IpFire ESXi - Sicherheitsbedenken?

IPFire als Gast oder Hypervisor (Xen, Qemu, KVM)
Post Reply
Timsu
Posts: 4
Joined: August 8th, 2012, 9:00 pm

IpFire ESXi - Sicherheitsbedenken?

Post by Timsu » August 8th, 2012, 9:06 pm

Hallo liebe Community :)
ich wollte mal Fragen, ob ihr Sicherheitsbedenken hättet, einen ESXi Host mit 2 NICS auf dem IPfire läuft, direkt an das Internet ohne  zusätzlichen Schutz zu schließen.
In anderen Foren liest man ja immer, dass man Firewalls/Router nicht virtualisieren sollte.
An eine Netzwerkkarte würde halt direkt die Zuleitung vom Modem konnen, an die Andere der Zugang zu restlichen Geräten im LAN.
"Dazwischen" Ipfire, sowie ein Debian in der DMZ(virtuell).

Würdet ihr das so ohne Bedenken laufen lassen?
Hat jemand eine so ähnliche Konstellation in Betrieb?
Würde mich über Antworten freuen ;)

cibomato
Posts: 71
Joined: August 16th, 2011, 9:39 am

Re: IpFire ESXi - Sicherheitsbedenken?

Post by cibomato » August 8th, 2012, 9:39 pm

Hallo Timsu,

da kommt es wahrscheinlich immer drauf an, wen Du fragst ;)

Wir haben an unserer Schule genau so etwas produktiv am Laufen (noch IPCop, hoffentlich bald IPFire auf ESXi). Funktioniert wunderbar. Im IPCop-Forum würdest Du dafür NIE Support bekommen, das ist dort absolut verpönt. Ich hoffe, hier wird das flexibler gesehen.

Was ist sicher? Sicher ist relativ. Klar könnte man aus virtuellen Umgebungen ausbrechen und dann... IMHO sind diese Risiken aber eher theoretischer Natur und oft Fälle, die lediglich im Labor nachgestellt wurden. Und schließlich ist ESXi ein Quasi-Standard in der Industrie.

Wenn Du eine Firma betreibst, die millionenschweres KnowHow sichern muss, würd' ich mir das vielleicht auch nochmal überlegen, für unsere Zwecke habe ich da absolut keine Bedenken. Kommt also wie immer drauf an...

Hope this helps. Viele Grüße,
cibomato

thl
Posts: 20
Joined: March 5th, 2012, 7:10 pm

Re: IpFire ESXi - Sicherheitsbedenken?

Post by thl » August 9th, 2012, 12:08 am

Timsu wrote:Würdet ihr das so ohne Bedenken laufen lassen?


Ohne Bedenken, d.h. blauäugig nach dem Motto "Kann schon nix passieren", sicherlich nicht. Man sollte sich immer der Risiken (in diesem Falle ein nicht völlig unmöglicher Ausbruch aus der VM) und deren Folgen (Kompromittierung der VM -> Alles auf dem Host selber und hinter Grün wird angreifbar) bewußt sein und abwägen: Welchen Aufwand will man maximal betreiben, damit man potentiellen Angreifern soviel Aufwand bereitet, dass es sich für sie nicht mehr lohnt? Eine Hardware-FW gegenüber einer virtualisierten FW schließt aber eben nur dieses eine mögliche Angriffsszenario aus. Wie wahrscheinlich dieses letztendlich ist, sei mal dahingestellt, aber es ist eben nicht 0.

Lesenswerte, lehrreiche und unterhaltsame Lektüre hierzu: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html, 2. Punkt "Was ist eigentlich sicher?"

Für mich stehen da eher praktische Erwägungen im Vordergrund. Aus dem Berufsleben kenne ich den Trend zur Serverkonsolidierung*) mit der Versuchung, alle möglichen, vorher eigenständigen und weitgehend unabhängigen Netzwerk-Dienste in VMs auf nur einen Hardware-Host zu pferchen. Fällt dieser Host aus, und sei es nur kurzfristig wegen eines notwendigen Reboots, gibt es allgemeine Downtime, weil auf einen Schlag alle Dienste wegfallen. Deswegen lassen sich die Anbieter von Virtualisierungslösungen das Clustering ja auch so gut bezahlen. ;D

-----
*) Kommt im Bullshit-Bingo gleich hinter "Green-IT"
Image

Image

Trikolon
Community Developer
Community Developer
Posts: 552
Joined: October 16th, 2008, 6:21 am
Location: Erlangen
Contact:

Re: IpFire ESXi - Sicherheitsbedenken?

