VM & Firewall

[HerrGausS]

Hallo!

Braucht man innerhalb einer VirtualMachine unter Win7 eigentlich eine Firewall/ einen Virenschutz?

Benutze WIn7-x64 mit MS VirtualPC und XPModus.

Und von der Logik her müsste jede Application, die aufs Netz zugreift, auch angreifbar sein, oder?

Was meint Ihr? Wie ist der Stand der Technik?

[Bob.Dig]

Wenn du auch sonst einen brauchst, dann ja. Zumal diese VM sich ja auch teilweise mit ins Hostsystem integriert.

[HerrGausS]

Wie sieht es da bei anderen, vergleichbaren VMs aus? VirtualBox? VMWare?

[ElGrande-CG]

Da gilt das gleiche.

[fdsonne]

ich versteh die Frage so recht nicht...
Woher sollen wir wissen, was du brauchst?
Du ganz allein definierst, wie sicher du dein System/deine VMs schützen willst... Da kann dir eigentlich niemand was empfehlen

[HerrGausS]

ich versteh die Frage so recht nicht...
Woher sollen wir wissen, was du brauchst?
Du ganz allein definierst, wie sicher du dein System/deine VMs schützen willst... Da kann dir eigentlich niemand was empfehlen

Es hieß vor gar nicht allzulanger Zeit mal: Virtuelle Systeme sind vor Angriffen sicher und geschützt.
Sowohl für VMs wie für virtuelle Adapter a la Intel wurde das gross propagiert.

Gut zu wissen das dem nicht so ist.

[Bob.Dig]

Kommt auf die Konfiguration an. Wenn man alles richtig einstellt, dann ist das schon ne sichere Sache.

[underclocker2k4]

Du verdrehst da was.

Ein normales OS ist erstmal genauso angreifbar, wie jedes andere System wie es bei dir zu Hause steht, wenn es eben um den Zugriff übers Netzwerk geht.

VMs als System sind auch über den Virtualisierer angreifbar, daher wird in Serverumgebungen eben auf Systeme gesetzt, die keine Angriffsmöglichkeit bieten, da sie keine bzw nur sehr wenige Dienste bereitstellen.
Wenn man jetzt zB ein ESX Server nimmt und darin eine VM am laufen hat, dann kommt man über den Weg des ESX nur bedingt an die VM ran. Hängst du diese VM aber nakt ins Internet, dann kannst du die Uhr danach stellen, bis das System befallen ist.

Wenn du eine VM hast und diese ohne Netzzugang betreibst, dann ist das eine Sandbox und an diese kommt man im Regelfall nur schwer ran, außer eben über den Weg des Virtualisierers.

Daher wird auch nicht empfohlen IPCOP oder IPFIRE zu virtualisieren, weil da eben eine Schicht zwischen HW und OS sitzt, die das FirewallOS nicht kontrollieren kann. Und das hat eben den oben genannten Hintergrund.

Es ist also alles eine Frage, was man mit angreifbar meint.

[HerrGausS]

Nächste Frage:
Machen virtuelle Schnittstellen (zb wie Intel das anbietet) das Netzwerk weniger angreifbar?

[ElGrande-CG]

Was verstehst du unter einer virtuellen Schnittstelle?

[FLiNTx]

Daher wird auch nicht empfohlen IPCOP oder IPFIRE zu virtualisieren, weil da eben eine Schicht zwischen HW und OS sitzt, die das FirewallOS nicht kontrollieren kann. Und das hat eben den oben genannten Hintergrund.

Quelle?
Ich würde eher sagen "Es kommt stark auf den Virtualisierer an, ob das empfehlenswert ist"...

Windows XP SP1 mit VirtualPC beta2 kannste sicher gleich sein lassen...

Auf nem ESX mit entsprechendem Setup sollte das aber durchaus einsetzbar sein, zumal dort zum einen die zusätzliche Schicht eher minimalistisch ist und damit fast keine Angriffsfläche bietet und zum anderen die (virtuelle) Hardware für deine Firewall exakt definiert und damit weniger Fehleranfällig sein sollte...

[underclocker2k4]

Eine Quelle wofür?

