VirtualBox a zabezpeceni site
David Pasek
david.pasek at gmail.com
Mon Nov 19 16:52:36 CET 2012
Ahoj,
2012/11/19 Dan Lukes <dan at obluda.cz>
>> V nevirtualizovanych "normalnich" modernich CISCO L3 LAN se to podle me da
>> resit pomoci port-security arp spoofing
>
> K probiranemu tematu to moc neni, takze jen velmi kratce - nezda se, ze by
> arp spoofing nebo IP source guard mohl fungovat i staticky - ty jsou
> navazany na udaje DHCP. A neni zaruceno, ze konkretni server DHCP
> muze/bude/chce pouzivat. Ja treba nemam DHCP na serverech moc rad.
Opravdu to v tomto pripade nepomuze a je to jen ukazka jak se to da
resit ve fyzickem prostredi bez integrace do virtualniho networkingu.
BTW: CISCO arp spoofing jde zapnout nejen proti DHCP, ale jde
konfigurovat i staticky, ale i tak je to pro Mirka zjevne
nepouzitelne.
Koukal jsem zbezne na to VDE a je to teoreticky cesta pro virtualbox
prostredi, ale urcite trnita, coz naznacuje i thread
https://forums.virtualbox.org/viewtopic.php?f=1&t=36492
V threadu je zminovano i to, ze se muze zkusit pouzit Open vSwitch,
ktery jsem zminoval v minulych prispevcich a ten by mel byt pouzitelny
univerzalne pro vice virtualizacnich platforem.
Mimochodem sitarina ve virtualizovanem prostredi je opravdu dulezita a
to je i duvod vzniku projektu typu VDE a Open vSwitch
http://openvswitch.org/
ale kdyz k diskusich sleduju jak se s tim lidi trapi, tak bych nabadal
k prozatimni opatrnosti to dat do produkce a pred tim se s tim poradne
seznamit, k cemuz jsem zatim nenasel svuj volny cas ani vhodny
projekt, kde by to chteli probadat.
Kazdopadne si myslim, ze jsme jiz zmapovali vsechny teoreticke
moznosti a ukazali, ze to rozhodne neni trivialni a je cas si na
rovinu rict, jestli to stoji za to, to v Mirkove konkretnim
virtualizovanem prostredi resit TECHNICKYMI nebo ORGANIZACNE/SMLUVNIMI
PROSTREDKY.
Dale uz to nema smysl resit mailama a v pripade, ze je potreba to
resit TECHNICKYMI PROSTREDKY, tak vybrat jakymi a zacit to testovat.
Prakticke zkusenosti s tim v teto konferenci ocividne nikdo nema. Ja s
tim mam zkusenost ve velkych komercnich virtualizovanych prostredich.
Jedine, kde bych tipoval, ze by ty zkusenosti s open-source resenimi
mohli byt by bylo univerzitni prostredi.
Mozna by k tomu umel jeste neco zajimaveho rict Pechy, ktery se v SUNu
(Oraclu) podili na vyvoji virtualizace. A i kdyz asi dela na
enterprise produktu Solaris Zones, tak by neco k Oracle VirtualBoxu
mohl vedet a k sitarine ma rozhodne blizko a todle je celkem
univerzalni problematika.
--
David Pasek
More information about the Users-l
mailing list