Post by Trikolon » August 9th, 2012, 10:26 am

Hi,
ich hatte so eine Lösung mit XEN ein paar Jahre im Einsatz ohne große Bedenken. Wie meine Vorredner schon sagten - was ist sicher? Sicher ist immer relativ.

Ich denke das Risiko durch unsichere Passwörter und veraltete unsichere Software ist da wesentlich höher.

Gruß
Ben

BeBiMa
Posts: 2603
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: IpFire ESXi - Sicherheitsbedenken?

Post by BeBiMa » August 9th, 2012, 11:28 am

Eine Firewall ist immer höchstens so sicher, wie das zugrundeliegende BS.
Im Falle einer Virtualisierung sind dies sogar zwei Stück.
Ein Sicherheitsparaniker kann da dann schon die Krise kriegen. Zumal beide BS relativ komplex sind und es deshalb nicht trivial ist, Wechselwirkungen genau zu beschreiben.
Was für mich auf jeden Fall für getrennte Systeme spricht, ist die oben erwähnte Tatsache, dass der Ausfall oder Update eines HW-Systems nicht gleich zum Ausfall von x SW-Systemen führt.
Eine Firewall wie IPFire kann sehr lange ohne Unterbrechung durchlaufen, wie z.B. der "Uptime-Wettbewerb" des IPCop-Forums zeigt. Durch sehr langsame Entwicklungsprozesse gab es jahrelang keine Updates mehr, was zu Laufzeiten von Jahren(!) geführt hat. ( Mein IPCop hatte seine Einbrüche in der Uptime auch nur durch Stromausfälle bzw. Umzug innerhalb des Hauses )
Andere SW-Systeme erfordern oder erzeugen da schon eher Unterbrechungen.
Apropos "Green-IT": Eine Firewall-Appliance läuft normalerweise rund um die Uhr durch, deshalb sollte das HW-System auch energiesparend ausgelegt sein. Bei einer virtuellen Lösung orientiert sich der Energieverbrauch am 24h-Betrieb der "fettesten" VM.

Um nochmal zur Sicherheit zurück zu kehren: Im IPCop-Projekt haben einige schwer daran gearbeitet ein gehärtetes und abgesichertes System zu designen. Dass diese Entwickler sich ungern ihre Anstrengung durch Virtualisierung aufweichen lassen, ist ja verständlich. Ich persönlich tendiere dazu, die FW-Appliance produktiv direkt auf der HW auf zu setzen, Test- oder Entwicklungssysteme können durchaus virtuell laufen. Es hat ja nicht jeder einige relativ aktuelle Rechner unbenutzt rum stehen.
Und ja das Risiko durch veraltete unsichere SW ist relativ hoch, aber dazu gehört u.U. auch das Virtualisierungs-BS.

Gruss
Bernhard
Last edited by BeBiMa on August 9th, 2012, 11:31 am, edited 1 time in total.
Image
Unitymedia Cable Internet ( 32MBit )

thl
Posts: 20
Joined: March 5th, 2012, 7:10 pm

Re: IpFire ESXi - Sicherheitsbedenken?

Post by thl » August 9th, 2012, 5:58 pm

BeBiMa wrote:Durch sehr langsame Entwicklungsprozesse gab es jahrelang keine Updates mehr, was zu Laufzeiten von Jahren(!) geführt hat.


Bitte entschuldige, wenn ich da einhake (ist auch leicht OT und absolut nicht böse gemeint), aber deine Formulierung ist die bislang euphorischste, um nicht zu sagen euphemistischste, Formulierung für die objektive Tatsache "keinerlei Weiterentwicklung", die mir bislang untergekommen ist.  Werde ich mir als berufsrelevante Ausrede Angabe von Gründen definitiv merken... ;)

Ich selber hatte vor Jahren IPCop 1.4.x jahrelang im Einsatz und im Dauerbetrieb und war, als einer der ersten DSL-Kunden (768 kbit downstream, yay) in der Stadt, auch sehr zufrieden damit. Ebenfalls mit Uptimes im zweistelligen Monatsbereich.

