Google me encontró gente diciendo que ejecutar un cortafuegos / enrutador como máquina virtual es "peligroso", pero ninguno de ellos explica por qué es así. También encontré publicaciones de personas que ejecutan con éxito firewalls como en una máquina virtual.
¿Alguien tiene alguna experiencia con esto?
¿Cuáles serían las ventajas y desventajas de ejecutar un firewall / enrutador en una máquina virtual en algo así como proxmox vs ob una máquina física?
Respuestas:
Realmente, la forma correcta de hacer las cosas es lo contrario de cómo te estás acercando, si la seguridad es una preocupación primordial. Desearía ejecutar el enrutador / firewall en el metal desnudo y alojar una VM dentro de eso para el uso estándar de escritorio o servidor.
Perdona mi ilustración cutre de MS Paint.
Si conecta la NIC de la VM y la NIC de LAN (desde el sistema operativo), pueden aparecer como la misma interfaz "LAN" a los efectos de firewall o enrutamiento.
La mayoría de los problemas de seguridad serían si alguien subiera a la consola mientras se está ejecutando y deshabilite la máquina virtual de su enrutador / firewall o deshabilite la conexión / desconexión de su NIC de la máquina virtual, o si alguien fuera al sistema remoto y lo hiciera . Existe la posibilidad, como siempre, de que el software malicioso pueda hacer algo loco.
Puede hacer esto y usar cualquier software de VM si lo desea, pero la desventaja es que si usa algo como ESX, necesitará RDP en la VM de escritorio en lugar de acceder directamente a través de la consola.
Hay productos comerciales como Check Point, antiguos sistemas "VSX" que sirven "firewalls virtuales" en una base de hardware determinada. Si hablamos de VMWare o un mejor firewall basado en la nube. Configura un cortafuegos "en" la nube para segmentar la red "interna" en la nube ", no la comunicación entre una nube y otra red.
El rendimiento es muy limitado y el rendimiento en una nube es compartido. Un firewall basado en ASIC puede hacer> 500GBps. Un firewall o conmutador basado en VMware tiene <20 GBps. Según la declaración, LAN NIC podría contraer una gripe por cable. También podría indicar que cualquier dispositivo intermedio como conmutador, enrutador, ips también podría ser explotado por el tráfico en tránsito.
Vemos esto en paquetes "malformados" (también conocidos como marcos, fragmentos, segmentos, etc.) Por lo tanto, uno podría decir que el uso de dispositivos "intermedios" no es seguro. También el NIST alemán llamado BSI declaró hace algunos años que los enrutadores virtuales (como VDC (Contexto de dispositivo virtual - Cisco Nexus)) y VRF (Reenvío de ruta virtual) son inseguros. Desde un punto de vista, compartir recursos siempre es un riesgo. El usuario puede explotar recursos y reducir la calidad del servicio para todos los demás usuarios. Que globalmente colocaría a toda la VLAN y las tecnologías de superposición (como VPN y MPLS) en cuestión.
Si tiene demandas realmente altas en seguridad, usaría hardware dedicado y red dedicada (¡incluyendo líneas dedicadas!) Si pregunta si el hipervisor (especialmente en metal desnudo) es un problema de seguridad especial en un escenario común ... Yo diría que no .
Por lo general, una máquina virtual está conectada a la red a través de una conexión en puente (es decir, la red pasa por la computadora física en la que se está ejecutando). El uso de la VM como firewall significa que todo el tráfico puede ingresar a la computadora física, luego los paquetes se envían a la VM, se filtran y luego se envían nuevamente a la computadora física. Dado que la computadora física puede tomar paquetes sin filtrar y es responsable de distribuir los paquetes al resto de la red, esto es explotable para enviar paquetes sin filtrar por la red.