¿Se recomienda ejecutar un firewall / enrutador en una máquina virtual?


9

Google me encontró gente diciendo que ejecutar un cortafuegos / enrutador como máquina virtual es "peligroso", pero ninguno de ellos explica por qué es así. También encontré publicaciones de personas que ejecutan con éxito firewalls como en una máquina virtual.

¿Alguien tiene alguna experiencia con esto?

¿Cuáles serían las ventajas y desventajas de ejecutar un firewall / enrutador en una máquina virtual en algo así como proxmox vs ob una máquina física?

Respuestas:


11

Realmente, la forma correcta de hacer las cosas es lo contrario de cómo te estás acercando, si la seguridad es una preocupación primordial. Desearía ejecutar el enrutador / firewall en el metal desnudo y alojar una VM dentro de eso para el uso estándar de escritorio o servidor.

Perdona mi ilustración cutre de MS Paint.

ingrese la descripción de la imagen aquí

Si conecta la NIC de la VM y la NIC de LAN (desde el sistema operativo), pueden aparecer como la misma interfaz "LAN" a los efectos de firewall o enrutamiento.

La mayoría de los problemas de seguridad serían si alguien subiera a la consola mientras se está ejecutando y deshabilite la máquina virtual de su enrutador / firewall o deshabilite la conexión / desconexión de su NIC de la máquina virtual, o si alguien fuera al sistema remoto y lo hiciera . Existe la posibilidad, como siempre, de que el software malicioso pueda hacer algo loco.


Puede hacer esto y usar cualquier software de VM si lo desea, pero la desventaja es que si usa algo como ESX, necesitará RDP en la VM de escritorio en lugar de acceder directamente a través de la consola.

ingrese la descripción de la imagen aquí


votando por la ilustración de pintura no tan mala ... gracias por su esfuerzo ... Este enfoque me impediría usar la mayoría de las distribuciones de virtualización, ¿verdad? Particularmente los gustos de proxmox o vmware esx ...
Nithin

IIRC Proxmox se basa en Linux, y puede configurar su enrutamiento y firewall fuera de cualquier VM en eso. No hay forma de salir de ninguna VM en ESX AFAIK, excepto un modo de diagnóstico, por lo que probablemente no desee usar eso. Sin embargo, ejecutar dos VM "lado a lado" en ESX, donde una es una "interfaz" para otra (su "VM de escritorio" solo tendría una NIC virtual que esté conectada a la VM "firewall"), estaría bien. La "VM de escritorio" no podía hacerle nada directamente al hipervisor en ese caso.
LawrenceC

Estoy planeando usar proxmox ... estaba planeando usar algo como ipfire o clearos ... pero si tengo que instalarlo en proxmox ... no creo que pueda usar ninguno de esos: (Además, ¿hay alguna forma de hacer algo como el diagrama 2 con proxmox? ¿El esquema del diagrama 2 no tiene los problemas que mencionó en el párrafo 3?
Nithin

Básicamente, si su enrutador / firewall está en una VM y su escritorio está en una VM "detrás", está bien. Si está intentando configurar una VM de enrutador / firewall "dentro" de un escritorio que NO está en una VM, la seguridad podría ser un problema. El diagrama 2 es posible con Proxmox si configura 2 máquinas virtuales, una para su máquina virtual de firewall / enrutador y otra para su máquina virtual de escritorio.
LawrenceC

Ese comentario me confunde ... corrígeme si estoy equivocado ... Si el firewall / enrutador está en un servidor de virtualización como proxmox o vmware ESX, no hay problemas de seguridad. Pero si el firewall / enrutador está en algo así como virtualbox en un escritorio completo, se aplican los problemas de seguridad que mencionó. Lo que estoy tratando de configurar es el diagrama 2 con otras máquinas virtuales y máquinas físicas en la red que se conectan a la NIC LAN virtual del firewall para acceder a wan ... ¿este escenario tiene problemas de seguridad?
Nithin

3

Hay productos comerciales como Check Point, antiguos sistemas "VSX" que sirven "firewalls virtuales" en una base de hardware determinada. Si hablamos de VMWare o un mejor firewall basado en la nube. Configura un cortafuegos "en" la nube para segmentar la red "interna" en la nube ", no la comunicación entre una nube y otra red.

El rendimiento es muy limitado y el rendimiento en una nube es compartido. Un firewall basado en ASIC puede hacer> 500GBps. Un firewall o conmutador basado en VMware tiene <20 GBps. Según la declaración, LAN NIC podría contraer una gripe por cable. También podría indicar que cualquier dispositivo intermedio como conmutador, enrutador, ips también podría ser explotado por el tráfico en tránsito.

Vemos esto en paquetes "malformados" (también conocidos como marcos, fragmentos, segmentos, etc.) Por lo tanto, uno podría decir que el uso de dispositivos "intermedios" no es seguro. También el NIST alemán llamado BSI declaró hace algunos años que los enrutadores virtuales (como VDC (Contexto de dispositivo virtual - Cisco Nexus)) y VRF (Reenvío de ruta virtual) son inseguros. Desde un punto de vista, compartir recursos siempre es un riesgo. El usuario puede explotar recursos y reducir la calidad del servicio para todos los demás usuarios. Que globalmente colocaría a toda la VLAN y las tecnologías de superposición (como VPN y MPLS) en cuestión.

Si tiene demandas realmente altas en seguridad, usaría hardware dedicado y red dedicada (¡incluyendo líneas dedicadas!) Si pregunta si el hipervisor (especialmente en metal desnudo) es un problema de seguridad especial en un escenario común ... Yo diría que no .


Me resulta un poco difícil entender todo lo que dijiste ... esto es lo que entendí, corrígeme si me equivoco. Entonces, usted dice que los firewalls virtuales se usan para proteger las máquinas virtuales y sus redes virtuales de la red host al igual que las máquinas virtuales usan conmutadores / enrutadores virtuales, etc. Los firewalls ASIC o dedicados funcionan mejor que los virtuales. No entendí bien el último párrafo. :(
Nithin

2

Por lo general, una máquina virtual está conectada a la red a través de una conexión en puente (es decir, la red pasa por la computadora física en la que se está ejecutando). El uso de la VM como firewall significa que todo el tráfico puede ingresar a la computadora física, luego los paquetes se envían a la VM, se filtran y luego se envían nuevamente a la computadora física. Dado que la computadora física puede tomar paquetes sin filtrar y es responsable de distribuir los paquetes al resto de la red, esto es explotable para enviar paquetes sin filtrar por la red.


1
¿No se resolverá este problema vinculando una NIC física directamente a la VM en lugar de usar una NIC virtual para la VM al menos para la interfaz RED?
Nithin
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.