Dass eine Firewall davon lebt, dass sie alleine mit der Hardware kommunizieren sollt und das dediziert?
oder
Dass Virtualisierer immer eine Abstraktionsebene bilden und damit "etwas" zwischen HW und Software(Firewall) sitzt?
oder
Dass Virtualisierer, so gut sie sein mögen, immernoch, bisher unbekannte, Sicherheitslücken enthalten können und damit potentiell neben Sicherheitslücken in der Firewall diese nochzusätzlich die Schutzfähigkeit eines solchen System untergraben?

Und egal wie minimalistisch diese Schicht sein mag, sie hat eine "Dicke" und bietet damit potentiell Einstiegspotential. Dass ich mich keines Wegs auf WinXP und V-PC bezogen habe, sollte wohl klar sein, da solche Systeme (Type2 hypervisor) nochmal ne Abstraktionsschicht einbauen.

Die Frage die sich eigentlich stellt, wie weit geht mein Schutzbedürfnis und was bin ich bereit dafür zu investieren. Für den Ottonormale, der evtl seinen 0815 Router ersetzen möchte, mag die einfachste Form der virtualisierten Firewall ausreichen. Der nächste Schritt ist der Einsatz von passthrough in Bezug auf Netzwerkkarten, somit ist schonmal der reine Kommunikationsweg außen vor und der entgültige Schritt ist dann die dedizierte HW.

www.ipcop-forum.de :: Der (Un)IPCop
Das ist zb eine Quelle. Das ist aber schon etwas älter und so einiges trifft so nicht mehr zu (insbesondere der Bezug zu den Schnittstellen an sich), der Grundtenor ist aber dennoch gegeben. Firewall, ein System "ohne" Dienste und Schnickschnack und das trifft auf alle Virtualisierer zu, mal stärker, mal schwächer.,

[FLiNTx]

Eine Quelle wofür?

Dass eine Firewall davon lebt, dass sie alleine mit der Hardware kommunizieren sollt und das dediziert?
oder
Dass Virtualisierer immer eine Abstraktionsebene bilden und damit "etwas" zwischen HW und Software(Firewall) sitzt?
oder
Dass Virtualisierer, so gut sie sein mögen, immernoch, bisher unbekannte, Sicherheitslücken enthalten können und damit potentiell neben Sicherheitslücken in der Firewall diese nochzusätzlich die Schutzfähigkeit eines solchen System untergraben?

Uiuiui, da hat aber einer schlecht geschlafen heute... :-D

Ich meine eine Quelle die sich mit den Vor- und Nachteilen einer virtualisierten Firewall-Lösung befasst und dann zu dem Schluss kommt, das sei "nicht empfehlenswert"...
Das es sicherlich bessere (im Sinne von "sicherere") Lösungen gibt ist mir durchaus klar... Ob und was zum Einsatz kommen kann hängt, wie du selbst schreibst, stark von den Anforderungen und dem Einsatzgebiet ab...

Die Frage ist aber doch, ob das potentielle Risiko durch die zusätzliche Virtualisierungsebene die Vorteile durch die einheitliche Hardwarebasis und die kontrollierten, isolierten Bedingungen in einer VM aufhebt. Und wenn - wie eklatant ist dieses Risiko...

Da es zig FW-Distributionen gibt, die direkt "ready-for-production" VM-Ware Images liefern würde ich zumidest mal behaupten, dass die Fragestellung durchaus diskussionswürdig ist :-)

Ansonsten sind wir damit glaub ich ziemlich OT :-)

[underclocker2k4]

Diese Frage ist durchaus diskussionswürdig.

Sicherlich gibt es out of the box Images, weil es eben eine Möglichkeit ist, eine Firewall zu implementieren. Es ist aber, leider, nicht die Sicherste, da es prinzipbedingt mehr "Hintertürchen" gibt.

Es ist ja nun nicht so, dass bei einer virtualisierten FW plötzlich alle Türen und Tore offenstehen, zum Glück nicht, sonst hätten die Virtualisierer ein echtes Problem.
Dennoch ist eben, unter dem Punkt der Sicherheit, ein dediziertes System dem Virtualisierten vorzuziehen.

Leider geht es nicht immer, die Gründe mögen vielfältig sein, dass man eine dedizierte Lösung aufbaut, dann bietet die virtualisierte Variante einen einfach und kostengünstigen, wenn nicht sogar fast kostenlosen, Weg eine solche Firewall aufzusetzen.

