Я читал на нескольких форумах о pfSense, в которых говорилось, что виртуализация pfSense опасна. Причина, по которой было указано, заключается в том, что злоумышленник может использовать pfsense в качестве плацдарма для атаки на гипервизор, а затем использовать его для получения доступа к другим виртуальным машинам и в конечном итоге отключить все.
Это звучит безумно для меня, но есть ли в этой идее клочок реальности? Является ли запуск маршрутизатора на виртуальном сервере плохой идеей?
Ответы:
Аргументы, которые люди обычно приводят против этого, - это безопасность самого гипервизора, что, как доказала история, не представляет большой проблемы. Это всегда может измениться, но еще не было каких-либо существенных повторяющихся проблем безопасности гипервизора. Некоторые люди просто отказываются доверять этому без уважительной причины. Речь идет не о нападении на другие хосты, если кто-то владеет брандмауэром, в этом случае не имеет значения, где он работает, и из всех вещей, которые могут быть скомпрометированы, брандмауэр УДАЛЕН в списке, если вы не сделаете что-то глупое, такое как open его управление для всего Интернета с установленным паролем по умолчанию. У этих людей есть какой-то иррациональный страх, что будет какой-то волшебный пакет «root ESX», отправленный из Интернета через один из его мостовых интерфейсов, который ' Как-то собирается что-то сделать с гипервизором. Это невероятно маловероятно, существуют миллионы более вероятных способов взлома вашей сети.
Многочисленные производственные центры обработки данных запускают pfSense в ESX, я сам установил, вероятно, более 100 единиц. Наши брандмауэры работают в ESX. Из всего этого опыта единственной парой небольших недостатков виртуализации ваших брандмауэров являются: 1) если ваша инфраструктура виртуализации выходит из строя, вы не сможете найти ее для устранения неполадок, если вы физически не находитесь в этом месте (в основном применимо к центрам обработки данных Colo). Это должно быть очень редко, особенно если у вас есть CARP, развернутый с одним брандмауэром на физический хост. Однако я иногда вижу сценарии, когда это происходит, и кто-то должен физически пойти в это место, чтобы увидеть, что не так с его гипервизором в качестве виртуального брандмауэра, и единственный путь к нему тоже не работает. 2) Более склонны к ошибкам конфигурации, которые могут создавать проблемы безопасности. Если у вас есть vswitch нефильтрованного интернет-трафика и один или несколько из трафика частной сети, есть несколько возможностей для попадания нефильтрованного интернет-трафика в ваши частные сети (потенциальное влияние которого будет варьироваться от одной среды к другой). Это очень маловероятные сценарии, но гораздо более вероятные, чем аналогичные ошибки в среде, где полностью ненадежный трафик никак не связан с внутренними хостами.
Ни один из них не должен удерживать вас от этого - просто будьте осторожны, чтобы избежать перебоев в сценарии 1, особенно если это происходит в центре обработки данных, где у вас нет готового физического доступа, если вы потеряете брандмауэр.
Во всем, что связано с интернетом, есть опасность.
Процитирую бессмертного странного Ала:
Выключите компьютер и убедитесь, что он выключен.
Бросьте его в яму в сорок три фута в земле.
Закопайте его полностью; камни и валуны должны быть в порядке.
Тогда сжигайте всю одежду, которую вы могли носить в любое время, когда вы были в сети!
Все, что вы подвергаете воздействию внешнего мира, имеет поверхность для атаки. Если вы используете pfSense на выделенном оборудовании и оно скомпрометировано, у вашего злоумышленника теперь есть трамплин для внутренней атаки. Если ваша виртуальная машина pfSense скомпрометирована, у злоумышленника есть дополнительный вектор атаки - инструменты гипервизора (если вы их установили) - с которыми можно работать, но в этот момент ваша сеть уже взломана, и вы находитесь в мире в любом случае
Так что менее безопасно использовать виртуализированный экземпляр pfSense? Да, незначительно. Это то, о чем я буду беспокоиться? Нет.
РЕДАКТИРОВАТЬ: После дальнейшего рассмотрения - если в pfSense есть конкретная ошибка, о которой я не знаю, в которой есть проблемы с виртуализированными сетевыми картами, которые каким-то образом создают уязвимость системы безопасности, то вышеупомянутое недопустимо. Однако я не подозреваю о такой уязвимости.
Существует некоторая внутренняя опасность запуска чего-либо в виртуальной среде, независимо от того, о каком сервере вы говорите. Я недавно ответил на аналогичный вопрос . Поскольку ваш маршрутизатор / брандмауэр уже будет иметь доступ к вашей внутренней сети, нет реальной причины атаковать уровень гипервизора - уже есть гораздо лучшие векторы атаки.
Единственная причина, по которой я могу видеть гипервизор, заключается в том, что ваша виртуальная машина находится в демилитаризованной зоне. Оттуда вы можете пойти за гипервизором и в машину во внутренней сети. Это не тот случай использования, который вы описываете.
Лично я храню виртуальную копию своего брандмауэра для целей аварийного восстановления. Использование этого не идеально, но это вариант.