18. Februar 2008

Virtualisierte Firewalls und meine Bauchschmerzen damit

Category: Hacking,Work — Christian @ 22:06

Liest zufällig jemand die ComputerZeitung? Mir ist beim Aufräumen meines Schreibtisches zufällig die Ausgabe vom 8. Januar 2008 in die Finger gefallen, mit einem interessanten Artikel auf Seite 19.

Das Herzzentrum Lahr hat dort auf Basis von Astaro und VMware die Firewalls virtualisiert. Meines Wissens bastelt Phion an einer ähnlichen Idee und Check Point SecurePlatform hab ich auch schon erfolgreich auf VMware installiert. Ich überlege jetzt schon seit einiger Zeit ob virtuelle Firewalls wirklich eine sichere Lösung darstellen können.

Meine Datenbasis:

1. Die Secunia-Statistik zum VMware ESX Server 3.0

Vielleicht bin ja nur ich paranoid, aber für meinen persönlichen Geschmack sind das ein paar CVEs zuviel für ein Device, das direkt im Internet steht (nein, man kann die Firewall nicht in die DMZ stellen!). Auch wenn viele der Probleme nicht remote ausnutzbar sein werden habe ich insgesamt kein so gutes Gefühl dabei. Und hat jemand am 05.04. den CVE-Eintrag von 2003 gesehen? Da hat sich hemand viel Zeit beim Beheben des Fehlers gelassen. Aber weiter im Text.

2. VMware ESX kann ja auch nicht grad alles, was man von einer Firewall benötigt (ich kenne Firmen die mit 64 Interfaces nicht auskommen):

    „Nachteilig wirkt sich die notwendige Komplexitätssteigerung im Switching-Bereich aus. Weil unter ESX maximal vier virtuelle Netzwerkkarten möglich sind, musste Hussy (der IT-Leiter, Anm.) mittels VLA-Tagging und einer komplexen Switchkonfiguration samt Verkabelung nachhelfen.“

Anders ausgedrückt, diverse früher physikalisch getrennte Sicherheitszonen sind jetzt in VLANs auf den Switchen zusammengefaßt und man hofft, die Switch-Konfiguration im Griff zu haben. Ok, laut beiligender Zeichnung war man klug genug, für „Outside“ ein dediziertes Netzwerkinterface mit dem virtuellen Firewall-System zu verbinden.

Trotzdem … ein kleiner billiger NetScreen 5GT HA Cluster kostet nur 3000 Euro (und damit weniger als eine einzelne Astaro-Lizenz) und ich habe eine dedizierte Hardware. Für den Astaro-Preis kann ich auch fast schon Check Point kaufen und wenn das Gerät unterdimensioniert ist, einfach eine andere Hardware unter die SecurePlatform schieben. Oder ist das eine saucoole Lösung und ich bin nur zu blöd, das zu sehen?
Nachtrag: 

Und wenn ich sowas schon installiere, ist es dann klug, daraus eine „Success Story“ zu machen, damit auch jeder im Internet weiß, wo er potentiell angreifbare Firewalls auf VMware-Basis findet, die beim nächsten VMware ESX Remote Exploit dem verantwortlichen IT-Leiter um die Ohren fliegen. Oder ist das saucool weil man sooo viel Geld damit spart und ich bin nur zu blöd …

5 Comments

  1. Ich koennte mir vorstellen verschiedene Proxy-Loesungen *in* einer DMZ mit Hilfe eines ESX umzusetzen. Aber, das ist meine Meinung, eine virtualisierte Firewall hat in einem Bereich, wo es um hohen Schutzbedarf geht, nicht unbedingt was zu suchen. Kosten sind eben nicht alles. Wobei… Ich denke man sollte statt der 5GT lieber gleich den Schritt zu den „neuen“ SSGs, hier also der SSG5, machen. Neben einem aktuellen OS ist die neue Serie in fast allen Bereichen besser (Anzahl Sessions, Policies, Performance, etc.)

    Comment by ports — 19. Februar 2008 @ 22:54

  2. Das Problem mit der ESX „in“ der DMZ ist, daß sich viele Firmen nicht konsequent an die Trennung halten. Ich kenne ein paar Installationen bei kleinen mittelständischen Unternehmen, da läuft auf dem ESX z.B. ein virtualisierter Webserver in der DMZ und ein virtualisierter Proxy im LAN. Der ESX hat dann ein physikalisches Interface in der DMZ und das andere im LAN. Wenn es einem Angreifer gelingt, erst den Rechner in der DMZ zu hacken und dann auf das ESX-System runterzukommen, dann ist er leider auch im LAN. Bequem an der Firewall vorbei.

    Zur 5GT, da hast Du natürlich recht. Die SSG hat einige Vorteile gegenüber der 5GT, die war nur zufällig der letzte Cluster den ich selbst installiert habe.

    Comment by Christian — 19. Februar 2008 @ 23:06

  3. Da erinnere ich mich doch an einen Besuch beim Kunden, der mir seine neue
    Firewall mit 3 Interfacen (intern, DMZ, extern) vorstellte.

    Als ich nachfragte, wo den die anderen beiden Anschlüsse wären, erfuhr ich
    das es sich um 3 VLAN-Interface handeln würde !

    Der gesamte Traffic lief also über ein und denselben Switchport.
    Galvanische Trennung kann man das nun wirklich nicht nennen.

    AUA

    Comment by Sebastian — 27. Februar 2008 @ 13:02

  4. Hihi, das kenne ich auch. Da gibts sogar ein Fachwort: „Firewall on a Stick“, eine Firewall mit nur einem Interface über das alles per VLAN läuft.

    Comment by Christian — 28. Februar 2008 @ 01:09

  5. Kommentare gesperrt wegen Spam

    Comment by Christian — 28. Mai 2010 @ 09:54

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.