Server v datacentru - virtualizovaný firewall

Server v datacentru - virtualizovaný firewall
« kdy: 20. 09. 2019, 18:12:02 »
V kanceláři máme server se třemi virtuálními stroji (db, mail, www), je připojen za HW firewallem. Nyní bych chtěl tento server dát do serverhousingu. Je nesmysl nainstalovat firewall jako jeden virtuální stroj přímo na tento server?

Server má čtyři síťová rozhraní, jedno s veřejnou IP bych použil jako WAN, druhé jako LAN. Administrace hostitele by byla pouze z LAN rozhraní.

Nebo je lepší na každém virtuálním stroji nastavit firewall individuálně a přidělit každému virtuálnímu stroji zvláštní IP adresu.

 


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Server v datacentru - virtualizovaný firewall
« Odpověď #1 kdy: 20. 09. 2019, 19:03:26 »
Často se používá Proxmox server (virtualizace) s tím, že je na něm spuštěna jedna virtuálka s pfSenese, která "schovává" ostatní virtálky

Záleží, co za funkcionality od firewalu požadujete

Re:Server v datacentru - virtualizovaný firewall
« Odpověď #2 kdy: 21. 09. 2019, 10:42:13 »
Firewall v rámci OS je nezbytností. V rámci OS můžete filtrovat např. podle vlastníka procesu - to je šikovné např. na firewallování ochozích spojení. Docela se to hodí, např. webserver (www-data apod.) může mít zakázané odchozí spojení, nebo jen na vyjmenované cíle - čímž efektivně omezíte rizika zesilovacích útoků.

Nicméně, pokud už se útočník do OS dostane, tak má možnost vypnout i firewall (výjimkou je BSD kern.securelevel, který firewall zamkne a nejde bez rebootu už měnit). Proto je zároveň nutné mít i předřazený firewall.

David

  • ***
  • 143
    • Zobrazit profil
Re:Server v datacentru - virtualizovaný firewall
« Odpověď #3 kdy: 21. 09. 2019, 13:19:24 »
Také to chci mít takhle, že na proxmoxu budu mít virtualni Mikrotik CHR a ostatní virtualky budou komunikovat přes něj. Jen detail je, že dokud nenabehne tento virtualni router, nebude přístupný ani host (Proxmox). Nebo budu muset dát IP adresu už na něj a ne až na CHR.

Re:Server v datacentru - virtualizovaný firewall
« Odpověď #4 kdy: 21. 09. 2019, 16:27:09 »
Od okamžiku, kdy jsem jel do Plzně Potvrdit nějakou dementní hlášku stávkujícího Proliantu aby nastartoval hypervizor, vyhýbám se tomu. Normálně bych ji vyřešil přes iLO, ale mohl jsem si tak leda trhnout.
Fungovat to bude, ale HW řešení má jednu zásadní výhodu - s diagnostikou vám může pomoct i obsluha datacentra v rámci "remote hands-on". Nebo třeba baba na vzdálené pobočce- minimálně zvládnou zjistit, jestli FW svítí nebo nesvítí.


Re:Server v datacentru - virtualizovaný firewall
« Odpověď #5 kdy: 21. 09. 2019, 16:45:15 »
V kanceláři máme server se třemi virtuálními stroji (db, mail, www), je připojen za HW firewallem. Nyní bych chtěl tento server dát do serverhousingu. Je nesmysl nainstalovat firewall jako jeden virtuální stroj přímo na tento server?

Server má čtyři síťová rozhraní, jedno s veřejnou IP bych použil jako WAN, druhé jako LAN. Administrace hostitele by byla pouze z LAN rozhraní.

Nebo je lepší na každém virtuálním stroji nastavit firewall individuálně a přidělit každému virtuálnímu stroji zvláštní IP adresu.

 

Používali jsme to, jak už tu bylo uvedeno, je třeba dbát i na nějaký recovery přístup, ale i to je řešitelné.

