Diskussion: Vírtualisera brandväggen / router

Jag konfigurerade upp det en dag när jag var nyfiken, men det var inget jag skulle vilja köra i längden just på grund av att det blir svårarbetade korsberoenden som vid minsta felsteg kräver att man besöker servern, kopplar in skärm och tangentbord och svär över att man satt upp något överkomplicerat mest för att det verkade häftigt. Jag har redan tillräckligt många ogenomtänkta beroenden mellan alla servrar och hade lätt kunnat måla in mig i ännu fler hörn med en sådan lösning. För min del blir det alltså tveklöst dedikerad hårdvara för router.

Om du är oroad över hypervisor escapes så ska du inte släppa in någon trafik in från internet till dina VM:ar över huvud taget, så det känns som att det går bort som argument.

Jag kör sophos utm i min hyper-v server som router/brandvägg. Har fungerat bra sedan vi fick fibern. Skönt att slippa en burk och hoppas att funktionerna i sophos ger lite skydd. Märker inte av något prestandatapp i dagligt användande, men möjligtvis lite i bredbandskollen.

Bootar aldrig om servern förutom någon gång vid installation av Windowsuppdateringar. Då låter jag den starta om på natten så jag märker inte av det

Ja du har väl beskrivit problemet ganska väl. Det kanske är säkert idag, men hur är det i morgon?
Om det skulle "uppstå" ett hål, så får du ett hål rakt in i visorn och det är väl det man vill komma bort från primärt, inte att det är skillnad i säkerhet.

Alltså, du tänker väl inte exponera själva hypervisorns managementgränssnitt mot omvärlden?

Jag har svårt att förstå hotmodellen här. Om någon på något sätt tar sig in i din virtualiserade brandvägg och får root på den burken, så kan då en anfallare sedan använda den access för att göra en hypervisor escape? Eller hur tänker du.

Kör virtuellt idag, men tänker flytta till egen hårdvara i framtiden.

Jag har rent generellt inga problem med att virtualisera allt. Ser inget egenvärde att ha fysiska burkar och om man tror att det ger ett extra lager av säkerhet är man helt fel ute.
Med det sagt, i en hemmiljö är det inte jättevanligt att man har en redundant hypervisor och har man inte möjlighet att patcha sina prylar utan att ta ned sin brandvägg har man byggt fel.

Jag kör både och.

Jag har en virtualiserad brandvägg som även agerar router med ett GUI så jag kan rätt enkelt skapa nya VLAN, flytta runt på enkelt vis brandväggsregler, och sköta mina "låg-hastighets"-VPN.

För sånt som kräver mer blås har jag en fysisk server som agerar router men även brandvägg. Uppmätt cirka 115 Gbps throughput vid IMIX. Jag kör även VPN via den som kräver högre hastigheter.

Båda har DHCP, där en är aktiv, den andra är passiv ifall primära dör. DNS server finns på båda, där ena agerar primär, andra sekundär.

Det som avgör ifall att en enhet eller instans hamnar mot ena eller andra brandväggen är helt enkelt syfte.
Våra datorer går direkt mot den fysiska brandväggen. De flesta av våra servrar går mot den virtuella. Det underlättar även med routingen vid VPN eftersom samtliga tjänster/servrar är dels L2-isolerade, men även har egna subnät, så den virtuella routern kan routa mellan näten själv.

Har du tillgång till två burkar kan du alltid köra oVirt eller liknande för att få tillgång till live migration mellan både storage och hosts. Har aldrig testat själv men det lilla jag läst verkar lovande.

Kör dedicerad router/brandvägg. Har kört det sen 2001 då vi fick ADSL och har väl inte funderat på att byta. Då fanns ju inga vettiga konsument-routrar. Innan ADSL så var det servern som fick ringa upp när man ville ha internet.

Jag kör en fysisk konsument router. Jag upplever att den är tillräckligt säker för den tiden jag orkar lägga på mitt hemmanätverk.

Om jag hade mer tid hade jag kört en virtuell, dels pga de utökade konfigureringsmöjligheterna som tex en pfsense ger och dels för att jag redan har en vmwaremiljö där den kan installeras så kostnaden blir låg.

Om jag INTE haft en passande host så hade kanske en brandvägg från Ubiquity varit ett mer lockande alternativ. Gissar att den är lätt att konfigurera ihop med deras accesspunkter om man vill gå all-in.

Vad gäller säkerhet.
Det går ju inte direkt att göra samma jämförelser och argument företag har, med upptid, låsta serverrum och larm. Kanske behov av special kretsar för att kunna realtids skanna all trafik.
Man får ju ta hemmamiljön för vad den är. Ingen kommer göra inbrott för att endast hacka din brandvägg och du känner dina användare på ett annat sätt.

Hemmamiljön har en helt annan hotbild än ett företag har också, och skyddas bäst på annat vis.

Jag tycker inte att en fysisk låda alltid är säkrare än en virtuell. Allt beror ju på hur väl du patchar din miljö och hur säker du gjort den genom att begränsa attackytor m.m.

Har du bara en host-server som även har din brandvägg så faller ju hela nätet ihop när hosten ska säkerhetspatchas. Det kan ju upplevas bökigt.

Jag förutsätter att du i din patch strategi strävar efter att köra de senaste versionerna av allt.

Men kan du leva med störningar i nät när du patchar dina hostar (eller mitigera det problemet på något vis) så kör virtuellt.

Vill du istället kunna patcha hostarna utan störningar i nät, eller på annat vis föredrar enkelheten i en fysisk brandvägg kör på den varianten.

Vad menar du är "bättre" än en Edgerouter? Har du en gammal som inte orkar med 1gbit, eller vad är problemet? De är ju lysande, har använt flertalet sådana själv, enda anledningen jag skrev USG var för att de är lättare att konfa för den som är ovan.