Gerade durch den Einsatz von passthrough HW werden grundlegende Kommunikationswege am Virtualisierer vorbei der FW zugeführt, was, meiner Meinung nach, die Sicherheit extrem verbessert (hat). Denn so bleibt eigentlich nur noch der Weg über irgendwelche Speicherlegs und ähnliches und das ist schon schwer, aber nicht unmöglich.

Daher sollte man, wenn man sich genötigt fühlt eine FW zu virtualisieren, zusehen, dass man dies auf einem type1 hypervisor macht und dann das Feature des passthrough nutzt.

Stellt sich auch die Frage, in wieweit es sinnvoll ist überhaupt auf solche Typ FWs zu setzen. Wenn das Sicherheitsbedürfnis so groß ist, dass man sich über Einstiegspunkte einer virtualisierten FW Gedanken macht, dann ist der Griff zu einer "echten" FW appliance evtl der bessere Weg.

Das sind aber Sachen, die jeder für sich, bzw sogar sein Unternehmen, beantworten muß.

Und ich denke schon, dass es darüber den einen oder anderen Fachartikel gibt, denn wir reden hier über IT Sicherheit und nicht darüber(Vor-/Nachteile), dass irgendwo nen neuer Speicherriegel das Licht der Welt erblickt hat. Wenn man da etwas recheriert, wird man sicherlich fündig. (man liest auch sehr viel, dass irgendwann etwas gelesenes als gegeben hingenommen wird, ohne zu wissen, wo man das eigentlich her hat, die IT Welt bewegt sich sehr schnell, lieder, oder zum Glück?)

Und nein, ich habe net schlecht geschlafen, nur etwas zu kurz. ^^

Und wir sind nicht OT, es geht um Firewalls und VMs. Wobei sich der TE noch nicht so richtig erklärt hat, wo er denn ist und wo er hin will.

[fdsonne]

Quelle?
Ich würde eher sagen "Es kommt stark auf den Virtualisierer an, ob das empfehlenswert ist"...

Windows XP SP1 mit VirtualPC beta2 kannste sicher gleich sein lassen...

Auf nem ESX mit entsprechendem Setup sollte das aber durchaus einsetzbar sein, zumal dort zum einen die zusätzliche Schicht eher minimalistisch ist und damit fast keine Angriffsfläche bietet und zum anderen die (virtuelle) Hardware für deine Firewall exakt definiert und damit weniger Fehleranfällig sein sollte...

Um mich an der Stelle mal mit einzuklinken... Im Grunde steht diese Betrachtungsweise gar nicht zur Debatte...
Eine abschließende Firewall zum Trennen von internem und sozusagen überwachtem LAN und dem public Internet ist eigentlich genau dafür da, um mögliche Kommunikationen zu reglementieren. Geht man nun wie du an die Sache ran, das man sich einerseits die Tür verbarrikadiert, schafft man zwar Sicherheiten auf herkömmlichen Weg, der virtualisierer unten drunter reist aber unbekannte Türen auf, welche so ohne weiteres wiederum nicht zu überwachen sind. Und das ist der Punkt an dem sich diese Diskusion für gewöhnlich gar nicht stellt.

Die Firewall sollte im optimal Fall völlig unabhängig als Tür zur Außenwelt fungieren. Alles was man dann zusätzlich an Löchern in die Wand kloppt, heben unter Umständen die Firewall als sichere Tür vollkommen aus.
Und schaut man sich das ganze mal über die letzten Jahre an, so bekommen auch vermeindlich sichere Systeme immer wieder Sicherheitsupdates, teils zu mal mehr mal weniger kritischen Sachen.
Unterm Strich stellt sich also rein aus Sicherheitssicht die Frage überhaupt nicht, ob ne Firewall virtualisiert werden sollte/kann oder nicht.

Geht man nun einen Schritt weiter und spricht über mögliche Risiken, dann ja, dann stellt sich die Frage, hier kann man dann auch Risiken abschätzen und ggf. Entscheidungen treffen ob oder ob nicht sinnvoll für den Einzelfall. Abschließend bleibt eine virtualisierte Firewall Lösung dennoch immer um einen undefinierbaren Faktor mehr angreifbar, als eine physisch getrennte Hardwarelösung.