Re:Server v datacentru - virtualizovaný firewall
« Odpověď #6 kdy: 21. 09. 2019, 19:15:53 »
Také to chci mít takhle, že na proxmoxu budu mít virtualni Mikrotik CHR a ostatní virtualky budou komunikovat přes něj. Jen detail je, že dokud nenabehne tento virtualni router, nebude přístupný ani host (Proxmox). Nebo budu muset dát IP adresu už na něj a ne až na CHR.

Smysluplný approach je také takový, že pro management VPS máte veřejnou IP adresu, ale opravdu velmi jednoduchými prostředky (= spolehlivými) ji máte zabezpečenou. Na BSD to řeším tím, že v rc.conf natahuju firewall asi o pěti řádcích, aby se co nejdřív zavřely všechny porty. Teprve dalším scriptem chvíli po bootu otevírám porty. Tím neriskuji, že chybou scriptu nenaběhne firewall úplně.

Na management interfacu dává smysl pouštět jen sshd, bez root loginu a vyžadovat ověření klíčem.

Mimochodem: je obrovský úlet jak Linuxu, tak BSD, že nelze kernel spustit s default drop na všech interfacech. Díky tomu vždy existuje riziko, že script spouštějící firewall nenaběhne a vše zůstane otevřené. Když si vezmu, že toto Microsoft opravil v XP SP1 (rok 2002 nebo kdy?), považuji to od Linuxu i od BSD za úlet. Přitom by na to stačil jeden parametr jádra.


Re:Server v datacentru - virtualizovaný firewall
« Odpověď #7 kdy: 26. 09. 2019, 22:49:05 »
Čistě na proxmox iptables se mi nepodařilo rozjet škálování na více jader úplně korektně (zřejmě to rozděluje na jádra softwarově, což hodně degraduje výkon a při menším ddosu to zaflákne systém), takže já teď před servery dávám ještě extra mašinu jako router a stávající stroj bude jen jako záložní. 

Otevřený porty považuju za problém, pokud tam byly desítky nabořených aplikací jako jsou defaultně ve windows, ale při instalaci jako server, je tam maximálně ssh (nebo alespoň v debian distribuci, zaškrtávám jen ssh server a nic jinýho než ssh skutečně neodpovídá). A možnost nastavit jádro samozřejmě je, ale bohužel asi ne ani v menu kompilace jádra, takže je zřejmě nutné upravit zdrojáky přímo (zrovna jsem teď dělal kompilaci, tak se můžu podívat).

Rhinox

  • ***
  • 107
    • Zobrazit profil
    • E-mail
Re:Server v datacentru - virtualizovaný firewall
« Odpověď #8 kdy: 27. 09. 2019, 12:01:24 »
Také to chci mít takhle, že na proxmoxu budu mít virtualni Mikrotik CHR a ostatní virtualky budou komunikovat přes něj. Jen detail je, že dokud nenabehne tento virtualni router, nebude přístupný ani host (Proxmox). Nebo budu muset dát IP adresu už na něj a ne až na CHR.

Smysluplný approach je také takový, že pro management VPS máte veřejnou IP adresu, ale opravdu velmi jednoduchými prostředky (= spolehlivými) ji máte zabezpečenou.

Tak tohle opravdu nedoporucuju! Hypervisor by mel delat jenom jednu vec: poskytovat virtualizovane hw-prostredky pro vps. Nic jineho. Rozhodne by nemel mit management-interface s verejnou IP a spolehat se ze ochrani sam sebe!

Management-interface by mel mit privatni-IP pristupnou pres VPN-server. V pripade ze poskytovatel housingu nenabizi pro klienty vpn-server, pak by mel byt pred serverem predrazenej hw-firewall/vpn, a az ten by mel mit verejnou IP. Ja pro tohle pouzivam apu3+opnsense a pres VPN mam pristup na proxmox-management nebo kvm-port myho serveru. Pristup k jednotlivejm VPSkam pak ridi jinej (uz virtualizovanej) firewall...