VirtualBox a zabezpeceni site
Miroslav Lachman
000.fbsd at quip.cz
Sun Nov 18 16:52:36 CET 2012
David Pasek wrote:
>> Takze u sebe bych to mozna dokazal taky nastavit nejakym ACL na switchi
>> "per port", jestli to vubec umoznuje.
>>
>>
> Dan te chtel nasmerovat presne timto smerem. Problematika je totiz obecna a
> je jen otazkou jakym zpusobem to resit, jake mas nastroje a ceho chces
> docilit. Je to take o duvere a zodpovednostech.
Na switchi je mi to k nicemu, to uz je "prilis daleko".
>> Jenze tohle vsechno jsou reseni, ktera na ten pripad s VirtualBoxem (nebo
>> jinym hypervisorem) nenaroubuju, tam to potrebuju vyresit uvnitr toho
>> jednoho hostitelskeho serveru.
>>
> S timto tvrzenim nemuzu souhlasit, ale je pravdou, ze ne kazda
> virtualizacni a sitova platfroma umoznuje stejne moznosti, takze je potreba
> si rict jake mam moznosti prave v tom mem prostredi.
Ja potrebuju chranit i ty VM guesty mezi sebou a hlavne hostitele
(hypervisor) pred temi VM guesty, takze cokoliv, co to resit az za
sitovkou serveru, je zkratka pozde.
> Na toto tema jsem napsal prispevek na mem blogu (
> http://davidpasek.blogspot.cz/2012/10/how-to-defend-against-arp.html ),
> nicmene i kdyz se jedna o obecne tema, tak to tam konkretne rozebiram z
> pohledu jine virtualizacni platformy.
>
> Zpatky k tematu ... pokusim se naznacit ruzne moznosti. Konkretni aplikaci
> pro virtualbox ve FreeBSD a tvoje sitove prostredi si budes muset najit sam.
Ty teoreticke principy tebou uvedenych 4 moznosti mi jsou prave tak
nejak obecne zname, spis hledam doporuceni na konkretni reseni na
FreeBSD 9.x, nejlepe od nekoho, kdo to uz na neco podobneho pouziva.
> Moznost 1 - celkem univerzalni detekce arpwatch
To je bohuzel jen oznameni o prusvihu, ale radeji bych prusvihu predesel
(tzn. neumoznit nejakemu VM guestu "sebrat cizi IP")
> Moznost 2 - zavisla na moznostech switche:
> ================================
> Na CISCO svitchich tzv. port-security, kde se nastavuje mapovani MAC-IP.
> Casto se to nastavuje proti DHCP serveru, ktery funguje jako zdroj pravdy o
> mapovani mezi MAC a IP. Jde to nastavit i staticky. Jedna-li se o
> softwarovy switch (bridge) v hypervisoru nebo v tomto pripade ve FreeBSD,
> tak by se to pravdepodobne dalo naimplementovat pomoci ACL pravidel napr.
> L2 rulema v IPFW.
>
> Moznost 3 - zavisla na moznostech site a softwarovem switchi:
> =============================================
> Na routeru nastavit staticke ARP zaznamy (MAC-IP) a pouzit privatni VLANy.
> Bojim se, ze funkcionalita PVLAN neni ve FreeBSD podporovana.
>
> Moznost 4 - zavisla na moznost site a IP adresaci:
> =====================================
> Pouzit VLANy pro kazdy neduveryhodny subjekt/zonu. Kazda VLANa pak ma svoji
> vlastni IP podsit a routuje se to na routeru. Ve virtualnich prostredich je
> trend pouzivat i virtualni routery prave pro totalni izolaci jednotlivych
> vzajemne neduveryhodnych subjektu.
>
> Doufam, ze jsem popsal vsechny teoreticky mozna reseni.
A tady u tech bodu 2, 3 a 4 uz se dostavame tam, kde konci moje
znalosti, jak to prakticky a nejlepe realizovat / jake jsou pro FreeBSD
dostupne nastroje a ktere to umoznuji nejlepe?
Jestli to resit jen s pouzitim IPFW, normalnim bridgem v systemu
(if_bridge), jedna verejna sitovka.
Jestli to nejak poskladat s netgraphem.
Jestli to resit pres VDE, coz je opravdu SW switch, ale nikde jsem k
tomu nenasel popis, jak nastavit nejaky port ACL pro MAC.
Jestli je pro FreeBSD jina moznost SW switche, co by tohle umel...
Klidne si dovedu predstavit, ze vytvorim sadu tapX zarizeni jako "porty
switche", na ne povede trafik z jednotlivych guestu (bridge v nastaveni
VirtualBoxu pro kazdy VM zvlast na samostatny tapX port) a ve FreeBSD
pak mezi externi sitovkou (treba em0) udelat bridge a tam to filtrovat
pomoci IPFW.
Ale je tohle to nejlepsi, nebo aspon dostatecne reseni?
Vim, ze je tohle nelehky dotaz / ukol k reseni, kor na FreeBSD, ale to
je taky ten duvod, proc se tu na to ptam, protoze ty lehci veci si
vetsinou najdu na netu a vyresim sam :o)
S prekvapenim jsem zjistil, ze vetsina lidi tohle moc neresi ani tam,
kde na to nejake nastroje jsou (VMware) a proste nekde nasadi zakladni
instalaci ESX(i) a z vesela instaluji guesty bez premysleni nad tim, co
takovy klient muze napachat, kdyz si zacne "hrat".
Mirek
More information about the Users-l
mailing list