[FLiNTx]

Im Grunde steht diese Betrachtungsweise gar nicht zur Debatte...
Eine abschließende Firewall zum Trennen von internem und sozusagen überwachtem LAN und dem public Internet ist eigentlich genau dafür da, um mögliche Kommunikationen zu reglementieren. Geht man nun wie du an die Sache ran, das man sich einerseits die Tür verbarrikadiert, schafft man zwar Sicherheiten auf herkömmlichen Weg, der virtualisierer unten drunter reist aber unbekannte Türen auf, welche so ohne weiteres wiederum nicht zu überwachen sind. Und das ist der Punkt an dem sich diese Diskusion für gewöhnlich gar nicht stellt.

Es gibt aber auch noch drei bis fünf andere Szenarien in denen man eine Firewall einsetzen kann/darf/will, als einen Internetanschluss abzuriegeln... ;-)

[fdsonne]

Das ändert aber nix am eigentlichen Thema, nämlich das auf der einen Seite ein als Sicherer Part und auf der anderen Seite ein Unsicherer Part als Netz definiert ist. Mit dem Schalten der Firewall über eine VM öffnet man gleichsam unbekannte Türen für beide Netze.

[FLiNTx]

Das ändert aber nix am eigentlichen Thema, nämlich das auf der einen Seite ein als Sicherer Part und auf der anderen Seite ein Unsicherer Part als Netz definiert ist. Mit dem Schalten der Firewall über eine VM öffnet man gleichsam unbekannte Türen für beide Netze.

Es ist ja aber auch nicht so, dass du mit ner virtualisierten Lösung ein mit Leuchtreklame gespicktes Scheunentor aus Pappe in deine Festungsmauer einbaust...
Richtig konfiguriert bietet der Virtualisierer nach Aussen ja schonmal keine Dienste an - du bräuchtest also schon einen ziemlich spezialisierten Angriff auf ein potentiell vorhandenes Problem... Oder aber du versuchst über eine der anderen VMs auf den Host oder die Firewall-VM zu hüpfen... sicher alles irgendwie möglich, aber auch nicht viel einfacher als der "Klassische Weg"...

Wie gesagt, niemand bestreitet, dass eine HW-Lösung der Königsweg ist - aber du musst auch mal im Hinterkopf behalten, von was wir hier eigentlich reden: Diese ganzen FW-Distris (IPCop, IPFire, usw.) bieten nach Innen und ggf. auch Aussen noch zig andere Dienste an - DHCP, DNS, Proxy, FTP und was es da noch alles vorgefertigt für gibt...
Klar, sowas gehört nicht auf eine Firewall - aber sind wir doch mal ehrlich - die würden das nicht entwickeln, wenns nicht nachgefragt und benutzt werden würde... Und in so einer Kombination ist das zusätzliche Risiko durch den VM Layer ziemlich egal...

Es kommt immer auf den Einzelfall, das individuelle Schutzbedürfnis und das dahinter stehende Konzept an, ob eine virtualisierte FW-Lösung geht oder eben nicht... Pauschal zu sagen "Virtuelle FW geht nicht" ist mmn schon deshalb verkehrt, weil eine Virtuelle FW - egal wie groß das nicht vorhandene Scheunentor wäre - in 99,9% der Fälle immernoch besser wäre als garkeine...

[fdsonne]

Es bleibt dennoch ein Schönreden des Themas... Fakt ist, es ist unsicherer, weil mehr Angriffsfläche vorhanden ist. Daran gibts nichts zu rütteln.

Wie ich schon sagte, im einzel Fall kann das Mehrrisiko durchaus als unwichtig abgeschätzt werden. An der eigentlichen Definition ändert das aber nix.
Aber sei es drum, jeder darf durchaus selbst entscheiden, wie er das Thema handhabt

Ich nutze bei mir als zentrale Firewall ne Hardware Appliance von Nortel, welche mein internes LAN und ne DMZ terminiert. In der DMZ tuckern ein paar Maschinen (welche auf einem ESXi laufen) die Dienste im INet bereit stellen bzw. potentiell Zugriff übers INet haben (NAT)
Des weiteren hat eine Astaro VM als Proxy und Mailgateway ihre Beine in der DMZ, sowie ein MS ISA Server als reverse Proxy.
Bei mir ist also ebenso ein Teil der Sicherheitslösung virtualisiert

[Sephrox]

Wenn die VM auf bridge geschaltet ist und sozusagen "nackt" im Netz hängt und dort jetzt bewusst ein Virus / Trojaner / Malware raufkommt ist das Hostsystem angreifbar? Die vmdk Disk Files könnten über die Virtualisierung Zugang zum Hostsystem erhalten und Schaden anrichten?
Hab ich das richtig verstanden?

