Existe-t-il un danger pour virtualiser un routeur?

12

J'avais lu sur quelques forums sur pfSense qui disaient qu'il était dangereux de virtualiser pfSense. La raison invoquée était qu'un attaquant pouvait utiliser pfsense comme tremplin pour attaquer l'hyperviseur, puis l'utiliser pour accéder aux autres machines virtuelles et éventuellement mettre tout hors ligne.

Cela me semble fou, mais y a-t-il une once de réalité dans cette idée? Exécuter un routeur sur un serveur virtuel est-il une mauvaise idée?

ianc1215
la source

Réponses:

17

Les arguments généralement avancés contre la sécurité de l'hyperviseur lui-même, dont l'histoire a prouvé à peu près, ne sont pas très préoccupants. Cela pourrait toujours changer, mais il n'y a pas encore eu de problèmes de sécurité récurrents vraiment importants. Certaines personnes refusent simplement de lui faire confiance, sans raison valable. Il ne s'agit pas d'attaquer d'autres hôtes si quelqu'un possède le pare-feu, dans ce cas, peu importe où il fonctionne, et de toutes les choses susceptibles d'être compromises, le pare-feu est bien en bas de la liste, sauf si vous faites quelque chose de stupide comme open sa gestion à l'ensemble de l'Internet avec le mot de passe par défaut défini. Ces gens ont une crainte irrationnelle qu'il va y avoir un paquet magique "root ESX" envoyé depuis Internet via l'une de ses interfaces pontées qui " va en quelque sorte faire quelque chose à l'hyperviseur. C'est extrêmement improbable, il existe des millions de façons plus susceptibles de compromettre votre réseau.

De nombreux centres de données de production exécutent pfSense dans ESX, j'ai probablement installé plus de 100 moi-même. Nos pare-feu fonctionnent sous ESX. De toutes ces expériences, les seuls inconvénients de la virtualisation de vos pare-feu sont les suivants: 1) si votre infrastructure de virtualisation tombe en panne, vous ne pourrez pas y accéder pour dépanner si vous n'êtes pas physiquement à cet endroit (principalement applicable aux centres de données colo). Cela devrait être très rare, surtout si CARP est déployé avec un pare-feu par hôte physique. Je vois des scénarios à l'occasion où cela se produit cependant, et quelqu'un doit physiquement se rendre à l'emplacement pour voir ce qui ne va pas avec son hyperviseur car son pare-feu virtuel et seul le chemin d'accès est en panne. 2) Plus sujettes aux erreurs de configuration qui pourraient poser des problèmes de sécurité. Lorsque vous avez un vswitch de trafic Internet non filtré et un ou plusieurs du trafic de réseau privé, il existe quelques possibilités pour que le trafic Internet non filtré tombe dans vos réseaux privés (dont l'impact potentiel pourrait varier d'un environnement à l'autre). Ce sont des scénarios très improbables, mais beaucoup plus susceptibles que de faire le même genre de bousculade dans un environnement où le trafic totalement non fiable n'est en aucune façon connecté à des hôtes internes.

Aucun de ces éléments ne devrait vous empêcher de le faire - faites juste attention à éviter les pannes du scénario 1, surtout si cela se trouve dans un centre de données où vous n'avez pas d'accès physique prêt si vous perdez le pare-feu.

Chris Buechler
la source
très perspicace, j'ai jusqu'à présent l'avantage d'avoir mon hyperviseur à portée physique. Mais je garderai avec défi vos conseils.
ianc1215
Par curiosité, est-ce le même Chris Buechler qui a cofondé pfSense?
ianc1215
2
Oui c'est moi. :)
Chris Buechler
Cool! Je suis un grand fan, merci pour la perspicacité dans la virtualisation de pfSense. L'utilisation de VMXnet3 avec pfSense est sûre, non?
ianc1215
12

Il y a un danger à ce que tout soit connecté à la période Internet.

Pour citer l'immortel Weird Al:

Éteignez votre ordinateur et assurez-vous qu'il s'éteigne.
Déposez-le dans un trou de quarante-trois pieds dans le sol.
Enterrez-le complètement; les rochers et les rochers devraient être parfaits
Ensuite, brûlez tous les vêtements que vous avez pu porter à chaque fois que vous étiez en ligne!

Tout ce que vous exposez au monde extérieur a une surface d'attaque. Si vous exécutez pfSense sur du matériel dédié et qu'il est compromis, votre attaquant dispose désormais d'un tremplin pour tout attaquer en interne. Si votre machine virtuelle pfSense est compromise, l'attaquant dispose d'un vecteur d'attaque supplémentaire - les outils d'hyperviseur (en supposant que vous les avez installés) - avec lesquels travailler, mais à ce stade, votre réseau est déjà compromis et vous êtes dans un monde de mal de toute façon.

Est-il donc moins sûr d'utiliser une instance pfSense virtualisée? Oui, marginalement. Est-ce quelque chose dont je m'inquiète? Non.

EDIT: Après un examen plus approfondi - s'il y a une erreur spécifique dans pfSense dont je ne sais pas où il a des problèmes avec les NIC virtualisés qui créent en quelque sorte une faille de sécurité, alors ce qui précède n'est pas valide. Je ne connais cependant pas une telle vulnérabilité.

Driftpeasant
la source
Je ne suis pas au courant de problèmes de virtualisation de FreeBSD et de pf, ce qui représente 99% de ce qu'est pfSense (la partie importante de toute façon - le module noyau / pare-feu). Personnellement, je ne le ferais pas en production.
voretaq7
Eh bien oui - ce n'est pas une situation idéale et peut provoquer des maux de tête avec des commutateurs virtuels, des cartes réseau, etc. dans le wazoo. Mais en tant que problème de sécurité, je pense que c'est exagéré.
Driftpeasant
Eh bien pour moi, la boîte pfSense est en quelque sorte deposable, c'est pour mon réseau de "test". Je l'utilise plus pour l'apprentissage que pour la production, donc le risque est plutôt faible. Merci pour l'info.
ianc1215
+1 pour la référence amusante (mais non pertinente) à Weird Al's Virus Alert . Normalement, je ne vote pas pour des raisons frivoles, mais pour une raison quelconque, celle-ci m'a particulièrement chatouillé.
Steven lundi
Ce n'est pas ENTIÈREMENT hors de propos - cela fait référence à la connexion de votre machine en ligne. :)
Driftpeasant
5

Il y a également un danger inhérent à exécuter quoi que ce soit dans un environnement virtuel, quel que soit le type de serveur dont vous parlez. J'ai récemment répondu à une question similaire . Étant donné que votre routeur / pare-feu aura déjà accès à votre réseau interne, il n'y a aucune raison réelle d'attaquer le niveau de l'hyperviseur - il existe déjà de bien meilleurs vecteurs d'attaque.

La seule raison pour laquelle je peux vraiment voir aller après l'hyperviseur est si votre machine virtuelle réside dans une zone démilitarisée. De là, vous pouvez aller après l'hyperviseur et dans une machine sur le réseau interne. Ce n'est pas le cas d'utilisation que vous décrivez.

Personnellement, je garde une copie virtualisée de mon pare-feu à des fins de reprise après sinistre. L'utiliser n'est pas idéal mais c'est une option.

Tim Brigham
la source