Я читав на кількох форумах про pfSense, де говорилося, що віртуалізувати pfSense небезпечно. Причиною, за якою було заявлено, зловмисник міг використовувати pfsense як пружинну дошку для нападу на гіпервізор, а потім використати це, щоб отримати доступ до інших віртуальних машин і, врешті, зняти все в автономному режимі.
Мені це звучить божевільно, але чи є в цій ідеї шматочок реальності? Чи погана ідея запуску роутера на віртуальному сервері?
Відповіді:
Аргументи людей, як правило, проти цього, - це безпека самого гіпервізора, який історія вже доволі підтвердила, не викликає особливих проблем. Це завжди може змінитися, але ще не було жодних дійсно значущих проблем, пов'язаних із безпекою гіпервізора. Деякі люди просто відмовляються довіряти цьому без поважних причин. Йдеться не про атаку на інших хостів, якщо хтось володіє брандмауером, в цьому випадку не має значення, де він працює, а з усіх речей, які, ймовірно, можуть поставити під загрозу, брандмауер WAY за списком, якщо ви не зробите щось дурне, як відкрити його управління всім Інтернетом із встановленим паролем за замовчуванням. У цих людей є ірраціональний страх, що буде якийсь чарівний пакет "root ESX", що надсилається з Інтернету через один з його мостових інтерфейсів, які " s якось збирається щось зробити з гіпервізором. Це надзвичайно малоймовірно, є мільйони ймовірніших способів, коли ваша мережа буде поставлена під загрозу.
Численні виробничі центри обробки даних запускають pfSense в ESX, я налаштував, ймовірно, понад 100, лише один. Наші брандмауери працюють в ESX. З усього цього досвіду, єдиною парою незначних недоліків у віртуалізації ваших брандмауерів є: 1) якщо ваша віртуалізаційна інфраструктура знизиться, ви не зможете дістатись до неї, щоб усунути неполадки, якщо ви фізично не знаходитесь у цьому місці (переважно застосовується до кольорових центрів даних). Це може бути дуже рідко, особливо якщо у вас CARP розгорнуто з одним брандмауером на фізичного хоста. Я бачу сценарії, коли це трапляється, і хтось повинен фізично перейти до місця, щоб побачити, що не так з їх гіпервізором, як їх віртуальний брандмауер, і лише шлях до нього теж є вниз. 2) Більш схильні до помилок конфігурації, які можуть спричинити проблеми безпеки. Якщо у вас є перемикач нефільтрованого інтернет-трафіку та один чи декілька приватного мережевого трафіку, є кілька можливостей для того, щоб нефільтрований Інтернет-трафік потрапляв у ваші приватні мережі (потенційний вплив якого мінятиметься від середовища до іншого). Вони дуже малоймовірні за сценаріями, але набагато більш імовірними, ніж зробити такий самий вид викрутки в середовищі, коли повністю ненадійний трафік ніяким чином не підключений до внутрішніх хостів.
Жоден із них не повинен перешкоджати цьому - просто будьте обережні, щоб уникнути перебоїв у сценарії 1, особливо якщо це сидить у центрі обробки даних, де у вас немає готового фізичного доступу, якщо ви втратите брандмауер.
Існує небезпека, якщо щось підключиться до періоду Інтернету.
Щоб процитувати безсмертного Дивного Ал:
Вимкніть комп’ютер і переконайтеся, що він вимкне його.
Вкиньте його в сорок три футові отвори в землю.
Похойте його повністю; скелі та валуни повинні бути прекрасними.
Тоді спаліть увесь одяг, який ви могли носити в будь-який час перебування в Інтернеті!
Все, що ви піддаєте зовнішньому світу, має поверхню для нападу. Якщо ви працюєте на pfSense на спеціальному апаратному забезпеченні, і він стає скомпрометованим, у вашого зловмисника зараз є плацдарм, щоб атакувати все всередині. Якщо ваша віртуальна машина pfSense збивається, у зловмисника є додатковий вектор атаки - інструменти гіпервізора (припускаючи, що ви їх встановили) - з якими можна працювати, але в цей момент ваша мережа вже порушена, і ви перебуваєте у світі боляче все одно.
Тож чи менш безпечно використовувати віртуалізований екземпляр pfSense? Так, незначно. Це щось я б хвилювався? Немає.
EDIT: Після подальшого розгляду - якщо в pfSense є певна помилка, про яку я не знаю, де у неї є проблеми з віртуалізованими NIC, що якимось чином створює недолік безпеки, то зазначене вище недійсне. Я не знаю про таку вразливість.
Існує деяка притаманна небезпека запускати що-небудь у віртуальному середовищі, незалежно від того, про який сервер ви говорите. Нещодавно я відповів на подібне запитання . Оскільки ваш маршрутизатор / брандмауер вже матиме доступ до вашої внутрішньої мережі, немає реальної причини атакувати рівень гіпервізора - вже є набагато кращі вектори атаки.
Єдиною причиною, за якою я дійсно бачу перехід до гіпервізора, є те, якщо ваша віртуальна машина проживає в DMZ. Звідти ви могли піти за гіпервізором і в машину внутрішньої мережі. Це не той випадок використання, який ви описуєте.
Особисто я зберігаю віртуалізовану копію брандмауера для цілей DR. Використання не є ідеальним, але це варіант.