Jag har 11 års arbetslivserfarenhet med att designa och drifta virtualiseringsmiljöer som innehåller olika sorters virtuella brandväggar, så jag är rätt välbekant med problematiken. I alla fall lite mer än medelsvensson som kopplar in en router, så att säga. Att be mig att googla visar ju bara mer på en slapp diskussionsstil från ditt håll. Det är lite av din uppgift som trådstartare ändå att förklara det det är du vill diskutera. Annars kan jag ju själv bara be dig att googla för att få svar på alla dina frågor. Forum är om att ge och ta, så jag hoppas att vi kan ha en bättre diskussion.

Som jag ser problematiken så finns det två möjliga hypotetiska hot som kan uppkomma:

1. En säkerhetsbugg gör det möjligt att med hjälp av klurigt formulerad nätverkstrafik skickad till en virtuell maskins nätverkskort lyckas ta sig in i hypervisorn på något sätt.

Frågan här är, kan en brandvägg ens stoppa ett sådant paket? Finns en sådan säkerhetsbugg så ser jag inte hur det skulle påverka virtuella maskiner som agerar som brandväggar mer än det skulle påverka virtuella maskiner som gör annat som också är anslutna till något nätverk. Men för diskussionens skull så antar vi att brandväggen är smart nog att stoppa denna attack, utan att själv påverkas.

Det betyder dock fortfarande att vem som helst som kan få åtkomst till att skicka godtyckliga paket från någon som helst av dina virtuella maskiner (t.ex. genom att ta sig in i maskinen med mer konventionella säkerhetshål) kan använda sig av denna teknik för att genomföra en hypervisor escape. För en sådan attack skulle ju inte vara begränsad endast till endast virtuella maskiner som agerar brandvägg, utan vilken VM som helst?

För att på riktigt mitigera detta hot så skulle du behöva sätta en hårdvarubrandvägg mellan all kommunikation även inom din virtualiseringsmiljö. Detta förutsätter att det inte finns något sätt man kan exploatera samma bugg genom att skicka trafik till sig själv.

Att ha en fysisk brandvägg är alltså endast en fungerande mitigering mot denna klass av hot om alla av dessa är sanna:

- En brandvägg eller annan säkerhetsprodukt kan stoppa dessa hot.
- Du passerar all trafik som kan nå en virtuell maskins nätverkskort genom denna brandvägg eller säkerhetsprodukt, även kommunikation på ditt LAN.

2. En person som väl tagit sig in i en virtuell maskin kan sedan använda denna åtkomst för att genomföra en "hypervisor escape" för att sedan ta över resten av virtualiseringsmiljön.

I detta fall spelar det ingen roll om maskinen du tar dig in i är en brandvägg, en webbserver, eller något annat. Har någon root på en av dina VMar och en hypervisor escape, så är du redan körd. Att specifikt virtualisera brandväggen innebär därför inte en särskilt stor risk jämfört med den enormt mycket större säkerhetsexponeringen du får genom att ha andra servrar exponerade mot Internet (oavsett om det är genom en brandvägg, som inte på ett magiskt sätt förebygger attacker i buggar i tjänster som ska vara exponerade.)

Sammanfattningsvis:

Om man tittar ur en ren säkerhetsaspekt (det finns andra också, men då blir mitt inlägg alldeles för långt) så ser jag helt enkelt inte problemet med att ha en virtualiserad brandvägg, i alla fall inte om man samtidigt tänkt använda virtualisering för att köra andra applikationer som ska vara säkerhetsmässigt separerade.

Ser du något annat så får du gärna förklara (med mer än en uppmaning att googla.)

Föredrar egen fysisk. Men testar gärna i vms. Men det är nice att slippa böka med internet access när man måste stänga ner eller pilla på nått som har hosten att göra så internet dör. Det är största orsaken.
Saknar dock UTM i edgerouter prylarna. En orsak att jag överväger alternativ och vm är då ett bra alternativ så man inte blir ruinerad för licenser/subs.

Btw kolla på untangled. Lawrence systems testar det lite på tuben. Har för mig att ev licenser där inte kostar skjortan heller om man vill ha funktionerna hemma.

Japp, fysisk är klart att föredra ur operationell synpunkt. Men du kan ju faktiskt köra både ock, t.ex. en fysisk brandvägg som du ställer framför ditt managementnät, och en virtuell som du kör resten av grejerna ut genom. Finns olika sätt man kan kombinera på.

På jobbet har vi t.ex. fysiska brandväggar endast för managementtrafik, för kundtrafik så finns det virtuella brandväggar som ligger bredvid (inte bakom) dessa. Denna separation är rent administrativ, vi vill kunna nå managementnätet i vår datahall även om vår virtualiseringsmiljö går totalt ner, samtidigt som vi inte vill behöva skala den fysiska hårdvaran i brandväggar eller vara bundna till specifika produkter för våra kunders laster. På det sättet har vi inte heller ett beroende mellan brandvägg för kunder och brandvägg för management.

När jag började på företaget så hade varje kund en egen fysisk brandvägg. Det blev i praktiken en stor otymlig stapel av Netgear FVX318 och Juniper SSG-5 som stod ovanpå en av servrarna. Det var en av de första grejerna jag rationaliserade bort. Med virtuella maskiner är det möjligt att ha separata brandväggar för varje kunder som virtuella maskiner om man så vill (även om vi i vårt fall inte gjort exakt så.) I min rationaliseringsiver körde vi dock även brandvägg för managementnät virtuell ett tag. Något som ledde till några oplanderade datahallsbesök. Vilket är hur vi landat i denna välfungerande kompromiss vi har nu.