Um so erstaunlicher fand ich dann die Meldung auf Heise, dass IPCop 2.0 erschienen ist. Totgeglaubte leben halt länger. Nach kurzem Antesten in einer VM empfand ich das Ganze als altbacken und habe mich, als ein Wechsel vom bestehenden (nicht IPCop basiertem) FW-System anstand, nach etwas anderem umgesehen. Ich bin froh, dass ich bei IPFire gelandet und geblieben bin. Mein Ausflug in die FreeBSD-Welt (m0n0wall und pfSense) war nicht unbedingt von Glückseligkeit gesegnet; wenn ich schon fricklen muss bzw. will, dann halt lieber auf GNU/Linux. Wenigstens kenne ich den Kernel, seitdem man Version 0.97 von irgendeiner Flensburger Fido-BBS downloaden konnte, und erste Distributionen auf 100+ 1.44 MB Floppy-Images kamen (Slackware). Hach, die Zeiten, als SuSE noch "Linux aktuell" hieß... Aber ich schweife ab.

@Topic: Es kommt halt immer darauf an, was man damit macht. Willst du ein Unternehmen und seine Betriebsgeheimnisse vor Crackern schützen? Dann gehört eine virtualisierte Firewall sicherlich nicht zu den "best practices". Aber auch eine hardware-basierte FW kann dich nicht vor Social Engineering schützen. "Sicherheit wovor?" ist immer die entscheidende Frage in jedem Sicherheitskonzept. Allein darin liegt die Abwägung des Aufwandes, den man eingehen will. Ein sicheres System ist nicht benutzerfreundlich -- ein benutzerfreundliches System ist nicht sicher.
Last edited by thl on August 9th, 2012, 6:07 pm, edited 1 time in total.
Image

Image

BeBiMa
Posts: 2603
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: IpFire ESXi - Sicherheitsbedenken?

Post by BeBiMa » August 9th, 2012, 7:09 pm

thl wrote:Bitte entschuldige, wenn ich da einhake (ist auch leicht OT und absolut nicht böse gemeint), aber deine Formulierung ist die bislang euphorischste, um nicht zu sagen euphemistischste, Formulierung für die objektive Tatsache "keinerlei Weiterentwicklung", die mir bislang untergekommen ist.  Werde ich mir als berufsrelevante Ausrede Angabe von Gründen definitiv merken... ;)

Das war durchaus nicht euphorisch gemeint! Vielleicht habe ich die Ironie-Tags vergessen.
"Keinerlei Weiterentwicklung" entspricht allerdings auch nicht der Wahrheit. Schliesslich gibt es die V2 und an der haben die "Chefentwickler" lange rumgedockert.
Dass IPCop auch nicht mehr die FW meiner Wahl ist, sieht man wohl am Einsatz von IPFire.
Ich hatte das Beispiel IPCop nur gewählt, weil sich dort die lange ununterbrochene Laufzeit einer HW-Firewall zeigen lässt.

@Topic: Du schreibst sehr richtig, dass eine virtualisierte FW als Unternehmensschutz ungünstig ist. Aber sind wir mal ehrlich, gerade dort ist das Thema Virtualisierung "en vogue".
BTW: Ich bin auch nicht erst gestern im Geschäft und habe durchaus gesehen, wie durch "schnelle, elegante" Lösungen so manches saubere Konzept verwässert ( oder mit einem anderen schönen Ausdruck: verschlimmbessert ) wurde.
Image
Unitymedia Cable Internet ( 32MBit )

Timsu
Posts: 4
Joined: August 8th, 2012, 9:00 pm

Re: IpFire ESXi - Sicherheitsbedenken?

Post by Timsu » August 9th, 2012, 8:16 pm

Soweit ich aus euren Antworten schließen kann,
gibt es solange man keine extrem hohen Sicherheitsansprüche pflegt,
Virtualisierung einer Firewall im privaten Bereich völlig in Ordnung.
Ich habe mich auch mal umgesehen, und keine Meldungen über Sicherheitslücken von ESXi entdeckt welche relativ leicht herbeizuführen waren.
Und ich glaube kaum, dass sich jemand bei mir so viel Mühe machen würde ;)
(Da ist mein Windows PC ein viel größeres Risiko 8))
Vielen Dank für eure Antworten

Nochmal etwas OT:
Welches ist die sicherste Verschlüsselungsstufe bei Openvpn?

thl
Posts: 20
Joined: March 5th, 2012, 7:10 pm

Re: IpFire ESXi - Sicherheitsbedenken?

