Przeczytałem na kilku forach o pfSense, które mówią, że wirtualizacja pfSense jest niebezpieczna. Stwierdzono, że atakujący mógł użyć pfsense jako odskoczni do ataku na hiperwizora, a następnie użyć go, aby uzyskać dostęp do innych maszyn wirtualnych i ostatecznie wszystko wyłączyć.
Brzmi dla mnie szalenie, ale czy w tym pomyśle jest odrobina rzeczywistości? Czy uruchomienie routera na serwerze wirtualnym to zły pomysł?
Odpowiedzi:
Argumenty, które ludzie mają na ogół przeciwko temu, to bezpieczeństwo samego hiperwizora, o którym historia udowodniła, że nie stanowi problemu. To zawsze może się zmienić, ale jak dotąd nie pojawiły się żadne naprawdę znaczące problemy bezpieczeństwa hiperwizora. Niektórzy ludzie po prostu nie chcą mu ufać, bez powodu. Nie chodzi o atakowanie innych hostów, jeśli ktoś jest właścicielem zapory, w takim przypadku nie ma znaczenia, gdzie działa, a ze wszystkich rzeczy, które mogą zostać naruszone, zapora jest DROGA na liście, chyba że zrobisz coś głupiego, jak otwarte zarządzanie całym internetem z domyślnym ustawionym hasłem. Ci ludzie obawiają się irracjonalnej obawy, że będzie jakiś magiczny pakiet „root ESX” wysłany z Internetu przez jeden z mostków, który „ jakoś zrobi coś z hiperwizorem. Jest to niezwykle mało prawdopodobne, istnieją miliony bardziej prawdopodobnych sposobów na złamanie sieci.
Liczne produkcyjne centra danych obsługują pfSense w ESX, sam skonfigurowałem prawdopodobnie ponad 100. Nasze zapory działają w ESX. Z wszystkich tych doświadczeń wynika, że jedynymi niewielkimi wadami wirtualizacji zapór ogniowych są: 1) jeśli infrastruktura wirtualizacji ulegnie awarii, nie będziesz w stanie rozwiązać problemu, jeśli nie jesteś fizycznie w tej lokalizacji (głównie dotyczy centrów danych colo). Powinno to być bardzo rzadkie, szczególnie jeśli masz zainstalowaną CARP z jedną zaporą na fizyczny host. Widzę czasem scenariusze, w których tak się dzieje, i ktoś musi fizycznie udać się do lokalizacji, aby zobaczyć, co jest nie tak z hiperwizorem jako wirtualną zaporą ogniową, a jedyna ścieżka jest w dół. 2) Bardziej podatny na błędy konfiguracji, które mogą powodować problemy z bezpieczeństwem. W przypadku przełącznika niefiltrowanego ruchu internetowego i jednego lub wielu prywatnych ruchów sieciowych istnieje kilka możliwości przeniesienia niefiltrowanego ruchu internetowego do twoich prywatnych sieci (którego potencjalny wpływ może się różnić w zależności od środowiska). Są to bardzo mało prawdopodobne scenariusze, ale znacznie bardziej prawdopodobne niż zrujnowanie tego samego rodzaju w środowisku, w którym całkowicie niezaufany ruch nie jest w żaden sposób połączony z hostami wewnętrznymi.
Żadne z tych nie powinno Cię powstrzymywać przed robieniem tego - po prostu uważaj, aby uniknąć awarii w scenariuszu 1, szczególnie jeśli siedzisz w centrum danych, w którym nie masz gotowego fizycznego dostępu, jeśli stracisz zaporę ogniową.
Istnieje niebezpieczeństwo, że coś będzie podłączone do okresu internetowego.
Cytując nieśmiertelnego Weird Al:
Wyłącz komputer i upewnij się, że się wyłącza.
Upuść go w czterdziestometrowej dziurze w ziemi.
Zakop go całkowicie; kamienie i głazy powinny być w porządku
Następnie spal wszystkie ubrania, które mogłeś nosić za każdym razem, gdy będziesz online!
Wszystko, co wystawisz na świat zewnętrzny, ma powierzchnię do ataku. Jeśli korzystasz z programu pfSense na dedykowanym sprzęcie i jest on zagrożony, Twój atakujący ma teraz odskocznię do ataku na wszystko wewnętrznie. Jeśli twoja maszyna wirtualna pfSense zostanie naruszona, atakujący ma dodatkowy wektor ataku - narzędzia hiperwizora (zakładając, że je zainstalowałeś) - z którymi możesz pracować, ale w tym momencie Twoja sieć jest już zagrożona i jesteś w świecie i tak boli.
Czy korzystanie ze zwirtualizowanej instancji pfSense jest mniej bezpieczne? Tak, marginalnie. Czy to coś, o co się martwię? Nie.
EDYCJA: Po dalszym rozważeniu - jeśli występuje konkretny błąd w pfSense, którego nie wiem, w którym występują problemy ze zwirtualizowanymi kartami sieciowymi, które w jakiś sposób powodują usterkę bezpieczeństwa, to powyższe jest nieprawidłowe. Nie jestem jednak świadomy takiej podatności.
Istnieje pewne nieodłączne niebezpieczeństwo uruchamiania czegokolwiek w środowisku wirtualnym, niezależnie od tego, o jakim serwerze mówisz. Niedawno odpowiedziałem na podobne pytanie . Ponieważ router / zapora sieciowa będzie już mieć dostęp do sieci wewnętrznej, nie ma prawdziwego powodu do atakowania poziomu hiperwizora - dostępne są już znacznie lepsze wektory ataku.
Jedynym powodem, dla którego naprawdę widzę prześladowanie hiperwizora, jest to, że Twoja maszyna wirtualna znajduje się w strefie DMZ. Stamtąd możesz pójść za hiperwizorem do komputera w sieci wewnętrznej. To nie jest opisany przypadek użycia.
Osobiście przechowuję zwirtualizowaną kopię mojej zapory do celów odzyskiwania po awarii. Korzystanie z niego nie jest idealne, ale jest opcją.