[fdsonne]

Nein

Es ist eher so, das nicht 100% Sicher zu gehen ist, das ein potentieller Angreifer nicht in irgend einer Weise Zugriff über eine Sicherheitslücke auf den virtualisierungs Host bzw. das Host Betriebssystem erhält, wo die VMs drauf tuckern. Sprich man öffnet dem potentiellen Angreifer eine Tür zum Ansetzen von Eindringversuchen.
Anders sieht es bei einer dedizierten Hardwarelösung aus. Dort besteht zwar ebenso die Möglichkeit, dass der Angreifer durch eine Sicherheitslücke in der Firewalllösung sich "Zutritt" verschafft, aber er hat keine Möglichkeit vorbei an der Firewall Lösung zu agieren.
Nehmen wir jetzt mal als Beispiel eine Softwarefirewalllösung ala IPCop, IPFire oder sogar ne Astaro, besteht bei straight auf Hardware installierter Software zwar die Einbruchschance in Form einer Softwarelücke (Risiko bei beiden Versionen identisch hoch), die Installation auf einer VM bringt aber zusätzlich noch die Angriffsfläche mit, über den Host selbst weiter angreifbar zu sein. (Risiko addiert sich dem Risiko über Softwarelücken der Firewalllösung und ist somit immer höher)

Wie das schlussendlich ausschaut, kann nicht pauschal gesagt werden. Da wir als User keine Sicherheitslücken kennen. Fakt ist aber, das auch der Marktführer in Sachen Virtualisierungslösungen alle paar Wochen/Monate Sicherheitslücken schließt. Was eigenltich nur zeigt, das eben Angriffsfläche praktisch vorhanden ist.
Allein aus Sicherheitssicht wäre es also Fatal womöglich teuer Geld in eine Sicherheitslösung zu stecken, welche sich durch eine Lücke im Virtualisierungssystem einfach ausheben lässt, nur weil man das Produkt unbedingt virtuell betreiben wollte.

[0711]

nicht nur lücken im virtualisierungshost selbst sind in so einem aufbau kritisch zu sehen, denn durch fehler in er virtualisierung kann auf speicherbereich der anderen vm`s unter umständen zugegriffen werden, gerade wenn (wie üblich) memory overcommitment zum einsatz kommt.

generell gilt als empfehlung für firewalls auf vms (bzw generell als security leitfaden - jaja theorie und praxis klaffen hier auseinander):
- es sollten sich auf einem host/gemeinsamen cluster möglichst nur systeme einer sicherheitsstufe befinden
-> sprich dmz vm`s laufen nur neben anderen dmz vm`s oder halt eine virtualisierte fw läuft nur auf einer hw auf der auch nur "gleichberechtigte" fw`s ihren dienst tun. Allerdings setzt man bei fw virtualisierung wenn dann i.d.R. auf funktionen der firewall selbst um durch fehler von dritten nicht mehr angriffsfllcähe zubieten (cisco asa kann das z.B.)

Bevor man eine fw neben normalen hosts als "filter" einsetzt ist eine überlegung zur individuellen abschottung (ipsec, pfw o.ä.) eher anzuraten...wobei auch irgendwann mal die frage nach dem nötigen schutzniveau aufkommt.

Ich merke aber grad dass ich vielleicht zu weit vom privatsektor abgedriftet bin


@topic
wenn du die vm per nat angeschlossen hast, sehe ich keinen bedarf daran
wenn du n bridged netzwerk hast wäre es anzuraten.

Bezüglich deiner intel frage, ich nehme an du meinst hier die managementschnittstellen und quatsch...erhöht meiner ansicht nach die angriffsfläche.