Post by thl » August 9th, 2012, 8:25 pm

BeBiMa wrote:BTW: Ich bin auch nicht erst gestern im Geschäft und habe durchaus gesehen, wie durch "schnelle, elegante" Lösungen so manches saubere Konzept verwässert ( oder mit einem anderen schönen Ausdruck: verschlimmbessert ) wurde.


Um es mal aus der real existierenden Praxis zu schildern: So manches als Testsystem in Betrieb genommene System hat sich "schleichend" zum Produktivsystem gemausert, weil halt gerade keine passende HW, bzw. kein Geld für Lizenzen, bzw. kein Personal zur alleinigen Betreuung/Überwachung verfügbar war. Genau das sind die Schwachstellen überhaupt, weil eben kein sauber durchdachtes Konzept für den Ernstfall dahinter steht. Selbst durchdachte und/oder gehärtete Systeme wie IPCop/IPFire machen da nix daran, wenn die Implementierung an sich schlampt...  ein System ist eben immer nur so sicher wie derjenige, der es einsetzt.

Edit:
Timsu wrote:Welches ist die sicherste Verschlüsselungsstufe bei Openvpn?

[url=http://de.wikipedia.org/wiki/Schlüssellänge]http://de.wikipedia.org/wiki/Schlüssellänge[/url]
Definition

Die Gesamtheit aller möglichen Schlüssel eines kryptographischen Verfahrens wird als Schlüsselraum bezeichnet. Die Schlüsselanzahl  ist definiert als die Größe des Schlüsselraums, also die Anzahl aller möglichen Schlüssel. Bei symmetrischen Verfahren steht sie mit der Schlüssellänge (angegeben in bit) in folgendem Verhältnis:
Schlüssellänge = log2N
wobei  den Logarithmus von N zur Basis 2 bezeichnet (Logarithmus dualis, oft auch mit ld abgekürzt).


Nur diese Annahme betrachtend ist die in der Weboberfläche angebotene Option "AES-256-CBC" also als die sicherste anzunehmen. ^^

Edit 2:
Timsu wrote:Und ich glaube kaum, dass sich jemand bei mir so viel Mühe machen würde ;)


Na ja, das ist gerade die klassische Fehleinschätzung im Sich-sicher-wähnen: Geh davon aus, das irgendwo auf der Welt jemand mit viel Wissen, Zeit, Geld und Ressourcen sitzt und gerade per nmap deine öffentliche IP gefunden hat. Was kann er in kürzester Zeit über deine Sicherheitsmaßnahmen herausfinden? Nach wieviel Minuten des Probierens gibt er es auf, diese Sicherheitsmaßnahmen zu umgehen?  Welchen maximalen Schaden kann er anrichten, wenn er es schafft? Hast du einen Plan B für diesen Fall?  Being not paranoid doesn't mean they're not out to get you. ;)
Last edited by thl on August 9th, 2012, 10:09 pm, edited 1 time in total.
Image

Image

torsten73
Posts: 122
Joined: October 6th, 2014, 10:25 am
Location: Germany

Re: IpFire ESXi - Sicherheitsbedenken?

Post by torsten73 » October 6th, 2014, 11:45 am

Für mein Sicherheitsempfinden reicht es die Nic´s nicht zu virtualisieren und mit pci passtrough direkt an die ipfire VM (HVM) durchzureichen.

Das ergibt einen kleinen Geschwindigkeitsvorteil und da die red direkt in der VM ankommt sollte es da auch keine Sicherheitslecks zum green mehr möglich sein.
--------------------------------
My Server: Proxmox VE on Tyan S5512 / Quad Lan as PCI Passtrough / IPFire / Openmediavault
Image
Image

penne
Posts: 682
Joined: September 21st, 2011, 12:48 pm

Re: IpFire ESXi - Sicherheitsbedenken?

Post by penne » October 6th, 2014, 12:23 pm

Hoi,

wenn es um fremde personenbezogene Daten geht, immer dediziert. Jede zusaetzliche Layer ist ein Risiko. Weil wenn es mal zum Gau kommt, habt Ihr euch diesbezüglich nix vor zu werfen...


gruessle

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest