Había leído en algunos foros sobre pfSense que decía que era peligroso virtualizar pfSense. La razón que se dijo fue que un atacante podría usar pfsense como trampolín para un ataque al hipervisor y luego usarlo para obtener acceso a las otras máquinas virtuales y eventualmente desconectar todo.
Me parece una locura, pero ¿hay algo de realidad en esa idea? ¿Es una mala idea ejecutar un enrutador en un servidor virtual?
Respuestas:
Los argumentos que la gente generalmente tiene en contra son la seguridad del propio hipervisor, que la historia ha demostrado que no es una gran preocupación. Eso siempre podría cambiar, pero todavía no ha habido problemas recurrentes de seguridad del hipervisor realmente significativos. Algunas personas simplemente se niegan a confiar en él, sin una buena razón. No se trata de atacar a otros hosts si alguien posee el firewall, en ese caso, no importa dónde se esté ejecutando, y de todas las cosas que pueden verse comprometidas, el firewall está MUY abajo en la lista a menos que haga algo estúpido como abrir su gestión a toda Internet con la contraseña predeterminada establecida. Esas personas tienen un miedo irracional de que habrá un paquete mágico "root ESX" enviado desde Internet a través de una de sus interfaces puenteadas que ' s de alguna manera le hará algo al hipervisor. Eso es extraordinariamente improbable, hay millones de formas más probables de que su red se vea comprometida.
Numerosos centros de datos de producción ejecutan pfSense en ESX, yo mismo configuré probablemente más de 100. Nuestros firewalls se ejecutan en ESX. De todas esas experiencias, los únicos inconvenientes leves para virtualizar sus firewalls son: 1) si su infraestructura de virtualización se cae, no podrá solucionarla si no está físicamente en esa ubicación (principalmente aplicable a los centros de datos colo). Esto debería ser muy raro, especialmente si tiene CARP implementado con un firewall por host físico. Sin embargo, veo escenarios en ocasiones en los que esto sucede, y alguien tiene que ir físicamente a la ubicación para ver qué le pasa a su hipervisor ya que su firewall virtual y la única ruta de acceso también está inactiva. 2) Más propensos a errores de configuración que podrían plantear problemas de seguridad. Cuando tiene un conmutador virtual de tráfico de Internet sin filtrar, y uno o varios del tráfico de red privada, existen algunas posibilidades para que el tráfico de Internet sin filtrar caiga en sus redes privadas (cuyo impacto potencial podría variar de un entorno a otro). Son escenarios muy poco probables, pero mucho más propensos que hacer el mismo tipo de fastidio en un entorno donde el tráfico completamente no confiable no está conectado de ninguna manera a los hosts internos.
Ninguno de los dos debería evitar que lo haga, solo tenga cuidado de evitar interrupciones del escenario 1, especialmente si esto se encuentra en un centro de datos donde no tiene acceso físico listo si pierde el firewall.
Existe el peligro de que algo esté conectado al período de Internet.
Para citar al inmortal Weird Al:
Apague su computadora y asegúrese de que se apague.
Déjela caer en un hoyo de cuarenta y tres pies en el suelo.
Entiérrela completamente; las rocas y los cantos rodados deben estar bien. ¡
Luego queme toda la ropa que haya usado en cualquier momento que estuvo en línea!
Cualquier cosa que expongas al mundo exterior tiene una superficie para el ataque. Si está ejecutando pfSense en hardware dedicado y se ve comprometido, su atacante ahora tiene un trampolín para atacar todo internamente. Si su máquina virtual pfSense se ve comprometida, el atacante tiene un vector de ataque adicional, las herramientas de hipervisor (suponiendo que las haya instalado), con las que trabajar, pero en ese momento, su red ya está comprometida y usted está en un mundo de dolor de todos modos.
Entonces, ¿es menos seguro usar una instancia virtualizada de pfSense? Si, marginalmente. ¿Es algo de lo que me preocuparía? No.
EDITAR: después de una consideración adicional: si hay un error específico en pfSense del que no estoy al tanto de que tenga problemas con las NIC virtualizadas que de alguna manera crean una falla de seguridad, entonces lo anterior no es válido. Sin embargo, no soy consciente de tal vulnerabilidad.
También existe un peligro inherente al ejecutar cualquier cosa dentro de un entorno virtual, independientemente del tipo de servidor del que esté hablando. Hace poco respondí a una pregunta similar . Dado que su enrutador / cortafuegos ya tendrá acceso a su red interna, no hay una razón real para atacar el nivel del hipervisor: ya hay disponibles vectores de ataque mucho mejores.
La única razón por la que realmente puedo ver ir tras el hipervisor es si su máquina virtual reside en una DMZ. Desde allí, puede ir tras el hipervisor y entrar en una máquina en la red interna. Ese no es el caso de uso que está describiendo.
Personalmente, guardo una copia virtualizada de mi firewall con fines de recuperación ante desastres. Usarlo no es ideal, pero es una opción.