Eu li em alguns fóruns sobre o pfSense que diziam que era perigoso virtualizar o pfSense. O motivo declarado foi que um invasor poderia usar o pfsense como trampolim para um ataque ao hipervisor e usá-lo para obter acesso a outras máquinas virtuais e, eventualmente, colocar tudo offline.
Parece loucura para mim, mas há um pingo de realidade nessa idéia? A execução de um roteador em um servidor virtual é uma má idéia?
Os argumentos que as pessoas geralmente têm contra a segurança do próprio hipervisor, que a história praticamente provou, não são uma preocupação. Isso sempre pode mudar, mas ainda não houve problemas recorrentes de segurança do hipervisor realmente significativos. Algumas pessoas simplesmente se recusam a confiar nela, sem uma boa razão. Não se trata de atacar outros hosts se alguém possuir o firewall; nesse caso, não importa onde ele esteja sendo executado, e de todas as coisas que provavelmente ficarão comprometidas, o firewall estará MUITO abaixo da lista, a menos que você faça algo estúpido como aberto seu gerenciamento para toda a Internet com o conjunto de senhas padrão. Essas pessoas têm algum medo irracional de que haja algum pacote "raiz ESX" mágico enviado da Internet por meio de uma de suas interfaces em ponte que " de alguma forma, vai fazer algo com o hipervisor. Isso é extraordinariamente improvável, existem milhões de maneiras mais prováveis de comprometer sua rede.
Numerosos datacenters de produção executam o pfSense no ESX, eu configurei provavelmente mais de 100 sozinho. Nossos firewalls são executados no ESX. De todas essas experiências, as únicas desvantagens da virtualização de seus firewalls são: 1) se sua infraestrutura de virtualização ficar inativa, você não poderá encontrá-la para solucionar problemas se não estiver fisicamente nesse local (principalmente aplicável aos datacenters colo). Isso deve ser muito raro, especialmente se você tiver o CARP implantado com um firewall por host físico. No entanto, vejo situações em que isso acontece, e alguém precisa ir fisicamente ao local para ver o que há de errado com o hypervisor como firewall virtual e o único caminho para entrar também. 2) Mais propenso a erros de configuração que podem causar problemas de segurança. Quando você tem um vswitch de tráfego de Internet não filtrado e um ou vários de tráfego de rede privada, existem algumas possibilidades para que o tráfego de Internet não filtrado caia em suas redes privadas (o impacto potencial variaria de um ambiente para outro). São cenários muito improváveis, mas muito mais prováveis do que fazer o mesmo tipo de confusão em um ambiente em que o tráfego completamente não confiável não está conectado de maneira alguma aos hosts internos.
Nenhum deles deve impedir você de fazê-lo - apenas tome cuidado para evitar interrupções no cenário 1, especialmente se ele estiver em um datacenter onde você não tem acesso físico pronto se perder o firewall.
muito perspicaz, tenho a vantagem até agora de ter meu hipervisor ao alcance físico. Mas vou desafiadoramente manter seus conselhos em mente.
Ianc1215
Por curiosidade, são os mesmos Chris Buechler que co-fundaram o pfSense?
ianc1215
2
Sim, sou eu. :)
Chris Buechler
Legal! Sou um grande fã. Obrigado pela compreensão da virtualização do pfSense. Usar o VMXnet3 com o pfSense é seguro, certo?
ianc1215
12
Existe o perigo de qualquer coisa ser conectada ao período da Internet.
Para citar o imortal Weird Al:
Desligue o computador e verifique se ele desliga.
Solte-o em um buraco de 10 metros no chão
Enterre-o completamente; pedras e pedras devem ficar bem
Então queime todas as roupas que você pode ter usado quando estiver online!
Qualquer coisa que você exponha ao mundo exterior tem uma superfície de ataque. Se você estiver executando o pfSense em hardware dedicado e ele for comprometido, seu atacante agora tem um trampolim para atacar tudo internamente. Se a sua máquina virtual pfSense for comprometida, o atacante terá um vetor de ataque extra - as ferramentas de hipervisor (presumindo que você as tenha instalado) - com as quais trabalhar, mas nesse momento, sua rede já está comprometida e você está em um mundo de machucar de qualquer maneira.
