu wenig Angebote nicht beklagen - es gibt fertige Lösungen für jede Lebenslage u. jeden Geldbeutel, da muss man das Rad nicht neu erfinden.
Performance spielt meiner Meinung nach bei eine Firewall heute keine große Rolle mehr. IPtables-Berechungen sind eine mathematische Abfrage (und/oder) welche in einem Taktzyklus erfolgt. Das bischen Logging schaft (bei vernünftigem Regelsatz) eine VM-Maschine spielend.
Wie du schon sagst: "Wichtig sind halt Redundanz, Administrierbarkeit, Support" da bin ich bis jetzt mir einem selbst erstellten Regelsatz wesentlich besser gefahren, als mit Standardlösungen (Checkpoint, Sonic-Wall, IPCop, Watchguard uvm.) Als Redundanz laufen zwei Server mit HSRP. Administrierbarkeit ist auf einem "selbstgestricktem" System ja nicht zu überbieten. Support leiste ich mir selber
.
Redundanz:
Es sollen eh mind. 2 redundante VM-Server zum Einsatz kommen. Auf jedem die gleiche Anzahl von Firewalls - Abgleich über HSRP, Anschluß über mehrere Gigabit-Interface (Trunk und Channel) auf einen Cisco-Swich.
Meine Bedenken sind eigentlich nur die Sicherheit der VM-Maschine und die Sicherheit der VLAN´s.
Wie du schon sagst: "Wichtig sind halt Redundanz, Administrierbarkeit, Support" da bin ich bis jetzt mir einem selbst erstellten Regelsatz wesentlich besser gefahren, als mit Standardlösungen (Checkpoint, Sonic-Wall, IPCop, Watchguard uvm.) Als Redundanz laufen zwei Server mit HSRP. Administrierbarkeit ist auf einem "selbstgestricktem" System ja nicht zu überbieten. Support leiste ich mir selber
.Redundanz:
Es sollen eh mind. 2 redundante VM-Server zum Einsatz kommen. Auf jedem die gleiche Anzahl von Firewalls - Abgleich über HSRP, Anschluß über mehrere Gigabit-Interface (Trunk und Channel) auf einen Cisco-Swich.
Meine Bedenken sind eigentlich nur die Sicherheit der VM-Maschine und die Sicherheit der VLAN´s.
Hallo,
die Sicherheit der VLAN's macht mir eher wenig sorgen.
Ausbrüche aus einer VMware sind zwar selten, aber nicht unmöglich.
Allerdings immer ein gewisses Restrisiko.
Insofern dürfte bei Redundanter Performanter Hardware Ausstattung mit einer
ausgewogenen Sicherheitsstrategie das Risiko in einer VMware eher geringer sein als
wenn es eine physikalische Struktur ist.
brammer
die Sicherheit der VLAN's macht mir eher wenig sorgen.
Ausbrüche aus einer VMware sind zwar selten, aber nicht unmöglich.
Allerdings immer ein gewisses Restrisiko.
Insofern dürfte bei Redundanter Performanter Hardware Ausstattung mit einer
ausgewogenen Sicherheitsstrategie das Risiko in einer VMware eher geringer sein als
wenn es eine physikalische Struktur ist.
brammer
Hallo,
vielen Dank für die Antworten. Ich werde dann doch eine Umstellung auf VM-Firewall einplanen.
vielen Dank für die Antworten. Ich werde dann doch eine Umstellung auf VM-Firewall einplanen.
Es kommt auf die Grösse der Firma an.
Wenn 10.000 User gleichzeitig ins Internet wollen über einen Router kann man keine Pipifax-Firewall davorschalten - das geht in die Hose. Bei wenigen Usern ist es jedoch eher wurst.
Wenn 10.000 User gleichzeitig ins Internet wollen über einen Router kann man keine Pipifax-Firewall davorschalten - das geht in die Hose. Bei wenigen Usern ist es jedoch eher wurst.
Hallo Spacyfreak,
Was verstehst du unter einer "PipifaxFirewall"? Auf teuren professionellen Geräten läuft doch auch nur ein Linux-Derivat. Eine ach so tolle WEB-Oberfläche, welche nur Ressourcen kostet, brauch ich zur Konfiguration nicht. Ich habe hier ein paar alte SUN und PentiumI-Maschienen, welche ich durch neue (VMWare) ersetzen will. Die dienen als Firewall für ca 2.000 bis 3.000 User und erledigen Ihren Dienst problemlos. Als Software läuft SUN Solaris und Debian. Rechenintensive Operationen, wie z.Bsp.: VPN-Tunnel sind auf mehreren separten Rechnern ausgelagert.
Was verstehst du unter einer "PipifaxFirewall"? Auf teuren professionellen Geräten läuft doch auch nur ein Linux-Derivat. Eine ach so tolle WEB-Oberfläche, welche nur Ressourcen kostet, brauch ich zur Konfiguration nicht. Ich habe hier ein paar alte SUN und PentiumI-Maschienen, welche ich durch neue (VMWare) ersetzen will. Die dienen als Firewall für ca 2.000 bis 3.000 User und erledigen Ihren Dienst problemlos. Als Software läuft SUN Solaris und Debian. Rechenintensive Operationen, wie z.Bsp.: VPN-Tunnel sind auf mehreren separten Rechnern ausgelagert.
