Googling menemukan saya orang yang mengatakan menjalankan firewall / router sebagai mesin virtual "berbahaya" tetapi tidak satupun dari mereka memberikan alasan mengapa itu terjadi. Saya juga menemukan posting dari orang-orang yang berhasil menjalankan firewall seperti pada mesin virtual.
Adakah yang punya pengalaman dengan ini?
Apa yang akan menjadi pro atau kontra dari menjalankan firewall / router pada mesin virtual dalam sesuatu seperti proxmox vs ob mesin fisik?
Jawaban:
Benar-benar cara yang tepat untuk melakukan sesuatu adalah kebalikan dari bagaimana Anda mendekati, jika keamanan adalah perhatian utama. Anda ingin menjalankan router / firewall pada bare metal, dan host VM di dalamnya untuk penggunaan desktop atau server standar.
Maafkan ilustrasi MS Paint jelek saya.
Jika Anda menjembatani VM's NIC dan LAN NIC (dari bare metal OS), mereka dapat muncul sebagai antarmuka "LAN" yang sama untuk keperluan firewall atau perutean.
Sebagian besar masalah keamanan akan terjadi jika seseorang naik ke konsol saat ini sedang berjalan dan menonaktifkan router / firewall VM Anda atau menonaktifkan bridging / unbind NIC Anda dari VM - atau jika seseorang jauh ke dalam sistem dan melakukan itu . Ada kemungkinan, seperti biasa, bahwa perangkat lunak berbahaya dapat melakukan sesuatu yang aneh.
Anda dapat melakukan ini, dan menggunakan perangkat lunak VM apa pun jika Anda mau, tetapi kerugiannya adalah jika Anda menggunakan sesuatu seperti ESX, Anda harus memasukkan RDP ke VM desktop daripada langsung mengakses melalui konsol.
Ada produk komersial seperti Check Point, mantan "VSX" Sistem yang melayani "firewall virtual" pada basis perangkat keras yang diberikan. Jika kita berbicara tentang VMWare atau firewall berbasis cloud yang lebih baik. Anda mengatur firewall "di" cloud untuk mensegmentasi jaringan "internal" cloud "bukan komunikasi antara cloud dan jaringan lain.
Performanya sangat terbatas dan kinerja di cloud dibagikan. Firewall berbasis asic dapat melakukan> 500GBps. Firewall atau switch berbasis VMware tidak <20GBps. Untuk pernyataan LAN NIC bisa terkena flu dari kawat. Anda juga dapat menyatakan bahwa perangkat perantara seperti sakelar, router, ips juga dapat dieksploitasi oleh lalu lintas saat transit.
Kita melihat ini dalam paket "salah bentuk" (alias bingkai, fragmen, segmen, dll.) Jadi orang dapat menyatakan menggunakan perangkat "perantara" tidak aman. NIST Jerman yang disebut BSI menyatakan beberapa tahun yang lalu bahwa router virtual (seperti VDC (Virtual Device Context - Cisco Nexus)) dan VRF (Virtual Route Forwarding) tidak aman. Dari sudut pandang, berbagi sumber daya selalu berisiko. Pengguna dapat mengeksploitasi sumber daya dan mengurangi kualitas layanan untuk semua pengguna lain. Yang mana secara global akan menempatkan seluruh teknologi VLAN dan overlay (seperti VPN dan MPLS) dalam Pertanyaan.
Jika Anda memiliki tuntutan keamanan yang sangat tinggi, saya akan menggunakan perangkat keras khusus dan jaringan khusus (termasuk jalur khusus!) .
Biasanya, mesin virtual terhubung ke jaringan melalui koneksi yang dijembatani (yaitu jaringan berjalan melalui komputer fisik yang sedang berjalan). Untuk menggunakan VM sebagai firewall berarti bahwa semua lalu lintas dapat masuk ke komputer fisik, maka paket dikirim ke VM, disaring dan kemudian dikirim kembali ke komputer fisik. Karena komputer fisik dapat mengambil paket tanpa filter dan bertanggung jawab untuk mendistribusikan paket ke seluruh jaringan, ini dapat dieksploitasi untuk mengirim paket tanpa filter ke seluruh jaringan.