Portanto, é menos seguro usar uma instância virtualizada do pfSense? Sim, marginalmente. É algo com que eu me preocuparia? Não.
EDIT: Após uma análise mais aprofundada - se houver um erro específico no pfSense do qual não conheço que haja problemas com as NICs virtualizadas que de alguma forma criem uma falha de segurança, o acima é inválido. No entanto, não conheço essa vulnerabilidade.
Não estou ciente de nenhum problema ao virtualizar o FreeBSD e o pf, que representam 99% do que é o pfSense (a parte importante de qualquer maneira - o módulo do kernel / firewall). Pessoalmente, eu não faria isso na produção.
precisa saber é o seguinte
Bem, sim - não é uma situação ideal e pode causar dores de cabeça com comutadores virtuais, placas de rede etc., fora do wazoo. Mas como uma preocupação de segurança, acho que é exagerada.
Driftpeasant
Bem, para mim a caixa do pfSense é meio que descartável de qualquer maneira, isso é para a minha rede de "testes". Eu uso isso mais para aprender do que para produção, então o risco é meio baixo. Obrigado pela informação.
ianc1215
+1 na divertida (mas irrelevante) referência ao Alerta de vírus do Weird Al . Normalmente não voto positivo por razões frívolas, mas por algum motivo esse me fez cócegas especialmente.
Steven segunda-feira
Não é totalmente irrelevante - refere-se a conectar sua máquina on-line. :)
Driftpeasant
5
Há algum perigo inerente ao executar qualquer coisa dentro de um ambiente virtual, independentemente do tipo de servidor que você está falando. Recentemente, respondi a uma pergunta semelhante . Como seu roteador / firewall já terá acesso à sua rede interna, não há motivo real para atacar o nível do hypervisor - já existem vetores de ataque muito melhores disponíveis.
O único motivo pelo qual realmente vejo o seguinte após o hypervisor é se sua máquina virtual está residindo em uma DMZ. A partir daí, você pode ir atrás do hipervisor e entrar em uma máquina na rede interna. Esse não é o caso de uso que você está descrevendo.
Pessoalmente, mantenho uma cópia virtualizada do meu firewall para fins de recuperação de desastres. Usá-lo não é o ideal, mas é uma opção.
Existe o perigo de qualquer coisa ser conectada ao período da Internet.
Para citar o imortal Weird Al:
Qualquer coisa que você exponha ao mundo exterior tem uma superfície de ataque. Se você estiver executando o pfSense em hardware dedicado e ele for comprometido, seu atacante agora tem um trampolim para atacar tudo internamente. Se a sua máquina virtual pfSense for comprometida, o atacante terá um vetor de ataque extra - as ferramentas de hipervisor (presumindo que você as tenha instalado) - com as quais trabalhar, mas nesse momento, sua rede já está comprometida e você está em um mundo de machucar de qualquer maneira.
Portanto, é menos seguro usar uma instância virtualizada do pfSense? Sim, marginalmente. É algo com que eu me preocuparia? Não.
EDIT: Após uma análise mais aprofundada - se houver um erro específico no pfSense do qual não conheço que haja problemas com as NICs virtualizadas que de alguma forma criem uma falha de segurança, o acima é inválido. No entanto, não conheço essa vulnerabilidade.
fonte
Há algum perigo inerente ao executar qualquer coisa dentro de um ambiente virtual, independentemente do tipo de servidor que você está falando. Recentemente, respondi a uma pergunta semelhante . Como seu roteador / firewall já terá acesso à sua rede interna, não há motivo real para atacar o nível do hypervisor - já existem vetores de ataque muito melhores disponíveis.
O único motivo pelo qual realmente vejo o seguinte após o hypervisor é se sua máquina virtual está residindo em uma DMZ. A partir daí, você pode ir atrás do hipervisor e entrar em uma máquina na rede interna. Esse não é o caso de uso que você está descrevendo.
Pessoalmente, mantenho uma cópia virtualizada do meu firewall para fins de recuperação de desastres. Usá-lo não é o ideal, mas é uma opção.
fonte